思科公司制造的路由器、交換機和其他設備承載了全世界80%的互聯(lián)網通信，成為了網絡應用的成功實踐者之一,那么你知道Cisco PIX防火墻及網絡安全怎么配置嗎?下面是學習啦小編整理的一些關于Cisco PIX防火墻及網絡安全怎么配置的相關資料，供你參考。

　　Cisco PIX防火墻及網絡安全配置的方法：

　　隨著國際互連網的發(fā)展，一些企業(yè)建立了自己的INTRANET，并通過專線與INTERNET連通。為了保證企業(yè)內部網的安全，防止非法入侵，需要使用專用的防火墻計算機。路由器防火墻只能作為過濾器，并不能把內部網絡結構從入侵者眼前隱藏起來。只要允許外部網絡上的計算機直接訪問內部網絡上的計算機，就存在著攻擊者可以損害內部局域網上機器的安全性，并從那里攻擊其他計算機的可能性。

　　大多數(shù)提供代理服務的專用防火墻機器是基于UNIX系統(tǒng)的，這些操作系統(tǒng)本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange，私有Internet交換)防火墻，它運行自己定制的操作系統(tǒng)，事實證明，它可以有效地防止非法攻擊。PIX防火墻要求有一個路由器連接到外部網絡，如附圖所示。PIX有兩個ETHERNET接口，一個用于連接內部局域網，另一個用于連接外部路由器。外部接口有一組外部地址，使用他們來與外部網絡通信。內部網絡則配置有一個適合內部網絡號方案的IP地址。PIX的主要工作是在內部計算機需要與外部網絡進行通信時，完成內部和外部地址之間的映射。

　　配置好PIX防火墻后，從外部世界看來，內部計算機好象就是直接連接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口，所以，向主機傳送信息包需要用到MAC地址。為了使內部主機在數(shù)據(jù)鏈路層和網絡層上看起來都好象是連接在外部接口上的，PIX運行了代理ARP，代理ARP給外部網絡層IP地址指定數(shù)據(jù)鏈路MAC地址，這就使得內部計算機看起來像是在數(shù)據(jù)鏈路層協(xié)議的外部接口上似的。大多數(shù)情況下，與外部網絡的通信是從內部網絡中發(fā)出的。由于PIX是對信息包進行操作，而不是在應用過程級(代理服務器則采用這種方法)，PIX既可以跟蹤UDP會話，也可以跟蹤TCP連接。當一個計算機希望同外部計算機進行通信時，PIX記錄下內部來源地址，然后從外部地址庫分配一個地址，并記錄下所進行的轉換。這就是人們常說的有界NAT(stateful NAT)，這樣，PIX就能記住它在同誰進行交談，以及是哪個計算機首先發(fā)起的對話。只有已被確認的來自外部網絡的信息包才會運行，并進入內部網絡。

　　不過，有時也需要允許外部計算機發(fā)起同指定的內部計算機的通信。典型的服務包括電子郵件、WWW服務、以及FTP服務。PIX給一個內部地址硬編碼一個外部地址，這個地址是不會過期的。在這種情況下，用到對目標地址和端口號的普通過濾。除非侵入PIX本身，外部用戶仍然是無法了解內部網絡結構的。在不了解內部網絡結構的情況下，惡意用戶就無法從內部主機向內部網絡實施攻擊。

　　PIX另一個關鍵性的安全特性是對TCP信息包的序列編號進行隨機化處理。由于IP地址電子欺騙的方法早已公布，所以，入侵者已經有可能通過這種方法，控制住一個現(xiàn)成的TCP連接，然后向內部局域網上的計算機發(fā)送它們自己的信息。要想做到這一點，入侵者必須猜出正確的序列編號。在通常的TCP/IP中實現(xiàn)是很容易的，因為每次初始化連接時，大都采用一個相同的編號來啟動會話。而PIX則使用了一種數(shù)學算法來隨機化產生序列編號，這實際上使得攻擊者已經不可能猜出連接所使用的序列編號了。

　　配置PIX防火墻是一個比較直接的工作，在提供相同級別的安全服務情況下，PIX的配置相比設置代理服務器要簡單的多。從理論上講，所需做的就是指定一個IP地址和一個用來對外部進行訪問的地址庫，一個針對內部連接的IP地址和網絡掩嗎、RIP、超時以及其他附屬安全信息。下面介紹一個PIX防火墻實際配置案例，供大家參考。因為路由器的配置在安全性方面和PIX防火墻是相輔相成的，所以路由器的配置實例也一并列出。

　　一.PIX 防火墻

　　ip address outside 131.1.23.2

　　//設置PIX防火墻的外部地址

　　ip address inside 10.10.254.1

　　//設置PIX防火墻的內部地址

　　global 1 131.1.23.10-131.1.23.254

　　//設置一個內部計算機與INTERNET

　　上計算機進行通信時所需的全局地址池

　　nat 1 10.0.0.0

　　//允許網絡地址為10.0.0.0

　　的網段地址被PIX翻譯成外部地址

　　static 131.1.23.11 10.14.8.50

　　//網管工作站固定使用的外部地址為131.1.23.11

　　conduit 131.1.23.11　514 udp

　　131.1.23.1 255.255.255.255

　　//允許從RTRA發(fā)送到到

　　網管工作站的系統(tǒng)日志包通過PIX防火墻

　　mailhost 131.1.23.10 10.10.254.3

　　//允許從外部發(fā)起的對

　　郵件服務器的連接(131.1.23.10)

　　telnet 10.14.8.50

　　//允許網絡管理員通過

　　遠程登錄管理IPX防火墻

　　syslog facility 20.7

　　syslog host 10.14.8.50

　　//在位于網管工作站上的

　　日志服務器上記錄所有事件日志

　　二.路由器RTRA

　　---- RTRA是外部防護路由器，它必須保護PIX防火墻免受直接攻擊，保護FTP/HTTP服務器，同時作為一個警報系統(tǒng)，如果有人攻入此路由器，管理可以立即被通知。

　　no service tcp small-servers

　　//阻止一些對路由器本身的攻擊

　　logging trap debugging

　　//強制路由器向系統(tǒng)日志服務器

　　發(fā)送在此路由器發(fā)生的每一個事件，

　　包括被存取列表拒絕的包和路由器配置的改變;

