AnyView(网络警)网络监控软件专业版是国内目前最专业局域网网络监控软件产品。包含局域网上网监控和内网监控;邮件监控、Webmail发送监视、聊天监控、P2P禁止、流量监控、并发连接数限制、禁止聊天工具文件传输、屏幕监视和录象、USB等硬件禁止、应用软件限制、窗口和文件监控、打印监控、ARP火墙、消息发布、日志报警、FTP命令监视、TELNET命令监视、网络行为审计、操作员审计、文件自动备份功能、软网关、通过网页发送文件监视、资产管理、包含TIM/QQ/微信/钉钉等19类聊天记录内容监视功能;
AnyView官方下载1 官方下载1
AnyView官方下载2 官方下载2
Anyview非凡下载 非凡下载
Anyview当下软件园 当下软件园
摘要:网络监控设备,网络行为监控,Cisco PIX防火墙配置命令大全,局域网监控,PIX防火墙详解,防火墙配置教程,防火墙配置命令大全
 
网络监控设备,网络行为监控,Cisco PIX防火墙配置命令大全
一、PIX防火墙的认识
PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。
PIX有很多型号,并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。
PIX防火墙常见接口有:console、Failover、Ethernet、USB。
网络区域:
内部网络:inside
外部网络:outside
中间区域:称DMZ(停火区)。放置对外开放的服务器。
二、防火墙的配置规则
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。
(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
三、PIX防火墙的配置模式
PIX防火墙的配置模式与路由器类似,有4种管理模式:
PIXfirewall>:用户模式
PIXfirewall#:特权模式
PIXfirewall(config)#:配置模式
monitor>:ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
四、PIX基本配置命令
常用命令有:nameif、interface、ipaddress、nat、global、route、static等。
1、nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。
例如要求设置:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1命名为内部接口inside,安全级别是100。
ethernet2命名为中间接口dmz,安装级别为50。
使用命令:
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
2、interface
配置以太口工作状态,常见状态有:auto、100full、shutdown。
auto:设置网卡工作在自适应状态。
100full:设置网卡工作在100Mbit/s,全双工状态。
shutdown:设置网卡接口关闭,否则为激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet1100fullshutdown
3、ipaddress
配置网络接口的IP地址,例如:
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252
PIX525(config)#ipaddressinside192.168.0.1255.255.255.0
内网inside接口使用私有地址192.168.0.1,外网outside接口使用公网地址133.0.0.1。
4、global
指定公网地址范围:定义地址池。
Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmarkglobal_mask]:表示全局ip地址的网络掩码。
例如:
PIX525(config)#global(outside)1133.0.0.1-133.0.0.15
地址池1对应的IP是:133.0.0.1-133.0.0.15
PIX525(config)#global(outside)1133.0.0.1
地址池1只有一个IP地址133.0.0.1。
PIX525(config)#noglobal(outside)1133.0.0.1
表示删除这个全局表项。
5、nat
地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:nat(if_name)nat_idlocal_ip[netmark]
其中:
(if_name):表示接口名称,一般为inside.
