port 指的是所作用的端口，其中0代表所有端口

protocol 指的是連接協(xié)議，比如:TCP、UDP等

foreign_ip 表示可訪問global_ip的外部ip，其中表示所有的ip。

12. 設(shè)置telnet選項(xiàng):

　telnet local_ip

local_ip 表示被允許通過telnet訪問到pix的ip地址(如果不設(shè)此項(xiàng)， PIX的配置只能由consle方式進(jìn)行)。

13. 將配置保存:

wr mem

14. 幾個(gè)常用的網(wǎng)絡(luò)測(cè)試命令:

#ping

#show interface 查看端口狀態(tài)

#show static 查看靜態(tài)地址映射

六、PIX與路由器的結(jié)合配置

(一)、PIX防火墻

1、設(shè)置PIX防火墻的外部地址:

ip address outside 131.1.23.2

2、設(shè)置PIX防火墻的內(nèi)部地址:

ip address inside 10.10.254.1

3、設(shè)置一個(gè)內(nèi)部計(jì)算機(jī)與Internet上計(jì)算機(jī)進(jìn)行通信時(shí)所需的全局地址池:

global1 131.1.23.10-131.1.23.254

4、允許網(wǎng)絡(luò)地址為10.0.0.0的網(wǎng)段地址被PIX翻譯成外部地址:

nat 110.0.0.0

5、網(wǎng)管工作站固定使用的外部地址為131.1.23.11:

static 131.1.23.11 10.14.8.50

6、允許從RTRA發(fā)送到到網(wǎng)管工作站的系統(tǒng)日志包通過PIX防火墻:

conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255

7、允許從外部發(fā)起的對(duì)郵件服務(wù)器的連接(131.1.23.10):

mailhost 131.1.23.10 10.10.254.3

8、允許網(wǎng)絡(luò)管理員通過遠(yuǎn)程登錄管理IPX防火墻:

telnet 10.14.8.50

9、在位于網(wǎng)管工作站上的日志服務(wù)器上記錄所有事件日志:

syslog facility 20.7

syslog host 10.14.8.50

(二)、路由器RTRA

RTRA是外部防護(hù)路由器，它必須保護(hù)PIX防火墻免受直接攻擊，保護(hù)FTP/HTTP服務(wù)器，同時(shí)作為一個(gè)警報(bào)系統(tǒng)，如果有人攻入此路由器，管理可以立即被通知。

1、阻止一些對(duì)路由器本身的攻擊:www.net130.com

no service tcps mall-servers

2、強(qiáng)制路由器向系統(tǒng)日志服務(wù)器發(fā)送在此路由器發(fā)生的每一個(gè)事件，包括被存取斜砭芫?陌?吐酚善髖渲玫母謀洌徽飧齠?骺梢宰魑?韻低徹芾碓鋇腦縉讜ぞ??な居腥嗽謔醞脊セ髀酚善鰨?蛘咭丫?ト肼酚善鰨??謔醞脊セ鞣闌鵯劍?BR>logging trapde bugging

3、此地址是網(wǎng)管工作站的外部地址，路由器將記錄所有事件到此主機(jī)上:

logging 131.1.23.11

4、保護(hù)PIX防火墻和HTTP/FTP服務(wù)器以及防衛(wèi)欺騙攻擊(見存取列表):

enable secret xxxxxxxxxxx

interface Ethernet 0

ipaddress 131.1.23.1 255.255.255.0

interfaceSerial 0

ip unnumbered ethernet 0

ip access-group 110 in

5、禁止任何顯示為來源于路由器RTRA和PIX防火墻之間的信息包，這可以防止欺騙攻擊:

access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog

6、防止對(duì)PIX防火墻外部接口的直接攻擊并記錄到系統(tǒng)日志服務(wù)器任何企圖連接PIX防火墻外部接口的事件:

access-list 110 deny ip any host 131.1.23.2 log
7、允許已經(jīng)建立的TCP會(huì)話的信息包通過:

access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established

8、允許和FTP/HTTP服務(wù)器的FTP連接:

access-list 110 permit tcp any host 131.1.23.3 eq ftp

9、允許和FTP/HTTP服務(wù)器的FTP數(shù)據(jù)連接:

access-list 110 permit tcp any host 131.1.23.2 eq ftp-data

10、允許和FTP/HTTP服務(wù)器的HTTP連接:

access-list 110 permit tcp any host 131.1.23.2 eq www

11、禁止和FTP/HTTP服務(wù)器的別的連接并記錄到系統(tǒng)日志服務(wù)器任何企圖連接FTP/HTTP的事件:

access-list 110 deny ip any host 131.1.23.2 log

12、允許其他預(yù)定在PIX防火墻和路由器RTRA之間的流量:

access-list 110 permit ip any 131.1.23.0 0.0.0.255

13、限制可以遠(yuǎn)程登錄到此路由器的IP地址:

line vty 0 4

login

password xxxxxxxxxx

access-class 10 in

14、只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器，當(dāng)你想從Internet管理此路由器時(shí)，應(yīng)對(duì)此存取控制列表進(jìn)行修改:

access-list 10 permit ip 131.1.23.11

(三)、路由器RTRB

RTRB是內(nèi)部網(wǎng)防護(hù)路由器，它是你的防火墻的最后一道防線，是進(jìn)入內(nèi)部網(wǎng)的入口。

1、記錄此路由器上的所有活動(dòng)到網(wǎng)管工作站上的日志服務(wù)器，包括配置的修改:www.net130.com

logging trap debugging

logging 10.14.8.50

2、允許通向網(wǎng)管工作站的系統(tǒng)日志信息:

interface Ethernet 0

ip address 10.10.254.2 255.255.255.0

no ip proxy-arp

ip access-group 110 in

access-list 110 permit udp host 10.10.254.0 0.0.0.255

3、禁止所有別的從PIX防火墻發(fā)來的信息包:

access-list 110 deny ip any host 10.10.254.2 log

4、允許郵件主機(jī)和內(nèi)部郵件服務(wù)器的SMTP郵件連接:

access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp

5、禁止別的來源與郵件服務(wù)器的流量:

access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255

6、防止內(nèi)部網(wǎng)絡(luò)的信任地址欺騙:

access-list deny ip any 10.10.254.0 0.0.0.255

7、允許所有別的來源于PIX防火墻和路由器RTRB之間的流量:

access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255

8、限制可以遠(yuǎn)程登錄到此路由器上的IP地址:

line vty 0 4

login

password xxxxxxxxxx

access-class 10 in

9、只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器，當(dāng)你想從Internet管理此路由器時(shí)，應(yīng)對(duì)此存取控制列表進(jìn)行修改:

access-list 10 permit ip 10.14.8.50

按以上設(shè)置配置好PIX防火墻和路由器后，PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口，也不可能判斷出內(nèi)部任何一臺(tái)主機(jī)的IP地址，即使告訴了內(nèi)部主機(jī)的IP地址，要想直接對(duì)它們進(jìn)行Ping和連接也是不可能的。這樣就可以對(duì)整個(gè)內(nèi)部網(wǎng)進(jìn)行有效的保護(hù)