【導(dǎo)讀】載一個免費的、可以在實驗室長期使用的產(chǎn)品，并且可以根據(jù)需要持續(xù)使用。您可以將該程序安裝在任何Windows2020或XP工作站上。1．假設(shè)一個組織為其設(shè)計一個代理服務(wù)器方案。2．選擇下載一種代理服務(wù)器軟件，進行代理服務(wù)器軟件的安裝、配置和測試。務(wù)器動態(tài)生成的。如果安裝NetProxy的工作站使用了不同的IP地址，則NetProxy會提示。您用默認的IP地址代替計算機的實際IP地址。2．配置客戶機與代理一起工作。3．使用自動配置文件配置瀏覽器。4．配置應(yīng)用程序使用SOCKS。6．建立Tel連接，然后阻斷。分析代理服務(wù)器在企業(yè)的安全中的作用和實施方法。若干PC機組成的網(wǎng)絡(luò)系統(tǒng)。pixfirewall#／提示符變?yōu)?，表明已進入特權(quán)模式。第六步：將PIX防火墻的DMZ接口命名為dmz，并將其安全級別設(shè)為50。IP地址172．15．1．1，DMZ接口分配IP地址10．1．1．1，子網(wǎng)掩碼都設(shè)置為255．255．255．O。

　　

【正文】 指的是服務(wù)所作用的端 口，例如 使用 80， smtp 使用 25 等等，我們可以通過服務(wù)名稱或端口數(shù)字來指定端口。 protocol 指的是連接協(xié)議，比如： TCP、 UDP、 ICMP 等。 foreign_ip 表示可訪問 global_ip 的外部 ip。對于任意主機，可以用 any表示。如果 foreign_ip 是一臺主機，就用 host 命令參數(shù)。 例 1. Pix525(config)conduit permit tcp host eq any 這個例子表示允許任何外部主機對全局地址 的這臺主機進行 26 訪問。其中使用 eq 和一個端口來允許或拒絕對這個端口的訪問。 Eq ftp 就是指允許或拒絕只對 ftp 的訪問。 例 2. Pix525(config)conduit deny tcp any eq ftp host 表示不允許外部主機 對任何全局地址進行 ftp 訪問。 例 3. Pix525(config)conduit permit icmp any any 表示允許 icmp 消息向內(nèi)部和外部通過。 例 4. Pix525(config)static (inside, outside) Pix525(config)conduit permit tcp host eq any 這個例子說明 static 和 conduit 的關(guān)系。 在內(nèi)網(wǎng)是一臺 web服務(wù)器，現(xiàn)在希望外網(wǎng)的用戶能夠通過 pix 防火墻得到 web 服務(wù)。所以先做static 靜態(tài)映射： － 。（全局），然后利用 conduit命令允許任何 外部主機對全局地址 進行 訪問。 C. 配置 fixup 協(xié)議 fixup命令作用是啟用，禁止，改變一個服務(wù)或協(xié)議通過 pix防火墻，由 fixup命令指定的端口是 pix 防火墻要偵聽的服務(wù)。見下面例子： 例 1． Pix525(config)fixup protocol ftp 21 啟用 ftp 協(xié)議，并指定 ftp 的端口號為 21 例 2． Pix525(config)fixup protocol 80 Pix525(config)fixup protocol 1080 為 協(xié)議指定 80 和 1080 兩個端口。 例 3． Pix525(config)no fixup protocol smtp 80 禁用 smtp 協(xié)議。 D. 設(shè)置 tel tel 有一個版本的變化。在 pix OS （ pix*作系統(tǒng)的版本號）之前，只能從內(nèi)部網(wǎng)絡(luò)上的主機通過 tel 訪問 pix。在 pix OS 及后續(xù)版本中，可以在所有的接口上啟用 tel 到 pix 的訪問。當(dāng)從外部接口要 tel到 pix 防火墻時， tel 數(shù)據(jù)流需要用 ipsec 提供保護 ，也就是說用戶必須配置 pix 來建立一條到另外一臺 pix，路由器或 vpn 客戶端的 ipsec 隧道。另外就是在 PIX 上配置 SSH，然后用 SSH client 從外部 tel 到 PIX 防火墻， PIX 支持 SSH1 和 SSH2，不過 SSH1 是免費軟件， SSH2 是商業(yè)軟件。相比之下 cisco 路由器的 tel 就作的不怎么樣了。 tel 配置語法： tel local_ip [mask] local_ip 表示被授權(quán)通過 tel 訪問到 pix 的 ip 地址。如果不設(shè)此項，pix 的配置方式只能由 console 進行。 說了這么多，下面給出一個配置實例供大家參考。 Wele to the PIX firewall Type help or 39。?39。 for a list of available mands. 27 PIX525。 en Password: PIX525sh config : Saved : PIX Version (1) PIX 當(dāng)前的 *作系統(tǒng)版本為 Nameif ether0 outside security0 Nameif ether1 inside security100 顯示目前 pix 只有 2 個接口 Enable password 7Y051HhCcoiRTSQZ encrypted Passed 7Y051HhCcoiRTSQZ encrypted pix 防火墻密碼在默認狀態(tài)下已被加密，在配置文件中不會以明文顯示， tel 密碼缺省為 cisco Hostname PIX525 主機名稱為 PIX525 Domainname 本地的一個域 名服務(wù)器 ，通常用作為外部訪問 Fixup protocol ftp 21 Fixup protocol 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sql 1521 fixup protocol sip 5060 當(dāng)前啟用的一些服務(wù)或協(xié)議，注意 rsh服務(wù)是不能改變端口號 names 解析本地主機名到 ip 地址，在配置中可以用名字代替 ip 地址，當(dāng)前沒有設(shè)置，所以列表為空 pager lines 24 每 24 行一分頁 interface ether0 auto interface ether1 auto 設(shè)置兩個網(wǎng)卡的類型為自適應(yīng) mtu outside 1500 mtu inside 1500 以太網(wǎng)標準的 MTU 長度為 1500 字節(jié) ip address outside ip address inside pix 外網(wǎng)的 ip 地址 ，內(nèi)網(wǎng)的 ip 地址 ip audit info action alarm ip audit attack action alarm pix 入侵檢測的 2 個命令。