【正文】 bal （outside） 1 netmask !為外部接口建立一個全局地址池，以便其他接口上的用戶訪問因特網(wǎng)。設(shè)備。 配置同步的速度快178。macEthernet（GE）（1000BASET）full 在active設(shè)備上輸入write100fullnameifhostnameoutsidenattcpethernet0security10nameifaddressipprimaryfailoversecurity10ipkeyPIX IDS不能向Cisco Secure Policy Manager或IDS管理器發(fā)警告，只能向syslog服務(wù)器發(fā)警告。n ssh ip_address [netmask] [interface_name] n ssh timeout number注意事項：PIX防火墻支持SSH版本1中提供的SSH遠程殼式程序。outside的策略不嚴格，如any224。解決方案： a) 從Cisco網(wǎng)站下載最新PIX防火墻操作系統(tǒng)版本b) 在本地通過tftp方式升級。如果你在filter命令中使用了allow選項而WebSENSE服務(wù)器斷線，端口80處的流量將會通過PIX防火墻而不被過濾。addressoutsideroute12345678failoverfailoverencryptedpasswordethernet3in0staticipaddresssecurity100nameifstandby命令時，standby設(shè)備會從active設(shè)備同步配置；配置示例1：CableBasedlink端口雖然可以使用交換機相連，但為避免額外的故障點，還是推薦使用交叉線直接將端口相連。 全狀態(tài)Failover（Statefulfailover中，其電纜的Primary端連接的就是Primary設(shè)備；Secondary端連接的PIX就稱為Sencondary設(shè)備。Link的缺點主要有：178。 設(shè)備的當前狀態(tài)（active和standby）178。hostname pixfirewall!為防火墻設(shè)定主機名，該主機名出現(xiàn)在命令行提示符中。178。 為使用戶能夠從內(nèi)部接口啟動dmz1，dmz2，dmz3，dmz4和外部接口上的連接使用如下命令：nat （inside） 1 0 0178。同時也提供了PIX防火墻自身的安全加固建議，防止針對防火墻的直接攻擊。 為允許從內(nèi)部接口和dmz3，dmz4接口轉(zhuǎn)換來的連接訪問dmz2接口，使用如下命令：global （dmz2） 1 178。 內(nèi)部接口：。這允許外部用戶通過Telnet登陸到服務(wù)器，并從服務(wù)器訪問防火墻控制臺。因為設(shè)備可以通過此電纜感知對方的電源狀態(tài)，而且能分辨出是設(shè)備斷電還是根本沒插電源線。 占用以太網(wǎng)端口基于以太網(wǎng)的Failoverlink獲得Primary設(shè)備的MAC地址。Ethernet（100BASET）full 配置同步只改變runningconfig，而不會把配置存到Flashethernet2crichtonfailover10accesslist1配置示例2：LANBasedsecurity100nameifoutsideaddressstatefailovernattcp100fullnameifinterface：urlserver （perimeter） host filter url 0 0 0 0filter url except 0 0 典型配置（5）——入侵檢測（1）或更高的版本，加入了入侵檢測功能。 配置了telnet允許，地址段是調(diào)試時的地址，沒有更 改為管理工作站的地址危害：未授權(quán)用戶管理控制防火墻檢測方法：從主機啟動一個到PIX防火墻接口IP地址的Telnet會話。解決方案： 利用PIX防火墻提供的WEB管理界面對防火墻的策略配置進行審計，并依據(jù)實際的業(yè)務(wù)系統(tǒng)信任關(guān)系對防火墻策略進行調(diào)整，去掉insideoutside的雙向全通的全放過規(guī)則，提高對受保護系統(tǒng)的保護級別。 檢測方法：在PIX防火墻的特權(quán)模式下輸入show snmp命令查看snmp信息。步驟2：使用filter命令進行過濾。lan00（outside）addressstateoutsideoutsidefailoveripsecurity20enableethernet0link與Failover在全狀態(tài)Failover中，必需使用一個以太連接（Ethernet當兩臺設(shè)備同時啟動，而且都處于健康狀態(tài)時，Primary設(shè)備就是Active設(shè)備；當Primary設(shè)備產(chǎn)生故障時，發(fā)生failover事件，Seconary設(shè)備就成為Active設(shè)備。failover中，standby設(shè)備可以不用enable任何端口或不用設(shè)置IP地址的時候就跟active設(shè)備通訊，并從active設(shè)備接受整個的配置信息。 Active設(shè)備向Standby設(shè)備傳遞配置（稱為配置同步）Failoverno failover!無效failover訪問。 DMZ3接口：。 為使dmz3接口上的用戶能夠啟動dmz1，dmz2，dmz3和外部接口上的連接使用如下命令：nat （dmz3） 1 0 0178。中國移動PIX防火墻安全配置手冊Version 中國移動通信有限公司二零零四年十二月擬 制:審 核:批 準:會 簽:標準化:版本控制版本號日期參與人員更新說明分發(fā)控制編號讀者文檔權(quán)限與文檔的主要關(guān)系1創(chuàng)建、修改、讀取負責編制、修改、審核2批準負責本文檔的批準程序3標準化審核作為本項目的標準化負責人，負責對本文檔進行標準化審核4讀取5讀取25 / 25目錄1 綜述 52 CISCO PIX的幾種典型配置 6 典型配置（1）——訪問控制、包過濾和NAT 6 網(wǎng)絡(luò)拓撲圖 6 配置環(huán)境 6 配置舉例 9 典型配置（2）——IPsec VPN Tunnel 13 網(wǎng)絡(luò)拓撲圖 13 配置 13 典型配置（3）——雙機熱備 15 典型配置（4）——內(nèi)容過濾 20 filter activex示例 20 filter url示例 20 典型配置（5）——入侵檢測 213 PIX防火墻自身加固 23 P