考点1:访问控制与防火墙配置。
一、pix防火墙配置。
1、防火墙的内部区域是指内部网络或者内部网络的一部分,是可信任的区域,应受到防火墙的保护。外部区域是指internet或者内部的网络,是不被信任的区域。
2、pix防火墙提供以下4种管理访问模式:
非特权模式:pix防火墙开机自检后,就是牌这种模式,系统显示为pixfirewall>
特权模式:输入enable进入特权模式,可以改变当前配置。系统显示为pixfirewall#
配置模式:输入configure terminal进入配置模式,绝大部分的系统配置都在这里进行。系统显示为。
pixfirewall(config)#
监视模式:pix防火墙在开机或重启过程中,按住escape键或发送一个"break"字符,可以进入监视模式。在这里可以更新操作系统映像和口令恢复。系统显示为monitor>
3、pix防火墙基本命令:
6个基本命令:nameif、interface、ip address、nat、global和route,且都是在配置模式下进行配置。
配置防火墙接口的名字,并指定安全级别(nameif)
pix525(config)#nameif ethernet0 outside security 0
pix525(config)#nameif ethernet1 inside security 100
pix525(config)#nameif dmz security 50
注:在默认配置中,ethernet0被命名为外部接口(outside),安全级别是0;ethernet1被命名为内部接口(inside),安全级别是100;安全级别取值范围为1~99,数字越大安全级别超高。若添加新的接口,语句如下:
pix525(config)#nameif pix/intf3 security 40(安全级别任取)
配置以太口参数(interface)
pix525(config)#interface ethernet0 auto(auto表明系统自适应网卡类型)
pix525(config)#interface ethernet1 100full(100full表明100mbps以太网全双工通信)
pix525(config)#interface ethernet1 100full shutdown(表示关闭这个接口,若启用接口则去掉shutdown)
配置内外网卡的ip地址(ip address)
pix525(config)#ip address outside 61.144.51.42 255.255.255.248
pix525(config)#ip address inside 192.168.0.1 255.255.255.0
指定要进行转换的内部地址(nat)
网络地址翻译(nat)作用是内网的私有ip地址转换为外网的公有ip地址。nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。
nat命令配置语法:nat(if_name) nat_id local_ip [netmsk]
其中if_name是内网接口名字,如inside; nat_id是全局地址池标识,使它与相应的global命令相匹配。
local_ip是内网被分配的ip地址,如0.0.0.0表示内网所有主机可以对外访问; netmask是内网ip地址的子网掩码。
例:pix525(config)#nat(inside) 1 0 0(表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0
pix525(config)#nat(inside) 1 172.16.5.
0 255.255.0.
0(表示只有172.16.5.
0这个网段内的主机可以访问外网)
指定外部地址范围(global)
global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。
global命令的配置语法:global(if_name) nat_id ip_address-ip_address [netmask global_mask]
其中:if_name是外网接口名字,如outside; nat_id是全局地址池标识; ip_address-ip_address表示翻译后的单个ip地址或某段ip地址范围; netmask global_netmask是全局ip地址的子网掩码。
例:pix525(config)#global(outside) 1 61.144.
51.42(表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.
51.42这个单一ip地址)
pix525(config)#no global(outside) 1 61.144.51.42(表示凹陷这个全局表项)
设置指向内网和外网的静态路由(route)
route命令用来定义一个静态路由。
route命令配置语法:route(if_name) 0 0 gateway_ip [metric]
其中:if_name是接口名字,如inside/outside;gateway_ip是网关路由器的ip地址;metric是到gateway_ip的跳数,其默认值为1
例1:pix525(config)#route outside 0 0 61.144.
51.168 1(表示一条指向边界路由器ip地址为61.144.
51.168的。
默认路由)例2:pix525(config)#route inside 10.1.
1.0 255.255.
255.0 172.16.
0.1 1
pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1
如果内部网络只有一个网段,按照例1那样设置一条默认路由即可;如果内部存在多个网络,就需要配置一条以上的静态路由。例2表示创建了一条到网络10.1.
1.0的静态路由,静态路由的下一跳路由器ip地址是172.16.
0.14、pix防火墙高级配置。
配置静态ip地址翻译(static)
如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。
stactic命令配置语法:static(internal_if_name,external_if_name)outside_ip_address inside_ip_address
其中:internal_if_name表示内部网络接口,安全级别较高,如inside;
external_if_name表示外部网络接口,安全级别较低,如outside
outside_ip_address表示正在访问的较低安全级别接口上的ip地址。
inside_ip_address表示内部网络的本地ip地址。
例:pix525(config)#static(inside,outside) 61.144.
51.62 192.168.
0.8(表示ip地址为192.168.
0.8的主机,对。
于通过pix防火墙建立的每个会话,都被翻译成61.144.51.
62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.
8和外部ip地址61.144.51.
62之间的静态映射。)
pix525(config)#static(inside,outside) 192.168.0.
2 10.0.1.
3(表示创建了内部ip址192.168.0.
2和外部ip址。
10.0.1.3之间静态映射)
pix525(config)#static(dmz,outside) 211.48.16.
2 172.16.10.
8 (表示创建了dmz的ip地址211.48.16.
2和外部ip址172.16.10.
8之间的静态映射)
stactic命令可以让我们为一个特定的内部ip地址设置一具永久的全局ip地址。这样就能够为具有较高安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。
管道命令(conduit)
conduit命令用来请允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口。如允许从外部到dmz或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。
conduit命令配置语法:conduit permit/deny global_ip port<-port> protocol foreign_ip
其中:global_ip指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替;如果global_ip是一台主机,就用host命令参数。
port指的是服务所作用的端口,如www使用80,smtp使用25等等,可心通过服务名称或端口数字来指定端口。
protocol指的是连接的协议,如tcp、udp和icmp等。
foreign_ip表示可访问global_ip的外部ip,对于任意主机,可以用any表示,如果foreign_ip是一台主机,就用host命令参数。
例1:pix525(config)#conduit permit tcp host 192.168.
0.8 eq www any(表示允许任何外部主机对全局地址为192.168.
0.8的这台主机进行http访问)
pix525(config)#conduit deny tcp any eq ftp host 61.144.51.
89(表示不允许外设主机61.144.51.
89对任何全局地址进行ftp访问)
pix525(config)#conduit permit icmp any any(表示允许icmp消息向内部和外部通过)
网络管理与网络安全
第八章网络管理与网络安全。一 单项选择题。1.在建立用户帐户时,可使用 字符。a b c d 2.关于用户密码叙述不正确的是 a 可以允许用户更改密码 b 可以限制用户更改密码 c 密码可永不过期d 用户必须设置密码3.不能对用户帐户进行 操作。a 复制 移动 删除b 恢复删除c 重新设置密码d 重...
网络安全与网络安全文化
network security and network security culture hu guang rui yunnan tobacco company,qujing 655400,china this article discusses the culture of human beh ...
网络安全基础与安全配置
资产 是组织内具备有形或无形价值的任何东西,它可以是资源,也可以是竞争优势。组织必须保护它们的资产以求生存和发展。威胁 是指可能对资产带来危险的任何活动。漏洞 是可被威胁利用的安全性弱点。攻击 是指故意绕过计算机安全控制的尝试。攻击者 指的是那些故意绕过安全控制以获得他人计算机或网络访问权限的人。攻...
网络安全pmm
初识网络安全。人们使用信息技术不仅加快了处理事务的速度,提高了工作效率,并与此同时给社会创造了更多的财富。可是,还是有一部分人在我们为社会创造福利的同时,给我们的生活造成了危害。他们非法侵入他人的计算机系统窃取机密信息 篡改和破坏数据。据统计,全球月每20秒就有一次计算机入侵事件发生,interne...
网络安全标语
络安全是指 络系统的硬件 软件及其系统中的。数据受到保护,不因偶然的或者恶意的原因而遭受到破坏 更改 泄露,系统连续可靠正常地运行,络服务不中断。下面由作者精心整理的 络安全标语,希望可以帮到你哦!络安全始于心,安全 络践于行。2 没有 络安全就没有 没有信息化就没有现代化。3 白送的 礼包 不收,...
网络安全技术
网络安全技术答案。单选题。1.下列。a协议是有连接。a tcpb icmpc dnsd udp 2.下列加密算法中 b 是对称加密算法。a.rsab.3desc.rabind.椭圆曲线。3.防火墙是建立在内外网络边界上的 c a路由设备。b寻址设备。c过滤设备。d扩展设备。4.完整性服务提供信息的 ...
网络安全标语
1 网络社会法治社会,网络空间网警保卫。2 网络服务各行各业,安全保障改革发展。3 多一份网络防护技能,多一份信息安全保证。4 网络是把双刃剑,安全使用是关键。5 安全上网,健康成长。文明上网,放飞梦想。6 网络穿行利害间,带上安全益无边。7 网络安全重于泰山,人人有责共建和谐。8 网络身份可信,网...
网络病毒危害网络安全
因为知道电脑病毒的危害性,所以笔记本刚买来就及时安装上了360杀毒软件,一开始还感觉不错,毕竟360是一款免费的软件,并且杀毒效果还不错。但是记得有一次同学用我的电脑拷东西,他的u盘没有及时查杀病毒,后果是我的电脑里出现了很多陌生的文件,并且没法删除,360查杀的结果是 安全。唉,让我说什么好呢?并...