首页 > 其他分享 >_PIX 7.0 Day 2

_PIX 7.0 Day 2

时间:2024-08-18 20:04:19浏览次数:10  
标签:outside 192.168 fw1 PIX 7.0 static nat config Day

pix只支持ip包,带有选项字段的ip包是过不了pix的,

传输层协议

tcp

面向连接可靠的传输层协议,确认机制,序列号,pix可以对tcp维护状态表项,列表只对初始化的包有效.

udp

面向无连接,没有确认机制,高效率.

nat

1.有限公网地址

2.私网地址转换公网

3.隐藏源ip地址,增加安全性.

高安全级别到低安全级别做nat.

低安全级别到高安全级别做static.

fw1(config)#nat (inside) 1 10.0.0.0 255.255.255.0

fw1(config)#nat (dmz) 1 172.16.0.0 255.255.255.0

fw1(config)#global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0

fw1(config)#global (dmz) 1 172.16.0.20-172.16.0.254 netmask 255.255.255.0

fw1(config)#nat (dmz) 0 192.168.0.9 255.255.255.255(nat 0加列表可以低到高)

static

低级别流量访问高级别.永久的转换槽位.

fw1(config)#static(dmzj,outside) 192.168.1.3 172.16.1.9 netmask 255.255.255.255

show local-host (那个主机的连接)

clear local-host (清理某个主机的连接)

nat static

fw1(config)#static (dmz,outside) 192.168.10.0 192.168.1.0 netmast 255.255.255.0

static pat:port redirection(端口重定向)

static (dmz,outside) tcp 218.18.100.2 23 10.1.1.2 23

static (dmz,outside) tcp interface 2323 10.1.1.2 23

connection limits(连接限制)控制连接数

static (dmz,outside) 218.18.100.2 2.2.2.2 tcp 2(同一时间tcp连接数,默认是0,代表不限制,) 2(半开连接数) udp (同一时间udp连接数2)基于主机的不是基于连接的,取最小值.

static要优先于nat.

nat策略

如果是启用了nat-control,一个包必须要经过转换才有可能通过pix,除了nat0加访问控制列表,如果没有转换槽位,他会动态的建立,如果没有包将被drop.

从高级别到低级别nat

一个包抵达inside接口或者高级别接口,首先查访问控制列表,如果没有访问控制列表就放行,源地址检测,检查转换情况,如果没有转换槽位,需要建立.查nat配置.nat0加访问控制列表最优先,然后是static nat,然后插static的pat,然后再查policy nat,然后再查正常nat.如果没有任何nat就drop.

acl

时间列表

fw1(config)#time-range temp-worker

fw1(config-time-range)#ahsolute start 00:00 1 august 2004 end 00:00:30 augst 2004

fw1(config-time-range)#periodic weekdays 8:00 to 17:00

fw1(config)#static (dmz,outside) 192.168.0.6 172.16.0.6

fw1(config)#access-list aclin permit tcp host 192.168.10.2 host 192.168.0.6 eq www time-range temp-worker

acl logging

fw1(config)#access-list outside-acl permit icmp any host 192.168.1.1 log interval 600

fw1(config)#access-list deny-flow-max 1024(匹配1024个不发logging)

fw1(config)#access-list alert-intervla 120(每120秒发送一次logging)

acl line number插入

fw1(config)#access-list aclout line 4 permit tcp any host 192.168.0.9 www

icmp

fw1(config)#icmp permit any echo-reply outside

fw1(config)#icmp permit any unreachable outside

隐含icmp deny any outside

nat0加访问控制列表协议一定要是ip.

policy nat可以随便.

aaa acl

access-list 110 permit tcp any host 192.168.2.10 eq www

aaa authentication match 110 outside my_acs

java filtering(java过滤)

activex filter(插件过滤)

fw1(config)#filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

fw1(config)#filter java 80 192.168.10.0 255.255.255.0 0 0

http url filtering(url过滤)

websense-based

n2h2 http

fw1(config)#url-server (dmz) vendor h2h2 host 172.16.0.3 protocol tcp

fw1(config)#filter url http 0 0 0 0 allow(当和url-server不能通信,放行)

fw1(config)#filter https 0 0 0 0 allow(websense-based支持)

ftp过滤

fw1(config)#url-server (dmz) vendor websense host 172.16.0.3 timeout 10 protocol tcp version 4

fw1(config)#filter url http 0 0 0 0 allow

标签:outside,192.168,fw1,PIX,7.0,static,nat,config,Day
From: https://www.cnblogs.com/smoke520/p/18366015

