【正文】 bal （outside） 1 netmask !為外部接口建立一個(gè)全局地址池，以便其他接口上的用戶(hù)訪問(wèn)因特網(wǎng)。設(shè)備。 配置同步的速度快178。macEthernet（GE）（1000BASET）full 在active設(shè)備上輸入write100fullnameifhostnameoutsidenattcpethernet0security10nameifaddressipprimaryfailoversecurity10ipkeyPIX IDS不能向Cisco Secure Policy Manager或IDS管理器發(fā)警告，只能向syslog服務(wù)器發(fā)警告。n ssh ip_address [netmask] [interface_name] n ssh timeout number注意事項(xiàng)：PIX防火墻支持SSH版本1中提供的SSH遠(yuǎn)程殼式程序。outside的策略不嚴(yán)格，如any224。解決方案： a) 從Cisco網(wǎng)站下載最新PIX防火墻操作系統(tǒng)版本b) 在本地通過(guò)tftp方式升級(jí)。如果你在filter命令中使用了allow選項(xiàng)而WebSENSE服務(wù)器斷線，端口80處的流量將會(huì)通過(guò)PIX防火墻而不被過(guò)濾。addressoutsideroute12345678failoverfailoverencryptedpasswordethernet3in0staticipaddresssecurity100nameifstandby命令時(shí)，standby設(shè)備會(huì)從active設(shè)備同步配置；配置示例1：CableBasedlink端口雖然可以使用交換機(jī)相連，但為避免額外的故障點(diǎn)，還是推薦使用交叉線直接將端口相連。 全狀態(tài)Failover（Statefulfailover中，其電纜的Primary端連接的就是Primary設(shè)備；Secondary端連接的PIX就稱(chēng)為Sencondary設(shè)備。Link的缺點(diǎn)主要有：178。 設(shè)備的當(dāng)前狀態(tài)（active和standby）178。hostname pixfirewall!為防火墻設(shè)定主機(jī)名，該主機(jī)名出現(xiàn)在命令行提示符中。178。 為使用戶(hù)能夠從內(nèi)部接口啟動(dòng)dmz1，dmz2，dmz3，dmz4和外部接口上的連接使用如下命令：nat （inside） 1 0 0178。同時(shí)也提供了PIX防火墻自身的安全加固建議，防止針對(duì)防火墻的直接攻擊。 為允許從內(nèi)部接口和dmz3，dmz4接口轉(zhuǎn)換來(lái)的連接訪問(wèn)dmz2接口，使用如下命令：global （dmz2） 1 178。 內(nèi)部接口：。這允許外部用戶(hù)通過(guò)Telnet登陸到服務(wù)器，并從服務(wù)器訪問(wèn)防火墻控制臺(tái)。因?yàn)樵O(shè)備可以通過(guò)此電纜感知對(duì)方的電源狀態(tài)，而且能分辨出是設(shè)備斷電還是根本沒(méi)插電源線。 占用以太網(wǎng)端口基于以太網(wǎng)的Failoverlink獲得Primary設(shè)備的MAC地址。Ethernet（100BASET）full 配置同步只改變r(jià)unningconfig，而不會(huì)把配置存到Flashethernet2crichtonfailover10accesslist1配置示例2：LANBasedsecurity100nameifoutsideaddressstatefailovernattcp100fullnameifinterface：urlserver （perimeter） host filter url 0 0 0 0filter url except 0 0 典型配置（5）——入侵檢測(cè)（1）或更高的版本，加入了入侵檢測(cè)功能。 配置了telnet允許，地址段是調(diào)試時(shí)的地址，沒(méi)有更 改為管理工作站的地址危害：未授權(quán)用戶(hù)管理控制防火墻檢測(cè)方法：從主機(jī)啟動(dòng)一個(gè)到PIX防火墻接口IP地址的Telnet會(huì)話。解決方案： 利用PIX防火墻提供的WEB管理界面對(duì)防火墻的策略配置進(jìn)行審計(jì)，并依據(jù)實(shí)際的業(yè)務(wù)系統(tǒng)信任關(guān)系對(duì)防火墻策略進(jìn)行調(diào)整，去掉insideoutside的雙向全通的全放過(guò)規(guī)則，提高對(duì)受保護(hù)系統(tǒng)的保護(hù)級(jí)別。 檢測(cè)方法：在PIX防火墻的特權(quán)模式下輸入show snmp命令查看snmp信息。步驟2：使用filter命令進(jìn)行過(guò)濾。lan00（outside）addressstateoutsideoutsidefailoveripsecurity20enableethernet0link與Failover在全狀態(tài)Failover中，必需使用一個(gè)以太連接（Ethernet當(dāng)兩臺(tái)設(shè)備同時(shí)啟動(dòng)，而且都處于健康狀態(tài)時(shí)，Primary設(shè)備就是Active設(shè)備；當(dāng)Primary設(shè)備產(chǎn)生故障時(shí)，發(fā)生failover事件，Seconary設(shè)備就成為Active設(shè)備。failover中，standby設(shè)備可以不用enable任何端口或不用設(shè)置IP地址的時(shí)候就跟active設(shè)備通訊，并從active設(shè)備接受整個(gè)的配置信息。 Active設(shè)備向Standby設(shè)備傳遞配置（稱(chēng)為配置同步）Failoverno failover!無(wú)效failover訪問(wèn)。 DMZ3接口：。 為使dmz3接口上的用戶(hù)能夠啟動(dòng)dmz1，dmz2，dmz3和外部接口上的連接使用如下命令：nat （dmz3） 1 0 0178。中國(guó)移動(dòng)PIX防火墻安全配置手冊(cè)Version 中國(guó)移動(dòng)通信有限公司二零零四年十二月擬 制:審 核:批 準(zhǔn):會(huì) 簽:標(biāo)準(zhǔn)化:版本控制版本號(hào)日期參與人員更新說(shuō)明分發(fā)控制編號(hào)讀者文檔權(quán)限與文檔的主要關(guān)系1創(chuàng)建、修改、讀取負(fù)責(zé)編制、修改、審核2批準(zhǔn)負(fù)責(zé)本文檔的批準(zhǔn)程序3標(biāo)準(zhǔn)化審核作為本項(xiàng)目的標(biāo)準(zhǔn)化負(fù)責(zé)人，負(fù)責(zé)對(duì)本文檔進(jìn)行標(biāo)準(zhǔn)化審核4讀取5讀取25 / 25目錄1 綜述 52 CISCO PIX的幾種典型配置 6 典型配置（1）——訪問(wèn)控制、包過(guò)濾和NAT 6 網(wǎng)絡(luò)拓?fù)鋱D 6 配置環(huán)境 6 配置舉例 9 典型配置（2）——IPsec VPN Tunnel 13 網(wǎng)絡(luò)拓?fù)鋱D 13 配置 13 典型配置（3）——雙機(jī)熱備 15 典型配置（4）——內(nèi)容過(guò)濾 20 filter activex示例 20 filter url示例 20 典型配置（5）——入侵檢測(cè) 213 PIX防火墻自身加固 23 P