所以路由器的配置实例也一并列出。

outside) 204.31.17.29 10.1.1.11 conduit permit tcp host 204.31.17.29 eq 80 any conduit permit udp host 204.31.17.29 eq rpc host 204.31.17.17 conduit permit udp host 204.31.17.29 eq 2049 host 204.31.17.17 static (inside.outside) 204.31.1.30 10.1.1.3 netmask 255.255.255.255 10 10 conduit permit tcp host 204.31.1.30 eq smtp any conduit permit tcp host 204.31.1.30 eq 113 any snmp-server host 192.168.3.2 snmp-server location building 42 snmp-server contact polly hedra snmp-server community ohwhatakeyisthee telnet 10.1.1.11 255.255.255.255 telnet 192.168.3.0 255.255.255.0 ciscopixFirewall配置实践——介绍一个pixFirewall实际配置案例。

办理可以当即被通 知，同时作为一个警报系统。

outside) 204.31.19.0 192.168.3.0 netmask 255.255.255.0 conduit permit tcp 204.31.19.0 255.255.255.0 eg h323 any static (inside，路由器将记录所有事件到此主机上: logging 131.1.23.11 ，或者已经攻入路由器，假如有人攻入此路由器，正在试图打击Firewall: logging trap debugging 此地点是网督工作站的外部地点， 阻止一些对路由器自己的打击: no service tcp small-servers 强制路由器向系统日志服务器发送在此路由器产生的每一个事件，包罗被存取列表拒绝的包和路由器配置的改变;这个行动可以作为对系统办理员的早期预警，因为路由器的配置在安全性方面和pixFirewall是相辅相成的， pixFirewall 设置pixFirewall的外部地点: ip address outside 131.1.23.2 设置pixFirewall的内部地点: ip address inside 10.10.254.1 设置一个内部计较机与internet上计较机进行通信时所需的全局地点池: global 1 131.1.23.10-131.1.23.254 答允网络地点为10.0.0.0的网段地点被pix翻译成外部地点: nat 1 10.0.0.0 网督工作站牢固使用的外部地点为131.1.23.11: static 131.1.23.1110.14.8.50 答允从rtra发送到到网督工作站的系统日志包通过pixFirewall: conduit 131.1.23.11 514 udp 131.1.23.1255.255.255.255 答允从外部提倡的对邮件服务器的连接(131.1.23.10): mailhost 131.1.23.1010.10.254.3 答允网络办理员通过远程登录办理ipxFirewall: telnet 10.14.8.50 在位于网督工作站上的日志服务器上记录所有事件日志: syslog facility 20.7 syslog host 10.14.8.50 路由器rtra ----rtra是外部防护路由器， cisco pix 的多点服务配置 布局图如下: pix 520 two interface multiple server configuration nameif ethernet0 outside security0 nameif ethernet0 inside security100 interface ethernet0 auto interface ethernet1 auto ip address inside 10.1.1.1 255.0.0.0 ip address outside 204.31.17.10 255.255.255.0 logging on logging host 10.1.1.11 logging trap 7 logging facility 20 no logging console arp timeout 600 nat (inside) 1 10.0.0.0 255.0.0.0 nat (inside) 2 192.168.3.0 255.255.255.0 global (outside) 1 204.31.1.25-204.31.17.27 global (outside) 1 204.31.1.24 global (outside) 2 192.159.1.1-192.159.1.254 conduit permit icmp any any outbound 10 deny 192.168.3.3 255.255.255.255 1720 outbound 10 deny 0 0 80 outbound 10 permit 192.168.3.3 255.255.255.255 80 outbound 10 deny 192.168.3.3 255.255.255.255 java outbound 10 permit 10.1.1.11 255.255.255.255 80 apply (inside) 10 outgoing_src no rip outside passive no rip outside default rip inside passive rip inside default route outside 0 0 204.31.17.1.1 tacacs-server host 10.1.1.12 lq2w3e aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 tacacs+ aaa authentication any inside 192.168.3.0 255.255.255.0 0 0 static (inside， 预示有人在试图打击路由器，它必需呵护pixFirewall免受直接打击，呵护ftp/http服务器。