當(dāng)有數(shù)據(jù)包具有攻擊或報告型特征碼時， pix 將采取報警動作（缺省動作），向指定的日志記錄主機產(chǎn)生系統(tǒng)日志消息；此外還可以作出丟棄數(shù)據(jù)包和發(fā)出tcp 連接復(fù)位信號等動作，需另外配置。 pdm history enable PIX 設(shè)備管理器可以圖形化的監(jiān)視 PIX arp timeout 14400 arp 表的超時時間 global (outside) 1 如果你訪問外部論壇或用 聊天等等，上面顯示的 ip 就是這個 nat (inside) 1 0 0 28 static (inside, outside) mask 0 0 conduit permit icmp any any conduit permit tcp host eq any conduit permit udp host eq domain any 用 這個 ip 地址提供 domainname 服務(wù)，而且只允許外部用戶訪問 domain 的 udp 端口 route outside 1 外部網(wǎng)關(guān) timeout xlate 3:00:00 某個內(nèi)部設(shè)備向外部發(fā)出的 ip 包經(jīng)過翻譯(global)后，在缺省 3 個小時之后此數(shù)據(jù)包若沒有活動，此前創(chuàng)建的表項將從翻譯表中刪除，釋放該設(shè)備占用的全局地址 timeout conn 1:00:00 halfclosed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute AAA 認證的超時時間， absolute表示連續(xù)運行 uauth 定時器，用戶超時后，將強制重新認證 aaaserver TACACS+ protocol tacacs+ aaaserver RADIUS protocol radius AAA 服務(wù)器的兩種協(xié)議。 AAA是指認證，授權(quán)，審計。 Pix 防火墻可以通過 AAA 服務(wù)器增加內(nèi)部網(wǎng)絡(luò)的安全 no snmpserver location no snmpserver contact snmpserver munity public 由于沒有設(shè)置 snmp 工作站，也就沒有 snmp 工作站的位置和聯(lián)系人 no snmpserver enable traps 發(fā)送 snmp 陷阱 floodguard enable 防止有人偽造大量認證請求，將 pix 的 AAA 資源用完 no sysopt route dnat tel timeout 5 ssh timeout 5 使用 ssh 訪問 pix 的超時時間 terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7 PIX525 PIX525write memory 將配置保存 上面這個配置實例需要說明一下， pix 防火墻直接擺在了與 inter 接口處，此處網(wǎng)絡(luò)環(huán)境有十幾個公有 ip,可能會有朋友問如果我的公有 ip 很有限怎么辦？你可以添加 router 放在 pix 的前面，或者 global 使用單一 ip 地址，和外部接口的 ip 地址相同即可。另外有幾個維護命令也很有用， show interface 查看端口狀態(tài) ， show static 查看靜態(tài)地址映射， show ip 查看接口 ip 地址， ping outside | inside ip_address 確定連通性。 Cisco PIX515 接入實例 29 pix。enable pixconf t pix(config)enable password cisco encry pix(config)interface eth0 auto pix(config)interface eth1 auto pix(config)interface eth2 auto pix(config)nameif e2 DMZ security50 pix(config)ip add inside pix(config)ip add outside pix(config)ip add dmz pix(config)static (dmz,outside) tcp 80 80 mask 0 0 pix(config)static (dmz,outside) tcp 443 443 mask 0 0 conduit permit tcp host eq 80 any conduit permit tcp host eq 443 any 。web 服務(wù)器的靜態(tài)映射 pix(config)static (dmz,outside) tcp 80 80 mask 0 0 pix(config)static (dmz,outside) tcp 443 443 mask 0 0 pix(config)static (dmz,outside) tcp 25 25 mask 0 0 conduit permit tcp host eq 80 any conduit permit tcp host eq 443 any conduit permit tcp host eq 25 any 。郵件服務(wù)器的靜態(tài)映射 pix(config)static (dmz,outside) tcp 80 80 mask 0 0 pix(config)static (dmz,outside) tcp 554 554 mask 0 0 pix(config)static (dmz,outside) tcp 1755 1755 mask 0 0 pix(config)static (dmz,outside) udp 1755 1755 mask 0 0 pix(config)static (dmz,outside) udp 5005 5005 mask 0 0 conduit permit tcp host eq 80 any conduit permit tcp host eq 554 any conduit permit tcp host eq 1755 any conduit permit udp host eq 1755 any conduit permit udp host eq 5005 any 。配置 vod1 服務(wù)器的靜態(tài)映射 pix(config)static (dmz,outside) tcp 80 30 80 mask 0 0 pix(config)st