博文
cisco PIX防火墙配置命令(2007-06-12 10:05:00)
摘要:一、PIX防火墙的认识
PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。
PIX有很多型号,并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。
PIX防火墙常见接口有:console、Failover、Ethernet、USB。
网络区域:
内部网络:inside
外部网络:outside
中间区域:称DMZ(停火区)。放置对外开放的服务器。
二、防火墙的配置规则
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。
(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
三、PIX防火墙的配置模式
PIX防火墙的配置模式与路由器类似,有4种管理模式:
PIXfirewall>:用户模式
PIXfirewall#:特权模式
PIXfirewall(config)#:配置模式
monitor>:ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
四、PIX基本配置命令
常用命令有:nameif、interface、ipaddress、nat、global、route、static等。
1、nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。
例如要求设置:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1命名为内部接口inside,安全级别是100。
ethernet2命名为中间接口dmz,安装级别为50。
PIX alias命令实例详解(2007-06-12 09:35:00)
摘要:网络拓朴如下图所示:
设备:PIX 520 软件4.x版、6.22版:
目前的情况是:DDN接入我单位,并且分配有公网IP地址。
outside的网段是 202.99.100.0/24
DMZ 的网段是 192.168.1.0/24
Inside 的网段是 10.10.1.0/24
有已经在CNNIC注册好的域名一个:abc.com.cn,并且是由自己来解析域名,注册时的域名服务器用的是202.99.100.1
一般的情况是在inside架设一台DNS服务器,供Inside的用户使用,而且这个一般是不能缺少的,因为有的服务并不是对外提供的,而是仅仅Inside内的用户使用,并且服务器放在Inside中,这里对Inside的DNS和主机的设置就不多说了。另外,在DMZ区架设一台NDS服务器,用于对外解析abc.com.cn,如解析www.abc.com.cn到202.99.100.2,DNS服务器和WEB服务器都放在DMZ区,用
static (dmz,outside) 202.99.100.1 192.168.1.1 netmask 255.255.255.255 0 0
static (dmz,outside) 202.99.100.2 192.168.1.2 netmask 255.255.255.255 0 0
…………..
……….
……
conduit permit udp host 202.99.100.1 eq domain any
conduit permit tcp host 202.99.100.2 eq www any
来解决外面访问DMZ区服务器的问题。
好了,现在问题出现了,那么DMZ区和inside的主机或者服务器,它们之间该是如何相互访问域名呢?DMZ区的主机或者服务器,它们本身的DNS该指向哪里呢?如果指向DMZ区的那台DNS(192.168.1.1),那么,它们在访问www.abc.com.cn的时候得到的解析结果是202.99.100.2,显然不能访问。最简单的解决办法是,在......
PIX(2007-06-12 09:31:00)
摘要:PIX是CISCO公司开发的防火墙系列设备,主要起到策略过滤,隔离内外网,根据用户实际需求设置DMZ(停火区)。它和一般硬件防火墙一样具有转发数据包速度快,可设定的规则种类多,配置灵活的特点。不同版本的PIX可以提供不同的防护配置方案,为你量身打造一个安全,便捷的网络环境,使您企业安全上网无后顾之忧,避免“火光之灾”......
