Cisco PIX 506E ファイアウォールは、広く使用されている Cisco PIX506 ファイアウォールの強化版であり、信頼性の高い強力なセキュリティデバイスを使用して、リモートオフィスや支店に企業レベルのセキュリティを提供します。Cisco PIX 506E ファイアウォールは、市場をリードする Cisco PIX ファイアウォールシリーズの一部であり、経済的かつ高性能なソリューションを通じて豊富なセキュリティ機能と強力なリモート管理機能を提供し、特にリモート / 支店のインターネット接続を保護するのに適しています。PIX 506E は、一部のアプリケーションで PIX 506 よりも 70%高い 3DES VPN パフォーマンスを提供します。
リモートオフィス / 支店環境向けの企業レベルのセキュリティ
Cisco PIX 506E ファイアウォールは、特定の要件に基づいて設計されたセキュリティデバイスであり、状態監視ファイアウォール、仮想プライベートネットワーク(VPN)、侵入防止などの豊富なセキュリティサービスを単一のデバイスで提供できます。Cisco の最新の自己適応セキュリティアルゴリズム(ASA)と PIX オペレーティングシステムを活用することで、PIX 506E はすべてのユーザーのセキュリティを確保し、インターネットの潜在的な脅威から保護するのに役立ちます。強力な状態監視技術により、PIX 506E は認証されたすべてのユーザーのネットワークリクエストを追跡し、認証されていないネットワークアクセスを防止します。PIX 506E の柔軟なアクセス制御機能を使用すると、管理者はファイアウォールを通過するネットワークトラフィックに対してカスタムポリシーを実施することができます。PIX 506E は、バックエンドの企業データベースとシームレスに統合されているため、外部ネットワークリソースへのアクセスを TACACS/RADIUS を直接使用するか、Cisco セキュアアクセスコントロールサーバ(ACS)を介して厳格に認証することができます。
Cisco PIX 506E ファイアウォールは、標準ベースのインターネットキーエクスチェンジ(IKE)/IP セキュリティ(IPSec)VPN 機能を利用して、リモートオフィスと企業ネットワーク間のすべてのネットワーク通信のセキュリティを確保します。56 ビットデータ暗号化標準(DES)またはオプションの高度な 168 ビット 3DES(3DES)暗号化を使用してデータを暗号化することで、機密性の高い企業データがインターネット上で安全に転送されるため、他の人はそれを盗聴することはできません。
PIX 506E の統合侵入防止機能により、さまざまな一般的な攻撃からネットワークを保護することができます。PIX は、55 種類以上の異なる攻撃の「署名」を検索することで、さまざまな攻撃を厳密に検出し、リアルタイムでブロックするか通知することができます。
強力なリモート管理機能
Cisco PIX 506E は、信頼性の高いメンテナンスが容易なプラットフォームであり、さまざまな設定、監視、診断方法を提供します。PIX 管理ソリューションの範囲は非常に広く、統合された Web ベースの管理ツールから集中型のポリシーベースのツール、およびシンプルネットワーク管理プロトコル(SNMP)やシステムログなどのさまざまなリモートモニタリングプロトコルのサポートまであります。
PIX Device Manager(PDM)は、管理者に直感的な Web ベースのインターフェースを提供し、PIX 506E を簡単に設定および監視できるようにします(管理者のコンピュータにソフトウェアをインストールする必要はありません)。管理者は、PIX 506E に対してリモート設定、監視、診断を行うために、PIX 506E が提供するコマンドラインインターフェース(CLI)を使用することができます(リモートログイン、セキュアシェル(SSH)、およびアウトオブバンドアクセスを介した制御ポートを介して)。管理者は、Cisco VPN / セキュリティマネジメントソリューション(VMS)で提供される Cisco セキュリティポリシーマネージャ(CSPM)を使用して、多数の PIX 506E ファイアウォールを簡単にリモート管理することもできます。CSPM 3.0 は、拡張可能な次世代の PIX ファイアウォールの集中管理ソリューションであり、タスクベースのインターフェース、インタラクティブなネットワークトポロジマップ、ポリシーウィザード、ポリシー出力機能など、さまざまな機能を備えています。
特定のポートを特定のマシンに開放する(IP が 1.1.1.1 であると仮定):
conduit permit tcp host 1.1.1.1 eq 2000 any any
ポートの開放状態を確認するには、show static を使用する必要がありますが、正確な記憶がありません。
以下は pix506 の基本設定です:
- PIX506 に電源を接続し、コンピュータのホストを起動します。
- CONSOLE ポートをホストのシリアルポートに接続し、Hyperterminal プログラムを実行して PIX システムにアクセスします。
- 特権モードに入る
PIX> enable
PIX# - グローバルコンフィギュレーションモードに入り、パスワードを設定します
PIX#configure terminal
PIX(config)#passwd chenhong - PIX のホスト名を変更し、TELNET PIX のアドレス範囲を設定します
PIX(config)#hostname MFPIX
MFPIX (config)#telnet 10.8.0.0 255.255.254.0 inside - イーサネットポートのパラメータを設定し、すべてのポート(E0、E1)を自動適応カードタイプに設定します。
MFPIX (config)#interface ethernet0 auto
MFPIX (config)#interface ethernet1 auto - 内部および外部インターフェースを指定し、セキュリティレベルを指定します(デフォルトでは Ethernet0 は外部インターフェース、Ethernet1 は内部インターフェースですので、通常は変更しないことをお勧めします)。
MFPIX (config)#nameif e0 outside security0
MFPIX (config)#nameif e1 outside security100 - 内部および外部インターフェースの IP アドレスを設定します
MFPIX (config)#ip address inside 192.168.2.1 255.255.255.252
MFPIX (config)#ip address outside 211.96.81.30 255.255.255.240 - 外部 IP アドレスまたはアドレス範囲を指定します
MFPIX (config)#global (outside) 1 211.96.81.18-211.96.81.29 - アドレス変換が必要な内部ホストの IP アドレス範囲を定義します
MFPIX (config)#nat (inside) 1 10.8.0.0 255.255.254.0
MFPIX (config)#nat (inside) 1 10.8.6.0 255.255.192.0
MFPIX (config)#nat (inside) 1 10.8.7.0 255.255.192.0
MFPIX (config)#nat (inside) 1 10.8.8.0 255.255.224.0 - 内部の特定のホストにパブリック IP アドレスを静的に割り当てます
MFPIX (config)#static (inside,outside) 211.96.81.20 10.8.0.9
MFPIX (config)#static (inside,outside) 211.96.81.21 10.8.0.79 - 内部ネットワークおよび外部ネットワークへのルートを指定します
MFPIX (config)#route outside 0.0.0.0 0.0.0.0 211.96.81.17
MFPIX (config)#route inside 10.8.0.0 255.255.254.0
MFPIX (config)#route inside 10.8.6.0 255.255.255.192
MFPIX (config)#route inside 10.8.7.0 255.255.255.192
MFPIX (config)#route inside 10.8.8.0 255.255.255.224 - コントロールオプションを設定します
WEB、メールサーバを公開する
MFPIX (config)#conduit permit tcp host 211.96.81.20 eq www any
MFPIX (config)#conduit permit tcp host 211.96.81.20 eq smpt any
MFPIX (config)#conduit permit tcp host 211.96.81.20 eq pop3 any
MFPIX (config)#conduit permit tcp host 211.96.81.21 eq 3389 any
内部および外部で PING を許可する
MFPIX (config)#conduit permit icmp any any - 基本設定完了