(3)益高电动车制造有限公司的CISCO-PIX506E详细配置
: Saved
:
PIX Version 6.3(5) ---- PIX当前的操作系统版本为6.3
interface ethernet0 auto ----
设定防火墙外网端口E0 速率为auto
interface ethernet1 auto ----
设定防火墙内网端口E1 速率为auto
nameif ethernet0 outside security0 ----
设定防火墙外网端口E0名称为outside安全级别为0
nameif ethernet1 inside security100 ----
设定防火墙内网端口E1名称为inside安全级别为100
enable password 8Ry2YjIyt7RRXU24 encrypted ----配置防火墙特权配置模式的密码(此密码为加密的)
passwd 2KFQnbNIdI.2KYOU encrypted ----配置防火墙TELNET 远程登陆的密码
hostname eagle ----设定防火墙的名称
fixup protocol dns maximum-length 512 ----防火墙默认启用的协议和端口号
fixup protocol ftp 21 ----防火墙默认启用的协议和端口号
fixup protocol h323 h225 1720 ----防火墙默认启用的协议和端口号
fixup protocol h323 ras 1718-1719 ----防火墙默认启用的协议和端口号
fixup protocol http 80 ----防火墙默认启用的协议和端口号
fixup protocol rsh 514 ----防火墙默认启用的协议和端口号
fixup protocol rtsp 554 ----防火墙默认启用的协议和端口号
fixup protocol sip 5060 ----防火墙默认启用的协议和端口号
fixup protocol sip udp 5060 ----防火墙默认启用的协议和端口号
fixup protocol skinny 2000 ----防火墙默认启用的协议和端口号
fixup protocol smtp 25 ----防火墙默认启用的协议和端口号
fixup protocol sqlnet 1521 ----防火墙默认启用的协议和端口号
fixup protocol tftp 69 ----防火墙默认启用的协议和端口号
access-list nonat permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
----建立名为nonat的访问控制列表,且允许10.0.0.0这个网段不通过NAT转换,直接穿过nat去访问192.168.1.0这个网段
access-list nonat permit ip 192.168.0.0 255.255.255.0 10.0.0.0 255.0.0.0
----建立名为nonat的访问控制列表,且允许192.168.1.0这个网段不通过NAT转换,直接穿过nat去访问10.0.0.0这个网段
access-list nonat permit ip 172.16.1.0 255.255.255.0 192.168.1.0 255.255.255.0
----建立名为nonat的访问控制列表,且允许172.16.1.0这个网段不通过NAT转换,直接穿过nat去访问192.168.1.0这个网段
access-list nonat permit ip 192.168.0.0 255.255.255.0 172.16.1.0 255.255.255.0
----建立名为nonat的访问控制列表,且允许192.168.0.0这个网段不通过NAT转换,直接穿过nat去访问172.16.1.0这个网段
access-list 110 permit ip 192.168.0.0 255.255.255.0 172.16.1.0 255.255.255.0
-----建立名为110的访问控制列表,且允许192.168.0.0这个网段不通过NAT转换,直接穿过nat去访问172.16.1.0这个网段
access-list 110 permit ip 172.16.1.0 255.255.255.0 192.168.0.0 255.255.255.0
----建立名为110的访问控制列表,且允许172.16.1.0这个网段不通过NAT转换,直接穿过nat去访问192.168.1.0这个网段
pager lines 24 ----配置的时候每24行一分页(自动默认)
mtu outside 1500 ----
以太网标准的MTU长度为1500字节(自动默认)
mtu inside 1500 ----
以太网标准的MTU长度为1500字节(自动默认)
ip address outside 58.211.149.78 255.255.255.248 ----设置防火墙外网端口的IP地址
ip address inside 172.16.1.1 255.255.255.0 ----设置防火墙内网端口的IP地址
ip audit info action alarm
ip audit attack action alarm
----pix***检测的2个命令。当有数据包具有***或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息
ip local pool ***pool 192.168.1.1-192.168.1.255
----建立名为***pool的地址池,起始地址段为 192.168.1.1-192.168.1.255
pdm history enable ----PIX设备管理器可以图形化的监视(自动默认)
arp timeout 14400 ----arp表的超时时间(自动默认)
global (outside) 1 interface ----定义内部网络地址将要翻译成的全局地址出口
nat (inside) 0 access-list nonat
----使得符合访问列表为nonat的地址不通过翻译,对外部网络是可见的
