Hvordan lage en tilgangslisten for Cisco PIX brannmur

Hvordan lage en tilgangslisten for Cisco PIX brannmur


Cisco Systems har lenge vært en salgsleder i data nettverksprodukter. Ciscos PIX brannmur løsning kobler vanligvis en sikker, bedriftsnettverk til ruteren som vender mot Internett. Denne ordningen gjør at en organisasjon for å tilby eksterne tjenester - for eksempel en web eller mail server - samtidig som interne datamaskiner trygt fra eksterne angrep. En PIX brannmur er mest pålitelig konfigureres gjennom kommandolinjegrensesnitt. Selv om mange kommandoer er tilgjengelige for å konfigurere brannmuren, tilgangskontrollisten (ACL) representerer de grunnleggende reglene for nettverkssikkerhet.

Bruksanvisning

1 Koble til brannmuren. Hvis telnet er aktivert, kan du åpne telnet program og skriver i brannmurens (IP) Internet Protocol-adresse. Ellers kobler en DB-9 serie til RJ-45-kabelen fra PCen til "Console" porten på PIX brannmur.

2 Skriv "ena" eller "aktiver" og trykk "Enter". Hvis du blir bedt om et passord, skriv det og trykk "Enter". Dette vil sette deg i administrative modus.

3 Skriv "Config T" eller "Konfigurer terminal" og trykk "Enter". Dette vil sette deg i den globale konfigurasjonsmodus.

4 Oppgi tilgangslisten konfigurasjonsmodus ved å skrive (uten anførselstegn) "IP aksess-liste [standard / utvidet] [" navn "/" nummer "]". Den "[standard / utvidet]" alternativet kan du angi om du vil at tilgangslisten for å være enkle eller har tilgang til utvidet kommandoer, for eksempel bruker (UDP) Datagram Protocol porter. Etter det, kan du velge å tildele deg eget navn til ACL eller gi det et nummer.

5 Opprett ACL, linje for linje, ved å gi følgende kommando (uten anførselstegn): «[nekte / tillatelse / bemerkning] [udp / tcp] [kilde adresse eller nettverks] [port] [reisemål vert eller nettverksadresse] [port] ". For eksempel kommandoen "tillatelse 192.168.1.0 255.255.255.0 vert 192.168.5.1 eq 80" ville fortelle PIX å tillate all trafikk som kommer fra en vert med en IP-adresse som starter med "192.168.1" for å sende trafikk til en rekke 192.168.5.1 på port "80" (WWW).

6 Type "exit" og trykk "Enter" når du er ferdig med å redigere tilgangslisten. Dette vil ta deg tilbake til global konfigurasjon modus.

7 Påfør ACL til grensesnittet du vil sjekkes ved å skrive kommandoen (minus anførselstegn) "access-gruppen [ACL navn / nummer] [/ ut] grensesnitt [grensesnitt navn]". Den "ACL navn / nummer" er navnet eller nummeret du ga til ACL, mens "inn / ut" forteller PIX om det bør undersøke pakker som de ankommer eller som de forsøker å gå gjennom grensesnittet. Grensesnittet heter det fysiske eller virtuelle grensesnitt der ACL skal anvendes (for eksempel "Eth0" ville være en Ethernet-port).

8 Skriv "kopi kjøre start" eller "kopiere kjører-config start-config" og trykk "Enter". Dette vil lagre konfigurasjonsendringer.

Hint

  • Å gjøre en ACL kan være en langtekkelig prosess, med rikelig med rom for feil. Det hjelper å skrive ut dine access-liste kommandoer i en ren tekst-programmet, og deretter klippe ut og lime dem inn i telnet program for å unngå feil.
  • Jokertegn kan bidra til fortgang i prosessen med å la trafikken. Du kan sette "noen" kommando ved kilden eller destinasjon (eller begge deler, selv om dette ikke anbefales generelt).
  • Hver access-list kommandoen er behandlet i rekkefølge. Derfor er rekkefølgen på dine kommandoer helt avgjørende! Hvis du plasserer en kommando som nekter tilgang fra ett nettverk til en ressurs, og deretter plassere et unntak (for eksempel tillate en vert fra det nettverket for å få tilgang til ressursen) etter at nekte uttalelse, dataene vil ikke gå gjennom.
  • Ikke noen gang gjøre store, utestet konfigurasjonsendringer i en brannmur blir aktivt brukt uten først å støtte opp konfigurasjonen. Hvis konfigurasjonen ikke kan testes før utplassering, så sørg for å søke på et tidspunkt da det er lite eller ingen aktivitet på nettverket.
  • Hvis du er usikker på hva du gjør, må du kontakte Cisco Systems for å få hjelp (se Ressurser).