思科pix的常见配置以及注释(超详细)

最新推荐文章于 2021-12-27 20:15:05 发布
最新推荐文章于 2021-12-27 20:15:05 发布
阅读量229 收藏 1
点赞数
文章标签: 网络 数据库 运维
原文链接:https://yq.aliyun.com/articles/405320
版权

PIX Version 6.3(1) 
interface ethernet0 auto 设定端口0 速率为自动 
interface ethernet1 100full 设定端口1 速率为100兆全双工 
interface ethernet2 auto 设定端口2 速率为自动 
nameif ethernet0 outside security0 设定端口0 名称为 outside 安全级别为0 
nameif ethernet1 inside security100 设定端口1 名称为 inside 安全级别为100 
nameif ethernet2 dmz security50 设定端口2 名称为 dmz 安全级别为50 
enable password Dv0yXUGPM3Xt7xVs encrypted 特权密码 
passwd 2KFQnbNIdI.2KYOU encrypted 登陆密码 
hostname hhyy 设定防火墙名称 
fixup protocol ftp 21 
fixup protocol h323 h225 1720 
fixup protocol h323 ras 1718-1719 
fixup protocol http 80 
fixup protocol ils 389 
fixup protocol rsh 514 
fixup protocol rtsp 554 
fixup protocol sip 5060 
fixup protocol sip udp 5060 
no fixup protocol skinny 2000 
fixup protocol smtp 25 
fixup protocol sqlnet 1521

允许用户查看、改变、启用或禁止一个服务或协议通过PIX防火墙,防火墙默认启用了一些常见的端口,但对于ORACLE等专有端口,需要专门启用。

names 
access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.170.0 255.255.255.0 
access-list 101 permit ip 192.168.12.0 255.255.255.0 192.168.180.0 255.255.255.0 
access-list 101 permit ip 192.168.23.0 255.255.255.0 192.168.180.0 255.255.255.0 
access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0

建立访问列表,允许特定网段的地址访问某些网段

access-list 120 deny icmp 192.168.2.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.3.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.4.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.5.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.6.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.7.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.8.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.9.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.10.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.11.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.12.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.13.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.14.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.15.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.16.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.17.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.18.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.19.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.20.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.21.0 255.255.255.0 any 
access-list 120 deny icmp 192.168.22.0 255.255.255.0 any 
access-list 120 deny udp any any eq netbios-ns 
access-list 120 deny udp any any eq netbios-dgm 
access-list 120 deny udp any any eq 4444 
access-list 120 deny udp any any eq 1205 
access-list 120 deny udp any any eq 1209 
access-list 120 deny tcp any any eq 445 
access-list 120 deny tcp any any range 135 netbios-ssn 
access-list 120 permit ip any any

建立访问列表120防止各个不同网段之间的ICMP发包及拒绝135、137等端口之间的通信(主要防止冲击波病毒)

access-list 110 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0

pager lines 24 
logging on 
logging monitor debugging 
logging buffered debugging 
logging trap notifications 
mtu outside 1500 
mtu inside 1500 
mtu dmz 1500 
ip address outside 10.1.1.4 255.255.255.224 设定外端口地址 
ip address inside 192.168.1.254 255.255.255.0 设定内端口地址 
ip address dmz 192.168.19.1 255.255.255.0 设定DMZ端口地址 
ip audit info action alarm 
ip audit attack action alarm 
ip local pool hhyy 192.168.170.1-192.168.170.254

建立名称为hhyy的地址池,起始地址段为:192.168.170.1-192.168.170.254

ip local pool yy 192.168.180.1-192.168.180.254

建立名称为yy 的地址池,起始地址段为:192.168.180.1-192.168.180.254

no failover 
failover timeout 0:00:00 
failover poll 15 
no failover ip address outside 
no failover ip address inside 
no failover ip address dmz 
no pdm history enable 
arp timeout 14400 
不支持故障切换

global (outside) 1 10.1.1.13-10.1.1.28 
global (outside) 1 10.1.1.7-10.1.1.9 
global (outside) 1 10.1.1.10

