PIX多模式--虚拟化防火墙技术

(1)应用环境

·出于某种安全因素的考虑,接口e1与接口e2上各有不同需求的配置。

·此时全局配置模式对e1和e2接口都有影响,所以需要虚化出两台防火墙。

·使得两台虚拟化防火墙的配置各不影响。

虚拟化防火墙后,上面的环境等同于:

(2)部署

验证:show flash:

【配置概述】

第一步:PC1-PC2-R3基础IP地址配置(略)

第二步:FW1全局配置

Step 【1】:FW1物理接口基本配置

Step 【2】:FW1多模式配置

第三步:虚拟化防火墙V1配置

Step 【1】:定义全局管理模式admin

Step 【2】:FW1虚拟化防火墙V1

Step 【3】:V1访问Internet

第四步:虚拟化防火墙V2配置(略)

Step 【1】:FW1虚拟化防火墙V2

Step 【2】:V2访问Internet

【配置过程】

第一步:PC1-PC2-R3基础IP地址配置(略)

第三步:FW1全局配置

Step 【1】:FW1物理接口基本配置

pixfirewall(config)# interface e1

pixfirewall(config-if)# no shu tdown

pixfirewall(config-if)# interface e2

pixfirewall(config-if)# no shu tdown

pixfirewall(config-if)# interface e3

pixfirewall(config-if)# no shutdown

Step 【2】:FW1多模式配置

pixfirewall(config-if)# mode multiple

WARNING: This command will change the behavior of the device

WARNING: This command will initiate a Reboot

注意:需要重启设备,同时要使PIX具有多模式配置的功能,必须导入激活码

第三步:虚拟化防火墙V1配置

Step 【1】:定义全局管理模式admin

pixfirewall(config)# admin-context admin //定义全局管理模式admin

pixfirewall(config)# context admin //进入全局管理模式admin

pixfirewall(config-ctx)# config-url flash:/admin.cfg //定义全局管理模式配置文件保存点

Step 【2】:FW1虚拟化防火墙V1配置

pixfirewall(config)# context v1 //创建虚拟环境V1和虚拟化防火墙V1

Creating context ‘v1‘... Done. (2)

pixfirewall(config-ctx)# allocate-interface Ethernet1 //分配接口e1到V1

pixfirewall(config-ctx)# allocate-interface Ethernet3 //分配接口e2到V2

pixfirewall(config-ctx)# config-url flash:/v1.cfg //创建虚拟防火墙V1配置保存地点

Step 【3】:V1访问Internet配置

pixfirewall(config)# changeto context v1 //进入虚拟防火墙V1

接口基本配置:

pixfirewall/v1(config)# int e1

pixfirewall/v1(config-if)# no shu

pixfirewall/v1(config-if)# ip add 192.168.1.254 255.255.255.0

pixfirewall/v1(config-if)# nameif inside

pixfirewall/v1(config-if)# security-level 100

pixfirewall/v1(config-if)# int e3

pixfirewall/v1(config-if)# no shu

pixfirewall/v1(config-if)# ip add 100.1.1.1 255.255.255.0

pixfirewall/v1(config-if)# nameif outsid

pixfirewall/v1(config-if)# security-level 0

默认路由与NAT:

pixfirewall/v1(config)# route outside 0 0 100.1.1.254

pixfirewall/v1(config)# access-list NAT permit ip any any

pixfirewall/v1(config)# nat (inside) 1 access-list NAT

pixfirewall/v1(config)# global (outside) 1 interface

协议修正:

pixfirewall/v1(config)# fixup protocol icmp

pixfirewall/v1(config)# wr

第四步:虚拟化防火墙V2配置(略)

Step 【1】:FW1虚拟化防火墙V2

Step 【2】:V2访问Internet


时间: 2024-08-18 04:12:52

PIX多模式--虚拟化防火墙技术的相关文章

KVM虚拟化CPU技术总结

KVM虚拟化CPU技术总结 一 NUMA技术介绍NUMA是一种解决多CPU共同工作的技术方案,我们先回顾下多CPU共同工作的技术架构历史.多CPU共同工作主要有三种架构,分别是SMP MPP NUMA架构.SMP MPP NUMA 都是为了解决多CPU共同工作的问题.早期的时候,每台服务器都是单CPU,随着技术发展,出现了多CPU共同工作的需求,最早的多CPU技术是SMP.SMP 多个CPU通过一个总线访问存储器,因此SMP系统有时也被称为一致存储器访问(UMA)结构体系,一致性意指无论在什么时

