Konfigurálása Cisco PIX tűzfal 520 sugározni közötti kapcsolatok hálózatok
Konfigurálása Cisco PIX tűzfal 520 broadcast összeköttetések hálózatok
Általában azok, akik először indul beállítás tűzfal elvei broadcast kapcsolatok egyik legnehezebb dolog, hogy megértsük, ezért nagy hangsúlyt fektetünk a leírás ezen elvek példája egy sablont.
Personal Profile o Cisco PIX Firewall 520
Az ilyen típusú tűzfal korszerűbb PC - alváz, alaplap, tápegység, 3,5 „floppy meghajtó, és ugyanazt jelenti, mint amit egy hagyományos PC. Merevlemezt a készülék, szerencsére, nem, hanem a nem-felejtő memória használt flash memória, amely helyezett egy külön PCI-bővítőkártya, valamint más áramkörök végre különleges funkciók, mint például a konzol port és kudarcok átfedő interfész (failover), amely lehetővé teszi, hogy a fő tűzfal ismétlődő esetén tartalékként a hiba.
Az érdeklődés A fő műszaki előírásokat a használt eszköz a fenti esetben - 768 MB RAM, a CPU Pentium III 848 MHz, Flash-16 MB, 4 10/100.
Az operációs rendszer szerint képviselői Cisco, kifejezetten ezekre a feladatokra, amely lehetővé teszi, hogy a készülék kezeli sokkal nagyobb adatfolyam, mint a hagyományos operációs rendszerek. Az operációs rendszer verziója esetében - 6,3 (4).
nagyon hasonlít a felület Cisco útválasztók parancssori felület, de van egy hátránya azonban nem annyira fontos, hogy leírja őket külön-külön.
Egyszerű hagyományos áramkör, amelyet gyakran használnak az olyan kisebb hálózatokban (lásd. Ábra. 1).
1. ábra: Hálózati
Tűzfal egy felületen csatlakozik a ISP.
Egy második interfész csatlakozik a szerverhez, majd egy LAN.
A harmadik interfeyc külön benyújtott egy webszervert. Ez úgy történik, biztonsági okokból, mert Webszerver potenciálisan sokkal sebezhetőbb, mint a többiek, a szolgáltatás, és ezért meg kell elválasztani a többi hálózat, hogy abban az esetben a törés kockázatának csökkentése érdekében más számítógépek a hálózaton. Amellett, hogy a szerver hack, megzavarhatja a hálózat működését is, és számos lekérdezések neki, ebben az esetben a webszerver lehetővé teszi az osztály, hogy keresse meg egy hasonló probléma.
Gyakran előfordul, hogy kijelölje egy adott hálózati szegmens elhelyezésére szolgál közszolgáltatások, a kifejezés vonatkozik DMZ (DMZ - demilitarizált zóna). Ez a név is használják a dokumentációban a tűzfalat. A mi esetünkben, hogy használja a nevét «www», ami egyszerűbb és intuitívabb a leírt rendszer.
A domain név általunk használt hálózat meghatározása «my.domain.tld».
Miután a hálózati rendszer tárgyalt, folytassa közvetlenül konfigurálása tűzfal. Részletesen ismertetjük csak pillanatokra tartozik közvetlenül a rendszerbe.
Kezdeti beállítás kell elvégezni keresztül a konzol port. Ezután a tűzfal távolról vezérelhető ssh protokollt.
Itt egy egyszerű példa:
Táblázat adások (xlate)
Broadcast vegyületek tűzfal teremt megfelelő táblázatot, ami a terminológiát Cisco PIX 520 nevű xlate vagy fordítás helyekkel. Láthatjuk már létező bejegyzés a táblázatban «mutatják xlate» parancsot, és világos, az egész asztal - «tiszta xlate» csapat. By the way, az utolsó műveletet ajánlatos, hogy a változások után a fordítási szabályokat, de vegye figyelembe, hogy ez vezet a szakítás egy már meglévő kapcsolatot, ha azok alkalmazásával létrehozott bármely adás.
világos xlate globális 1.2.3.246
világos xlate helyi 192.168.255.6 lport 80
Ha nincs bejegyzés a fordítási táblázatot csere után eltávolítják az időtúllépés, amely megadja «timeout xlate» parancsot, és alapértelmezésben három órán keresztül. Bejegyzés UDP protokollt eltávolítjuk után 30 másodperccel a kapcsolat bezárása, függetlenül az előre meghatározott időtúllépési értéket.
Fellebbezés a szerver, hogy a külvilág
«Global» csapat és a «nat» a külvilág számára a konfigurációs szerver kérések használnak.
globális (külső) 1 interfész
A következő csapat kérünk, hogy a kezelés host 192.168.255.2, csatlakozik a belső interface kerül adásba keresztül a globális medence 1-es szám:
nat (belső) 1 192.168.255.2 255.255.255.255
Betartása globális és lokális medencék száma határozza meg (NAT ID), amely jelzi az ezen csapatok.
Mindent lehet ellenőrizni a rendelkezésre álló külső világ a szerverről.
Ha megváltoztatja a fordítás szabályok ne felejtsük el, hogy végre egy parancsot «tiszta xlate».
A kezelés a külvilág a szerver
A szerver számos szolgáltatást, hogy kell kívülről hozzáférhető, ebben az esetben, DNS, SSH, SMTP, FTP.
használt «statikus» parancsot a sugárzott a külső felület a belső felület.
Kivéve a «statikus» csapat, a szükséges engedélyek szabályokat kell sorolni a megfelelő hozzáférési lista (access-list).
Syntax «statikus» parancsokat ebben az esetben igen egyszerű:
A következő csapat már a statikus adás a globális és helyi interfész külső belső interface tcp protokollt a 25. globális port interfész 25-ös porton host 192.168.255.2:
statikus (belső, külső) TCP interfész 25 192.168.255.2 25
Ami az SMTP-protokollt meg kell említeni, hogy a tűzfal biztonsági okokból változik üdvözlő sort a SMTP-kiszolgáló helyett szinte az összes csillagot. Például, a sorban: