Cấu hình truy cập qua PIX Firewall

Một phần của tài liệu Network Security and The Cisco PIX Firewall P6 (Trang 31 - 34)

Hoàn thành bài Lab sau để thực hành các kiến thức mà bạn học trong chương này

Mục đích

Trong bài Lab này bạn sẽ hoàn thành các nhiệm vụ sau:

 Cấu hình một PIX Firewall để bảo vệ mạng doanh nghiệp  Kiểm tra hoạt động của PIX Firewall

 Cấu hình giao diện thứ 3 của PIX Firewall  Kiểm tra truy cập đến giao diện thứ 3

 Cấu hình địa chỉ global và NAT cho vùng inside và outside  Kiểm tra cấu hình global và NAT

 Cấu hình static và conduit từ outside interface của PIX Firewall đến Server Windows NT trên vùng inside

 Kiểm tra hoạt động của PIX Firewall  Cấu hình giao diện thứ 3 của PIX Firewall  Kiểm tra truy cập đến giao diện thứ 3

Nhiệm vụ 1 – Cấu hình địa chỉ Global và NAT cho giao diện inside và outside

Nhập các lệnh sau để cấu hình global pool và định tuyến:

Bước 1: gỡ bỏ NAT

pixP(config)# no nat (inside) 1 0 0

Bước 2: Cấu hình NAT cho dải địa chỉ IP thuộc mạng inside

pixP(config)# nat (inside) 1 10.0.P.0 255.255.255.0 0 0

Bước 3: Hiển thị cấu hình NAT hiện tại

pixP(config)# show nat

nat (inside)1 10.0.P.0 255.255.255.0 0 0

Bước 4: Cho phép gói tin ICMP và ping qua PIX Firewall

pixP(config)# conduit permit icmp any any

Bước 5: Ghi cấu hình hiện tại vào bộ nhớ flash

pixP(config)# write memory

Bước 6: ghi cấu hình hiện tại đến terminal

pixP(config)# write terminal

Bước 7: sử dụng lệnh clear xlate sau khi cấu hình với lệnh nat và global để tạo địa chỉ IP global trong translation table:

Bước 2: Kiểm tra hoạt động của global và NAT bạn vừa mới cấu hình bằng cách phát sinh một kết nối đi qua PIX Firewall

1. Mở trình duyệt web trên Windows NT server

2. Sử dụng trình duyệt web truy cập vào Super Server tại địa chỉ IP 172.26.26.50 bằng cách nhập http://172.26.26.50

Bước 3: quan sát translation table với lệnh show xlate

pixP(config)# show xlate

bạn sẽ thấy thông tin hiển thị tương tự như sau

Global 192.168.P.20 Local 10.0.P.3

Nhiệm vụ 3: Cấu hình Static và Conduit từ outside interface PIX Firewall đến Windows NT Server trong mạng Inside

Cấu hình dịch tĩnh vì vậy mà lưu lượng được phát ra từ Windows Server NT trong inside luôn luôn có cùng địa chỉ nguồn trên outside interface của PIX Firewall

Kiểm tra Static và Conduit bằng cách ping đến Windows NT Server từ router vành đai. Trong môi trường thực tế bạn cần gỡ bỏ lệnh permit icmp any any để ngăn cản lỗ hổng an ninh tiềm tàng. Sử dụng các lệnh dưới đây:

Bước 1: Tạo một static translation từ outside interface đến host terminal và tạo một conduit cho phép kết nối web từ outside đến server NT trên inside

pixP(config)# static (inside,outside) 192.168.P.10 10.0.P.3 pixP(config)# conduit permit tcp host 192.168.P.10 eq www any

(P = your pod number)

Bước 2: Bật kiểm tra ICMP trên PIX Firewall

pixP(config)# debug icmp trace

C:\> ping 192.168.P.1

(P=podnumber)

Note the example display for pixP:

Outbound ICMP echo request 10.0.P.3 > 192.168.P.10 > 192.168.P.1 Inbound ICMP echo reply 192.168.P.1 > 192.168.P.10 > 10.0.P.3 Outbound ICMP echo request 10.0.P.3 > 192.168.P.10 > 192.168.P.1 Inbound ICMP echo reply 192.168.P.1 > 192.168.P.10 > 10.0.P.3 Outbound ICMP echo request 10.0.P.3 > 192.168.P.10 > 192.168.P.1 Inbound ICMP echo reply 192.168.P.1 > 192.168.P.10 > 10.0.P.3 Outbound ICMP echo request 10.0.P.3 > 192.168.P.10 > 192.168.P.1 Inbound ICMP echo reply 192.168.P.1 > 192.168.P.10 > 10.0.P.3

Quan sát địa chỉ nguồn, đích và địa chỉ đã được dịch trên console củ PIX Firewall

Bước 5: ping một host inside ngang hàng từ một host inside

C:\> ping 192.168.Q.10

(Q = peer pod number)

Bước 6: Kiểm tra web truy cập đến host inside của nhóm khác khi đã được phép bởi cấu hình Static và Conduit

1. Mở một web browser trên Windows NT server.

2Sử dụng web browser để truy cập đến host inside của nhóm khác bằng cách nhập

http://192.168.Q.10.

Bước 7: tắt debug

pixP(config)#no debug icmp trace

Một phần của tài liệu Network Security and The Cisco PIX Firewall P6 (Trang 31 - 34)

Tải bản đầy đủ (PDF)

(36 trang)