1.配置经由PIX的入站访问
有一个方法可以让从低安全级界面的连接访问高安全级的界面
1.1 静态网络地址转换,为了使外部主机向内部主机发送数据,需要为内部主机配置一个静态转换列表,这也可以通过使用一个nat 0 access-
list地址转换规则来完成.
static (inside,outside) 192.168.100.10 10.1.100.10.netmask 255.255.255.0
10.1.100.10是将被映射的地址
192.168.100.10是real_address转换而成的地址.
可以通过static命令来转换一个ip 子网
static (inside,outside) 192.168.1.0 10.1.100.0 netmask 255.255.255.0
关于静态端口地址转换,使用static命令的interface选项,可以运用静态PAT来允许外部主机访问归于一台内部主机的TCP/UDP服务.
1.2 acl或者conduit
2.nat 0命令
如果在内部网络有一个公用地址,要想内部主机不经过转换去外部网络,可以让NAT停止作用。nat 0命令禁止地址转换,所以对外部网络来说
内部ip 地址是可见的,重要的是要注意到nat 0是与acl联合起来使用的,提供对发生于内部主机/网络不经过转换到外部网络的流量的访问
access-list acl_nonat permit 192.168.43.0 255.255.255.0 192.168.6.0
nat (inside) 0 acl_nonat
使用static命令或nat 0命令时要求使用访问列表来对已识别的主机/网络建立一个连接.
3.使用ACLS
access-list id action protocol source_address s_mask s_port destination_address d_mask d_port
通过access-group应用到相应的pix界面上.
access-group id ininterface interface_name
注意在cisco ios软件访问列表时,在定义子网掩码时,pix使用规则标准的子网掩码,而像router等等设备使用通配符
1,3命令示范
pix(config)#static (inside,outside) 192.168.1.10 10.1.100.10 netmask 255.255.255.255
使用static命令将10.1.100.10转换成192.168.1.10
pix(config)#access-list acl_out permit tcp any host 192.168.1.10 eq www
acl命令允许http只是访问主机10.1.100.10,已经被转换成192.168.1.10
pix(config)#access-group acl_out in interface outside
将acl运用到外部界面
**对于入站访问,必须先拒绝然后再许可
**对于进站访问,必须先许可然后再拒绝
限制内部用户对位于端口80的一个外部网络服务器的访问
pix(config)#access-list acl_in dengy tcp any host 172.16.68.20 eq www
pix(config)#access-list acl_in permit ip any any
pix(config)#access-group acl_in in interface inside
4.对象分组概述
使用这个功能,主要是可以对诸如主机(服务器和客户方)服务,网络等对象进行分组并对各组应用不同的安全策略和规则。
[no] object-group object-type id
在这里object-group用来表示索要配置的对象分组类型,有如下4个选项:
network
protocol
service
icmp-type
对所分组用一个描述性的名字来替代grp-id.
4.1network对象类型
pix(config)#object-group network web_servers
pix(config-network)#description Public web servers
pix(config-network)#network-object host 192.168.1.12
pix(config-network)#network-object host 192.168.1.14
pix(config-network)#exit
pix(config)#access-list 102 permit tcp any object-group web_servers eq www
pix(config)#access-group 102 in interface outside
pix(config)#show object-group
4.2Protocol对象类型
要在现存的协议对象分组中加入一项单独的协议,使用protocol-object protocol命令
pix(config)#object-group protocol grp_citrix
pix(config-network)#protocol-object tcp
pix(config-network)#protocol-object citrix
pix(config-network)#exit
4.3service对象类型
service对象类型定义可以分组的端口号,其在管理应用程序时尤为有用。
[no] object-group service obj_grp_id tcp/UDP/tcp-udp
port-object eq service命令就会将一个单独的TCP/UDP端口号加入到服务对象分组中去.port-object rang begin_service end_service则会将一系列
TCP/UDP端口号加入到服务对象分组中去.
pix(config)#object-group service mis_service tcp
pix(config-network)#port-object eq ftp
pix(config-network)#port-object rang 5200 6000
>pix(config-network)#exit
4.4关于icmp-type对象类型和嵌套对象分组,省略,基本上用处不大.
5Fixup命令的使用
由fixup命令所制定的端口是pix监听到的对象,fixup命令可以用来改变缺省的端口分配.
[no] fixup protocol [protocol] [port]
no pix protocol命令来重设对缺省配置的应用程序检查条目。
clear fixup命令从添加的配置中移除fixup 命令,但其并不移除缺省的fixup protocol命令
所以这里需要记住,如果你只用protocol protocol http 8080,并没有改变默认的fixup protocol http 80,通过show fixup你可以看到pix在端口80,8080,8888监听到http流量
经验,我做过一个cisco vpn client访问公司的lotus notes信箱,很有意思的是我不能直接打开lotus notes,而只能在island状态下作replication,后来我关闭了no fixup protocol smtp 25,就可以了。
no fixup protocol ftp命令来使ftp fixups失去作用,出站用户只能以被动模式来发起连接,而所有的入站ftp都被静止.
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073