6 lệnh quan trọng được sử dụng để làm với cấu hình làm việc cơ bản của PIX
interface nameif ip address nat global route
Trước khi sử dụng lệnh , nó có thể cung cấp sơ đồ hữu ích của PIX Firewall với mức độ bảo mật khác nhau, cổng , và địa chỉ IP. Figure 6-1
Hình mức độ bảo mật ,cổng, địa chỉ IP, và
Interface Command
Lệnh cổng được nhận ra bởi hardware card, thiết lập tốc độ của interface. Tất cả các cổng trên Cisco PIX Firewall là shut down bởi mặc định cú pháp cơ bản của lệnh cổng
Lệnh nameif
Như cái tên bình thường, lệnh nameif được sử dụng để đặt tên một cổng và gán giá trị bảo mật từ 1 tới 99. Cổng outside và inside được đặt mặc định và có giá trị bảo mật là 0 và 100. Mặc định, các cổng có hardware ID. Ethernet 0 là outside interface, Ethernet 1 là inside interface.
Tên được cấu hình bởi lệnh nameif dễ sử dụng và dễ dàng cho cấu hình về sau.. Cấu trúc lênh nameif là
Nameif hardware_id if_name security_level ví dụ
nameif Ethernet 1 inside 100 nameif Ethernet 0 outside 0 nameif Ethernet 2 dmz 30
Giá trị security_level điều khiển cách hosts/devices trên các cổng khác nhau tương tác với cổng khác. Mặc định, hosts/devices kết nối với những cổng mức bảo mật cao có thể truy xuất hosts/devices được kết nối với cổng có mức bảo mật thấp. Hosts/devices kết nối với host có mức bảo mật thấp không thể truy xuất tới hosts/devices được kết nối với cổng có mức bảo mật cao trừ khi có trợ giúp của access lists or conduits.
Có thể kiểm tra cấu hình bằng sử dụng lệnh show nameif .
Lệnh ip address
Tất cả các cổng trên Cisco PIX Firewall được sử dụng phải được cấu hình với địa chỉ IP. Địa chỉ IP có thể được cấu hình bằng tay hay bằng Dynamic Host Configu-ration Protocol (DHCP). Đặc điểm DHCP được sử dụng trên mô hình PIX Firewall small office/home office (SOHO) .
Lệnh ip address sử dụng để cấu hình địa chỉ IP trên cổng của PIX . Lệnh ip address kết hợp với địa chỉ logic của (IP address) hardware ID.
Cấu trúc lệnh như sau:
ip address if_name ip_address [netmask] ip address inside 192.168.20.2 255.255.255.0 dùng lệnh show ip để xem
Nếu không ghi netmask nó tự đặt classful
Lệnh nat
Lệnh nat (Network Address Translation) để bạn dịch tập hợp địa chỉ IP này tới tập hợp địa chỉ IP khác. Lệnh nat luôn đi một cặp với lệnh global, với ngoại lệ của lệnh nat là 0
Cú pháp:
nat (if_name) nat_id local_ip [netmask] nat inside 1 192.168.80.0 255.255.255.0 (if_name) tên cổng mạng
nat_id số ID pải phù hợp với ao địa chỉ global .
local_ip địa chỉ IP mà được dịch. Thường là địa chỉ IP nội bộ nó có thể được gán cho tất cả mạng bên trong local_ip thông qua nat (inside) 1 0 0.
Lệnh global
Lệnh global được sử dụng để định nghĩa địa chỉ hay dải địa chỉ mà mà địa chỉ được định nghĩa được dịch bởi bởi lệnh nat. Nó là quan trọng để global_id giống hệt nat_id sử dụng trong lệnh nat. Cặp đôi nat_id địa chỉ IP được định nghĩa bởi lệnh global và lệnh nat để có thể dịch được mạng. Cú pháp lệnh global là global (if_name) nat_id global_ip | global_ip-global_ip [netmask]
ví dụ:
global inside 1 192.168.20.0 netmask 255.255.255.0
Khi host hay thiết bị thử kết nối, PIX Firewall kiểm tra bảng dịch nếu là một phần cho IP đặc biệt. Nếu chưa tồn tại quá trình dịch, một slot trans-lation slot được tạo. Thời gian mặc định IP được dịch lưu trong bảng dịch là 3 giờ. Bạn có thể thay dổi đê thêm giờ với lệnh xlate hh:mm:ss. Để xem địa chỉ dịch dùng lệnh xlate .
Lệnh route (adsbygoogle = window.adsbygoogle || []).push({});
Lệnh route nói cho Cisco PIX Firewall nơi gửi thông tin mà được chuyển tiếp trên cổng đặc biệt được định trước cho địa chỉ mạng cụ thể. Thêm tuyến đường tĩnh tới PIX sử dụng lệnh route .
route if_name ip_address netmask gateway_ip [metric] router inside 192.168.80.1 255.255.255.0 192.168.80.1 1 if_name tên của cổng nơi dữ liệu rời.
ip_address địa chỉ IP được định tuyến.
netmask mặt nạ mạng của địa chỉ IP được định tuyến.
gateway_ip địa chỉ IP của hop tiếp theo. Thường là địa chỉ IP của router vành đai
metric: số hop xác định thới gateway_ip
Là thực hành tốt để sử dụng lệnh clear arp để xóa bộ đệm ARP của firewall PIX trước khi kiểm tra cấu hình tuyến đường mới.
Lệnh RIP
The Routing Information Protocol (RIP) dùng để xây dựng bảng định tuyến PIX Firewall
RIP cấu hình xác định cập nhật PIX trong bảng định tuyến của nó bởi lắng nghe thụ động lưu lượng RIP có hay không và có hay không cổng broadcasts chính nó như tuyến đường mặc định cho lưu lượng mạng trên cổng đó. Nó cũng quan trọng để cấu hình route
Cung cấp cập nhật RIP với địa chỉ mạng của cổng PIX , cú pháp RIP
rip if_name default | passive [version [1 | 2]] [authentication [text | md5 key (key_id)]]
CHƯƠNG IV
XÂY DỰNG HỆ THỐNG AN NINH MẠNG CHO CHI
NHÁNH NGÂN HÀNG VIETINBANK.