企业邮局|企业邮箱|上海it外包|数据中心

Cisco PIX的配置及注解完全手册

: Saved
　　:
　　PIX Version 6.3(1)
　　interface ethernet0 auto 设定端口0 速率为自动
　　interface ethernet1 100full 设定端口1 速率为100兆全双工
　　interface ethernet2 auto 设定端口2 速率为自动
　　nameif ethernet0 outside security0 设

定端口0 名称为 outside 安全级别为0
　　nameif ethernet1 inside security100 设定端口1 名称为 inside 安全级别为100
　　nameif ethernet2 dmz security50 设定端口2 名称为 dmz 安全级别为50
　　enable password Dv0yXUGPM3Xt7xVs encrypted 特权密码
　　passwd 2KFQnbNIdI.2KYOU encrypted 登陆密码
　　hostname hhyy 设定防火墙名称
　　fixup protocol ftp 21
　　fixup protocol h323 h225 1720
　　fixup protocol h323 ras 1718-1719
　　fixup protocol http 80
　　fixup protocol ils 389
　　fixup protocol rsh 514
　　fixup protocol rtsp 554
　　fixup protocol sip 5060
　　fixup protocol sip udp 5060
　　no fixup protocol skinny 2000
　　fixup protocol smtp 25
　　fixup protocol sqlnet 1521

　　允许用户查看、改变、启用或禁止一个服务或协议通过PIX防火墙，防火墙默认启用了一些常见的端口，但对于ORACLE等专有端口，需要专门启用。

　　names
　　access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.170.0 255.255.255.0
　　access-list 101 permit ip 192.168.12.0 255.255.255.0 192.168.180.0 255.255.255.0
　　access-list 101 permit ip 192.168.23.0 255.255.255.0 192.168.180.0 255.255.255.0
　　access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0

　　建立访问列表，允许特定网段的地址访问某些网段

　　access-list 120 deny icmp 192.168.2.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.3.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.4.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.5.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.6.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.7.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.8.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.9.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.10.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.11.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.12.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.13.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.14.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.15.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.16.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.17.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.18.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.19.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.20.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.21.0 255.255.255.0 any
　　access-list 120 deny icmp 192.168.22.0 255.255.255.0 any
　　access-list 120 deny udp any any eq netbios-ns
　　access-list 120 deny udp any any eq netbios-dgm
　　access-list 120 deny udp any any eq 4444
　　access-list 120 deny udp any any eq 1205
　　access-list 120 deny udp any any eq 1209
　　access-list 120 deny tcp any any eq 445
　　access-list 120 deny tcp any any range 135 netbios-ssn
　　access-list 120 permit ip any any

　　建立访问列表120防止各个不同网段之间的ICMP发包及拒绝135、137等端口之间的通信（主要防止冲击波病毒）

　　access-list 110 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0

　　pager lines 24
　　logging on
　　logging monitor debugging
　　logging buffered debugging
　　logging trap notifications
　　mtu outside 1500
　　mtu inside 1500
　　mtu dmz 1500
　　ip address outside 10.1.1.4 255.255.255.224 设定外端口地址
　　ip address inside 192.168.1.254 255.255.255.0 设定内端口地址
　　ip address dmz 192.168.19.1 255.255.255.0 设定DMZ端口地址
　　ip audit info action alarm
　　ip audit attack action alarm
　　ip local pool hhyy 192.168.170.1-192.168.170.254

　　建立名称为hhyy的地址池，起始地址段为：192.168.170.1-192.168.170.254

　　ip local pool yy 192.168.180.1-192.168.180.254

　　建立名称为yy 的地址池，起始地址段为：192.168.180.1-192.168.180.254

　　no failover
　　failover timeout 0:00:00
　　failover poll 15
　　no failover ip address outside
　　no failover ip address inside
　　no failover ip address dmz
　　no pdm history enable
　　arp timeout 14400

不支持故障切换

　　global (outside) 1 10.1.1.13-10.1.1.28
　　global (outside) 1 10.1.1.7-10.1.1.9
　　global (outside) 1 10.1.1.10

　　定义内部网络地址将要翻译成的全局地址或地址范围

　　nat (inside) 0 access-list 101

　　使得符合访问列表为101地址不通过翻译，对外部网络是可见的

　　nat (inside) 1 192.168.0.0 255.255.0.0 0 0

　　内部网络地址翻译成外部地址

　　nat (dmz) 1 192.168.0.0 255.255.0.0 0 0

　　DMZ区网络地址翻译成外部地址

　　static (inside,outside) 10.1.1.5 192.168.12.100 netmask 255.255.255.255 0 0
　　static (inside,outside) 10.1.1.12 192.168.12.158 netmask 255.255.255.255 0 0
　　static (inside,outside) 10.1.1.3 192.168.2.4 netmask 255.255.255.255 0 0

