关于PIX的配置及注解完全手册(2) - 51CTO.COM

51CTO首页 | 论坛 | 博客 | 技术圈 | 求职 | 读书 | 技术频道 | CIO | 导航

首页 | 动态 | 病毒 | 漏洞 | 黑客 | ARP | 嗅探扫描 | Web安全 | 邮件安全 | 专家专栏 | 全部文章

您所在的位置：首页>>网络安全>>安全产品>>防火墙>>Cisco防火墙>>

关于PIX的配置及注解完全手册(2)

http://netsecurity.51cto.com 2006-07-04 13:49 网管论坛我要评论(0)

摘要：关于PIX的配置及注解完全手册
标签：PIX

不支持故障切换

global (outside) 1 10.1.1.13-10.1.1.28
global (outside) 1 10.1.1.7-10.1.1.9
global (outside) 1 10.1.1.10

定义内部网络地址将要翻译成的全局地址或地址范围

nat (inside) 0 access-list 101

使得符合访问列表为101地址不通过翻译，对外部网络是可见的

nat (inside) 1 192.168.0.0 255.255.0.0 0 0

内部网络地址翻译成外部地址

nat (dmz) 1 192.168.0.0 255.255.0.0 0 0

DMZ区网络地址翻译成外部地址

static (inside,outside) 10.1.1.5 192.168.12.100 netmask 255.255.255.255 0 0
static (inside,outside) 10.1.1.12 192.168.12.158 netmask 255.255.255.255 0 0
static (inside,outside) 10.1.1.3 192.168.2.4 netmask 255.255.255.255 0 0

设定固定主机与外网固定IP之间的一对一静态转换

static (dmz,outside) 10.1.1.2 192.168.19.2 netmask 255.255.255.255 0 0

设定DMZ区固定主机与外网固定IP之间的一对一静态转换

static (inside,dmz) 192.168.0.0 192.168.0.0 netmask 255.255.0.0 0 0

设定内网固定主机与DMZ IP之间的一对一静态转换

static (dmz,outside) 10.1.1.29 192.168.19.3 netmask 255.255.255.255 0 0

设定DMZ区固定主机与外网固定IP之间的一对一静态转换

access-group 120 in interface outside
access-group 120 in interface inside
access-group 120 in interface dmz

将访问列表应用于端口

conduit permit tcp host 10.1.1.2 any
conduit permit tcp host 10.1.1.3 any
conduit permit tcp host 10.1.1.12 any
conduit permit tcp host 10.1.1.29 any

设置管道：允许任何地址对全局地址进行TCP协议的访问

conduit permit icmp 192.168.99.0 255.255.255.0 any

设置管道：允许任何地址对192.168.99.0 255.255.255.0地址进行PING测试

rip outside passive version 2
rip inside passive version 2
route outside 0.0.0.0 0.0.0.0 10.1.1.1

设定默认路由到电信端

route inside 192.168.2.0 255.255.255.0 192.168.1.1 1
route inside 192.168.3.0 255.255.255.0 192.168.1.1 1
route inside 192.168.4.0 255.255.255.0 192.168.1.1 1
route inside 192.168.5.0 255.255.255.0 192.168.1.1 1
route inside 192.168.6.0 255.255.255.0 192.168.1.1 1
route inside 192.168.7.0 255.255.255.0 192.168.1.1 1
route inside 192.168.8.0 255.255.255.0 192.168.1.1 1
route inside 192.168.9.0 255.255.255.0 192.168.1.1 1
route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
route inside 192.168.11.0 255.255.255.0 192.168.1.1 1

设定路由回指到内部的子网

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 
0:10:00 h225
1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
sysopt connection permit-pptp
service resetinbound
service resetoutside
crypto ipsec transform-set myset esp-des esp-md5-hmac

定义一个名称为myset的交换集

crypto dynamic-map dynmap 10 set transform-set myset

根据myset交换集产生名称为dynmap的动态加密图集（可选）

crypto map vpn 10 ipsec-isakmp dynamic dynmap

将dynmap动态加密图集应用为IPSEC的策略模板（可选）

crypto map vpn 20 ipsec-isakmp

用IKE来建立IPSEC安全关联以保护由该加密条目指定的数据流

crypto map vpn 20 match address 110

为加密图指定列表110作为可匹配的列表

crypto map vpn 20 set peer 10.1.1.41

在加密图条目中指定IPSEC对等体

crypto map vpn 20 set transform-set myset

指定myset交换集可以被用于加密条目

crypto map vpn client configuration address initiate

指示PIX防火墙试图为每个对等体设置IP地址

crypto map vpn client configuration address respond

指示PIX防火墙接受来自任何请求对等体的IP地址请求

crypto map vpn interface outside

将加密图应用到外部接口

共3页: 上一页 [1] 2 [3] 下一页

【内容导航】

上一篇： LSA 5和LSA 7的区别下一篇：路由器IOS升级方法总结

CISCO PIX系列防火墙

Web安全云时代

NAC安全访问控制

安全防范与策略

网络技术经典基础教程

查看所有评论(0 )

频道推荐

全站热点

ARP攻击防范与解决方案

ARP攻击防范与..

SOA 面向服务架构

SOA 面向服务..

技术人

Google十周年：..

求职必杀技决战..

读书

野蛮生长
作者：冯仑著
“地产界的思想家”冯仑纵横生意江湖20年来，第一次系统梳理出书。　　三十年来中国民营企业从前公司时代发展到公司时代，21..

优秀博文

最新热帖

技术快讯

Copyright©2005-2008 51CTO.COM 版权所有