В помощь ИТ специалисту 

настройка CISCO PIX Firewall

Вопросы связанные с установкой и использованием межсетевых экранов (Firewall) и прокси серверов(Proxy) в сети организации.

Модератор: Модераторы

Ответить
Harry33
Он здесь живет
Сообщения: 2394
Зарегистрирован: 19 дек 2003, 20:43
Откуда: Москва

Сообщение Harry33 » 15 июл 2005, 17:18

MAD
Расскажи что куда надо пускать и что надо блокировать.
Знания, которые нельзя применить - бесполезны
Вернуться к началу
Harry33
Он здесь живет
Сообщения: 2394
Зарегистрирован: 19 дек 2003, 20:43
Откуда: Москва

Сообщение Harry33 » 15 июл 2005, 17:33

Цитата
Нашел пока только фильтрацию по ActiveX, Java и URL.
[/quote]

Это несколько не то, что тебе надо... В зависимости от направления трафика между интерфейсами PIX с разными уровнями безопасности настраиваются разными командами. Если речь идет о доступе с внутреннего интерфейса (УБ 100) к внешним сетям (УБ 0) или DMZ (УБ 1-99) то используются ACL
(например access-list 111 permit ip 192.168.0.0 0.0.0.255 any разрешит трафик для всех хостов внутреннего интерфейса наружу)
Знания, которые нельзя применить - бесполезны
Вернуться к началу
terror
Новый участник
Сообщения: 25
Зарегистрирован: 26 окт 2004, 16:31

Сообщение terror » 28 сен 2005, 13:38

ЗЫ: Товарищи а есть гденибуть примерный перечень сервисов (портов) которые используют виндовые сервера? А то не очень охота открывать весь IP протокол...
Вернуться к началу
Screamer
Новый участник
Аватара пользователя
Сообщения: 22
Зарегистрирован: 26 ноя 2004, 14:52
Откуда: Москва

Сообщение Screamer » 29 сен 2005, 17:05

Добрый день, вопрос первый .. а зачем? :)
вопрос второй а куда?

Дело в том, что PIX это больше чем просто пакетный фильтр, у него есть собственная логика. Чтобы сформулировать наилучшее решение нужно точно знать ТЗ, дело в том, что хорошее ТЗ это уже половина решения.
Несколько советов.. 1. Определи какие хосты должны ходить куда.
2. Определи какие направления информационных потоков у тебя есть.
Потом раздай как написал harry33 уровни безопастности для интерфейсов и далее настраивай access-list'ы для доступа одних ресурсов к другим.
Выкладывай чего у тебя получилось -- будем править.
There are only 10 types of people, those who understand binary and those who not.
Вернуться к началу
NVG
Новый участник
Сообщения: 1
Зарегистрирован: 17 май 2006, 04:57

Сообщение NVG » 17 май 2006, 05:30

Народ помогите ПЛЗ
Вопрос такой:
я так понял, что при описании процессов исходящих, используются команды nat и global (во входящих ststic & conduit) в которых можно описать адреса, но нет описания портов как написать правило адр х.х.х.х можно на Y.0.0.0 на порт 25 ( с инт с большим уровнем безопасности на меньший) адрес выкинут НАТом, и в правиле какие адреса используются реальные или ещё транслированный каким-либо образом.

подозреваю, что можно описать access-list

вкаких случаях его описывают (наружу внутрь) и как он работает?
читал, что он не просто разрешает проход пакетов, а именно шифрование их

и ещё по тому, что писал Harry33
(например access-list 111 permit ip 192.168.0.0 0.0.0.255 any разрешит трафик для всех хостов внутреннего интерфейса наружу)

0.0.0.255 - что означает эта маска
Вернуться к началу
Пред.
Ответить

Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8

Список форумов
Удалить cookies конференции