|
对内部主机,我们可以控制其能使用的服务,例如,对图一主机192.168.3.4我们可以禁止它使用WWW服务访问外部网络。其配置如下:
outbound 20 deny 192.168.3.4 255.255.255.255 www tcp
apply(inside) 20 outgoing_src
这样我们就可以对内部主机到外部的访问进行完全的控制。
4.防范内部网络的非法IP和MAC地址
由于IP地址可被设置更改,非法用户常篡改,盗用他人的IP地址和MAC地址,来达到隐藏其非法访问的目的。我们可以使用PIX Firewall的ARP命令将内部主机的IP和它的MAC地址绑定,来有效地防止篡改和盗用IP地址现象。例如,我们要将主机的IP地址192.168.3.4与它的MAC地址00e0.1e40.2a7c绑定,可进行如下配置:
arp inside 192.168.3.4 00e0.1e40.2a7c alias
wr m
结合以上四种配置,Cisco PIX Firewall可以实现对IP包过滤,屏蔽内部网络和对网络资源加以的控制,并有效地防范IP地址的盗用和篡改。从而较好地实现了一个完整的防火墙系统。由此可见,由PIX来构筑一防火墙系统极其方便的。
(出处:清风学院)
上一篇:思科公司PIX防火墙全系列产品一览二
下一篇:思科推出Rich Media Communications Specialist认证
|
精品推荐