在PIX防火墙上实现×××

      
       现在×××技术 已经作为一种成熟的技术在世界范围内广泛地应用起来了,越来越多的跨国企业通过×××将大客户、合作伙伴 、各种办事机构 、分公司 、公司出差人员等方便快捷地接人企业内部网 ,及时地掌握瞬息万变的各种信息 。而×××实际上是通过软件实现的技术 ,作为×××载体的硬件可以有以下几种一种是路由器 ,就是通过把软件加载在路由器上 ,使它既是一台路由器 ,又是一 台×××设备 ,也就是所谓的安全路由器再有就是防火墙
,在企业防火墙上实现×××的功能 最后一种是专用的×××硬件 ,在这种设备中,加密也通过硬件实现 ,可以大大提高安全效率。但是专用 的***硬件受到外国政府 出 口 限制 ,而使用路由器实施×××,既要更新IOS又要升级系统的内存 ,flash等,因此在企业防火墙上实现×××就成了一种折衷方案.
       我们采用的是Cisco PIX 515E火墙 ,PIX防火墙一般都支持×××,只不过系统 自带的是DES,如果用户需要安全性更高的×××服务 ,可 以另外购买3DES加密协议 。在客户端方面 ,可以使用windows 2000 、windows xp自带的 “虚拟网连接 ” ,但是厂家推荐使用其专
用 的Secure ××× client software。2.1版本可以在其官方网站上下载 ,但是它只 支 持 ,而 不 支 持 ,更高版本的 客户端软件需要另外购买而在实际应用 中 ,通过试验我们使用 的客户端软件代替了 的 客户端软件.首先将 防火墙通过控制线接到笔记本电脑的 口上 ,加点启动防火墙 ,开始的启动信息警告 、设备信息 、软件版本 都可 以正常显示出来 ,但是到 了提示 “是否使用互动模式配置防火墙” ,键盘就毫无作用了 ,键人 或 都没有显示 ,甚至在刚启动时想按 或 进人 模式也毫无反应。后来发现是控制线有问题 ,可能是由其中的一根针断了 ,使得 只能从路由器上接收数据 ,而不能往路由器上发送数据。换了一个控制后 ,即可成功启动进人 配置模式。然后我们配置了一些防火墙的基本参数 ,如主机名 、密码 、接口地址 、内外部路由等 ,配置命令如下:
#interface ethernel 1 00full(/AUTO) //激活端并指定100M全双工
#interface ethernet 1 100 full(/AUTO)
#ip address outside 202.102.0.1 255.255.255.0
#ip address inside 10.72.1.221 255.255.255.0
#route outside 0.0.0.0 0.0.0.0 202.102.0.2
#route inside 0.0.0.0 0.0.0.0 10.75.1.254
#nameif e0 outisde security 0
#nameif e1 inside security 100
接下来就需要配置×××相关的参数 ,如IKE,IPSec等。配置IKE涉及到启用IKE和isakmp 是同义词) ,创建IKE策略 ,和验证我们的配置。
1.isakmp enable outisde
2.isakmp policy
3.isakmp key ****** address 0.0.0.0 netmask 0.0.0.0
4.show isakmp [policy]
5.access-list 80 permit ip 10.0.0.0 255.0.0.0 20.0.0.0 255.0.0.0
6.nat(inside) 0 access-list 80
7.ip local pool dealer 20.0.0.1-20.0.0.10
8.isakmp client configuration address-pool local dealer outside
IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去。
1.crypto ipsec transform-set strong-des esp-des esp-sha-hmac
2.crypto dynamic-map cisco 4 set transform-set strong-des
3.crypto map partner-map 20 ipsec-isakmp dynamic cisco
4.crypto map partner-map client configuration address initiate
5. crypto map partner-map interface outside
到这一步,基本的×××配置就完成了。