nat_id:表示地址池,由global命令定义。
local_ip:表示内网的ip地址。对于0.0.0.0表示内网所有主机。
[netmark]:表示内网ip地址的子网掩码。
在实际配置中nat命令总是与global命令配合使用。
一个指定外部网络,一个指定内部网络,通过net_id联系在一起。
例如:
PIX525(config)#nat(inside)100
表示内网的所有主机(00)都可以访问由global指定的外网。
PIX525(config)#nat(inside)1172.16.5.0255.255.0.0
表示只有172.16.5.0/16网段的主机可以访问global指定的外网。
6、route
route命令定义静态路由。
语法:
route(if_name)00gateway_ip[metric]
其中:
(if_name):表示接口名称。
00:表示所有主机
Gateway_ip:表示网关路由器的ip地址或下一跳。
[metric]:路由花费。缺省值是1。
例如:
PIX525(config)#routeoutside00133.0.0.11
设置缺省路由从outside口送出,下一跳是133.0.0.1。
00代表0.0.0.00.0.0.0,表示任意网络。
PIX525(config)#routeinside10.1.0.0255.255.0.010.8.0.11
设置到10.1.0.0网络下一跳是10.8.0.1。最后的“1”是花费。
7、static
配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
其中:
internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
outside_ip_address表示外部网络的公有ip地址。
inside_ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外,外边的顺序是先外后内)
例如:
PIX525(config)#static(inside,outside)133.0.0.1192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址。
PIX525(config)#static(dmz,outside)133.0.0.1172.16.0.2
中间区域ip地址172.16.0.2,访问外部时被翻译成133.0.0.1全局地址。
8、conduit
管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。
例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。
语法:
conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
其中:
global_ip是一台主机时前面加host参数,所有主机时用any表示。
foreign_ip表示外部ip。
[netmask]表示可以是一台主机或一个网络。
例如:
PIX525(config)#static(inside,outside)133.0.0.1192.168.0.3
PIX525(config)#conduitpermittcphost133.0.0.1eqwwwany
这个例子说明static和conduit的关系。192.168.0.3是内网一台web服务器,
现在希望外网的用户能够通过PIX防火墙访问web服务。
所以先做static静态映射:192.168.0.3->133.0.0.1
然后利用conduit命令允许任何外部主机对全局地址133.0.0.1进行http访问。
9、访问控制列表ACL
访问控制列表的命令与couduit命令类似,
例:
PIX525(config)#access-list100permitipanyhost133.0.0.1eqwww
PIX525(config)#access-list100denyipanyany
PIX525(config)#access-group100ininterfaceoutside
10、侦听命令fixup
作用是启用或禁止一个服务或协议,
通过指定端口设置PIX防火墙要侦听listen服务的端口。
例:
PIX525(config)#fixupprotocolftp21
启用ftp协议,并指定ftp的端口号为21
PIX525(config)#fixupprotocolhttp8080
PIX525(config)#nofixupprotocolhttp80
启用http协议8080端口,禁止80端口。
11、telnet
当从外部接口要telnet到PIX防火墙时,telnet数据流需要用vpn隧道ipsec提供保护或
在PIX上配置SSH,然后用SSHclient从外部到PIX防火墙。
例:
telnetlocal_ip[netmask]
local_ip表示被授权可以通过telnet访问到PIX的ip地址。
如果不设此项,PIX的配置方式只能用console口接超级终端进行。
12、显示命令:
showinterface ;查看端口状态。
showstatic;查看静态地址映射。
showip;查看接口ip地址。
showconfig;查看配置信息。
showrun;显示当前配置信息。
writeterminal;将当前配置信息写到终端。
showcpuusage;显示CPU利用率,排查故障时常用。
showtraffic;查看流量。
showblocks;显示拦截的数据包。
showmem;显示内存
13、DHCP服务
PIX具有DHCP服务功能。
例:
PIX525(config)#ipaddressdhcp
PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200inside
PIX525(config)#dhcpdns202.96.128.68202.96.144.47
PIX525(config)#dhcpdomainabc.com.cn
五、PIX防火墙举例
设:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1被命名为内部接口inside,安全级别100。
