PIX防火墙security context配置手册(虚拟防火墙技术)

简介:

R1/R2/R3设置IP地址,并设置一条默认路由,指向自己的下一跳。
SW开启所使用端口,划分VLAN,将F0/15端口设置为trunk端口。

进入防火墙全局模式
show flash:       //查看防火墙Flash中配置文件,如果存在*.cfg   可以使用命令del flash:/*.cfg命令将其删除。
show mode     //查看当前防火墙模式,如果是single单模式,需要使用命令mode   multiple将防火墙设置为多模式。

首先创建管理context
全局:
admin-context admin     //设置管理context的名称为admin
context admin               //生成admin这个context
config-url flash:/admin.cfg           //设置admin-context的配置文件存放位置和名称
exit
changeto context admin     //从当前系统配置模式切换到admin context模式
write                                 //写入配置,将会生成admin.cfg文件
changeto system               //返回系统配置模式

进入防火墙的e1 e0.1 e0.2接口,将其激活并配置VLAN(绝对不能配置nameif)
int e0.1
vlan 2
int e0.2
vlan 4                 //子接口必须指定到VLAN,默认封装dot.1q协议
(如果不在系统模式将子接口指定到VLAN,之后在context模式中,将无法对接口进行nameif)

context c1         //创建第一个context,命名为C1
config-url flash:/c1.cfg           //设置c1 context的配置文件位置及名称。
allocate-interface e1             //将e1接口分配给context c1
allocate-interface e0.1         //将e0.1子接口分配给context c1

context c2       //创建第二个context,命名为C2
config-url flash:/c2.cfg         //设置c2 context的配置文件位置及名称。
allocate-interface e1             //将e1接口分配给context c2
allocate-interface e0.2         //将e0.2子接口分配给context c2

changeto context c1
write                 //写入配置,保存到c1.cfg文件
changeto context c2
write
changeto system

changeto context c1     //进入C1 context
int e1
nameif outside
ip add 3.1.1.1 255.255.255.0
no sh
int e0.1
nameif inside
ip add 1.1.1.254 255.255.255.0
no sh
access-list out permit icmp any any         //设置这条acl允许icmp流量放行,方便之后使用ping测试。
access-group out in inter outside             //将out这条acl应用到outside的in方向

changeto context c2
int e1
nameif outside
ip add 3.1.1.2 255.255.255.0
no sh
int e0.2
nameif inside
ip add 2.1.1.254 255.255.255.0
no sh
access-list out permit icmp any any
access-group out in inter outside

到此为止虚拟防火墙已经配置完毕,但是R1还无法ping通R3
因为当前E1只有一个MAC地址,2层数据帧在到达防火墙E1口时,将不知道如何将数据帧发给谁,所以必须给context 1和context 2分别分配不同的MAC地址
changeto context c1
int e1
mac-address 0001.0001.0001
exit
changeto context c2
int e1
mac-address 0002.0002.0002
exit










本文转自 qq8658868 51CTO博客,原文链接:http://blog.51cto.com/hujizhou/1284065,如需转载请自行联系原作者
目录
相关文章
|
10月前
|
安全 网络安全 KVM
SonicWall NSv 系列虚拟防火墙 SonicOSX 7.3.0
SonicWall NSv 系列虚拟防火墙 SonicOSX 7.3.0
332 0
SonicWall NSv 系列虚拟防火墙 SonicOSX 7.3.0
|
11月前
|
网络协议 Linux 网络安全
CentOS防火墙管理:查询与配置开放端口的技巧
遵循以上步骤,CentOS系统管理员能够灵活地查询和管理系统端口的开放情况,并且能适用于大多数防火墙管理场合。务必在改变防火墙规则后认真审核和测试,以确保网络安全性与服务的正常运行。
1655 0
|
监控 安全 网络安全
软考软件测评师——系统安全设计(防火墙技术)
本文详细解析了防火墙技术的核心概念与功能特性,涵盖网络安全基础防护体系、实时风险预警、流量监控及网络结构隐匿等内容。同时探讨了入侵检测系统(IDS)和网关级病毒防护的技术联动,以及DMZ安全区规划等网络架构设计要点。文章还分析了防火墙的局限性,如无法识别新型病毒变种和替代漏洞扫描工具等问题,并通过历年真题深入解读防火墙的功能特性与测试规范,为网络安全实践提供全面指导。
|
Ubuntu 安全 Linux
CentOS与Ubuntu中防火墙配置命令集汇
有了这些,你就能遨游在 CentOS 和 Ubuntu 的海洋中,频繁地改变你的防火墙设置,快速地应对各种安全威胁,同时也能保证你的系统可以正常工作。出发吧,勇敢的编程者,随着这些命令集的涌动,扬帆起航,走向安全的网络世界!
464 5
|
网络协议 Ubuntu 网络安全
|
运维 安全 Linux
全面提升系统安全:禁用不必要服务、更新安全补丁、配置防火墙规则的实战指南
全面提升系统安全:禁用不必要服务、更新安全补丁、配置防火墙规则的实战指南
883 12
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
2424 2
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
598 1
|
监控 安全 网络安全
Windows Defender防火墙配置错误与GPO:梳理关键点
许多企业的网络中包含Windows Defender防火墙、GPO和AD基础设施等组件,这些组件可能存在漏洞,一旦被利用,可能引发连锁反应,导致严重后果。本文介绍了如何识别和减少网络中的弱点,通过优化默认设置、配置GPO来加强Windows Defender防火墙的安全性,并使用SIEM工具进行日志管理和网络监控,以提高整体网络安全水平。
163 0
|
运维 监控 安全
网络管理:防火墙和安全组配置详解
网络管理:防火墙和安全组配置详解
1109 1