【正文】 ess outside ip address inside ip address dmz1 ip address dmz2 ip address dmz3 ip address dmz4 !PIX防火墻為各個接口設定IP地址。 內(nèi)部接口：。 dmz1接口：。 為允許從內(nèi)部接口和dmz3，dmz4接口轉換來的連接訪問dmz2接口，使用如下命令：global （dmz2） 1 178。178。同時也提供了PIX防火墻自身的安全加固建議，防止針對防火墻的直接攻擊。通用和共性的有關防火墻管理、技術、配置方面的內(nèi)容，請參照《中國移動防火墻安全規(guī)范》。 為使用戶能夠從內(nèi)部接口啟動dmz1，dmz2，dmz3，dmz4和外部接口上的連接使用如下命令：nat （inside） 1 0 0178。 為允許從內(nèi)部接口和dmz4接口轉換來的連接訪問dmz3接口，使用如下命令：global （dmz3） 1 低安全級到高安全級的訪問為使低安全級接口上的用戶能夠訪問某一高安全級接口上的服務器，使用static和conduit命令。178。此外，允許訪問連接到路由器的網(wǎng)絡需要使用靜態(tài)route命令。hostname pixfirewall!為防火墻設定主機名，該主機名出現(xiàn)在命令行提示符中。這種方法可以用來給遠程故障定位和管理PIX防火墻。 設備的當前狀態(tài)（active和standby）178。Failover電纜是一種改進的RS232串行電纜（115Link的缺點主要有：178。Link的優(yōu)點：178。failover中，其電纜的Primary端連接的就是Primary設備；Secondary端連接的PIX就稱為Sencondary設備。178。 全狀態(tài)Failover（Statefulduplex178。link端口雖然可以使用交換機相連，但為避免額外的故障點，還是推薦使用交叉線直接將端口相連。memory中；178。standby命令時，standby設備會從active設備同步配置；配置示例1：CableBasedshutdowninterfacesecurity100nameifencryptedtelnetaddressipip0staticacl_outinFailoverethernet3ethernet2encryptedpasswordoutsidefailoverlan12345678failover（inside）anyoutsiderouteethernet2addressfailoverfailover如果你在filter命令中使用了allow選項而WebSENSE服務器斷線，端口80處的流量將會通過PIX防火墻而不被過濾。PIX通常用做一個分隔至少兩個以上網(wǎng)絡的網(wǎng)絡設備，并且能為隱藏于其后的網(wǎng)絡提供自適應的安全性。解決方案： a) 從Cisco網(wǎng)站下載最新PIX防火墻操作系統(tǒng)版本b) 在本地通過tftp方式升級。解決方案： 在PIX防火墻的特權模式下輸入telnet local_ip [netmask]命令設置管理工作站地址，local_ip 表示被允許通過telnet訪問到pix的ip地址注意事項：建議使用堡壘主機的方式。outside的策略不嚴格，如any224。檢測方法：利用PIX防火墻提供的WEB管理界面查看策略配置情況，或命 令行方式查看。n ssh ip_address [netmask] [interface_name] n ssh timeout number注意事項：PIX防火墻支持SSH版本1中提供的SSH遠程殼式程序。 PIX防火墻沒有安全配置SNMP 危害：SNMP認證字符串使用缺省配置、SNMP權限開放范圍過大,可讀、寫等，均易遭到入侵者攻擊。PIX IDS不能向Cisco Secure Policy Manager或IDS管理器發(fā)警告，只能向syslog服務器發(fā)警告。過濾URL步驟如下：步驟1：使用urlserver命令指定一臺WebSENSE服務器。keyfailoversecurity10ip0enablefailoverglobalprimaryfailoveripipaddressaddressencryptedtelnetsecurity10nameifethernet0ethernet0outsideroutetcpnatstateoutsidehostnamestate100fullnameifConfigurationinterface 在active設備上輸入writefailover中，我們可以將stateEthernet（GE）（1000BASET）full當failover事件發(fā)生時，由于在新的Active設備上已經(jīng)有了這些連接狀態(tài)信息，所以用戶不用重新連接就能繼續(xù)通訊。macfailover中，Primary和Sencondary設備是在配置文件中設定的。 配置同步的速度快178。 standby設備的配置需要單獨設置（在cablebased設備。 Hello信息包（也通過所有其它端口發(fā)送）178。缺省值為5分鐘nat （inside） 1 0 0!允許內(nèi)部用戶發(fā)起到低安全級接口（DMZ1，DMZ2，DMZ3，DMZ4和外部接口）上的連接nat（dmz1） 1 0 0!允許dmz1用戶發(fā)起到低安全級接口（外部接口）上的連接nat（dmz2） 1 0 0!允許dmz2用戶發(fā)起到低安全級接口（DMZ1，外部接口）上的連接nat（dmz3） 1 0 0!允許dmz3用戶發(fā)起到低安全級接口（dmz2，dmz1，外部接口）上的連接nat（dmz4） 1 0 0!允許dmz4用戶發(fā)起到低安全級接口（DMZ1，DMZ2，DMZ3，外部接口）上的連接global （outside）1 netmask global （outside） 1 netmask !為外部接口建立一個全局地址池，以便其他接口上的用戶訪問因特網(wǎng)。缺省配置中提供該命令。靜態(tài)route命令的格式如下：route inside 1。178。第二個IP地址是服務器的準確地址。 為使dmz2接口上的用戶能夠啟動外部接口及dmz1 接口上的連接使用如下命令：nat （dmz2） 1 0 0178。下面的例子中，所有接口上的用戶可以訪問所有服務器，而在內(nèi)部、dmzdmzdmz3和dmz4接口上的主機可以啟動連接。outside的策略不嚴格，如any224。nat、global命令