ethernet2被命名为中间接口dmz,安全级别50。
PIX525#conft
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet2100full
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252;设置接口IP
PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;设置接口IP
PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;设置接口IP
PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;定义的地址池
PIX525(config)#nat(inside)100;00表示所有
PIX525(config)#routeoutside00133.0.0.2;设置默认路由
PIX525(config)#static(dmz,outside)133.1.0.110.65.1.101;静态NAT
PIX525(config)#static(dmz,outside)133.1.0.210.65.1.102;静态NAT
PIX525(config)#static(inside,dmz)10.66.1.20010.66.1.200;静态NAT
PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;设置ACL
PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;设置ACL
PIX525(config)#access-list101denyipanyany;设置ACL
PIX525(config)#access-group101ininterfaceoutside;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会
映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。
PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。
    时间: 2014-5-22 14:49:31   作者: AnyView(网络警)网络监控软件   点击:

    相关资讯:
[网络监控软件在企业网管中应用实践] 怎样对员工上网行为管理,网络安全审计,局域网行为监控,员工行为管理
[网络监控软件在企业网管中应用实践] 企业网管七个错误,网络管理经验谈,怎样做好网络管理,局域网管理策略
[网络监控软件在企业网管中应用实践] 如何最明智地管理员工上网行为,怎样局域网上网监控,员工上网行为监控
[网络监控软件在企业网管中应用实践] 企业上网管理系统如何有效建立,怎样局域网上网监控,员工上网权限管理
[网络监控软件在企业网管中应用实践] 局域网应用软件限制策略,局域网内网监控,应用程序监控,应用软件限制策略
[网络监控软件在企业网管中应用实践] 局域网网管应用技巧:内网安全十大策略说明,内网安全与网络边界安全不同
[网络监控软件在企业网管中应用实践] 如何关注中小企业网络管理,中小企业局域网监控,网络管理五大基本功能
[网络监控软件在企业网管中应用实践] IP网络监控和局域网监控,逐渐成熟并升温的新兴市场,视频监控,网络监控
[网络监控软件在企业网管中应用实践] 上网行为管理软件和上网监控系统是企业局域网管理的良方,上网监监控系统
[网络监控软件在企业网管中应用实践] 局域网监控:三分技术七分管理,如何加强内网监控,网络监控软件,内网监控
|  站点地图  |  关于我们  |  友情链接  |  常见问题  |  下载中心  |  购买中心  |  网络监控  |  透明加密  |  上网监控  |  内网监控  |  技术资料  |  产品优势  |  消息发布  |  经营管理  |  监控软件  |
|  邮件监控  |  WebMAIL发送监控  |  流量监控  |  聊天记录监控  |  FTP命令监控  |  屏幕监控  |  网页监控  |  端口限制  |  P2P下载限制  |  ARP防火墙  |  反复制防泄密软件  |  局域网监控  |
|  扩展应用  |  并发连接数限制  |  文件自动备份  |  网络管理  |  网络安全  |  信息安全  |  打印监控  |  USB等硬件限制  |  QQ内容监控  |  上网监管软件  |  封堵电驴  |  限制BT   |  禁止讯雷  |
|  企业网管  |  上网行为审计  |  协议分析  |  TELNET监控  |  应用程序限制  |  监视过滤  |  日志报警  |  聊天限制  |  游戏限制  |  操作审计  |  MSN监控  |  文件监控  |  窗口监视  |  资产管理  |
|  监控工具软件  |  监控产品  |  管理员工上网  |  监控上网  |  控制员工上网  |  屏蔽QQ  |  屏蔽MSN  |  屏蔽聊天软件  |  封堵QQ  |  封堵MSN  |  封堵聊天软件  |  软件产业动态  |  网络技术  |
| 局域网监控  |  流量监控  |  局域网管理  |  窗口限制  |  禁止QQ等发送文件  |  上网管理软件  |  上网行为监控  |  上网行为管理软件  |  内网监控软件  |  文件加密   |  业界法规  |  禁止炒股  |

    Copyright  ©  2000-2024 厦门天锐科技股份有限公司  TEL:0592-2651619 / 13906050680 ;    微信: 15359220936
    EMAIL: Sales@amoisoft.com;Order@amoisoft.com;Tech@amoisoft.com;钉钉: 15359220936
    QQ:9908430(综合),850753251(购买1),573982850(购买2),969263561(技术1),53864605(技术2)

 厦门网警网络110  闽ICP备06031865号-2
闽公网安备    闽公网安备 35021102001278号