cisco PIX防火墙的配置及注解完全手册
PIX Version 6.3(1) interface ethernet0 auto 设定端口0 速率为自动 interface ethernet1 100full 设定端口1 速率为100兆全双工 interface ethernet2 auto 设定端口2 速率为自动 nameif ethernet0 outside security0 设 定端口0 名称为 outside 安全级别为0 nameif ethernet1 inside security100 设定端口1 名称为 inside 安全级别为100 nameif ethernet2 dmz security50 设定端口2 名称为 dmz 安全级别为50 enable password Dv0yXUGPM3Xt7xVs encrypted 特权密码 passwd 2KFQnbNIdI.2KYOU encrypted 登陆密码 hostname hhyy 设定防火墙名称 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 no fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 允许用户查看、改变、启用或禁止一个服务或协议通过PIX防火墙,防火墙默认启用了一些常见的端口,但对于ORACLE等专有端口,需要专门启用。 names access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.170.0 255.255.255.0 access-list 101 permit ip 192.168.12.0 255.255.255.0 192.168.180.0 255.255.255.0 access-list 101 permit ip 192.168.23.0 255.255.255.0 192.168.180.0 255.255.255.0 access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0 建立访问列表,允许特定网段的地址访问某些网段 access-list 120 deny icmp 192.168.2.0 255.255.255.0 any access-list 120 deny icmp 192.168.3.0 255.255.255.0 any access-list 120 deny icmp 192.168.4.0 255.255.255.0 any access-list 120 deny icmp 192.168.5.0 255.255.255.0 any access-list 120 deny icmp 192.168.6.0 255.255.255.0 any access-list 120 deny icmp 192.168.7.0 255.255.255.0 any access-list 120 deny icmp 192.168.8.0 255.255.255.0 any access-list 120 deny icmp 192.168.9.0 255.255.255.0 any access-list 120 deny icmp 192.168.10.0 255.255.255.0 any access-list 120 deny icmp 192.168.11.0 255.255.255.0 any access-list 120 deny icmp 192.168.12.0 255.255.255.0 any access-list 120 deny icmp 192.168.13.0 255.255.255.0 any access-list 120 deny icmp 192.168.14.0 255.255.255.0 any access-list 120 deny icmp 192.168.15.0 255.255.255.0 any access-list 120 deny icmp 192.168.16.0 255.255.255.0 any access-list 120 deny icmp 192.168.17.0 255.255.255.0 any access-list 120 deny icmp 192.168.18.0 255.255.255.0 any access-list 120 deny icmp 192.168.19.0 255.255.255.0 any access-list 120 deny icmp 192.168.20.0 255.255.255.0 any access-list 120 deny icmp 192.168.21.0 255.255.255.0 any access-list 120 deny icmp 192.168.22.0 255.255.255.0 any access-list 120 deny udp any any eq netbios-ns access-list 120 deny udp any any eq netbios-dgm access-list 120 deny udp any any eq 4444 access-list 120 deny udp any any eq 1205 access-list 120 deny udp any any eq 1209 access-list 120 deny tcp any any eq 445 access-list 120 deny tcp any any range 135 netbios-ssn access-list 120 permit ip any any 建立访问列表120防止各个不同网段之间的ICMP发包及拒绝135、137等端口之间的通信(主要防止冲击波病毒) access-list 110 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0 pager lines 24 logging on logging monitor debugging logging buffered debugging logging trap notifications mtu outside 1500 mtu inside 1500 mtu dmz 1500 ip address outside 10.1.1.4 255.255.255.224 设定外端口地址 ip address inside 192.168.1.254 255.255.255.0 设定内端口地址 ip address dmz 192.168.19.1 255.255.255.0 设定DMZ端口地址 ip audit info action alarm ip audit attack action alarm ip local pool hhyy 192.168.170.1-192.168.170.254 建立名称为hhyy的地址池,起始地址段为:192.168.170.1-192.168.170.254 ip local pool yy 192.168.180.1-192.168.180.254 建立名称为yy 的地址池,起始地址段为:192.168.180.1-192.168.180.254 no failover failover timeout 0:00:00 failover poll 15 no failover ip address outside no failover ip address inside no failover ip address dmz no pdm history enable arp timeout 14400 不支持故障切换 global (outside) 1 10.1.1.13-10.1.1.28 global (outside) 1 10.1.1.7-10.1.1.9 global (outside) 1 10.1.1.10 定义内部网络地址将要翻译成的全局地址或地址范围 nat (inside) 0 access-list 101 使得符合访问列表为101地址不通过翻译,对外部网络是可见的 nat (inside) 1 192.168.0.0 255.255.0.0 0 0 内部网络地址翻译成外部地址 nat (dmz) 1 192.168.0.0 255.255.0.0 0 0 DMZ区网络地址翻译成外部地址 static (inside,outside) 10.1.1.5 192.168.12.100 netmask 255.255.255.255 0 0 static (inside,outside) 10.1.1.12 192.168.12.158 netmask 255.255.255.255 