　　设定固定主机与外网固定IP之间的一对一静态转换

　　static (dmz,outside) 10.1.1.2 192.168.19.2 netmask 255.255.255.255 0 0

　　设定DMZ区固定主机与外网固定IP之间的一对一静态转换

　　static (inside,dmz) 192.168.0.0 192.168.0.0 netmask 255.255.0.0 0 0

　　设定内网固定主机与DMZ IP之间的一对一静态转换

　　static (dmz,outside) 10.1.1.29 192.168.19.3 netmask 255.255.255.255 0 0

　　设定DMZ区固定主机与外网固定IP之间的一对一静态转换

　　access-group 120 in interface outside
　　access-group 120 in interface inside
　　access-group 120 in interface dmz

　　将访问列表应用于端口

　　conduit permit tcp host 10.1.1.2 any
　　conduit permit tcp host 10.1.1.3 any
　　conduit permit tcp host 10.1.1.12 any
　　conduit permit tcp host 10.1.1.29 any

　　设置管道：允许任何地址对全局地址进行TCP协议的访问

　　conduit permit icmp 192.168.99.0 255.255.255.0 any

　　设置管道：允许任何地址对192.168.99.0 255.255.255.0地址进行PING测试

　　rip outside passive version 2
　　rip inside passive version 2
　　route outside 0.0.0.0 0.0.0.0 10.1.1.1

　　设定默认路由到电信端

　　route inside 192.168.2.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.3.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.4.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.5.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.6.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.7.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.8.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.9.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
　　route inside 192.168.11.0 255.255.255.0 192.168.1.1 1

　　设定路由回指到内部的子网

　　timeout xlate 3:00:00
　　timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225
　　1:00:00
　　timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
　　timeout uauth 0:05:00 absolute
　　aaa-server TACACS+ protocol tacacs+
　　aaa-server RADIUS protocol radius
　　aaa-server LOCAL protocol local
　　no snmp-server location
　　no snmp-server contact
　　snmp-server community public
　　no snmp-server enable traps
　　floodguard enable
　　sysopt connection permit-ipsec
　　sysopt connection permit-pptp
　　service resetinbound
　　service resetoutside
　　crypto ipsec transform-set myset esp-des esp-md5-hmac

　　定义一个名称为myset的交换集

　　crypto dynamic-map dynmap 10 set transform-set myset

　　根据myset交换集产生名称为dynmap的动态加密图集（可选）

　　crypto map vpn 10 ipsec-isakmp dynamic dynmap

　　将dynmap动态加密图集应用为IPSEC的策略模板（可选）

　　crypto map vpn 20 ipsec-isakmp

　　用IKE来建立IPSEC安全关联以保护由该加密条目指定的数据流

　　crypto map vpn 20 match address 110

　　为加密图指定列表110作为可匹配的列表

　　crypto map vpn 20 set peer 10.1.1.41

　　在加密图条目中指定IPSEC对等体

　　crypto map vpn 20 set transform-set myset

　　指定myset交换集可以被用于加密条目

　　crypto map vpn client configuration address initiate

　　指示PIX防火墙试图为每个对等体设置IP地址

　　crypto map vpn client configuration address respond

　　指示PIX防火墙接受来自任何请求对等体的IP地址请求

　　crypto map vpn interface outside

　　将加密图应用到外部接口
 

isakmp enable outside

　　在外部接口启用IKE协商

　　isakmp key ******** address 10.1.1.41 netmask 255.255.255.255

　　指定预共享密钥和远端对等体的地址

　　isakmp identity address

　　IKE身份设置成接口的IP地址

　　isakmp client configuration address-pool local yy outside
　　isakmp policy 10 authentication pre-share

　　指定预共享密钥作为认证手段

　　isakmp policy 10 encryption des

　　指定56位DES作为将被用于IKE策略的加密算法

　　isakmp policy 10 hash md5

　　指定MD5 (HMAC变种)作为将被用于IKE策略的散列算法

　　isakmp policy 10 group 2

　　指定1024比特Diffie-Hellman组将被用于IKE策略

　　isakmp policy 10 lifetime 86400

　　每个安全关联的生存周期为86400秒（一天）

　　vpngroup cisco idle-time 1800
　　vpngroup pix_vpn address-pool yy
　　vpngroup pix_vpn idle-time 1800
　　vpngroup pix_vpn password ********
　　vpngroup 123 address-pool yy
　　vpngroup 123 idle-time 1800
　　vpngroup 123 password ********
　　vpngroup 456 address-pool yy
　　vpngroup 456 idle-time 1800
　　vpngroup 456 password ********
　　telnet 192.168.88.144 255.255.255.255 inside
　　telnet 192.168.88.154 255.255.255.255 inside
　　telnet timeout 5
　　ssh timeout 5
　　console timeout 0
　　vpdn group 1 accept dialin pptp
　　vpdn group 1 ppp authentication pap
　　vpdn group 1 ppp authentication chap
　　vpdn group 1 ppp authentication mschap
　　vpdn group 1 ppp encryption mppe 40
　　vpdn group 1 client configuration address local hhyy
　　vpdn group 1 pptp echo 60
　　vpdn group 1 client authentication local
　　vpdn username cisco password *********
　　vpdn enable outside
　　username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 2
　　vpnclient vpngroup cisco_vpn password ********
　　vpnclient username pix password ********
　　terminal width 80
　　Cryptochecksum:9524a589b608c79d50f7c302b81bdfa4b

