Cisco Secure PIX Firewall

PIX Firewallとは

 2つ以上のネットワーク(インターネット側と社内ネットワークなど)間のセキュリティーを構築するためのハードウエアベースのFirewallです。

(CISCO社の製品でたぶん100万くらいだと思います)

CISCOのルーターを設定したことがあるなら簡単に設定できるらしいのですが、私はCISCOのルーターをいじったことがないのでそのあたりはよく分かりません。

いろいろと細かい設定ができるのでネットワーク形態によってさまざまなセキュリティ・ポリシーを実現することができます。

 

設定例

たとえば以下のようなネットワークにこのマシンを設置するとします。

外部ネットワーク側:172.21.0.2/24

内部ネットワーク側:172.21.1.1/24

DefaultRouter:172.21.0.1

Telnet可能マシン:172.21.1.2

この場合の設定ファイルは以下のようなものになります。(ただしPIX Version 5.1(2)の場合です)

nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname pix-fw
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 24
no logging timestamp
no logging console
no logging monitor
no logging buffered
no logging trap
logging facility 20
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip address outside 172.21.0.2 255.255.255.0
ip address inside 172.21.1.1 255.255.255.0
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400
nat (inside) 0 172.21.1.0 255.255.255.0 0 0
conduit permit icmp any any 
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
route outside 0.0.0.0 0.0.0.0 172.21.0.1 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
telnet 172.21.1.2 255.255.255.0
telnet timeout 5
terminal width 80

このファイルを流し込みするだけで一応は動作するようにはなります。

さらに設定を追加する場合には、コンフギュレーションモードになり以下のようなコマンドを追加していく。

Webサーバーを登録するには
conduit permit tcp host 172.21.1.3 eq 80 any

ある特定のマシンからのみFTPを許可するには
conduit permit tcp host 172.21.1.3 eq ftp host 172.21.0.5
Copyright 2003 MINTIA.NET All rights reserved.