1.         
  2.         

今天是2008年9月7日  星期天

高级Bash脚本编程指南(中文版)  APACHE2中文手册  MYSQL中文手册  PHP中文手册  VIM中文手册
栏目分类
安全资讯 | 硬件产品 | 软件产品 | 安全基础 | 病毒专区 | 黑客技术 | 防火墙 | 安全方案
排行榜
·如何设置防火墙禁用QQ、MSN等
·单点拨号访问内网(VPN方法)
·Win2003自带防火墙的设置
·配置防火墙服务
·分析可引起网络广播风暴的原因及解决方法
·KFW专业防DDOS防火墙的高级设置
·个人防火墙的选择及其使用技巧
·webshell给六合彩网站毁灭性的打击
·1-100号端口列表及功能中文注解
·PIX防火墙命令集
·ZoneAlarm防火墙软件全接触
·国内防火墙系统大比拼
·BlackICE:挡住黑客的魔爪
·个人防火墙的优缺点
·企业级防火墙日志分析利器-WebTrendsFirewallSuite
·华为3Com最新推出TippingPoint系列IPS
·配置ISA防火墙作为出站SMTP中继过滤
·防火墙新技术——深度检测
·Linux9系统下构建小型入侵检测系统
·瑞星19日病毒预警:QQ盗号木马病毒出现

    您现在的位置: Linux宝库 >> 安全 >> 安全资讯 >> 文章正文
PIX上实现VPN步骤
Linux宝库 收集整理  作者:Linux宝库  时间:2007-12-31  收藏本站
来自:http://doc.linuxpk.com/16597.html
联系:linuxmine#gmail.com
分类:[安全资讯]
   在PIX防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务:

  一、为IPSec做准备

  为IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过;

  1. 步骤1:根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1,或者主模式)策略;

  2. 步骤2:确定IPSec(IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式;

  3. 步骤3:用”write terminal”、”show isakmp”、”show isakmp policy”、”show crypto map “命令及其他”show”命令来检查当前的配置;

  4. 步骤4:确认在没有使用加密前网络能够正常工作,用”ping”命令并在加密前运行测试数据流来排除基本的路由故障;

  5. 步骤5:确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。

  二、配置IKE

  配置IKE涉及到启用IKE(和isakmp是同义词),创建IKE策略,和验证我们的配置;

  1. 步骤1:用”isakmp enable”命令来启用或关闭IKE;

  2. 步骤2:用”isakmp policy”命令创建IKE策略;

  3. 步骤3:用”isakmp key”命令和相关命令来配置预共享密钥;

  4. 步骤4:用”show isakmp [policy]”命令来验证IKE的配置。

  三、配置IPSec

  IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去;

  1. 步骤1:用access-list命令来配置加密用访问控制列表;

  例如:

  access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr dest_mask [operator prot [port]]

  2. 步骤2:用crypto ipsec transform-set 命令配置变换集;

  例如:

  crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]

  3. 步骤3:(任选)用crypto ipsec security-association lifetime命令来配置全局性的IPSec 安全关联的生存期;

  4. 步骤4:用crypto map 命令来配置加密图;

  5. 步骤5:用interface 命令和crypto map map-name interface应用到接口上;

  6. 步骤6:用各种可用的show命令来验证IPSec的配置。

  四、测试和验证IPSec

  该任务涉及到使用"show " 、"debug"和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障。

  样例:

  PIX 1的配置:

  !configure the IP address for each PIX Firewall interface

  ip address outside 192.168.1.1 255.255.255.0

  ip address inside 10.1.1.3 255.255.255.0

  ip address dmz 192.168.11.1 255.255.255.0

  global (outside) 1 192.168.1.10-192.168.1.254 netmask 255.255.255.0

  !creates a global pooll on the outside interface,enables NAT.

  !windows NT server

  static (inside,outside) 192.168.1.10 10.1.1.4 netmask 255.255.255.0

  !Crypto access list specifiles between the global and the inside

  !server beind PIX Firewalls is encrypted ,The source

  !and destination IP address are the global IP addresses of the statics.

  Access-list 101 permit ip host 192.168.1.10 host 192.168.2.10

  !The conduit permit ICMP and web access for testing.

  Conduit permit icmp any any

  Conduit permit tcp host 192.168.1.10 eq www any

  route outside 0.0.0.0 0.0.0.0 192.168.1.2 1

  !Enable IPSec to bypass access litst,access ,and confuit restrictions

  syspot connnection permit ipsec

  !Defines a crypto map transform set to user esp-des

  crypto ipsec transform-set pix2 esp-des

  crypto map peer2 10 ipsec-isakmp!

  完全配置:

  ip address outside 202.105.113.194 255.255.255.0 /*看电信给你的IP

  ip address inside 192.168.1.1 255.255.255.0

  !

  global (outside) 1 202.105.113.195-202.105.113.200

  global (outside) 1 202.105.113.201

  nat (inside) 1 0.0.0.0 0.0.0.0 0 0

  static (inside,outside) 202.105.113.203 192.168.1.10 netmask 255.255.255.255 0 0

  static (inside,outside) 202.105.113.205 192.168.1.11netmask 255.255.255.255 0 0

  conduit permit icmp any any

  conduit permit tcp host 202.105.113.203 eq www any

  conduit permit tcp host 202.105.113.203 eq ftp any

  conduit permit tcp host 202.105.113.205 eq smtp any

  conduit permit tcp host 202.105.113.205 eq pop3 any

  !

  route outside 0.0.0.0 0.0.0.0 202.105.113.193 1

  route inside 0.0.0.0 0.0.0.0 192.168.1.1
本文来自:http://doc.linuxpk.com/16597.html
 
     最新更新
·KFW专业防DDOS防火墙的高级设置
·关于各类防火墙的介绍
·防火墙新技术——深度检测
·什么是Linux防火墙
·1-100号端口列表及功能中文注解
·NetScreen-IDP100/500产品特点
·配置PIX双机failover的要点
·PIX上实现VPN步骤
·PIX防火墙命令集
·组建家庭无线网络保证安全七点小技巧
·Linux9系统下构建小型入侵检测系统
·基于Windows的入门级IDS构建过程详述
·安全过渡应用IPv6要考虑的五个安全问题
·与“入侵者”交手:认识XP下的NetBEUI
·浅析无线入侵检测系统的应用及优缺点
·分析可引起网络广播风暴的原因及解决方法
·再谈防火墙及防火墙的渗透
·配置ISA防火墙作为出站SMTP中继过滤
·Win2003自带防火墙的设置
·BlackICE:挡住黑客的魔爪
·防火墙硬件架构NP和ASIC之比较
·防火墙三大体系架构前景分析
·国内防火墙系统大比拼
·三种流行防火墙配置方案分析与对比
·高性能LINUX双效防火墙HOWTO
·教你将Linux配置为代理防火墙
·如何设置一个可靠的防火墙系统保护公司内部网络
·防火墙基本知识
·单点拨号访问内网(VPN方法)
·个人防火墙的优缺点

Copyright © 2004 - 2008 All Rights Reserved
[京ICP备06004652号] Linux宝库 技术支持