定义内部网络地址将要翻译成的全局地址或地址范围

nat (inside) 0 access-list 101

使得符合访问列表为101地址不通过翻译,对外部网络是可见的

nat (inside) 1 192.168.0.0 255.255.0.0 0 0

内部网络地址翻译成外部地址

nat (dmz) 1 192.168.0.0 255.255.0.0 0 0

DMZ区网络地址翻译成外部地址

static (inside,outside) 10.1.1.5 192.168.12.100 netmask 255.255.255.255 0 0 
static (inside,outside) 10.1.1.12 192.168.12.158 netmask 255.255.255.255 0 0 
static (inside,outside) 10.1.1.3 192.168.2.4 netmask 255.255.255.255 0 0

设定固定主机与外网固定IP之间的一对一静态转换

static (dmz,outside) 10.1.1.2 192.168.19.2 netmask 255.255.255.255 0 0

设定DMZ区固定主机与外网固定IP之间的一对一静态转换

static (inside,dmz) 192.168.0.0 192.168.0.0 netmask 255.255.0.0 0 0

设定内网固定主机与DMZ IP之间的一对一静态转换

static (dmz,outside) 10.1.1.29 192.168.19.3 netmask 255.255.255.255 0 0

设定DMZ区固定主机与外网固定IP之间的一对一静态转换

access-group 120 in interface outside 
access-group 120 in interface inside 
access-group 120 in interface dmz

将访问列表应用于端口

conduit permit tcp host 10.1.1.2 any 
conduit permit tcp host 10.1.1.3 any 
conduit permit tcp host 10.1.1.12 any 
conduit permit tcp host 10.1.1.29 any

设置管道:允许任何地址对全局地址进行TCP协议的访问

conduit permit icmp 192.168.99.0 255.255.255.0 any

设置管道:允许任何地址对192.168.99.0 255.255.255.0地址进行PING测试

rip outside passive version 2 
rip inside passive version 2 
route outside 0.0.0.0 0.0.0.0 10.1.1.1

设定默认路由到电信端

route inside 192.168.2.0 255.255.255.0 192.168.1.1 1 
route inside 192.168.3.0 255.255.255.0 192.168.1.1 1 
route inside 192.168.4.0 255.255.255.0 192.168.1.1 1 
route inside 192.168.5.0 255.255.255.0 192.168.1.1 1 
route inside 192.168.6.0 255.255.255.0 192.168.1.1 1 
route inside 192.168.7.0 255.255.255.0 192.168.1.1 1 
route inside 192.168.8.0 255.255.255.0 192.168.1.1 1 
route inside 192.168.9.0 255.255.255.0 192.168.1.1 1 
route inside 192.168.10.0 255.255.255.0 192.168.1.1 1 
route inside 192.168.11.0 255.255.255.0 192.168.1.1 1

设定路由回指到内部的子网

timeout xlate 3:00:00 
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 
1:00:00 
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 
timeout uauth 0:05:00 absolute 
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location 
no snmp-server contact 
snmp-server community public 
no snmp-server enable traps 
floodguard enable 
sysopt connection permit-ipsec 
sysopt connection permit-pptp 
service resetinbound 
service resetoutside 
crypto ipsec transform-set myset esp-des esp-md5-hmac

定义一个名称为myset的交换集

crypto dynamic-map dynmap 10 set transform-set myset

根据myset交换集产生名称为dynmap的动态加密图集(可选)

crypto map vpn 10 ipsec-isakmp dynamic dynmap

将dynmap动态加密图集应用为IPSEC的策略模板(可选)

crypto map vpn 20 ipsec-isakmp

用IKE来建立IPSEC安全关联以保护由该加密条目指定的数据流

crypto map vpn 20 match address 110

为加密图指定列表110作为可匹配的列表

crypto map vpn 20 set peer 10.1.1.41

在加密图条目中指定IPSEC对等体

crypto map vpn 20 set transform-set myset

指定myset交换集可以被用于加密条目

crypto map vpn client configuration address initiate

指示PIX防火墙试图为每个对等体设置IP地址

crypto map vpn client configuration address respond

指示PIX防火墙接受来自任何请求对等体的IP地址请求

crypto map vpn interface outside

将加密图应用到外部接口 
isakmp enable outside

在外部接口启用IKE协商

isakmp key ******** address 10.1.1.41 netmask 255.255.255.255

指定预共享密钥和远端对等体的地址

isakmp identity address

IKE身份设置成接口的IP地址

isakmp client configuration address-pool local yy outside 
isakmp policy 10 authentication pre-share

