本節書摘來自異步社群《網絡安全原理與實踐》一書中的第2章,第2.3節,作者 【美】saadat malik, ccie #4955,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視
網絡安全原理與實踐
pix防火牆允許配置最多10個不同安全等級的接口(pix 535運作6.x可以支援最多10個接口。pix525運作5.3及以上版本可以支援最多8個接口)。一個接口需要連接配接内部或者私有網絡,一個需要連接配接公共網絡,其餘的接口可以連接配接其他網絡,每個網絡可以有自己的安全等級。因而,pix允許一個防火牆支援多達10個(就pix 525來說是8個)截然不同的安全區。
在pix防火牆中,每個接口配置了一個安全等級。本質上,位于低安全級接口上的機器不能通路位于高安全接口上的裝置,除非配置中特别聲明允許這樣做。但是,位于高安全接口中的裝置隻要滿足某些特定的需求就可以通路低安全接口裝置,比如在更高安全網絡裝置上的網絡位址轉換出現時。是以,可以推出一個明顯的結論:在pix防火牆的dmz接口應該保持比内部/私有網絡接口的安全等級低。這允許了内部網絡上的機器通路dmz接口上的伺服器。但是,dmz接口上的機器在預設情況下不能通路内部網絡中的主機。
應該注意到配置pix以允許dmz接口上的機器通路内部接口的機器确實是可能的,但這需要在pix中進行特别的配置,包括在pix中開一個“孔”以允許這種流量通過。
pix防火牆使用數字來辨別每個接口及其相關區的安全等級。這個編号方案從0~100。在預設的情況下,内部接口編号為100。這意味着它具有最高的安全級别。外部接口為0,是最低的安全等級。其他的接口從1~99排列。理想情況下,所有接口應該具有唯一的安全等級。接口中具有相同安全等級的裝置不能通過pix進行通信,即使在配置中允許這樣做。
下面描述的指令用來設定pix上接口的安全等級。在這個例子中,pix上的ethernet0是外部或者公共接口,ethernet1是内部接口,ethernet2是dmz接口。圖2-5顯示了在這個執行個體研究中是怎樣建立pix的dmz接口和其他接口的。
下面的指令定義了ethernet0接口的名字是“outside”,并給它配置設定了安全等級0:
下面的指令定義了ethernet1接口的名字是“inside”,并給它配置設定了安全等級100:
下面的指令定義了ethernet2接口的名字是“dmz”,并給它配置設定了安全等級50,介于外部和内部接口的安全等級之間:
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)