Возможно вы искали: 'Добровольцы: Скрытая в...'

November 29 2024 00:00:33

Статистика

Статей: 87772
Просмотров: 93114195

Игры

Injustice: Gods Among Us ...
Dark Souls 2 Dark Souls II - вторая часть самой хардкорной ролевой игры 2011-2012 года, с новым героем, сюжето...
Battlefield 4 Battlefield 4 - продолжение венценосного мультиплеер-ориентированного шутера от первого ли...

Кино

Steins;Gate Любители японской анимации уже давно поняли ,что аниме сериалы могут дать порой гораздо больше пи...
Ку! Кин-дза-дза Начинающий диджей Толик и всемирно известный виолончелист Владимир Чижов встречают на шумной моск...

Обзоры на игры

• Обзор Ibara [PCB/PS2]	17932
• Обзор The Walking ...	18322
• Обзор DMC: Devil M...	19461
• Обзор на игру Valk...	15463
• Обзор на игру Stars!	17311
• Обзор на Far Cry 3	17506
• Обзор на Resident ...	15547
• Обзор на Chivalry:...	17039
• Обзор на игру Kerb...	17535
• Обзор игры 007: Fr...	16149

Превью о играх

• Превью к игре Comp...	17568
• Превью о игре Mage...	14081
• Превью Incredible ...	14323
• Превью Firefall	13083
• Превью Dead Space 3	15923
• Превью о игре SimC...	14329
• Превью к игре Fuse	15033
• Превью Red Orche...	15158
• Превью Gothic 3	15884
• Превью Black & W...	17006

Главная » Статьи » Разное » Cisco PIX Firewall как защита корпоративной сети (cisco pix firewall)

Cisco PIX Firewall как защита корпоративной сети (cisco pix firewall)

Ключевые слова: cisco, pix, firewall, (найти похожие документы)

From: Alexander HunSolo <a.hunsolo@gmail.com.>
Newsgroups: http://www.ciscolab.ru/
Date: Mon, 5 Dec 2006 14:31:37 +0000 (UTC)
Subject: Cisco PIX Firewall как защита корпоративной сети

Оригинал: http://www.ciscolab.ru/2006/12/06/pix_corporatiive_conf.html

Данная статья демонстрирует как правильно скофигурировать Cisco PIX
Firewall, чтобы отделить и защитить корпоративную сеть предприятия или
организации от Интернет. Рассмотрим внутреннюю сеть организации,
которая содержит Web сервер, почтовый сервер и FTP сервер, к которым
имеют доступ пользователи Интернет; весь остальной доступ к хостам
внутренней сети закрыт от внешних пользователей.

Стуруктура сети показана на сетевой диаграмме:

Адресацию серверов внутренней сети выполним следующим образом:
* Внутренний адрес Web сервера: 192.168.1.4; его Интернет адрес: 204.69.198.3
* Внутренний адрес Mail сервера: 192.168.1.15; его Интернет адрес: 204.69.198.4
* Внутренний адрес FTP сервера: 192.168.1.10; его Интернет адрес: 204.69.198.5

Всем пользователям внутренней сети разрешен неограниченный доступ в
Интернет. Также пользователи могут пинговать узлы в Интернет, одако
пользователи интернет не могут выполнять ping на узлы организации. ISP
выделил Организации диапазон внешних адресов класса C:
204.69.198.0/24. Адреса 204.69.198.1 и 204.69.198.2 зарезервированы
для внешнего роутера и внешнего интерфейса PIX (см. схему). Адреса
диапазона 204.69.198.3 - 204.69.198.5 отведены для серверов, а адреса
204.69.198.4 - 204.69.198.14 зарезервирован ыдля будущего
использования.