0 0 static (inside,outside) 10.1.1.3 192.168.2.4 netmask 255.255.255.255 0 0 设定固定主机与外网固定IP之间的一对一静态转换 static (dmz,outside) 10.1.1.2 192.168.19.2 netmask 255.255.255.255 0 0 设定DMZ区固定主机与外网固定IP之间的一对一静态转换 static (inside,dmz) 192.168.0.0 192.168.0.0 netmask 255.255.0.0 0 0 设定内网固定主机与DMZ IP之间的一对一静态转换 static (dmz,outside) 10.1.1.29 192.168.19.3 netmask 255.255.255.255 0 0 设定DMZ区固定主机与外网固定IP之间的一对一静态转换 access-group 120 in interface outside access-group 120 in interface inside access-group 120 in interface dmz 将访问列表应用于端口 conduit permit tcp host 10.1.1.2 any conduit permit tcp host 10.1.1.3 any conduit permit tcp host 10.1.1.12 any conduit permit tcp host 10.1.1.29 any 设置管道:允许任何地址对全局地址进行TCP协议的访问 conduit permit icmp 192.168.99.0 255.255.255.0 any 设置管道:允许任何地址对192.168.99.0 255.255.255.0地址进行PING测试 rip outside passive version 2 rip inside passive version 2 route outside 0.0.0.0 0.0.0.0 10.1.1.1 设定默认路由到电信端 route inside 192.168.2.0 255.255.255.0 192.168.1.1 1 route inside 192.168.3.0 255.255.255.0 192.168.1.1 1 route inside 192.168.4.0 255.255.255.0 192.168.1.1 1 route inside 192.168.5.0 255.255.255.0 192.168.1.1 1 route inside 192.168.6.0 255.255.255.0 192.168.1.1 1 route inside 192.168.7.0 255.255.255.0 192.168.1.1 1 route inside 192.168.8.0 255.255.255.0 192.168.1.1 1 route inside 192.168.9.0 255.255.255.0 192.168.1.1 1 route inside 192.168.10.0 255.255.255.0 192.168.1.1 1 route inside 192.168.11.0 255.255.255.0 192.168.1.1 1 设定路由回指到内部的子网 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec sysopt connection permit-pptp service resetinbound service resetoutside crypto ipsec transform-set myset esp-des esp-md5-hmac 定义一个名称为myset的交换集 crypto dynamic-map dynmap 10 set transform-set myset 根据myset交换集产生名称为dynmap的动态加密图集(可选) crypto map *** 10 ipsec-isakmp dynamic dynmap 将dynmap动态加密图集应用为IPSEC的策略模板(可选) crypto map *** 20 ipsec-isakmp 用IKE来建立IPSEC安全关联以保护由该加密条目指定的数据流 crypto map *** 20 match address 110 为加密图指定列表110作为可匹配的列表 crypto map *** 20 set peer 10.1.1.41 在加密图条目中指定IPSEC对等体 crypto map *** 20 set transform-set myset 指定myset交换集可以被用于加密条目 crypto map *** client configuration address initiate 指示PIX防火墙试图为每个对等体设置IP地址 crypto map *** client configuration address respond 指示PIX防火墙接受来自任何请求对等体的IP地址请求 crypto map *** interface outside isakmp enable outside 在外部接口启用IKE协商 isakmp key ******** address 10.1.1.41 netmask 255.255.255.255 指定预共享密钥和远端对等体的地址 isakmp identity address IKE身份设置成接口的IP地址 isakmp client configuration address-pool local yy outside isakmp policy 10 authentication pre-share 指定预共享密钥作为认证手段 isakmp policy 10 encryption des 指定56位DES作为将被用于IKE策略的加密算法 isakmp policy 10 hash md5 指定MD5 (HMAC变种)作为将被用于IKE策略的散列算法 isakmp policy 10 group 2 指定1024比特Diffie-Hellman组将被用于IKE策略 isakmp policy 10 lifetime 86400 每个安全关联的生存周期为86400秒(一天) ***group cisco idle-time 1800 ***group pix_*** address-pool yy ***group pix_*** idle-time 1800 ***group pix_*** password ******** ***group 123 address-pool yy ***group 123 idle-time 1800 ***group 123 password ******** ***group 456 address-pool yy ***group 456 idle-time 1800 ***group 456 password ******** telnet 192.168.88.144 255.255.255.255 inside telnet 192.168.88.154 255.255.255.255 inside telnet timeout 5 ssh timeout 5 console timeout 0 vpdn group 1 accept dialin pptp vpdn group 1 ppp authentication pap vpdn group 1 ppp authentication chap vpdn group 1 ppp authentication mschap vpdn group 1 ppp encryption mppe 40 vpdn group 1 client configuration address local hhyy vpdn group 1 pptp echo 60 vpdn group 1 client authentication local vpdn username cisco password ********* vpdn enable outside username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 2 ***client ***group cisco_*** password ******** ***client username pix password ******** terminal width 80 Cryptochecksum:9524a589b608c79d50f7c302b81bdfa4b |
转载于:https://blog.51cto.com/qq163/93828
相关文章:
C/C++:*(p++)慎用!!!!!