指定预共享密钥作为认证手段

isakmp policy 10 encryption des

指定56位DES作为将被用于IKE策略的加密算法

isakmp policy 10 hash md5

指定MD5 (HMAC变种)作为将被用于IKE策略的散列算法

isakmp policy 10 group 2

指定1024比特Diffie-Hellman组将被用于IKE策略

isakmp policy 10 lifetime 86400

每个安全关联的生存周期为86400秒(一天)

vpngroup cisco idle-time 1800 
vpngroup pix_vpn address-pool yy 
vpngroup pix_vpn idle-time 1800 
vpngroup pix_vpn password ******** 
vpngroup 123 address-pool yy 
vpngroup 123 idle-time 1800 
vpngroup 123 password ******** 
vpngroup 456 address-pool yy 
vpngroup 456 idle-time 1800 
vpngroup 456 password ******** 
telnet 192.168.88.144 255.255.255.255 inside 
telnet 192.168.88.154 255.255.255.255 inside 
telnet timeout 5 
ssh timeout 5 
console timeout 0 
vpdn group 1 accept dialin pptp 
vpdn group 1 ppp authentication pap 
vpdn group 1 ppp authentication chap 
vpdn group 1 ppp authentication mschap 
vpdn group 1 ppp encryption mppe 40 
vpdn group 1 client configuration address local hhyy 
vpdn group 1 pptp echo 60 
vpdn group 1 client authentication local 
vpdn username cisco password ********* 
vpdn enable outside 
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 2 
vpnclient vpngroup cisco_vpn password ******** 
vpnclient username pix password ******** 
terminal width 80 
Cryptochecksum:9524a589b608c79d50f7c302b81bdfa4b



