|
基于Cisco PIX Firewall的防火墙系统(2) global (outside) 1 204.31.17.131 – 204.31.17.165
global (outside) 1 204.31.17.130
上述配置阻挡全部入境访问
3.2 对资源主机的访问控制
E-mail,FTP,www等服务器是重要的资源,必须利用管道(conduit)使得外部对它们可访问,但必须限制对它们的访问,即禁止除E-mail,www,FTP以外的一切服务,以获得最大的安全性,配置方法如下:
static (inside,outside) 204.31.17.129 192.168.3.1
conduit permit tcp host 204.31.17.129 eq www any
static (inside,outside) 204.31.17.128 192.168.3.2
conduit permit tcp host 204.31.17.128 eq smtp any
static (inside,outside) 204.31.17.166 192.168.3.3
conduit permit tcp host 204.31.17.128 eq ftp any
3.3 对Internet上的敏感主机和资源的控制
对于Internet上的一些敏感资源,如一些不健康站点,我们可用(nslookup 域名)查到其IP地址,并对出境的访问加以控制。在PIX Firewall上的配置如下:
outbound 10 deny 204.31.17.11 255.255.255.255 www tcp
apply (inside) 10 outgoing_dest
对内部主机,我们可以控制其能使用的服务,例如,对图一主机192.168.3.4我们可以禁止它使用WWW服务访问外部网络。其配置如下:
outbound 20 deny 192.168.3.4 255.255.255.255 www tcp
apply(inside) 20 outgoing_src
这样我们就可以对内部主机到外部的访问进行完全的控制。
4.防范内部网络的非法IP和MAC地址
由于IP地址可被设置更改,非法用户常篡改,盗用他人的IP地址和MAC地址,来达到隐藏其非法访问的目的。我们可以使用PIX Firewall的ARP命令将内部主机的IP和它的MAC地址绑定,来有效地防止篡改和盗用IP地址现象。例如,我们要将主机的IP地址192.168.3.4与它的MAC地址00e0.1e40.2a7c绑定,可进行如下配置:
arp inside 192.168.3.4 00e0.1e40.2a7c alias
wr m
结合以上四种配置,Cisco PIX Firewall可以实现对IP包过滤,屏蔽内部网络和对网络资源加以的控制,并有效地防范IP地址的盗用和篡改。从而较好地实现了一个完整的防火墙系统。由此可见,由PIX来构筑一防火墙系统极其方便的。
参考文献
(1)、 Cisco system资料 configuration guide for the PIX Firewall
(2)、 Cisco system资料 IntrodUCtion to Cisco Router configuration
| 