各位代码界的大佬大家好,今天跟大家分享一个在C/C中常用,但是很危险的一串代码——*(p) 为什么说这一行代码比较危险呢,因为对于C/C来说,成也指针,败也指针。C/C中指针便于我们操作一块连续的内存空间中内容࿰…
Kindeditor学习中的那些坑
Kindeditor富文本编辑器还算比较好上手的一款插件吧,下面记录一下我在学习和实践中遇到的那些坑。 编辑器初始化方法和参数网上一搜一大把,不想搜的点这里,文档上各个参数已经写得很清楚了,直接拿过来用就OK 开始说一些实际用到时…
java2实用教程--第二章基本数据类型与数组
基本数据类型--浮点类型 public class Example2_1 {public static void main (String args[]) {char chinaWord 好,japenWord あ;char you \u4F60;int position 20320;System.out.println("汉字:"chinaWord"的位置:"(int)china…
EntityCURD操作的参数和返回值
以下是netbeans根据实体自动生成的CURD模板:/** To change this template, choose Tools | Templates* and open the template in the editor.*/package com.medea.order.session;import com.medea.order.entity.Storeorder;import java.util.List; import javax.ej…
[ZT]SQL Server 的事务日志意外增大或充满的处理方法
http://support.microsoft.com/kb/317375 事务日志文件Transaction Log File是用来记录数据库更新情况的文件,扩展名为ldf。在 SQL Server 7.0 和 SQL Server 2000 中,如果设置了自动增长功能,事务日志文件将会自动扩展。一般情况下ÿ…
powershell真香
写毕设开题报告,从PDF复制后会有多余空格,一个一个手动删除略显麻烦。 delete.cpp#include<iostream> #include<cstdio> #include<string> #include<vector> using namespace std; int main() {//freopen("UAS.txt",&…
背包的硬币问题
在一个国家仅有1分,2分,3分硬币,将钱N兑换成硬币有很多种兑法。请你编程序计算出共有多少种兑法。 HDU 1284 #include <iostream> using namespace std;const int M 32768 10;int dp[M];int main() {int n;while (~scanf("%d&q…
【转帖】OnPreRender Render的区别
转自:http://hi.baidu.com/trip008/blog/item/d6139ab77b5414f130add1e9.html protected override void OnPreRender(EventArgs e) protected override void Render(HtmlTextWriter writer) 这两个的区别。可否告知 asp.net页面在触发各个子控件的事件之后&#…
微信小程序如何进行登录授权和获取用户信息
微信小程序如何进行登录授权和获取用户信息
禁止windows系统的自动运行功能
禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放-…
WCF配置文件全攻略
Code<?xml version"1.0" encoding"utf-8" ?><configuration> <system.ServiceModel> <!-- services 元素包含应用中驻留的所有service的配置要求 --> <services> <!-- 每个服务的…
图的算法专题——最小生成树
概要: Prim算法Kruskal算法1、Prim算法 算法流程: (1)对图G(V,E)设置集合S来存放已被并入的顶点,然后执行n次(2)(3) (2)每…
GridControl摘录
gvCabTotalInfo.Columns["出线平均<br>电压"].SummaryItem.SummaryType DevExpress.Data.SummaryItemType.Average; gvCabTotalInfo.Columns["出线平均<br>电压"].SummaryItem.DisplayFormat "平均:{0:N2}"; gvCabTotalInfo.Refre…
小程序将form表单数据写入云数据库
小程序将form表单数据写入云数据库 <!--pages/MyIncome/MyIncome.wxml--> <view classforms><form bindsubmitgetForm><view classgetform><view>用戶名:<input typetext nameusername placeholder請輸入用戶名/></view><view&g…
ASP.NET自定义控件组件开发 第四章 组合控件开发CompositeControl
