如何在CISCO PIX上實現×××步驟?

原創 ooze 2019-07-17 13:58
在PIX上防火牆用預共享密鑰配置IPSec加密主要涉及到4個關鍵任務: 

一、爲IPSec做準備

爲IPSec做準備涉及到確定詳細的加密策略,包括確定我們要保護的主機和網絡,選擇一種認證方法,確定有關IPSec對等體的詳細信息,確定我們所需的IPSec特性,並確認現有的訪問控制列表允許IPSec數據流通過; 

步驟1:根據對等體的數量和位置在IPSec對等體間確定一個IKE(IKE階段1,或者主模式)策略; 

步驟2:確定IPSec(IKE階段2,或快捷模式)策略,包括IPSec對等體的細節信息,例如IP地址及IPSec變換集和模式; 

步驟3:用"write terminal"、"show isakmp"、"show isakmp 
policy"、"show crypto map "命令及其他"show"命令來檢查當前的配置; 

步驟4:確認在沒有使用加密前網絡能夠正常工作,用"ping"命令並在加密前運行測試數據流來排除基本的路由故障; 

步驟5:確認在邊界路由器和PIX防火牆中已有的訪問控制列表允許IPSec數據流通過,或者想要的數據流將可以被過濾出來。

二、配置IKE 配置IKE涉及到啓用IKE(和isakmp是同義詞),創建IKE策略,和驗證我們的配置; 

步驟1:用"isakmp enable"命令來啓用或關閉IKE; 

步驟2:用"isakmp policy"命令創建IKE策略; 

步驟3:用"isakmp key"命令和相關命令來配置預共享密鑰; 

步驟4:用"show isakmp [policy]"命令來驗證IKE的配置。 

三、配置IPSec 

IPSec配置包括創建加密用訪問控制列表,定義變換集,創建加密圖條目,並將加密集應用到接口上去; 

步驟1:用access-list命令來配置加密用訪問控制列表; 例如: access-list acl-name 
{permit|deny} protocol src_addr src_mask [operator port 
[port]]dest_addr dest_mask [operator prot [port]] 

步驟2:用crypto ipsec transform-set 命令配置變換集; 例如: crypto 
ipsec transform-set transform-set-name transform1 
[transform2 [transform3]] 3. 

步驟3:(任選)用crypto ipsec security-association 
lifetime命令來配置全局性的IPSec 安全關聯的生存期; 

步驟4:用crypto map 命令來配置加密圖; 

步驟5:用interface 命令和crypto map map-name interface應用到接口上; 

步驟6:用各種可用的show命令來驗證IPSec的配置。

四、測試和驗證IPSec 

該任務涉及到使用"show " 
、"debug"和相關的命令來測試和驗證IPSec加密工作是否正常,併爲之排除故障。 

樣例: 

PIX 1的配置: 
!configure the IP address for each PIX Firewall 
interface 
ip address outside 192.168.1.1 255.255.255.0 
ip address inside 10.1.1.3 255.255.255.0 
ip address dmz 192.168.11.1 255.255.255.0 
global (outside) 1 192.168.1.10-192.168.1.254 netmask 
255.255.255.0 
!creates a global pooll on the outside interface,enables 
NAT. 
!windows NT server 
static (inside,outside) 192.168.1.10 10.1.1.4 netmask 
255.255.255.0 
!Crypto access list specifiles between the global and 
the inside server beind PIX Firewalls is encrypted ,The 
source and destination IP address are the global IP 
addresses of the statics. 
Access-list 101 permit ip host 192.168.1.10 host 
192.168.2.10 
!The conduit permit ICMP and web access for testing. 
Conduit permit icmp any any Conduit permit tcp host 
192.168.1.10 eq www any 
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1 
!Enable IPSec to bypass access litst,access ,and confuit 
restrictions
syspot connnection permit ipsec 
!Defines a crypto map transform set to user esp-des 
crypto ipsec transform-set pix2 esp-des 
crypto map peer2 10 ipsec-isakmp! 

