--- title: "Cisco PIX Firewall как защита корпоративной сети" description: "Данная статья демонстрирует как правильно скофигурировать Cisco PIX Firewall, чтобы отделить и защи..." author: "root-kz" published: "2011-01-24T14:02:55+00:00" modified: "2011-01-24T14:03:26+00:00" locale: "ru" canonical_url: "https://yvision.kz/post/cisco-pix-firewall-kak-zashchita-korporativnoy-seti-112189" markdown_url: "https://yvision.kz/post/cisco-pix-firewall-kak-zashchita-korporativnoy-seti-112189/markdown" site_name: "Yvision.kz" --- # Cisco PIX Firewall как защита корпоративной сети > Данная статья демонстрирует как правильно скофигурировать Cisco PIX Firewall, чтобы отделить и защи... ![Cisco PIX Firewall как защита корпоративной сети](http://storage.yvision.kz/images/user/root-kz/7RN2C0Sx4OkHD0fNbtwsWp85XjVMor.gif) Данная статья демонстрирует как правильно скофигурировать Cisco PIX Firewall, чтобы отделить и защитить корпоративную сеть предприятия или организации от Интернет. Рассмотрим внутреннюю сеть организации, которая содержит Web сервер, почтовый сервер и FTP сервер, к которым имеют доступ пользователи Интернет; весь остальной доступ к хостам внутренней сети закрыт от внешних пользователей. Стуруктура сети показана на сетевой диаграмме: ![Cisco PIX Firewall как защита корпоративной сети](http://storage.yvision.kz/images/user/root-kz/nKuEI163pq0JHdm5yQYHD1NangW4NX.gif) Адресацию серверов внутренней сети выполним следующим образом: - Внутренний адрес Web сервера: 192.168.1.4; его Интернет адрес: 204.69.198.3 - Внутренний адрес Mail сервера: 192.168.1.15; его Интернет адрес: 204.69.198.4 - Внутренний адрес FTP сервера: 192.168.1.10; его Интернет адрес: 204.69.198.5 Всем пользователям внутренней сети разрешен неограниченный доступ в Интернет. Также пользователи могут пинговать узлы в Интернет, одако пользователи интернет не могут выполнять ping на узлы организации. ISP выделил Организации диапазон внешних адресов класса C: 204.69.198.0/24. Адреса 204.69.198.1 и 204.69.198.2 зарезервированы для внешнего роутера и внешнего интерфейса PIX (см. схему). Адреса диапазона 204.69.198.3 - 204.69.198.5 отведены для серверов, а адреса 204.69.198.4 - 204.69.198.14 зарезервированы для будущего использования. PIX необходимо настроеть так, чтобы посылать syslog сообщения на SysLog-сервер во внутренней сети, с адресом 192.168.1.220 (Он не показан на диаграмме). Версия ПО используемая на PIX: 6.3.5 **Конфигурация PIX:** **nameif gb-ethernet0 outside security0 nameif gb-ethernet1 inside security100** **hostname pixfirewall** **fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 names** **!--- Создаем access list чтобы разрешить вырускать ping и принимать ответы** **access-list 100 permit icmp any any echo-reply access-list 100 permit icmp any any time-exceeded access-list 100 permit icmp any any unreachable** **!--- Разрешаем всем пользователям в Интернет подсоединяться к Web, Mail, и FTP серверам.** **access-list 100 permit tcp any host 204.69.198.3 eq www access-list 100 permit tcp any host 204.69.198.4 eq smtp access-list 100 permit tcp any host 204.69.198.5 eq ftp** **!--- Включам логгирование. logging on no logging timestamp no logging standby no logging console no logging monitor** **!--- Сохраняем сообщениям об ошибках и более критичные в локальный буфер** **logging buffered errors** **!---Посылаем уведомления на syslog сервер** **logging trap notifications no logging history logging facility 20 logging queue 512** **!--- Указываем syslog сервер на внутренней сети.** **logging host inside 192.168.1.220** **!--- Все интерфейсы выключены по умолчанию. Включаем их.** **interface gb-ethernet0 1000auto interface gb-ethernet1 1000auto** **!--- Назначаем адреса на интерфейсы ip address outside 204.69.198.2 255.255.255.0 ip address inside 192.168.1.1 255.255.255.0** **!---Определим пул трансляции адресов (NAT), которые внутренние хосты испоьзуют !--- когда выходят в Интернет** **global (outside) 1 204.69.198.15-204.69.198.253** **!--- Определим один адрес который будет использоватся когда !--- NAT пула будет уже не хватать (PAT)** **global (outside) 1 204.69.198.254** **!--- Разрешаем всем внутренним хостам использовать NAT или PAT определнные ранее** **nat (inside) 1 0.0.0.0 0.0.0.0 0 0** **!--- Определяем статическую трансляцию для внутреннего web-сервера, !--- чтобы он был доступен из Интернет** **static (inside,outside) 204.69.198.3 192.168.1.4 netmask 255.255.255.255 0 0** **!--- Определяем статическую трансляцию для внутреннего почтового сервера, !--- чтобы он был доступен из Интернет** **static (inside,outside) 204.69.198.4 192.168.1.15 netmask 255.255.255.255 0 0** **!--- Аналогично выполняем действия и для FTP сервера** **static (inside,outside) 204.69.198.5 192.168.1.10 netmask 255.255.255.255 0 0** **!--- Применяем access list 100 к outside интерфейсу.** **access-group 100 in interface outside** **!--- Назначаем default route на роутер ISP.** **route outside 0.0.0.0 0.0.0.0 204.69.198.1 1** **!--- Разрешаем хосту 192.168.1.254 поключаться к PIX по телнет** **telnet 192.168.1.254 255.255.255.255 inside telnet timeout 5** Нижеследующие замечания необходимо учитывать при конфигурации PIX: - NAT пул и PAT должны содержать IP адреса, которые больше нигде не используются в сети, включая адреса для статических трансляций и адреса используемые на сетевых интерфейсах устройств. - Вы должны явно разрешать доступ к вашим серверам. По умолчанию весь входной трафик на outside интерфейс запрещен. - После любого листа доступа следует неявная команда deny ip any any - Если DNS сервер раположен за outside интерфейсом, а внутренние пользователи хотят получать доступ к внутренним серверам по их DNS имени, вам необходимо использовать команду alias, чтобы PIX пролечил ответы от DNS сервера. ** ** --- Source: [https://yvision.kz/post/cisco-pix-firewall-kak-zashchita-korporativnoy-seti-112189](https://yvision.kz/post/cisco-pix-firewall-kak-zashchita-korporativnoy-seti-112189)