Nwlapcug.com


Come creare un elenco di accesso per il Firewall Cisco PIX

Come creare un elenco di accesso per il Firewall Cisco PIX


Cisco Systems è un leader di vendita nei dati prodotti di networking. Soluzione di Cisco PIX firewall in genere si connette una rete azienda sicura al router che deve affrontare Internet. Questa disposizione consente a un'organizzazione offrire servizi esterni--ad esempio un server web o e-mail..--mantenendo i computer interni al sicuro da attacchi esterni. Un firewall PIX più affidabile è configurato tramite l'interfaccia della riga di comando. Anche se molti comandi sono disponibili per configurare il firewall, l'elenco di controllo di accesso (ACL) rappresenta le regole di base per la sicurezza della rete.

Istruzioni

1

Connettersi al firewall. Se telnet è abilitato, è possibile aprire il programma telnet e il tipo di indirizzo IP (Internet Protocol) del firewall. In caso contrario, collegare un seriale DB-9 RJ-45 cavo dal PC alla porta sul firewall PIX "Console".

2

Tipo "ena" o "attiva" e premere "Invio". Se viene chiesto di immettere una password, immettere tale e premere "Enter". Questo vi metterà in modalità amministrativa.

3

Digitare "Config T" o "Configure terminal" e premere "Invio". Questo vi metterà in modalità di configurazione globale.

4

Immettere la modalità di configurazione di accesso elenco digitare (senza virgolette) "lista di accesso IP [standard/estesi] ["nome "/" numero"]". L'opzione "[standard/estesi]" consente di specificare se si desidera che l'elenco di accesso per essere semplice o hanno accesso ai comandi estesi, ad esempio le porte User Datagram Protocol (UDP). Dopo di che, è possibile assegnarvi il proprio nome all'ACL o dare un numero.

5

Creare l'ACL, riga per riga, con il seguente comando (senza virgolette): "[negare/permesso/osservazione] [udp/tcp] [indirizzo di origine o rete] [porta] [indirizzo di rete o host di destinazione] [porta]". Ad esempio, il comando "permesso 192.168.1.0 255.255.255.0 ospitante 192.168.5.1 eq 80" avrebbe detto il PIX per consentire tutto il traffico proveniente da un host con un indirizzo IP che inizia con "192.168.1" per inviare il traffico a un host 192.168.5.1 sulla porta "80" (WWW).

6

Digitare "exit" e premere "Invio" dopo aver modificato l'elenco di accesso. Verrà restituito alla modalità di configurazione globale.

7

Applicare l'ACL per l'interfaccia che si desidera controllare digitando il comando (meno le virgolette) "-gruppo di accesso [ACL nome/numero] [in/out] interface [interfaccia nome]". Il "ACL nome/numero" è il nome o il numero assegnato all'ACL, mentre "in e out" dice il PIX spettava esaminare i pacchetti come arrivano a o nel tentativo di uscire attraverso l'interfaccia. Il nome dell'interfaccia è l'interfaccia fisica o virtuale dove l'ACL deve essere applicato (ad es., "Eth0" sarebbe una porta Ethernet).

8

Digitare "copia inizio esecuzione" o "copia running-config a partire-config" e premere "Invio". Questo salverà le modifiche di configurazione.

Consigli & Avvertenze

  • Fare un ACL può essere un processo noioso, con un sacco di spazio per l'errore. Consente di digitare i vostri comandi di accesso-list in un programma di testo, quindi tagliare e incollare il programma telnet per evitare errori.
  • I caratteri jolly possono aiutare a velocizzare il processo di consentire il traffico. Si può mettere il comando di "qualsiasi" presso l'origine o la destinazione (o entrambi, anche se questo non è generalmente raccomandato).
  • Ogni comando di accesso-list viene elaborato in sequenza. Pertanto, l'ordine dei comandi è assolutamente vitale! Se si inserisce un comando che nega l'accesso da una rete a una risorsa e quindi inserire un'eccezione (ad es., permesso un host da quella rete per accedere alla risorsa) dopo che negare l'istruzione, i dati non passerà attraverso.
  • Non fare mai le modifiche di configurazione principali, non testata a un firewall utilizzato attivamente senza prima il backup della configurazione. Se la configurazione non può essere testata prima della distribuzione, quindi assicuratevi di applicare alla volta quando c'è poca o nessuna attività sulla rete.
  • Se siete incerti circa quello che stai facendo, contattare Cisco Systems per l'assistenza (Vedi risorse).