nat (inside) 1 0.0.0.0 0.0.0.0 0 0 ----内部全部地址都可以转换出去
conduit permit icmp any any ----
设置管道:允许任何地址都可进行PING测试
route outside 0.0.0.0 0.0.0.0 58.211.149.73 1 ----设置默认路由到网关出口
timeout xlate 3:00:00
----某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址(自动默认)
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
----AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证(自动默认)
aaa-server TACACS+ protocol tacacs+ ----AAA认证服务协议(自动默认)
aaa-server TACACS+ max-failed-attempts 3 ----AAA认证服务协议(自动默认)
aaa-server TACACS+ deadtime 10 ----AAA认证服务协议(自动默认)
aaa-server RADIUS protocol radius ----AAA认证服务协议(自动默认)
aaa-server RADIUS max-failed-attempts 3 ----AAA认证服务协议(自动默认)
aaa-server RADIUS deadtime 10 ----AAA认证服务协议(自动默认)
aaa-server LOCAL protocol local ----AAA认证服务协议(自动默认)
no snmp-server location ----
无snmp-server工作站的位置(自动默认)
no snmp-server contact ----
无snmp-server工作站的联系人(自动默认)
snmp-server community public ----snmp-server工作站的通讯(自动默认)
no snmp-server enable traps ----
发送snmp陷阱(自动默认)
floodguard enable ----
防止有人伪造大量认证请求,将pix的AAA资源用完
sysopt connection permit-ipsec ----允许进行ipsec连接
crypto ipsec transform-set eagle esp-des esp-md5-hmac ----定义一个名称为eagle的交换集
crypto dynamic-map dynamap 10 set transform-set eagle
----根据eagle交换集产生名称为dynmap的动态加密图集
crypto map mymap 10 ipsec-isakmp dynamic dynamap
----将dynmap动态加密图集应用为IPSEC的策略模板
crypto map mymap client configuration address initiate
----指示PIX防火墙试图为每个对等体设置IP地址
crypto map mymap client configuration address respond
----指示PIX防火墙接受来自任何请求对等体的IP地址请求
crypto map mymap interface outside ----将加密图应用到防火墙的外部接口
isakmp enable outside ----在外部接口启用IKE协商
isakmp identity address ----isakmp
身份设置成接口的IP地址
isakmp client configuration address-pool local ***pool outside
----将××× client地址池绑定到isakmp
isakmp nat-traversal 20 ----IKE策略穿越NAT
isakmp policy 20 authentication pre-share ----预共享密钥作为认证手段
isakmp policy 20 encryption des ----指定56位DES作为将被用于IKE策略的加密算法
isakmp policy 20 hash md5 ----指定MD5 (HMAC变种)作为将被用于IKE策略的散列算法
isakmp policy 20 group 2 ----指定1024比特Diffie-Hellman组将被用于IKE策略
isakmp policy 20 lifetime 86400 ----每个安全关联的生存周期为86400秒(1天)
***group ***test address-pool ***pool
----定义××× client:***test拨入使用的***group所分配的IP池
***group ***test dns-server 61.177.7.1 ----定义××× client:***test拨入使用的电信DNS来解析
***group ***test split-tunnel 110
----定义××× client:***test符合名为110的访问控制列表允许通过隧道传输
***group ***test idle-time 1800 ----定义***group的空闲时间
***group ***test password ******** ----定义××× client:***test的密码为********
telnet timeout 5 ----TELNET登录超时时间
ssh timeout 5 ----SSH超时时间
console timeout 0
terminal width 80
Cryptochecksum:d341e9092b1b3f71f8100c1d45eeb8cc
: end
转载于:https://blog.51cto.com/xuhaili100love/393102
301
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
