开发学院网络安全防火墙 CISCO PIX防火墙及网络安全配置指南 阅读

CISCO PIX防火墙及网络安全配置指南

 2008-08-21 12:12:29 来源:WEB开发网   
核心提示: RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,CISCO PIX防火墙及网络安全配置指南(3),保护FTP/HTTP服务器,同时作为一个警报系统,预示有人在试图攻击路由器,或者已经攻入路由器,如果有人攻入此路由器,管理可以立即被通知

RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通知。 

no service tcp small-servers 
//阻止一些对路由器本身的攻击 
logging trap debugging 
//强制路由器向系统日志服务器 
发送在此路由器发生的每一个事件, 
包括被存取列表拒绝的包和路由器配置的改变; 
这个动作可以作为对系统管理员的早期预警, 
预示有人在试图攻击路由器,或者已经攻入路由器, 
正在试图攻击防火墙 
logging 131.1.23.11 
//此地址是网管工作站的外部地址, 
路由器将记录所有事件到此 
主机上enable secret xxxxxxxxxxx
interface Ethernet 0 
ip address 131.1.23.1 255.255.255.0
interface Serial 0 
ip unnumbered ethernet 0 
ip access-group 110 in 
//保护PIX防火墙和HTTP/FTP 
服务器以及防卫欺骗攻击(见存取列表) 
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log 
// 禁止任何显示为来源于路由器RTRA 
和PIX防火墙之间的信息包,这可以防止欺骗攻击 
access-list 110 deny ip any host 131.1.23.2 log 
//防止对PIX防火墙外部接口的直接 
攻击并记录到系统日志服务器任何企图连接 
PIX防火墙外部接口的事件r 
access-list 110 permit tcp any 
131.1.23.0 0.0.0.255 established 
//允许已经建立的TCP会话的信息包通过 
access-list 110 permit tcp any host 131.1.23.3 eq ftp 
//允许和FTP/HTTP服务器的FTP连接 
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data 
//允许和FTP/HTTP服务器的FTP数据连接 
access-list 110 permit tcp any host 131.1.23.2 eq www 
//允许和FTP/HTTP服务器的HTTP连接 
access-list 110 deny ip any host 131.1.23.2 log 
//禁止和FTP/HTTP服务器的别的连接 
并记录到系统日志服务器任何 
企图连接FTP/HTTP的事件 
access-list 110 permit ip any 131.1.23.0 0.0.0.255 
//允许其他预定在PIX防火墙 
和路由器RTRA之间的流量
line vty 0 4 
login 
password xxxxxxxxxx 
access-class 10 in 
//限制可以远程登录到此路由器的IP地址 
access-list 10 permit ip 131.1.23.11 
//只允许网管工作站远程登录到此路由器, 
当你想从INTERNET管理此路由器时, 
应对此存取控制列表进行修改

三. 路由器RTRB设置

上一页  1 2 3 4  下一页

Tags:CISCO PIX 防火墙

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接