Cisco PIX 506E 防火墙是應用極為廣泛的 Cisco PIX506 防火牆的增強版本,可以通過一個可靠的、強大的安全設備為遠程辦公室和分支機構提供企業級的安全性。Cisco PIX506E 防火墙是市場領先的 CiscoPIX 防火牆系列的一部分,可以通過一個經濟有效的、高性能的解決方案提供豐富的安全功能和強大的遠程管理功能,尤其適用於為遠程 / 分支機構保障互聯網連接。PIX 506E 還提供了更高的 3DES VPN 性能,在使用某些應用時,性能比 PIX 506 高出 70%。
針對遠程辦公室 / 分支機構環境的企業級安全性
Cisco PIX506E 防火墙是一種針對特定需求而設計的安全設備,可以在單獨的一個設備中提供豐富的安全服務,包括狀態監測防火墻、虛擬專用網(VPN)和入侵防範等。利用思科最新的自適應安全算法(ASA)和 PIX 操作系統,PIX506E 可以確保其後的所有用戶的安全,並可以幫助他們防範互聯網的潛在威脅。它的功能強大的狀態監測技術可以跟踪所有經過授權的用戶的網絡請求,防止未經授權的網絡訪問。利用 PIX 506E 靈活的訪問控制功能,管理員還可以對經過防火墻的網絡流量實施定制的策略。PIX506E 與您的後端企業數據庫無縫集成,因此可以通過直接使用 TACACS/RADIUS 或間接使用 Cisco 安全訪問控制服務器(ACS)對外部對網絡資源的訪問進行嚴格的驗證。
Cisco PIX506E 防火墙還可以利用其基於標準的互聯網密鑰交換(IKE)/IP 安全(IPSec)VPN 功能,確保遠程辦公機構通過互聯網與企業網絡之間進行的所有網絡通信的安全。通過利用 56 位數據加密標準(DES)或者可選的高級 168 位三重 DES(3DES)加密對數據進行加密,當您的敏感企業數據安全地在互聯網中傳輸時,別人將無法窺探到它們。
PIX 506E 的集成化的入侵防範功能可以防止您的網絡受到各種常見的攻擊。通過查找超過 55 種不同的攻擊 "簽名",PIX 可以嚴格檢測各種攻擊,並可以實時地阻攔它們或者向您發出通知。
強大的遠程管理功能
Cisco PIX506E 是一個可靠的、便於維護的平台,可以提供多種配置、監控和診斷方式。PIX 管理解決方案的範圍非常廣泛――從一個集成化的、基於 Web 的管理工具到集中的、基於策略的工具,以及對各種遠程監控協議的支持,例如簡單網絡管理協議(SNMP)和系統日誌。
PIX 設備管理器(PDM)可以為管理員提供一個直觀的、基於 Web 的界面,從而使他們可以方便地配置和監控一台 PIX 506E,而不需要在管理員的計算機上安裝任何軟件(除了一個標準的 Web 瀏覽器以外)。管理員可以利用 PIX506E 所提供的命令行界面(CLI),通過多種方式(包括遠程登陸、安全解釋程序(SSH),以及通過控制端口實現的帶外接入)對 PIX506E 進行遠程配置、監控和診斷。
管理員還可以通過 CiscoVPN / 安全管理解決方案(VMS)中提供的 Cisco 安全策略管理器(CSPM)方便地對很多 PX 506E 防火墻進行遠程管理。CSPM3.0 是一種可擴展的、下一代的 PIX 防火墻集中管理解決方案,具有多種功能,包括基於任務的介面、交互式網絡拓撲圖、策略嚮導、策略輸出功能等等。
打開某端口給某台機器(假設 IP 為 1.1.1.1):
conduit permit tcp host 1.1.1.1 eq 2000 any any
查看端口打開狀態,應該用 show static 吧,記不清了。
以下是 pix506 的基本配置:
1、 給 PIX506 接上電源,並打開電腦主機。
2、 將 CONSOLE 口連接到主機的串口上,運行 Hyperterminal 程序,從 CONSOLE 口進入 PIX 系統。
3、 進入特權模式
PIX> enable
PIX#
4、 進入全局控制模式並設置密碼
PIX#configure terminal
PIX(config)#passwd chenhong
5、 更改 PIX 主機名並設置允許 TELNET PIX 的地址範圍
PIX(config)#hostname MFPIX
MFPIX (config)#telnet 10.8.0.0 255.255.254.0 inside
6、 配置以太口參數,將所有端口(E0、E1)設置為自適應網卡類型。
MFPIX (config)#interface ethernet0 auto
MFPIX (config)#interface ethernet1 auto
7、 指定內外部接口,並指定安全級別(默認 Ethernet0 為外網接口,Ethernet1 為內網接口,因此一般情況下,不建議更改,省倒此步)。
MFPIX (config)#nameif e0 outside security0
MFPIX (config)#nameif e1 outside security100
8、 配置內部和外部接口 IP 地址
MFPIX (config)#ip address inside 192.168.2.1 255.255.255.252
MFPIX (config)#ip address outside 211.96.81.30 255.255.255.240
9、 指定一個外部 IP 地址或地址範圍
MFPIX (config)#global (outside) 1 211.96.81.18-211.96.81.29
10、定義內定需要進行地址轉換的 IP 地址範圍
MFPIX (config)#nat (inside) 1 10.8.0.0 255.255.254.0
MFPIX (config)#nat (inside) 1 10.8.6.0 255.255.192.0
MFPIX (config)#nat (inside) 1 10.8.7.0 255.255.192.0
MFPIX (config)#nat (inside) 1 10.8.8.0 255.255.224.0
11、給內部某個主機配置一個靜態的公網 IP 地址
MFPIX (config)#static (inside,outside) 211.96.81.20 10.8.0.9
MFPIX (config)#static (inside,outside) 211.96.81.21 10.8.0.79
12、設置指向內網和外網的缺少路由
MFPIX (config)#route outside 0.0.0.0 0.0.0.0 211.96.81.17
MFPIX (config)#route inside 10.8.0.0 255.255.254.0
MFPIX (config)#route inside 10.8.6.0 255.255.255.192
MFPIX (config)#route inside 10.8.7.0 255.255.255.192
MFPIX (config)#route inside 10.8.8.0 255.255.255.224
13、設置控制選項
發布 WEB、郵件服務器
MFPIX (config)#conduit permit tcp host 211.96.81.20 eq www any
MFPIX (config)#conduit permit tcp host 211.96.81.20 eq smpt any
MFPIX (config)#conduit permit tcp host 211.96.81.20 eq pop3 any
MFPIX (config)#conduit permit tcp host 211.96.81.21 eq 3389 any
允許內外部 PING 內部部和外部主機
MFPIX (config)#conduit permit icmp any any
14、基本設置完畢