CISCO PIX防火墙及网络安全配置指南

核心提示： 不过，有时也需要允许外部计算机发起同指定的内部计算机的通信，CISCO PIX防火墙及网络安全配置指南(2)，典型的服务包括电子邮件、WWW服务、以及FTP服务，PIX给一个内部地址硬编码一个外部地址，供大家参考，因为路由器的配置在安全性方面和PIX防火墙是相辅相成的，这个地址是不会过期的

不过，有时也需要允许外部计算机发起同指定的内部计算机的通信。典型的服务包括电子邮件、WWW服务、以及FTP服务。PIX给一个内部地址硬编码一个外部地址，这个地址是不会过期的。在这种情况下，用到对目标地址和端口号的普通过滤。除非侵入PIX本身，外部用户仍然是无法了解内部网络结构的。在不了解内部网络结构的情况下，恶意用户就无法从内部主机向内部网络实施攻击。　

PIX另一个关键性的安全特性是对TCP信息包的序列编号进行随机化处理。由于IP地址电子欺骗的方法早已公布，所以，入侵者已经有可能通过这种方法，控制住一个现成的TCP连接，然后向内部局域网上的计算机发送它们自己的信息。要想做到这一点，入侵者必须猜出正确的序列编号。在通常的TCP/IP中实现是很容易的，因为每次初始化连接时，大都采用一个相同的编号来启动会话。而PIX则使用了一种数学算法来随机化产生序列编号，这实际上使得攻击者已经不可能猜出连接所使用的序列编号了。　

配置PIX防火墙是一个比较直接的工作，在提供相同级别的安全服务情况下，PIX的配置相比设置代理服务器要简单的多。从理论上讲，所需做的就是指定一个IP地址和一个用来对外部进行访问的地址库，一个针对内部连接的IP地址和网络掩吗、RIP、超时以及其他附属安全信息。下面介绍一个PIX防火墙实际配置案例，供大家参考。因为路由器的配置在安全性方面和PIX防火墙是相辅相成的，所以路由器的配置实例也一并列出。　

一.PIX 防火墙设置　

ip address outside 131.1.23.2　
//设置PIX防火墙的外部地址　
ip address inside 10.10.254.1　
//设置PIX防火墙的内部地址　
global 1 131.1.23.10-131.1.23.254　
//设置一个内部计算机与INTERNET　
上计算机进行通信时所需的全局地址池　
nat 1 10.0.0.0　
//允许网络地址为10.0.0.0　
的网段地址被PIX翻译成外部地址　
static 131.1.23.11 10.14.8.50　
//网管工作站固定使用的外部地址为131.1.23.11　
conduit 131.1.23.11　514 udp　
131.1.23.1 255.255.255.255　
//允许从RTRA发送到到　
网管工作站的系统日志包通过PIX防火墙　
mailhost 131.1.23.10 10.10.254.3　
//允许从外部发起的对　
邮件服务器的连接（131.1.23.10）　
telnet 10.14.8.50　
//允许网络管理员通过　
远程登录管理IPX防火墙　
syslog facility 20.7　
syslog host 10.14.8.50　
//在位于网管工作站上的　
日志服务器上记录所有事件日志

二.路由器RTRA设置