天然工坊模式分销系统技术开发

天然工坊模式分销系统技术开发(何 188.264.66052 微/电)天然工坊模式开发.天然工坊系统开发.天然工坊模式系统技术开发等. 2016年1月27日,移动互联电商平台"天然工坊"公众号上线40天,会员数量就已经达到100万,产生一个亿的销量,目前还处于缺货状态.该平台仅销售一款产品: "竹妃"竹纤维本色纸巾.天然工坊不靠线下商场门店,不靠阿里京东等电商.拥有自己独特的电商模式,如今用户量已达1600多万. 公司研发的竹妃纸巾,通过微信公众号平台以及搭载的自有

LVS 持久连接 PPC模式、PCC模式、防火墙标记

持久连接 PPC模式.PCC模式.防火墙标记 [LVS]我的是X86的系统 ipvsadm 功能类似Iptables 管理集群服务 增删改 管理RS增删改 查看 –L [磨刀不误砍柴工]看清楚,不要配置错了 两台RS都安装 192.168.3.123     192.168.3.87 网关都一样 route add default gw 192.168.3.77 [做不同端口持久连接测试用] yum -y install telnet-server yum -y install httpd se

国内DDOS防御的专业防火墙技术

很多人对DDOS很感兴趣,但对深层的防御技术不怎么很会有效的进行设置,下面介绍一下防御的一些知识. 什么是DDOS攻击?有什么办法防御? DDOS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击.也就是说拒绝服务攻击的目的非常明确,就是要阻 止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的.虽然同样

赚享客商城分销模式系统app技术开发

眼下,以互联网+为代表的生产技术的革新正悄然而至,将引起一场"消费关系"的大解放.我们的购买方式.支付工具.分享渠道都在改变,甚至有相关业内人士预计,一旦真正进入这个崭新的时代,传统的消费理论和经验都将统统失效,类似天猫这样的电子商城也将面临巨大的挑战! 代码编辑分析: 一.赚享客老模式是什么?赚享客原有赚钱模式为两种:1.分享产品,获得佣金2.邀请好友入驻赚享客,获得平台100元培训津贴,好友销售产品还能获得额外30%佣金奖励. 二.赚享客新模式是什么?赚享客新模式,在原有的基础上,

KVM虚拟化网络优化技术总结

一个完整的数据包从虚拟机到物理机的路径是: 虚拟机--QEMU虚拟网卡--虚拟化层--内核网桥--物理网卡 KVM的网络优化方案,总的来说,就是让虚拟机访问物理网卡的层数更少,直至对物理网卡的单独占领,和物理机一样的使用物理网卡,达到和物理机一样的网络性能. 方案一 全虚拟化网卡和virtio Virtio与全虚拟化网卡区别    全虚拟化网卡是虚拟化层完全模拟出来的网卡,半虚拟化网卡通过驱动对操作系统做了改造:    viritio简单的说,就是告诉虚拟机,hi 你就是在一个虚拟化平台上跑,咱

[转]数据中心网络虚拟化 隧道技术

http://www.sdnlab.com/12077.html SDNLAB 如何实现不同租户和应用间的地址空间和数据流量的隔离是实现数据中心网络虚拟化首先需要解决的几个问题之一.所谓地址空间的隔离是指不同租户和应用之间的网络(ip)地址之间不会产生相互干扰.换句话说,两个租户完全可以使用相同的网络地址.所谓数据流量的隔离是指任何一个租户和应用都不会感知或捕获到其他虚拟网络内部的流量.为了实现上述目的,我们可以在物理网络上面为租户构建各自的覆盖(overlay)网络,而隧道封装技术则是实现覆盖

物理系统迁移虚拟化P2V技术

企业搭建虚拟化平台之后的第一件事肯定是将现有的服务器应用业务转移到虚拟服务器上,这就是虚拟化整合服务器的第一步,也是虚拟化程序的基础功能之一:P2V的转化功能. AD: 企业搭建虚拟化平台之后的第一件事肯定是将现有的服务器应用业务转移到虚拟服务器上,这就是虚拟化整合服务器的第一步,也是虚拟化程序的基础功能之一:P2V的转化功能.将现有的物理服务器操作系统连同全部的应用程序和硬盘上已经储存的文档数据整体打包转移到搭建好的虚拟化平台上,不用再循规蹈矩的装完系统装应用,按部就班的调完本地调网络,整个过

数据库防火墙技术研究

数据库防火墙是继防火墙.下一代防火墙等网关类安全产品之后,专门针对于数据存储的核心介质--数据库的一款安全防护产品. 关于数据库安全可以分为两个层面,一方面是来自于外部的威胁,比如说来自黑客的攻击.非法访问等,第三方运维人员的不当操作和非法入侵:另外一部分是来自于内部的威胁. 数据库防火墙部署于数据库之前.必须通过该系统才能对数据库进行访问或管理.数据库防火墙除提供网络防火墙的基本隔离功能以外,还提供独立的连接授权管理.访问授权管理.攻击保护.连接监控.审计等功能.部署该产品以达到牢牢控制数据库