cisco PIX防火墙做端口映射
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-03-23
| ;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置. pdm history enable ------ PIX设备管理器可以图形化的监视 PIX arp timeout 14400 ------ arp表的超时时间 global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0 conduit permit icmp any any conduit permit tcp host 61.144.51.43 eq www any conduit permit udp host 61.144.51.43 eq domain any ------ 用61.144.51.43这个ip地址提供domain-name服务,  只允许外部用户访问domain的udp端口 route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61 timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute ------ AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证 aaa-server TACACS protocol tacacs aaa-server RADIUS protocol radius ------ AAA服务器的两种协议.AAA是指认证,授权,审计.Pix防火墙可以通过AAA服务器增加内部网络的安全 no snmp-server location no snmp-server contact snmp-server community public ------  没有设置snmp工作站,也就没有snmp工作站的位置和联系人 no snmp-server enable traps ------ 发送snmp陷阱 floodguard enable ------ 防止有人伪造大量认证请求,将pix的AAA资源用完 no sysopt route dnat telnet timeout 5 ssh timeout 5 ------ 使用ssh访问pix的超时时间 terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7 PIX525# PIX525#write memory ------ 将配置保存 上 面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎 么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可.另外有几个维护命令也很有用, show interface查看端口状态,show static查看静态地址映射,show ip查看接口ip地址, ping outside | inside ip_address确定连通性.
一、为IPSec做准备 为IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过; 二、配置IKE 配置IKE涉及到启用IKE(和isakmp是同义 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
关于cisco PIX防火墙做端口映射的所有评论
