Cisco Systems è stata a lungo un leader di vendite in prodotti di rete dati. soluzione firewall PIX di Cisco collega tipicamente una rete sicura, aziendale al router che si affaccia Internet. Questa disposizione consente a un'organizzazione di offrire servizi esterni - come ad esempio un server web o posta elettronica - pur mantenendo computer interni al sicuro da attacchi esterni. Un firewall PIX è configurata più affidabile attraverso la sua interfaccia a riga di comando. Anche se molti comandi sono disponibili per configurare il firewall, l'elenco di controllo di accesso (ACL) rappresenta le regole di base per la sicurezza della rete.

istruzione

1 Collegare al firewall. Se telnet è abilitato, è possibile aprire il tuo programma telnet e digitare l'indirizzo del firewall (IP) Internet Protocol. In caso contrario, collegare una seriale DB-9 per cavo RJ-45 dal PC alla porta "Console" sul firewall PIX.

2 Tipo "ena" o "attiva" e premere "Invio". Se viene richiesta una password, entrare in quella e premere "Invio". Questo vi metterà in modalità amministrativa.

3 Tipo "Config T" o "Configurazione del terminale" e premere "Invio". Questo vi metterà in modalità di configurazione globale.

4 Inserire la modalità di configurazione elenco di accesso digitando (senza le virgolette) "access-list IP [Standard / esteso] [" nome "/" numero "]". Il "[Standard / esteso]" opzione consente di specificare se si desidera che la lista di accesso per essere semplice o avere accesso ai comandi estesi, come UDP (User Datagram Protocol) porte utente. Dopo di che, si può scegliere di assegnare voi proprio nome alla LCA o dare un numero.

5 Creare l'ACL, riga per riga, emettendo il seguente comando (senza virgolette): "[negare / permesso / osservazione] [UDP / TCP] [indirizzo di origine o di rete] [porta] [destinazione host o rete indirizzo] [porta] ". Ad esempio, il comando "host permesso 192.168.1.0 255.255.255.0 192.168.5.1 eq 80" avrebbe detto il PIX per consentire tutto il traffico proveniente da un host con un indirizzo IP che inizia con "192.168.1" per inviare il traffico a un host 192.168.5.1 sulla porta "80" (WWW).

6 Digitare "exit" e premere "Invio" quando si è finito di modificare la lista di accesso. In questo modo si ritorna alla modalità di configurazione globale.

7 Applicare l'ACL per l'interfaccia che si desidera controllato digitando il comando (meno le virgolette) "access-group [ACL nome / numero] [in / out] interfaccia [nome dell'interfaccia]". Il "ACL nome / numero" è il nome o il numero assegnato a ACL, mentre "in / out" dice il PIX se debba esaminare i pacchetti arrivano in corrispondenza o nel tentativo di uscire attraverso l'interfaccia. Il nome dell'interfaccia è l'interfaccia fisica o virtuale in cui l'ACL deve essere applicato (ad esempio, "Eth0" sarebbe una porta Ethernet).

8 Tipo "copia eseguire start" o "copia in esecuzione di partenza-config-config" e premere "Invio". In questo modo salvare le modifiche di configurazione.

Consigli e avvertenze

• Fare una ACL può essere un processo noioso, con abbondanza di spazio per l'errore. Aiuta a scrivere i vostri comandi access-list in un programma di testo semplice, e quindi tagliare e incollare nel programma telnet per evitare errori.
• I caratteri jolly possono contribuire ad accelerare il processo di consentire il traffico. È possibile inserire il "qualsiasi" comando al origine o di destinazione (o di entrambi, anche se questo non è generalmente raccomandata).
• Ogni comando access-list viene elaborato in sequenza. Pertanto, l'ordine dei comandi è assolutamente vitale! Se si inserisce un comando che nega l'accesso da una rete a una risorsa, e quindi inserire un'eccezione (ad esempio, consentono un host da quella rete per accedere alla risorsa), dopo che la dichiarazione negare, i dati non passare attraverso.
• Non bisogna mai fare grandi modifiche di configurazione, non testati ad un firewall in uso attivamente senza prima backup della configurazione. Se la configurazione non può essere testato prima della distribuzione, quindi assicurarsi di applicare in un momento in cui vi è poca o nessuna attività sulla rete.
• Se non siete sicuri di quello che state facendo, contattare Cisco Systems per l'assistenza (vedi Risorse).