pixfirewall(config)#nameif ethernet1 inside sec100
pixfirewall(config)#nameif ethernet2 dmz sec50
pixfirewall(config)#nameif ethernet3 parternet sec20
pixfirewall(config)#int eth0 auto
pixfirewall(config)#int eth1 auto
pixfirewall(config)#int eth2 auto
pixfirewall(config)#int eth3 auto
pixfirewall(config)#ip add outside 192.168.0.2 255.255.255.0
pixfirewall(config)#ip add inside 10.0.0.1 255.255.255.0
pixfirewall(config)#ip add dmz 172.16.0.1 255.255.255.0
pixfirewall(config)#ip add parternet 172.26.26.1 255.255.255.0
pixfirewall(config)#nat (inside) 1 10.0.0.0 255.255.255.0
pixfirewall(config)#global (outside) 1 192.168.0.15-192.168.0.254 netmask 255.255.255.0
pixfirewall(config)#global (dmz) 1 172.16.0.10-172.16.0.254 netmask 255.255.255.0
pixfirewall(config)#static (dmz,outside) 192.168.0.11 172.16.0.2
pixfirewall(config)#conduit permit tcp host 192.168.0.11 eq http any
在pix防火墙上配置接口指南。
从这个接口 到这个接口 使用命令
内部 外部 nat/global
内部 dmz nat/global
内部 伙伴 nat/global
dmz 外部 nat/global
dmz 伙伴 nat/global
dmz 内部 static/conduit
伙伴 外部 nat/global
伙伴 dmz static/conduit
伙伴 内部 static/conduit
外部 dmz static/conduit
外部 伙伴 static/conduit
外部 内部 static/conduit
-des:数据加密标准(the data encryption standard)用来加密包数据。
cisco ios 强制带有Explicit IV的56位des-cbc。
cisco ios也能实施3重des(168位),加密,依赖于可用的指定平台的软件版本。3des是一种很强的加密模式,它开启了可订制的网络层加密。
-md5(hmac变量):md5(message digest 5)是一种哈希算法。hmac是键入的用来验证数据的哈希变量。
-sha(hmac变量):sha(sercure hash algorithem)是一种哈希算法。mac是键入的用来验证数据的哈希变量。
ipsec要使实施在cisco ios软件中,就支持以下附加标准:
-AH:认证头(authenticaiton header).一个提供数据认证和可选反回放服务的安全协议。ah镶嵌在数据协议来进行保护(整个ip数据报文).
-esp:封装安全净载。一种提供数据私有服务和可选数据认证的支持反回放的
安全协议。esp保护数据部分。
术语列表
反回放(anti-relay)
反回放是一种接受者可以驳回过期的或者重复的包的安全服务,这能保护它防止受到回放攻击。ipsec提供这项可选的服务,以数据认证和序列号混合使用。cisco ios ipsec提供,随时提供数据认证服务,除非:
手动连接安全关联这项服务不可用。
数据验证:
数据验证包括以下两个概念:
数据完整性:校验数据是否被更改。
数据起源验证(校验数据是否是真的发送者发送的)
数据认证可以提及完整性,或者两个的集合。
数据机密性:
数据机密性是保护数据不被窃听,偷取的安全服务。