命令
Aaa允许、禁止或查看以前使用“aaa-server”命令为服务器指定的TACACS+或RADIUS用户认证、授权和帐户
Aaa-server指定一个AAA服务器
Access-group将访问列表名绑定到接口名以允许或拒绝IP信息包进入接口
Access-list创建一个访问列表
Alias管理双向NAT中的重叠地址
Arp改变或查看ARP缓存,设置超时值
Auth-prompt改变AAA的提示文本
Ca配置PIX防火墙和CA的交互
Clock设置PIX防火墙时钟以供PIX防火墙系统日志服务器和PKI协议使用
Conduit为向内连接添加、删除或显示通过防火墙的管道
Configure清除或融合当前配置与软盘或闪存中的配置。进入配置模式或查看当前配置
Cryptodynamic-map创建、查看或删除一个动态加密映射项。
Cryptoipsec创建、查看或删除与加密相关的全局值
Cryptomap创建、查看或删除一个动态加密映射项,也用来删除一个加密映射集
Debug通过PIX防火墙调试信息包或ICMP轨迹。
Disable退出特权模式并返回到非特权模式
Domain_name改变IPSec域名
Enable启动特权模式
Enablepassword设置特权模式的口令
Exit退出访问模式
Failover改变或查看到可选failover特性的访问
Filter允许或禁止向外的URL或HTML对像过滤
Fixupprotocol改变、允许、禁止或列出一个PIX防火墙应用的特性
Flash......
附件--我和xiaoi机器人的聊天实录: (2007-05-14 22:19:00)
摘要:附件--我和xiaoi机器人的聊天实录:
you says:
我是谁?
小i机器人 says:
帅哥
you says:
我是妹妹
小i机器人 says:
美的你
you says:
你不相信
小i机器人 says:
相信我是天才!!啦啦啦啦啦啦
you says:
图灵是谁?
小i机器人 says:
图灵是一个人的名字,他现在是计算机学科的最高奖……
you says:
我多大了?
小i机器人 says:
你多大我怎么会知道啊
you says:
你猜
小i机器人 says:
我猜我猜我猜猜猜
you says:
你真贫
小i机器人 says:
不贫你还理我吗
you says:
f**k u
小i机器人 says:
you
you says:
靠
小i机器人 says:
时的气话
you says:
你在上海?
小i机器人 says:
是啊,你呢?有空出来见个面?
you says:
我在火星
小i机器人 ......
Cisco路由器VPN配置(C/S)(2007-01-28 20:01:00)
摘要:
一、host到routeripist 51cto技术博客
1、实验网络拓扑:
pc(vpn client 4.01)---switch---router1720 (vpn access server)
pc配置:
ip:10.130.23.242/28
gw:10.130.23.246
1720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
2、步骤:ipist 51cto技术博客
1、配置isakmp policy:
crypto isakmp policy 1
encr 3des
authen pre-share
group 2
2、配置vpn client地址池
cry isa client conf address-pool local pool192
ip local pool pool192 192.168.1.1 192.168.1.254
3、配置vpn client有关参数
cry isa client conf group vclient-group
####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。
key vclient-key
####vclient-key就是在vpn client的连接配置中需要输入的group authentication password。
pool pool192 ####client的ip地址从这里选取
####以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
4、配置ipsec transform-set
cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
5、配置map模板
cry dynamic-map template-map 1
set transform-set vclient-tfs ####和第四......
什么是程控交换机?(2007-01-28 13:40:00)
摘要:<strong>什么是程控交换机?</strong>
程控交换机是是利用电子计算机技术,用预先编好的程序来控制电话的接续工作的电话交换机。 程控交换机与一般机电式交换机的电话相比,具有接续速度快、业务功能多、声音清晰、质量可靠等优点。