本文转自 gehailong 51CTO博客,原文链接:http://blog.51cto.com/gehailong/301140,如需转载请自行联系原作者

weixin_33705053
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cisco命令大全
weixin_34162629的博客
10-05 115
cisco命令大全 1. switch配置命令(1)模式转换命令用户模式----特权模式,使用命令"enable"特权模式----全局配置模式,使用命令"config t"全局配置模式----接口模式,使用命令"interface+接口类型+接口号"全局配置模式----线控模式,使用命令"line+接口类型+接口号"注:用户模式:查看初始化的信息.特权模式:查看所有信息、调...
思科6509的详细配置---加注释
weixin_34405332的博客
12-18 594
2.2. 远程telnet连接 当完成交换机配置,并起给交换机配置了管理地址,就可以直接采用远程telnet登陆进入交换机了,但是必须先配置line vty的密码和enable密码才能允许远程登陆。配置telnet登陆命令如下: #conf t #line vty 0 4 #login ;控制vty接口是否能够telnet #password switch 3. 基本信息配置...
NAT静态&动态配置
Z_l123的博客
12-27 572
NAT静态配置 配置ip,网关 PC端 AR1 NAT静态转换 nat static global 100.100.100.3 inside 192.168.1.1 netmask 255.255.255.255 nat static global 100.100.100.4 inside 192.168.2.1 netmask 255.255.255.255 nat static global 100.100.100.5 inside 192.168.3.1 netmask 2...
Cisco防火墙pix515配置实例
03-23
Cisco防火墙pix515配置实例 一、引言  硬件防火墙的应用,现在是越来越多,产品也很丰富。一般国产的防火墙多带有中文的说明和一些相应的配置实例,但国外的产品几乎都没有中文的说明书。
思科PIX防火墙配置
08-01
PIX一个老防火墙,文档不多,给大家传一个使用
Cisco_PIX防火墙的基本配置
12-08
Cisco_PIX防火墙的基本配置.
思科 ASA 和 PIX 防火墙配置手册
01-26
思科 ASA 和 和 PIX 防火墙配置手册 思科 ASA 和 和 PIX 防火墙配置手册 思科 ASA 和 和 PIX 防火墙配置手册 思科 ASA 和 和 PIX 防火墙配置手册
Cisco-PIX配置详细资料
09-03
配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route.
windows 7 无法打开ASDM和 ASA SSL ×××首页
weixin_33701294的博客
11-26 376
windows7无法打开ASDM和ASASSL×××首页用火狐浏览器报错如上图所示:背景介绍在ASA上配个SSL×××或者起个ASDM管理界面,费了半天劲,IE和Firefox浏览器里出来的是无法访问,一遍遍查配置,没问题啊,再试试,还是无法访问,怎么办,往下看。拓扑排错碰到这种情况,排错思路如下,开logging,看看IE和ASA哥俩都聊什么了。cisco...
思科CCIE CCNP基础快速完成系统日志Syslog 基本设置-ielab
IE-lab网络实验室的博客
03-20 1312
Syslog常被称为系统日志或系统记录,是一种用来在互联网协议(TCP/IP)的网上中传递记录档消息的标准。我们在cisco设备中也通常使用logging synchronous 打开日志同步功能。那么如何进行日志信息记录呢? 日志可以存放到本地,亦可以存放到远端的服务器,这里我们简单介绍如何在cisco设备上简单查看和配置日志内容: SW1(config)#...
Cisco PIX防火墙安装流程及安全配置(转)
cuankuangzhong6373的博客
05-30 493
1. 将PIX安放至机架,经检测电源系统后接上电源,并加电主机。   2. 将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入PIX系统;此时系统提示pixfirewall>. ...
cisco 日志相关信息
weixin_34335458的博客
02-06 486
下面的内容来自:http://bbs.51cto.com/thread-911912-1.html 5#大侠唐在飞 发的内容 ,我存在自己的博客里就是为了方便以后查看 日志消息通常是指Cisco IOS中的系统错误消息。其中每条错误信息都被分配了一个严重级别,伴随一些只是问题或事件的严重性分析。Cisco IOS发送日志消息(包括debug命令的输出)到日...
cisco logging 默认级别
热门推荐
no pay no gay
03-30 3万+
每个日志消息被关联一个严重级别,用来分类消息的严重等级:数字越低,消息越严重。严重级别的范围从0(最高)到7(最低)。使用logging命令可以用数字或者名称来指定严重性。   日志消息的严重级别 参数  级别 系统日志描述   描述 emergencies  0  LOG_EMERG  系统不可用 alerts  1  LOG_ALERT  在端口下是需要立即操作的 critical
保存路由器日志信息到日志服务器中
李荣权的专栏--OS--Soft--Life
02-18 5827
保存路由器日志信息到日志服务器中conf tinterface FastEthernet0/0ip address 192.168.1.21 255.255.255.0no shutdownip access-group 101 inexit!logging trap debugginglogging 192.168.1.118ip access-list logging interval 100
cisco常用的配置注释
weixin_34210740的博客
05-08 545
Router命令行1、enable(进入到Router#模式下)2、conft(进入到Router(config)#模式下)3、show(显示现在配置)4、Router(config)#hostRouter(config)#hostnamecisco2500cisco2500(config)#(改变名字)5、...
Cisco PIX配置大全
ejzhang的专栏
12-08 3880
  在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:  内部区(内网):内部区通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。  外部区(外网):外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区
logging buffer
weixin_33700350的博客
06-28 2551
学习了这么久的网络,有些词很熟悉,但是就从来没有搞明白它的作用是什么。例如我们经常在设备上配置的logging buffer。logging buffer:直译过来就是“日志缓存”的意思。如下是模拟器设备输出内容:1、如果我们配置了一台设备,开始并没有相关配置,也就是说我们在设备上配置没有日志缓存。例如如下情况:R3#sho logging Syslog logging: e...
Cisco PIX防火墙配置详解
最新发布
05-17
下面是Cisco PIX防火墙配置详细步骤: 1. 连接到PIX防火墙:使用串行口或Telnet连接到PIX防火墙。 2. 配置基本设置:为PIX防火墙配置IP地址、子网掩码、默认网关和DNS服务器。 3. 配置访问控制列表(ACL):...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值