PIX необходимо настроеть так, чтобы посылать syslog сообщения на
SysLog-сервер во внутренней сети, с адресом 192.168.1.220 (Он не
показан на диаграмме). Версия ПО используемая на PIX: 6.3.5

Конфигурация PIX

nameif gb-ethernet0 outside security0
nameif gb-ethernet1 inside security100
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
names

!--- Создаем access list чтобы разрешить вырускать ping и принимать ответы

access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any time-exceeded
access-list 100 permit icmp any any unreachable

!--- Разрешаем всем пользователям в Интернет подсоединяться к Web, Mail, и FTP серверам.

access-list 100 permit tcp any host 204.69.198.3 eq www
access-list 100 permit tcp any host 204.69.198.4 eq smtp
access-list 100 permit tcp any host 204.69.198.5 eq ftp

!--- Включам логгирование.

logging on
no logging timestamp
no logging standby
no logging console
no logging monitor

!--- Сохраняем сообщениям об ошибках и более критичные в локальный буфер

logging buffered errors

!---Посылаем уведомления на syslog сервер

logging trap notifications
no logging history
logging facility 20
logging queue 512

!--- Указываем syslog сервер на внутренней сети.

logging host inside 192.168.1.220

!--- Все интерфейсы выключены по умолчанию. Включаем их.

interface gb-ethernet0 1000auto
interface gb-ethernet1 1000auto

!--- Назначаем адреса на интерфейсы

ip address outside 204.69.198.2 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0

!---Определим пул трансляции адресов (NAT), которые внутренние хосты испоьзуют
!--- когда выходят в Интернет

global (outside) 1 204.69.198.15-204.69.198.253

!--- Определим один адрес который будет использоватся когда
!--- NAT пула будет уже не хватать (PAT)

global (outside) 1 204.69.198.254

!--- Разрешаем всем внутренним хостам использовать NAT или PAT определнные ранее

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

!--- Определяем статическую трансляцию для внутреннего web-сервера,
!--- чтобы он был доступен из Интернет

static (inside,outside) 204.69.198.3 192.168.1.4 netmask 255.255.255.255 0 0

!--- Определяем статическую трансляцию для внутреннего почтового сервера,
!--- чтобы он был доступен из Интернет

static (inside,outside) 204.69.198.4 192.168.1.15 netmask 255.255.255.255 0 0

!--- Аналогично выполняем действия и для FTP сервера

static (inside,outside) 204.69.198.5 192.168.1.10 netmask 255.255.255.255 0 0

!--- Применяем access list 100 к outside интерфейсу.

access-group 100 in interface outside

!--- Назначаем default route на роутер ISP.

route outside 0.0.0.0 0.0.0.0 204.69.198.1 1

!--- Разрешаем хосту 192.168.1.254 поключаться к PIX по телнет

telnet 192.168.1.254 255.255.255.255 inside
telnet timeout 5

Нижеследующие замечания необходимо учитывать при конфигурации PIX:

* NAT пул и PAT должны содержать IP адреса, которые больше нигде не
используются в сети, включая адреса для статических трансляций и
адреса используемые на сетевых интерфейсах устройств.

* Вы должны явно разрешать доступ к вашим серверам. По умолчанию
весь входной трафик на outside интерфейс запрещен.

* После любого листа доступа следует неявная команда deny ip any any

* Если DNS сервер раположен за outside интерфейсом, а внутренние
пользователи хотят получать доступ к внутренним серверам по их DNS
имени, вам необходимо использовать команду alias, чтобы PIX
пролечил ответы от DNS сервера.

Ссылки

HTML:
[BB Url]:

Похожие статьи
Название	Добавил	Добавлено
• Cisco PIX Firewall как защита корпо...	Vova	08.05.2012

Ни одного комментария? Будешь первым :).

Пожалуйста, авторизуйтесь для добавления комментария.

Статьи

Рецензия на Pressure Чтобы обратить на себя внимание, начинающие маленькие разработчики, как правило, уходят в жанры, ...
Рецензия на Lost Chron... Игры, сделанные без любви и старания, похожи на воздушный шар – оболочка есть, а внутри пусто. Lo...
Рецензия на The Bridge «Верх» и «низ» в The Bridge — понятия относительные. Прогуливаясь под аркой, можно запросто перей...
Рецензия на SimCity Когда месяц назад состоялся релиз SimCity, по Сети прокатилось цунами народного гнева – глупые ош...
Рецензия на Strategy &... Название Strategy & Tactics: World War II вряд ли кому-то знакомо. Зато одного взгляда на ее скри...
Рецензия на игру Scrib... По сложившейся традиции в информационной карточке игры мы приводим в пример несколько похожих игр...
Рецензия на игру Walki... Зомби и продукция-по-лицензии — которые и сами по себе не лучшие представители игровой биосферы —...