如何查杀运行状态下的EXE、DLL病毒  一、对于启动进程的EXE病毒的查杀

    1、在进程中可以发现的单进程EXE病毒或木马程序，如：svch0st.exe，有些杀毒软件可以发现且可以停掉进程，杀掉病毒；有些杀毒软件会报警提示用户或形成日志，需要用户作进一步判断后，再手工停掉相应进程，杀掉病毒。

    2、在进程中可以发现的双进程EXE病毒或木马程序，由于手工方式不能同时停掉两个进程，当我们手工掉其中一个进程后，另一个进程会将该进程重新启动。针对这种情况杀毒软件也无能为力，若两个都是非系统进程，我们可以通过"任务管理器/进程/结束进程树"的方式停掉该进程，杀掉病毒；也可以用工具IceSword中"文件/设置/禁止进线程创建"，来停掉其中一个进程，再停掉另一个进程，杀掉病毒。

    3、对于像被"熊猫烧香"感染的EXE文件，上述两种手工处理无效，因为无法手工清除受病毒感染的文件中的病毒，这时只能向杀毒软件厂商提供病毒样本，等待杀毒软件升级后再进行处理，或重新安装操作系统。

    二、 对于采用进程插入技术，隐藏了进程DLL病毒的查杀

    目前的一些高级病毒或木马程序，采用进程插入技术，隐藏了进程，将其DLL动态链接库文件插入现有的系统进程中，常见的插入explorer.exe和winlogon.exe中，目前杀毒软件针对这种动态链接库的病毒查杀，效果都不理想，有时杀毒软件甚至会出现误判，如"赛门铁克误杀系统两个关键动态链接库文件"事件。

    对于插入explorer.exe中DLL文件，大部分可以利用工具IceSword中"模块/卸除"，将DLL文件卸载，然后手工删除DLL病毒文件。

    对于插入winlogon.exe中DLL文件，少数可以利用工具IceSword中"模块/卸除"，将DLL文件卸载，然后手工删除DLL病毒文件；大部分是不可以"卸除"的，

    对于上述两种不可以"卸除"的情况，需要在安全模式下，手工删除DLL病毒文件。

    另外，目前还有些病毒或木马程序有时还会感染U盘，在U盘产生Autorun.inf和相应的EXE文件。

新浪科技讯 北京时间1月31日消息，据国外媒体报道，美国总统布什2004年承诺，到2007年，所有美国人都将用上价格可以接受的宽带服务。根据美国商务部下设的国家电信与信息局(NTIA)周四发布的最新报告，布什的这一承诺已经基本上实现。

　　这份报告名为《网络国家：美国宽带》，对美国宽带市场的发展和竞争做出了乐观的估计。但批评人士认为，报告的结论可能过于乐观。报告中称，通过对现有数据进行合理的估计，所有美国人都用上价格可以接受的宽带服务的目标已经从很大程度上实现。对于这一问题，美国总统执行办公室技术主管理查德·拉塞尔(Richard Russell)也给出了肯定的答案，但他要更谨慎一些。他说：“按照大多数标准来衡量，我们都已实现了目标。但是，我们仍然有很多工作需要做。”

　　宽带普及率一直是美国政府和互联网行业“心中的痛”，因为虽然美国是互联网的发源地，但在宽带普及率方面却落后于很多国家。根据世界经济合作及发展组织公布的数据，2006年美国人均宽带线路在全球排名第15位，低于2001年的第4位。NTIA报告中的结论主要基于美国联邦通信委员会(FCC)和其它部门或组织公布的数据。FCC在报告中称，截至2006年底，美国99%以上的邮政地区都获得了来自至少一家提供商的宽带服务。

　　批评人士认为，FCC公布的数据具有误导性，因为一家宽带服务提供商在一个邮政地区可能只向一户居民提供服务。NTIA已经启动了自己的调查，以更准确地了解当前的宽带部署情况。NTIA代理主任梅雷迪斯·阿特维尔-贝克尔(Meredith Attwell Baker)表示：“更多数据非常必要。我们支持FCC为获得更好数据所付出的努力。”

　　NTIA在报告中称，得益于布什总统制定的政策，美国宽带市场的竞争日趋激烈。布什政府一直致力于打造一个可以孕育出宽带创新和竞争的环境。FCC公布的数据显示，截至2006年12月，美国的宽带线路达到8250万条，远远高于2000年12月的680万条。