完全配置: 
ip address outside 202.105.113.194 255.255.255.0 
/*看電信給你的IP 
ip address inside 192.168.1.1 255.255.255.0

global (outside) 1 202.105.113.195-202.105.113.200 
global (outside) 1 202.105.113.201 
nat (inside) 1 0.0.0.0 0.0.0.0 0 0 
static (inside,outside) 202.105.113.203 192.168.1.10 
netmask 255.255.255.255 0 0 
static (inside,outside) 202.105.113.205 
192.168.1.11netmask 255.255.255.255 0 0 
conduit permit icmp any any conduit permit tcp host 
202.105.113.203 eq www any 
conduit permit tcp host 202.105.113.203 eq ftp any 
conduit permit tcp host 202.105.113.205 eq smtp any 
conduit permit tcp host 202.105.113.205 eq pop3 any 

route outside 0.0.0.0 0.0.0.0 202.105.113.193 1 
route inside 0.0.0.0 0.0.0.0 192.168.1.1
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

職場上,不知道這些,活該工資比人低一倍

在職場上,我們會遇到很多煩惱:要去大城市嗎?去大公司還是小公司?遇到職場上的迷茫期應該怎麼辦......今天職場邦小編分享心得給大家! 但很多時候,這些煩惱產生的原因只是因爲你“想得太多,做得太少”。 我們抱着“守株待兔”的心情

dengjigong 2020-07-07 22:41:25

你介意別人修改你的代碼嗎?

         自己的代碼被別人改動這事,應該不少人遇到過,作爲當事人之一,你介意嗎?          我也遇到過,甚至在改動前基於修改人本身的一些情況,我會變得謹慎起來,甚至有些牴觸。理由很簡單:一個能力比你差得人要改你的代碼,你不

三笑咖啡 2020-07-07 19:53:26

項目經理只能考PMP嗎?最全的證書信息分享給你們

項目管理是一門深奧的學科,不僅僅是簡單的計劃、安排。想要學好這門課,需要考取一些證書。 那這一期我們來介紹一下值得和未來需要考取的證書,來幫助我們成爲更好的項目經理。 0 1 PMP證書 推薦指數:五顆星 簡要介紹:PMP是由美國項目管

逸尘谈PM 2020-07-07 15:46:30

讓我思潮翻滾的IBM面試內容

今天剛從北校筆試完IBM回來,感覺一般般,回來後上網隨便看看別人的面試經歷。其實也不是覺得自己可以進面試,從筆試過程感覺進面試機會不大,只是出於好奇,想了解一下別人是如何面試IBM的,IBM到底需要什麼樣的人才,或許對以後的職業發展有所幫

huagong_adu 2020-07-07 14:51:24

假話全不說,真話不全說---------《程序員筆試面試寶典》

1.萬事趁早 我大概是研究生三年級新學期開學後開始準備找工作的,從後來的情況來看,我已經準備晚了,因爲校招時間提前了半個多月。這也給了我一個教訓:萬事趁早,因爲我們不能預知公司什麼時候來招聘,只能自己提前做準備。準備太晚的結果就是9月中下

love-xiao-forever 2020-07-07 06:38:44

學會這些,不做委屈的項目經理

背景 ”如果你喜歡一個人,你就讓他去當項目經理,因爲項目會使他有業績;如果你恨一個人,你就讓他去當項目經理,因爲十有八九他會被失敗的項目毀了“ 這麼一聽,項目經理貌似是一個很危險的工作。 其實也是的,沒有哪個項目經理是不委屈的。 小李同樣

逸尘谈PM 2020-07-07 01:06:24

什麼纔是真正的項目團隊,我來告訴你需要做哪些

項目團隊是由項目所在單位委託項目經理牽頭組建的。並不是在一起工作的一羣人,就能自動形成團隊的,也不是由領導下令組建的團隊就自然能成爲真正的團隊的。 一羣人要形成團隊,固然需要有形的組織結構與明確規定的合作關係,也需要一些無形的軟要素。沒有