第四章 组合控件开发CompositeControl 大家好,今天我们来实现一个自定义的控件,之前我们已经知道了,要开发自定义的控件一般继承三个基 类:Control,WebControl,还有一个就是今天要说的CompositeControl。系列文章链接:ASP.NET自…
[C++对象模型][6]sizeof与对象内存布局
有了前面几节的铺垫,本节开始摸索C的对象的内存布局,平台为windows32位VS2008。 一 内置类型的size 内置类型,直接上代码,帮助大家加深记忆: Codevoid TestBasicSizeOf() { cout << __FUNCTION__ << e…
Linux负载均衡实现
配置之前清空所有服务器防火墙规则iptables -F关闭selinux:1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态SELinux status: enabled2、getenforce ##也可以用这个命令检查关闭SELinux:1…
【bzoj2770】YY的Treap 权值线段树
题目描述 志向远大的YY小朋友在学完快速排序之后决定学习平衡树,左思右想再加上SY的教唆,YY决定学习Treap。友爱教教父SY如砍瓜切菜般教会了YY小朋友Treap(一种平衡树,通过对每个节点随机分配一个priority,同时保证这棵…
第二章 数据类型、运算符与表达式
#include <stdio.h> #include <stdlib.h>int Add(int a,int b) {return ab; }int main() {int x,y,sum 0;printf("Input two integers:\n");scanf("%d%d",&x,&y);sum Add(x,y);printf("sum %d\n",sum);return 0; }计算圆…
从设计原则谈软件开发(二)
最近一直在一个培训公司做着极为无聊的培训,所以一直都没有时间上网。今天突然发现这里可以上无线,嘿嘿,就上来继续把这个文章完成。 上次说到了设计原则中的单一职责原则,今天时间比较紧,我就继续往下写,也…
Npm环境依赖重置
需要彻底删除node_modules 然后npm install 如果无法删除node_modules文件,可以试试这个: 安装RimRaf: npm install rimraf -g 并在项目文件夹中删除node_modules文件夹: rimraf node_modules 然后你可以去npm install转载于:http…
MySQL的information_schema
在一次清空一张比较大的表时(在清空前占用400多兆),发现该表中记录为0条但是空间并没有被释放,采用下面方式可查看占用情况 -- 查询各个数据库占用磁盘的情况 select TABLE_SCHEMA, concat(truncate(sum(data_length)/1024/1024,2…
编写spring应用
测试类自动注入失败:RunWith(SpringRunner.class)详解 CtrlAltDelete键,打开任务管理器,结束占据8080端口的Tomcat进程。 HomeController.java <!DOCTYPE html> <html xmlns"http://www.w3.org/1999/xhtml"xmlns:th&quo…
[导入]Learning.ASP.NET 2.0.with.AJAX.pdf(14.14 MB)
ASP.NET 2.0的AJAX无疑是最快,最有效,最可靠和最佳的方式支持创建交互式Web应用程序上市。结合开发工具,可以从Microsoft ,免费和商业,这是难以置信轻松地创建网站,看看伟大的表现良好。最重要的是…
c# IO线程 打造 定时打开指定程序
用IO以及线程轻松实现 定时器 ,在指定的时间打开指定的程序:) 首先是如何实现定时?这可以单独的用个线程,在时间到的时候打开程序 然后是如何打开程序 ,用Process.Start就可以了 最后就是如何把程序列表保存…
Python操作 RabbitMQ、Redis、Memcache、SQLAlchemy
Memcached Memcached 是一个高性能的分布式内存对象缓存系统,用于动态Web应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态、数据库驱动网站的速度。Memcached基于一个存储键/值对的hashmap。其守护进程…
jQuery中的常用内容总结(一)
jQuery中的常用内容总结(一) 前言 不好意思(✿◠‿◠),由于回家看病以及处理一些其它事情耽搁了,不然这篇博客本该上上周或者上周写的;同时闲谈几句:在这里建议各位开发的童鞋,如果有疾病尽快治疗,不要拖&a…
你需要眼光和资格
机上遇到一男人,操北京口音,三十二三,婚否不详,容貌体面。 优势:技术好,聪明,没坏心,乐观 劣势:有点懒,自傲,责任心与意志力指数一般 其所谓“恰当…
嵌入式系统基础了解
1.一个启动 .s文件(start.s),至少需要包含三个段: ;//堆栈段 ; //中断向量表 ; //代码段 参考代码: stack_size EQU 0x200 ;…
BFD与IGP快速收敛应用测试
cqmmx,2008-9-10 1、背景介绍 目前对网络稳定性影响较大的一般是链路中断、节点失效等故障,而常规的慢Hello机制检测耗时较长,且常用IGP(ISIS和OSPF)在默认配置情况下,收敛速度很慢,一般需要几十…