Cisco Secure PIX Firewall |
PIX Firewallとは2つ以上のネットワーク(インターネット側と社内ネットワークなど)間のセキュリティーを構築するためのハードウエアベースのFirewallです。 (CISCO社の製品でたぶん100万くらいだと思います) CISCOのルーターを設定したことがあるなら簡単に設定できるらしいのですが、私はCISCOのルーターをいじったことがないのでそのあたりはよく分かりません。 いろいろと細かい設定ができるのでネットワーク形態によってさまざまなセキュリティ・ポリシーを実現することができます。
設定例 たとえば以下のようなネットワークにこのマシンを設置するとします。 外部ネットワーク側:172.21.0.2/24 内部ネットワーク側:172.21.1.1/24 DefaultRouter:172.21.0.1 Telnet可能マシン:172.21.1.2 この場合の設定ファイルは以下のようなものになります。(ただしPIX Version 5.1(2)の場合です) |
nameif ethernet0 outside security0 nameif ethernet1 inside security100 hostname pix-fw fixup protocol ftp 21 fixup protocol http 80 fixup protocol smtp 25 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol sqlnet 1521 names pager lines 24 no logging timestamp no logging console no logging monitor no logging buffered no logging trap logging facility 20 interface ethernet0 auto interface ethernet1 auto mtu outside 1500 mtu inside 1500 ip address outside 172.21.0.2 255.255.255.0 ip address inside 172.21.1.1 255.255.255.0 no failover failover timeout 0:00:00 failover ip address outside 0.0.0.0 failover ip address inside 0.0.0.0 arp timeout 14400 nat (inside) 0 172.21.1.0 255.255.255.0 0 0 conduit permit icmp any any no rip outside passive no rip outside default no rip inside passive no rip inside default route outside 0.0.0.0 0.0.0.0 172.21.0.1 1 timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps telnet 172.21.1.2 255.255.255.0 telnet timeout 5 terminal width 80 |
このファイルを流し込みするだけで一応は動作するようにはなります。 さらに設定を追加する場合には、コンフギュレーションモードになり以下のようなコマンドを追加していく。 Webサーバーを登録するには conduit permit tcp host 172.21.1.3 eq 80 any ある特定のマシンからのみFTPを許可するには conduit permit tcp host 172.21.1.3 eq ftp host 172.21.0.5 |
Copyright 2003 MINTIA.NET All rights reserved. |