逸尘谈PM 2020-07-07 01:06:14

公司爲招大廠程序員,把老員工辭掉,一個月後公司炸了

職場中,是非常現實與殘酷,優勝劣汰是職場規則,只要是人才到哪裏都有人需要,尤其是作爲公司來說,一切都以公司利益爲重,不管員工之前爲公司付出多少,在公司面對危機的時候,該辭退的時候還是會被辭退,這個也不能怪公司,換做是誰都是一樣的結

全栈工程师老黄 2020-07-07 00:41:35

互聯網現實生活:在大公司做程序員 vs 在小公司做程序員

一直以來,我們都在給大家展示互聯網大廠的工作和生活。但其實,互聯網行業不只有巨頭、獨角獸,更有無數小廠、創業公司。 在小公司工作,又有另一番體驗。舉個例子,同樣是做程序員,在大廠和小廠的區別,可能像跨行一樣大… 推廣寬帶入戶,

全栈工程师老黄 2020-07-07 00:41:35

程序員不願意996工作制,老闆建議離婚!第二天後:我離職吧

我們都知道程序員的工資非常高,但是程序員的工作也非常辛苦,因爲他們早上9點鐘上班,晚上9點鐘下班,甚至週六、週末還需要加班,雖然他們的工資高,但是他們的高薪卻是身體、熬夜換回來的! 小陳是某互聯網公司的員工,從事程序員工作已經3

全栈工程师老黄 2020-07-07 00:41:35

程序員自曝:去事業單位後每晚9點週六也加班,結果被領導談話

我們知道現在由於大環境的影響,程序員的加班已經成爲了習慣,這令很多人都苦不堪言,直呼身體受不了,也有不少人進行了轉行,就是爲了工作能夠輕鬆一點。這不,一程序員自爆:去事業單位後每晚加班到9點,週六也加班,結果被領導談話!這到底是

全栈工程师老黄 2020-07-07 00:41:35

程序員被辭退,臨走時把新員工辦公桌擦一遍,老闆:交5萬罰款

衆所周知,程序員一直是高薪職業的佼佼者,前段時間,小編看到一位程序員網友的抱怨,這位網友表示自己在一家互聯網公司工作了十幾年了,但是自己卻被公司老闆辭退了,離職之後,這位公司老闆卻給自己打電話讓自己賠償前公司5萬元。究竟發生了什麼

全栈工程师老黄 2020-07-07 00:41:35

【五方面保養電腦延長壽命】

 在之前的教程中,系統吧小編說了很多關於我們電腦的保養與該注意的事項,不知友友們是否有那樣去做呢。今天系統吧小編整理了5個常見故障。親們跟着我們的腳步一起來了解一下哦     ★硬盤故障。      硬盤主要是振動和怕強磁。如果有印象,大

南山养鹿人 2020-07-06 16:06:57

【兩方面正確愛護我們的鍵盤與電源】

  1.筆記本鍵盤在長期利用之後年夜略會將鍵帽磨光,感化美感及利用壽命,如果對鍵盤比較愛惜可以購買外接usb鍵盤來利用,以禁止此類題目。           2.料理累積塵土時,可用小毛刷來乾淨弊端,或是利用平常呼?塵土的高壓噴氣罐(

南山养鹿人 2020-07-06 16:06:57

【全方位檢查筆記本大噪音的來源】

夏天來了。天氣熱了,該爲我們的心愛本本降降溫,本想用風扇給我們心愛的本本降溫,這時卻出現了一個大問題:噪音非常大,這可怎麼是好?有問題就有解決的辦法。跟着系統吧小編一起來解決這個問題      筆記本電腦噪音來源        首先我

南山养鹿人 2020-07-06 16:06:56