防火墻是互聯(lián)網(wǎng)安全最早的、也是最常用的技術(shù)。企業(yè)為了保證自己的內(nèi)網(wǎng)安全，通常會設(shè)置專用的防火墻對自身進行保護。本文文章講述了CISCO PIX防火墻如何通過路由器向外部連接，對企業(yè)互聯(lián)網(wǎng)進行篩選和保護。

一.CISCO PIX防火墻設(shè)置

ip address outside 131.1.23.2　

//設(shè)置PIX防火墻的外部地址　

ip address inside 10.10.254.1　

//設(shè)置PIX防火墻的內(nèi)部地址　

global 1 131.1.23.10-131.1.23.254　

//設(shè)置一個內(nèi)部計算機與INTERNET　

上計算機進行通信時所需的全局地址池　

nat 1 10.0.0.0　

//允許網(wǎng)絡(luò)地址為10.0.0.0　

的網(wǎng)段地址被PIX翻譯成外部地址　

static 131.1.23.11 10.14.8.50　

//網(wǎng)管工作站固定使用的外部地址為131.1.23.11　

conduit 131.1.23.11　514 udp　

131.1.23.1 255.255.255.255　

//允許從RTRA發(fā)送到到　

網(wǎng)管工作站的系統(tǒng)日志包通過PIX防火墻　

mailhost 131.1.23.10 10.10.254.3　

//允許從外部發(fā)起的對　

郵件服務(wù)器的連接（131.1.23.10）　

telnet 10.14.8.50　

//允許網(wǎng)絡(luò)管理員通過　

遠程登錄管理IPX防火墻　

syslog facility 20.7　

syslog host 10.14.8.50　

//在位于網(wǎng)管工作站上的　

日志服務(wù)器上記錄所有事件日志

二.路由器RTRA設(shè)置

RTRA是外部防護路由器，它必須保護CISCO PIX防火墻免受直接攻擊，保護FTP/HTTP服務(wù)器，同時作為一個警報系統(tǒng)，如果有人攻入此路由器，管理可以立即被通知。

no service tcp small-servers　

//阻止一些對路由器本身的攻擊　

logging trap debugging　

//強制路由器向系統(tǒng)日志服務(wù)器　

發(fā)送在此路由器發(fā)生的每一個事件，　

包括被存取列表拒絕的包和路由器配置的改變；　

這個動作可以作為對系統(tǒng)管理員的早期預(yù)警，　

預(yù)示有人在試圖攻擊路由器，或者已經(jīng)攻入路由器，　

正在試圖攻擊防火墻　

logging 131.1.23.11　

//此地址是網(wǎng)管工作站的外部地址，　

路由器將記錄所有事件到此　

主機上enable secret xxxxxxxxxxx

interface Ethernet 0　

ip address 131.1.23.1 255.255.255.0

interface Serial 0　

ip unnumbered ethernet 0　

ip access-group 110 in　

//保護PIX防火墻和HTTP/FTP　

服務(wù)器以及防衛(wèi)欺騙攻擊（見存取列表）　

access-list 110 deny ip 131.1.23.0 0.0.0.255 any log　

// 禁止任何顯示為來源于路由器RTRA　

和PIX防火墻之間的信息包,這可以防止欺騙攻擊　

access-list 110 deny ip any host 131.1.23.2 log　

//防止對PIX防火墻外部接口的直接　

攻擊并記錄到系統(tǒng)日志服務(wù)器任何企圖連接　

PIX防火墻外部接口的事件r　

access-list 110 permit tcp any　

131.1.23.0 0.0.0.255 established　

//允許已經(jīng)建立的TCP會話的信息包通過　

access-list 110 permit tcp any host 131.1.23.3 eq ftp　

//允許和FTP/HTTP服務(wù)器的FTP連接　

access-list 110 permit tcp any host 131.1.23.2 eq ftp-data　

//允許和FTP/HTTP服務(wù)器的FTP數(shù)據(jù)連接　

access-list 110 permit tcp any host 131.1.23.2 eq www　

//允許和FTP/HTTP服務(wù)器的HTTP連接　

access-list 110 deny ip any host 131.1.23.2 log　

//禁止和FTP/HTTP服務(wù)器的別的連接　

并記錄到系統(tǒng)日志服務(wù)器任何　

企圖連接FTP/HTTP的事件　

access-list 110 permit ip any 131.1.23.0 0.0.0.255　

//允許其他預(yù)定在PIX防火墻　

和路由器RTRA之間的流量

line vty 0 4　

login　

password xxxxxxxxxx　

access-class 10 in　

//限制可以遠程登錄到此路由器的IP地址　

access-list 10 permit ip 131.1.23.11　

//只允許網(wǎng)管工作站遠程登錄到此路由器,　

當你想從INTERNET管理此路由器時,　

應(yīng)對此存取控制列表進行修改

三. 路由器RTRB設(shè)置

logging trap debugging　

logging 10.14.8.50　

//記錄此路由器上的所有活動到　

網(wǎng)管工作站上的日志服務(wù)器,包括配置的修改

interface Ethernet 0　

ip address 10.10.254.2 255.255.255.0　

no ip proxy-arp　

ip access-group 110 in

access-list 110 permit udp host 10.10.254.0 0.0.0.255　

//允許通向網(wǎng)管工作站的系統(tǒng)日志信息　

access-list 110 deny ip any host 10.10.254.2 log　

//禁止所有別的從PIX防火墻發(fā)來的信息包　

access-list permit tcp host 10.10.254.3　

10.0.0.0 0.255.255.255 eq smtp　

//允許郵件主機和內(nèi)部郵件服務(wù)器的SMTP郵件連接　

access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255　

//禁止別的來源與郵件服務(wù)器的流量　

access-list deny ip any 10.10.254.0 0.0.0.255　

//防止內(nèi)部網(wǎng)絡(luò)的信任地址欺騙　

access-list permit ip 10.10.254.0　

0.0.0.255 10.0.0.0 0.255.255.255　

//允許所有別的來源于PIX防火墻　

和路由器RTRB之間的流量

line vty 0 4　

login　

password xxxxxxxxxx　

access-class 10 in　

//限制可以遠程登錄到此路由器上的IP地址

access-list 10 permit ip 10.14.8.50　

//只允許網(wǎng)管工作站遠程登錄到此路由器,　

當你想從INTERNET管理此路由器時,　

應(yīng)對此存取控制列表進行修改　

按以上設(shè)置配置好CISCO PIX防火墻和路由器后,PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口,也不可能判斷出內(nèi)部任何一臺主機的IP地址,即使告訴了內(nèi)部主機的IP地址,要想直接對它們進行Ping和連接也是不可能的。

這樣就可以對整個內(nèi)部網(wǎng)進行有效的保護，防止外部的非法攻擊。

【編輯推薦】

1. Web應(yīng)用防火墻的功能與價值
2. xss攻擊 Web安全新挑戰(zhàn)
3. 百家爭鳴：web攻擊與web防護
4. Web應(yīng)用防火墻的主要特性
5. 防止入侵從Web應(yīng)用安全漏洞做起