相关文章

  • python入门篇-day06-文件操作
    文件操作文件操作概述概述:​我们所熟知的操作系统,例如:Windows,MacOS,Linux都是文件操作系统,它们都是通过文件来管理数据的.文件的基本操作步骤:​1.打开文件.2.读取数据或者写入数据或者追加数据.3.关闭文件.文件操作涉及到的函数:open(文件......
  • 对象流,序列化和反序列化 day18
    packagecom.shujia.day18.ketang;importjava.io.*;/*序列化流:序列化:将一个对象转换成网络中传输的流对象输出流:ObjectOutputStream将一个类的对象写进文本中反序列化:将网络中传输的流还原成一个对象对象输入流:Object......
  • 嵌入式day30
    管道---半双工通信方式单工       //广播---单一方向的数据通道半双工        //对讲机---同一时刻只能有一个方向全双工        //手机电话---同一时刻两个方向都可以通信无名管道只能用于亲缘关系进程间有名管道是一种特殊......
  • Day01
    Markdown学习一级标题:#+空格+标题名字二级标题:##+空格+标题名字三级标题:###+空格+标题名字四级标题:####+空格+标题名字......最多到六级标题字体粗体:两边都加两个星号斜体:两边都加一个星号斜体加粗:两边都加三个星号删除线:两边都加两个波浪号引用一个大于符号加空格......
  • Ubuntu无法解析域名DNS指向127.0.0.53问题处理
    首次尝试编辑/etc/resolved.conf文件DNS为114.114.114.114发现reboot重启后又恢复到127.0.0.53的内容再次尝试修改文件vi/etc/systemd/resolved.conf 在其中添加dns信息DNS=114.114.114.114保存退出依次执行重启解析服务systemctlrestartsystemd-resolved设置解析服务......
  • JDBC链接MySQL day18
    packagecom.shujia.day18.ketang;importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.ResultSet;importjava.sql.Statement;/*我们要想操作mysql数据库,jdk本身是无法操作的,因为java并不知道将来开发者需要使用java连接什么样的数据库,所以j......
  • 2024 NVIDIA Summer Camp Day1:构建RAG多模态AI Agent
    下载材料和课件等课程相关资料下载链接:https://pan.baidu.com/s/15Y-gmsfeYCgKF-M3TJZVgg?pwd=fafe提取码:fafe 1.课件链接:https://pan.baidu.com/s/15JTy9CqnesXSlPiwwrUmjA?pwd=1111 提取码:1111 2.phi3量化大模型链接:https://pan.baidu.com/s/10HqxpkJmSyg-Bb......
  • java基础--day08面向对象以及键盘录入
    1.类和对象1.1类和对象的理解客观存在的事物皆为对象,所以我们也常常说万物皆对象。类类的理解类是对现实生活中一类具有共同属性和行为的事物的抽象类是对象的数据类型,类是具有相同属性和行为的一组对象的集合简单理解:类就是对现实事物的一种描述类的组成......
  • day24-测试之接口测试基础
    目录一、接口的定义二、接口的优点三、API接口四、接口测试流程五、网络基础概念六、HTTP和RURL七、get和post请求八、数据格式九、状态码十、restful风格十一、接口工具一、接口的定义     程序之间协作所要遵循的一套规范、标准二、接口的优点  ......
  • day23-测试自动化之Appium的滑动和拖拽事件、高级手势ActionChains、手机操作API
    目录一、滑动和拖拽事件    1.1.应用场景    1.2.swipe滑动事件    1.3.scroll滑动事件    1.4.drag_and_drop拖拽事件    1.5.滑动和拖拽事件的选择二、高级手势ActionChains    2.1.应用场景    2.2.使用......