Tecnología

Inicio

Cómo crear una lista de acceso para el servidor de seguridad Cisco PIX

January 4

Cómo crear una lista de acceso para el servidor de seguridad Cisco PIX


Cisco Systems ha sido durante mucho tiempo un líder de ventas en productos de redes de datos. solución de cortafuegos PIX de Cisco se suele conectar una red segura, corporativa al router que da a la Internet. Esta disposición permite a una organización para ofrecer servicios externos - como por ejemplo un servidor web o el correo - manteniendo los equipos internos a salvo de ataques externos. Un cortafuegos PIX se configura más fiable a través de su interfaz de línea de comandos. Aunque muchos comandos están disponibles para configurar el servidor de seguridad, la lista de control de acceso (ACL) representa las reglas básicas para la seguridad de la red.

Instrucciones

1 Conectar con el servidor de seguridad. Si está habilitado telnet, puede abrir su programa telnet y escriba la dirección del servidor de seguridad de protocolo de Internet (IP). También se puede conectar una serie DB-9 a RJ-45 cable de la PC al puerto de "consola" en el servidor de seguridad PIX.

2 Tipo "ena" o "activar" y presionar "Enter". Si se le pide una contraseña, entre eso y presionar "Enter". Esto le pondrá en el modo de administración.

3 Tipo "config t" o "configure terminal" y presionar "Enter". Esto le pondrá en el modo de configuración global.

4 Entrar en el modo de configuración de lista de acceso escribiendo (sin comillas) "lista de acceso IP [estándar / extendido] [" nombre de número "/" "]". El "[estándar / extendido]" opción le permite especificar si desea que la lista de acceso para ser simple o tener acceso a los comandos extendidos, como los puertos de protocolo de datagramas de usuario (UDP). Después de eso, se puede optar por asignarle propio nombre a la ACL o darle un número.

5 Crear la ACL, línea por línea, emitiendo el siguiente comando (sin las comillas): "[denegar / permitir / observación] [UDP / TCP] [dirección de origen o de la red] [puerto] [destino de host o la dirección de red] [puerto] ". Por ejemplo, el comando "host permiso de 192.168.1.0 255.255.255.0 192.168.5.1 eq 80" diría el PIX para permitir el tráfico proveniente de un host con una dirección IP que comienza con "192.168.1" para enviar tráfico a un host 192.168.5.1 en el puerto "80" (WWW).

6 Tipo de "salida" y presionar "Enter" cuando haya terminado de editar la lista de acceso. Esto lo retornará al modo de configuración global.

7 Aplicar la ACL a la interfaz que desea marcó escribiendo el comando (sin las comillas) "access-group [ACL nombre / número] [IN / OUT] interfaz de [nombre de la interfaz]". El "ACL nombre / número" es el nombre o el número que le dio a la ACL, mientras que "in / out" cuenta la PIX si debe examinar paquetes a medida que llegan o en su intento de salir a través de la interfaz. El nombre de la interfaz es la interfaz física o virtual, donde la ACL se va a aplicar (por ejemplo, "eth0" sería un puerto Ethernet).

8 Escriba "copy run start" o "copy running-config-config de partida" y presionar "Enter". Esto guardar los cambios de configuración.

Consejos y advertencias

  • Cómo hacer una ACL puede ser un proceso tedioso, con un montón de espacio para el error. Ayuda a que escribir los comandos de la lista de acceso en un programa de texto sin formato, y luego cortar y pegar en el programa telnet para evitar el error.
  • Los comodines pueden ayudar a acelerar el proceso de permitir el tráfico. Usted puede poner el "todo" comando en el origen o el destino (o ambas cosas, aunque esto no se recomienda en general).
  • Cada comando de la lista de acceso se procesa de forma secuencial. Por lo tanto, el orden de los comandos es absolutamente vital! Si se coloca una orden que impide el acceso de una red a un recurso y, a continuación colocar una excepción (por ejemplo, permitir que un host de red para acceder al recurso) después de que la declaración de negación, los datos no pasar.
  • No vuelvas a hacer grandes cambios de configuración no probados, a un servidor de seguridad que se utilizan de forma activa sin antes respaldo de la configuración. Si la configuración no se puede probar antes de su despliegue, a continuación, asegúrese de aplicar en un momento en que hay poca o ninguna actividad en la red.
  • Si no está seguro acerca de lo que está haciendo, en contacto con Cisco Systems para obtener ayuda (ver Recursos).