程控交换机按用途可分为市话,长话和用户交换机;
按信息传送方式可分为:模拟程控交换机和数字程控交换机;
程控交换机有四种最基本呼叫作用,根据进出交换机的呼叫流向及发起呼叫的起源,可以将呼叫分为:本局呼叫、出局呼叫、入局呼叫和转移呼叫。 将交换机理解为一个交换局,本局一个用户发起的呼叫,根据呼叫的流向可以分为出局呼叫或本局呼叫。主叫用户生成去话,被叫用户是本局中的另一个用户时,即本局呼叫;被叫用户不是本局的用户,交换机需要将呼叫接续到其他的交换机时,即形成出局呼叫。相应地,从其他交换机发来的来话,呼叫本局的一个用户时,生成入局呼叫;呼叫的不是本局的一个用户,由交换机又接续(交换)到其他的交换机,交换机只提供汇接中转的功能,则形成转移呼叫。除了汇接局一般只具备“转接呼叫”的功能外,每个局的电话交换机都具备这四种呼叫的处理能力。至于长途和特种服务呼叫,可以看做是呼叫流向固定的出局呼叫。
用户交换机是机关工矿企业等单位内部进行电话交换的一种专用交换机,其基本功能是完成单位内部用户的相互通话,但也装有出入中继线可接入公用电话网的市内网部分和网中用户通话(包括市内通话,国内长途通话和国际长话)。由于这类交换机系单位内部专用,故可根据用户需要增加若干附加性能以提供使用上的方便。因此这类交换机具有较大的灵活性。
用户交换机是市话网的重要组成部分,是市话交换机的一种补充设备,因为它为市话网承担了大量的单位内部用户间的话务量,减轻了市话网的话务负荷。另外用户交换机在各单位分散设置,更靠近用户,因而缩短了用户线距离,节省了用户电缆。同时用少量的出入中继线接入市话网,起到话务集中的作用。从这些方面讲,使用用户交换机都有较大的经济意义。因此公用网建设中,不能缺少用户交换机的作用。
用户交换机在技术上的发展趋势是采用程控用户交换机,采用新型的程控数字用户交换机不仅可以交换电话业务,而且可以交换数据等非话业......
单网卡工作站也可作TCP/IP网络路由器(2007-01-14 09:38:00)
摘要:我们一般认为,路由器连接在多个网络上,所以它应当对应每个网络有一块网卡和一个IP地址。然而在实际中可能会出现需建立一个内部网以解决Internet的IP地址不够用的情况,而工作站往往在自己的主板上又已集成了一块网卡。
如何利用现有的资源设置路由器呢?似乎不好办,然而事实上单网卡工作站也可以配成TCP/IP网络路由器。在装有Solaris2.x操作系统的SUN工作站上,可以采用下述方法来配置。
一、配置路由器接口
----1.创建/etc/hostname.interface文件
----对应每个连接的网络均应有一个hostname.interface文件,其中interface为网卡的代号名。对多网卡的情况interface应不相同,但对单网卡路由器而言,这些文件的interface是相同的。怎么区别这些文件呢?可以创建hostname.interface:n文件,用n作区别来虚拟多个网卡。计算机启动时将检测此类文件的个数,如果找到多个hostname.interface文件则认为是路由器,否则认为是主机。例如一台SUN工作站连接了Internet网和内部网,则可对应创建两个文件分为hostname.le0和hostname.le0:2。
----2.为接口分配主机名
----在以上的每个hostname.interface文件中,加入主机名,必须注意对应不同的网络接口,即同一主机须用不同的主机名以区别不同的IP地址。对于上例,用vi命令编辑两文件分别填入sun1和sun2,实际上是一台主机。
----3.在/etc/inet/hosts中加入主机名和IP地址,格式为:
IPaddresshostname
202.114.209.37sun1
180.114.20.1sun2
----注意IP地址是网卡连接的对应多个网络的不同的IP地址,其中202.114.209.37是主机在Internet上的合法地址,而180.114.20.1则是内部网上自己分配的地址,内部网上的IP地址不必担心与Internet上重名的IP地址发生冲突,因为上级网关将视其非法并拒绝给予服务。
----4.修改/etc/inet/netmasks文件
----如果路由器与子网相连,还应修改/etc/inet/netmasks并填入本地网号(如......
什么是HSRP?(2007-01-07 14:00:00)
摘要:如果路由器出现故障而导致企业无法接入互联网会发生什么?这就是为什么需要在网络中提供冗余的重要性。下面我们将教你如何使用热备
份路由器协议确保冗余。
如果路由器出现故障而导致企业无法接入互联网会发生什么?企业可以接受吗?或许可暂时逃脱处罚,但是你需要制定一个更好的计划,而不
仅仅是简单的桌面呼叫支持。
这就是为什么需要在网络中提供冗余的重要性。考虑为当前路由器增加一个可以立即接管的备份路由器。企业需要的只是硬件,Cisco软件会完
成其他事情。让我们考察如何利用热备份路由器协议(HSRP)配置它。
什么是HSRP?
HSRP是Cisco对冗余的私有协议。它提供几乎100%的路由器可用性和冗余。所以,如果某台路由器发生故障,备份路由器会接管主路由器的路由 功能。
然而,Cisco还支持其他可用的行业协议。一个行业标准是虚拟路由器冗余协议(VRRP)。另一个HSRP的可替换选择是网关负载平衡协议(GLBP
),这是Cisco的另一个私有解决方案。
HSRP如何工作?
在使用HSRP的时候,路由器既可以是主的也可以是备用的。如果主路由器在一段时间内没有向备用路由器发送HELLO数据包,备用路由器假定主
路由器已关闭,从而进行接......
推荐一个免费在线电影网站(绝对没毒)(2007-01-04 23:09:00)
摘要:|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
推荐一个免费在线电影网站(绝对没毒)
经过KV2006 - KB6。0 - 诺顿查杀验证 安全可靠!!!
《网站地址:http://bbs.bnb88.com/player.php?list=22364 》
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||......
什么是CIF(2007-01-01 12:41:00)
摘要:【到岸价格】
注意了CIF不能称之为到岸价,这是不准确的。
长期以来,人们习惯于把国际贸易中的FOB价格条件称为离岸价格,从而也把价格术语中包含运费与保险费的CIF说成到岸价。甚至在一些正规媒体的文章中也不时出现这样的说法。如在谈到中国大豆的国际市场竞争力时,经常有报道说,中国大豆的离岸价(FOB)高于国外进口转基因大豆的“到岸价”(CIF)等等。
FOB价格说成离岸价格是符合其含义的形象说法,因为FOB价格包含的是出口产品在越过船舷之前的所有成本与费用,风险也在装运港的船舷由卖方转移给买方,但把CIF价说成是到岸价格说成就是一种不科学的说法了。人们之所以误称CIF为“到岸价”是由于从表面上看CIF价格术语的确包含至目的港的运费和保险费,人们只是单纯地从价格构成来为其命名。
国际贸易中真正意义上的到岸价应该是DES,而不是CIF,从交货地点来看,按《国际贸易术语解释通则》以及其他两个有关贸易术语的国际惯例解释。CIF价格条件下的卖方叫过地点不是目的港,而是装运港。它是一种典型的象征性交货价格术语。卖方只要按期在约定地点完成装运,并向卖方提交合同约定的提单等有关单据就算完成了交货义务。至于货物何时抵达目的港,除非卖方在合同中做了明确的承诺,卖方不对货物的抵港时间承担任何责任。而真正意义上的到岸价格DES价格术语的含义是卖方要在规定的时间和地点将符合合同规定的货物提交买方,不能以交单代替交货。
CIF不是到岸价还因为CIF的风险转移界限也是装运方船舷而不是目的港。例如,采用CIF价格术语成交的合同,如果载货船舶在尚未驶离装运港就触礁沉没了,买方是无法向卖方提交索赔的,理由是越过船舷后的风险已转移至买方,买方只能依据保险合同合同向保险公司进行索赔。这说明卖方对于风险并不负责至目的港,即到岸的价格术语是DES。在此术语下,风险在货物被置于买方实际控制之下时转移,此前的风险完全由卖方承担。如上述案例中,如果使用的DES而不是CIF,买方就可以在货物没有抵港之前不必考虑也误需承担任何风险,这才符合到岸价格的真正含义。
另外,在CIF的条件下,由装运港至目的港的保险属代办性质,卖方只需按规定会惯例承担正常保险费用。如果没有特别规定,卖方只需投买最低的保险险别就算是完成了CIF的保险义务;而在真......