Cisco PIX 506E 防火墙是应用极为广泛的 Cisco PIX506 防火墙的增强版本,可以通过一个可靠的、强大的安全设备为远程办公室和分支机构提供企业级的安全性。Cisco PIX506E 防火墙是市场领先的 CiscoPIX 防火墙系列的一部分,可以通过一个经济有效的、高性能的解决方案提供丰富的安全功能和强大的远程管理功能,尤其适用于为远程 / 分支机构保障互联网连接。PIX 506E 还提供了更高的 3DES VPN 性能,在使用某些应用时,性能比 PIX 506 高出 70%。
针对远程办公室 / 分支机构环境的企业级安全性
Cisco PIX506E 防火墙是一种针对特定需求而设计的安全设备,可以在单独的一个设备中提供丰富的安全服务,包括状态监测防火墙、虚拟专用网(VPN)和入侵防范等。利用思科最新的自适应安全算法(ASA)和 PIX 操作系统,PIX506E 可以确保其后的所有用户的安全,并可以帮助他们防范互联网的潜在威胁。它的功能强大的状态监测技术可以跟踪所有经过授权的用户的网络请求,防止未经授权的网络访问。利用 PIX 506E 灵活的访问控制功能,管理员还可以对经过防火墙的网络流量实施定制的策略。PIX506E 与您的后端企业数据库无缝集成,因此可以通过直接使用 TACACS/RADIUS 或间接使用 Cisco 安全访问控制服务器(ACS)对外部对网络资源的访问进行严格的验证。
Cisco PIX506E 防火墙还可以利用其基于标准的互联网密钥交换(IKE)/IP 安全(IPSec)VPN 功能,确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全。通过利用 56 位数据加密标准(DES)或者可选的高级 168 位三重 DES(3DES)加密对数据进行加密,当您的敏感企业数据安全地在互联网中传输时,别人将无法窥探到它们。
PIX 506E 的集成化的入侵防范功能可以防止您的网络受到各种常见的攻击。通过查找超过 55 种不同的攻击 "签名",PIX 可以严格检测各种攻击,并可以实时地阻截它们或者向您发出通知。
强大的远程管理功能
Cisco PIX506E 是一个可靠的、便于维护的平台,可以提供多种配置、监控和诊断方式。PIX 管理解决方案的范围非常广泛――从一个集成化的、基于 Web 的管理工具到集中的、基于策略的工具,以及对各种远程监控协议的支持,例如简单网络管理协议(SNMP)和系统日志。
PIX 设备管理器(PDM)可以为管理员提供一个直观的、基于 Web 的界面,从而使他们可以方便地配置和监控一台 PIX 506E,而不需要在管理员的计算机上安装任何软件(除了一个标准的 Web 浏览器以外)。管理员可以利用 PIX506E 所提供的命令行界面(CLI),通过多种方式(包括远程登陆、安全解释程序(SSH),以及通过控制端口实现的带外接入)对 PIX506E 进行远程配置、监控和诊断。
管理员还可以通过 CiscoVPN / 安全管理解决方案(VMS)中提供的 Cisco 安全策略管理器(CSPM)方便地对很多 PX 506E 防火墙进行远程管理。CSPM3.0 是一种可扩展的、下一代的 PIX 防火墙集中管理解决方案,具有多种功能,包括基于任务的接口、交互式网络拓扑图、策略向导、策略输出功能等等。
打开某端口给某台机器(假设 IP 为 1.1.1.1):
conduit permit tcp host 1.1.1.1 eq 2000 any any
查看端口打开状态,应该用 show static 吧,记不清了。
以下是 pix506 的基本配置:
1、 给 PIX506 接上电源,并打开电脑主机。
2、 将 CONSOLE 口连接到主机的串口上,运行 Hyperterminal 程序,从 CONSOLE 口进入 PIX 系统。
3、 进入特权模式
PIX> enable
PIX#
4、 进入全局控制模式并设置密码
PIX#configure terminal
PIX(config)#passwd chenhong
5、 更改 PIX 主机名并设置允许 TELNET PIX 的地址范围
PIX(config)#hostname MFPIX
MFPIX (config)#telnet 10.8.0.0 255.255.254.0 inside
6、 配置以太口参数,将所有端口(E0、E1)设置为自适应网卡类型。
MFPIX (config)#interface ethernet0 auto
MFPIX (config)#interface ethernet1 auto
7、 指定内外部接口,并指定安全级别 (默认 Ethernet0 为外网接口,Ethernet1 为内网接口,因此一般情况下,不建议更改,省倒此步)。
MFPIX (config)#nameif e0 outside security0
MFPIX (config)#nameif e1 outside security100
8、 配置内部和外部接口 IP 地址
MFPIX (config)#ip address inside 192.168.2.1 255.255.255.252
MFPIX (config)#ip address outside 211.96.81.30 255.255.255.240
9、 指定一个外部 IP 地址或地址范围
MFPIX (config)#global (outside) 1 211.96.81.18-211.96.81.29
10、定义内定需要进行地址转换的 IP 地址范围
MFPIX (config)#nat (inside) 1 10.8.0.0 255.255.254.0
MFPIX (config)#nat (inside) 1 10.8.6.0 255.255.192.0
MFPIX (config)#nat (inside) 1 10.8.7.0 255.255.192.0
MFPIX (config)#nat (inside) 1 10.8.8.0 255.255.224.0
11、给内部某个主机配置一个静态的公网 IP 地址
MFPIX (config)#static (inside,outside) 211.96.81.20 10.8.0.9
MFPIX (config)#static (inside,outside) 211.96.81.21 10.8.0.79
12、设置指向内网和外网的缺少路由
MFPIX (config)#route outside 0.0.0.0 0.0.0.0 211.96.81.17
MFPIX (config)#route inside 10.8.0.0 255.255.254.0
MFPIX (config)#route inside 10.8.6.0 255.255.255.192
MFPIX (config)#route inside 10.8.7.0 255.255.255.192
MFPIX (config)#route inside 10.8.8.0 255.255.255.224
13、设置控制选项
发布 WEB、邮件服务器
MFPIX (config)#conduit permit tcp host 211.96.81.20 eq www any
MFPIX (config)#conduit permit tcp host 211.96.81.20 eq smpt any
MFPIX (config)#conduit permit tcp host 211.96.81.20 eq pop3 any
MFPIX (config)#conduit permit tcp host 211.96.81.21 eq 3389 any
允许内外部 PING 内部部和外部主机
MFPIX (config)#conduit permit icmp any any
14、基本设置完毕