　　這個動作可以作為對系統(tǒng)管理員的早期預警，

　　預示有人在試圖攻擊路由器，或者已經攻入路由器，

　　正在試圖攻擊防火墻

　　logging 131.1.23.11

　　//此地址是網管工作站的外部地址，

　　路由器將記錄所有事件到此

　　主機上enable secret xxxxxxxxxxx

　　interface Ethernet 0

　　ip address 131.1.23.1 255.255.255.0

　　interface Serial 0

　　ip unnumbered ethernet 0

　　ip access-group 110 in

　　//保護PIX防火墻和HTTP/FTP

　　服務器以及防衛(wèi)欺騙攻擊(見存取列表)

　　access-list 110 deny ip 131.1.23.0 0.0.0.255 any log

　　// 禁止任何顯示為來源于路由器RTRA

　　和PIX防火墻之間的信息包,這可以防止欺騙攻擊

　　access-list 110 deny ip any host 131.1.23.2 log

　　//防止對PIX防火墻外部接口的直接

　　攻擊并記錄到系統(tǒng)日志服務器任何企圖連接

　　PIX防火墻外部接口的事件r

　　access-list 110 permit tcp any

　　131.1.23.0 0.0.0.255 established

　　//允許已經建立的TCP會話的信息包通過

　　access-list 110 permit tcp any host 131.1.23.3 eq ftp

　　//允許和FTP/HTTP服務器的FTP連接

　　access-list 110 permit tcp any host 131.1.23.2 eq ftp-data

　　//允許和FTP/HTTP服務器的FTP數(shù)據(jù)連接

　　access-list 110 permit tcp any host 131.1.23.2 eq www

　　//允許和FTP/HTTP服務器的HTTP連接

　　access-list 110 deny ip any host 131.1.23.2 log

　　//禁止和FTP/HTTP服務器的別的連接

　　并記錄到系統(tǒng)日志服務器任何

　　企圖連接FTP/HTTP的事件

　　access-list 110 permit ip any 131.1.23.0 0.0.0.255

　　//允許其他預定在PIX防火墻

　　和路由器RTRA之間的流量

　　line vty 0 4

　　login

　　password xxxxxxxxxx

　　access-class 10 in

　　//限制可以遠程登錄到此路由器的IP地址

　　access-list 10 permit ip 131.1.23.11

　　//只允許網管工作站遠程登錄到此路由器,

　　當你想從INTERNET管理此路由器時,

　　應對此存取控制列表進行修改

　　三. 路由器RTRB

　　---- RTRB是內部網防護路由器,它是你的防火墻的最后一道防線,是進入內部網的入口.

　　logging trap debugging

　　logging 10.14.8.50

　　//記錄此路由器上的所有活動到

　　網管工作站上的日志服務器,包括配置的修改

　　interface Ethernet 0

　　ip address 10.10.254.2 255.255.255.0

　　no ip proxy-arp

　　ip access-group 110 in

　　access-list 110 permit udp host 10.10.254.0 0.0.0.255

　　//允許通向網管工作站的系統(tǒng)日志信息

　　access-list 110 deny ip any host 10.10.254.2 log

　　//禁止所有別的從PIX防火墻發(fā)來的信息包

　　access-list permit tcp host 10.10.254.3

　　10.0.0.0 0.255.255.255 eq smtp

　　//允許郵件主機和內部郵件服務器的SMTP郵件連接

　　access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255

　　//禁止別的來源與郵件服務器的流量

　　access-list deny ip any 10.10.254.0 0.0.0.255

　　//防止內部網絡的信任地址欺騙

　　access-list permit ip 10.10.254.0

　　0.0.0.255 10.0.0.0 0.255.255.255

　　//允許所有別的來源于PIX防火墻

　　和路由器RTRB之間的流量

　　line vty 0 4

　　login

　　password xxxxxxxxxx

　　access-class 10 in

　　//限制可以遠程登錄到此路由器上的IP地址

　　access-list 10 permit ip 10.14.8.50

　　//只允許網管工作站遠程登錄到此路由器,

　　當你想從INTERNET管理此路由器時,

　　應對此存取控制列表進行修改

　　---- 按以上設置配置好PIX防火墻和路由器后,PIX防火墻外部的攻擊者將無法在外部連接上。

　　看過文章“Cisco PIX防火墻及網絡安全怎么配置”的人還看了：

　　1.思科路由器恢復出廠配置的方法有哪些

　　2.思科路由器怎么進入 思科路由器怎么設置

　　3.思科路由器控制端口連接圖解

　　4.思科路由器基本配置教程

　　5.cisco怎么進端口

　　6.cisco常用命令

　　7.詳解思科route print

　　8.cisco ip設置

　　9.如何查看Cisco路由器的配置信息