FireWall(PIX編)
基本
Hostnameを設定
hostname testFW
現在実行中のConfig表示
show run
現在保存されているConfig表示
show config
CPU使用率表示
show cpu usage
コネクション数の表示(コネクションの表示はsh conn)
show conn count
メモリー使用率の表示
show mem
Xlate数の表示(IP変換テーブル)(Xlateの表示はshow xlate)
show xlate count
Configの保存
wr mem
Configの削除
write erase
Interfaceへの設定
Interfaceに名前をつけSecurityレベルを設定
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 DMZ security10
nameif ethernet3 sync security90
Interfaceのスピードを設定
interface ethernet0 100full
Interfaceをシャットダウン
interface ethernet4 100full shutdown
InterfaceにIPを設定する
ip address outside 192.168.1.1 255.255.255.0
ip address inside 172.26.1.121 255.255.255.128
ip address DMZ 10.10.10.1 255.255.255.0
ip address sync 200.200.200.1 255.255.255.252
ルーティング設定
デフォルトゲートウェイ設定
route outside 0.0.0.0 0.0.0.0 192.168.1.251 1
特定の宛先へのルーティング
route inside 172.27.100.0 255.255.255.0 172.26.1.251 1
route inside 172.27.101.0 255.255.255.0 172.26.1.251 1
Failover設定
failover機能を有効にする
failover
failover機器間のHelloの間隔
failover poll 3(3秒に設定)
failover IPの設定
failover ip address outside 192.168.1.2
failover ip address inside 172.26.1.122
failover ip address DMZ 10.10.10.2
failover ip address sync 200.200.200.2
ステートフル フェールオーバー用に利用可能なインターフェイスを指定
failover link sync
NAT系設定
NAT後のIPアドレスを設定
global (outside) 1 192.168.1.5 netmask 255.255.255.255
NATを適用するIP範囲を設定
nat (DMZ) 1 172.26.1.0 255.255.255.128 0 0
Security系設定
ACLを設定
ICMPのACL(PIXのインターフェイスで終端する)
icmp permit any unreachable outside 到達不能メッセージ許可
icmp deny any outside
icmp permit host AAA.BBB.CCC.DDD inside 管理サーバなどからのPING許可
Logging機能を有効
logging on
syslog メッセージに、 タイムスタンプ値を付ける
logging timestamp
syslog メッセージだけにロギング レベルを設定
logging trap notifications
syslog トラップを送信するための SNMP メッセージ レベルを設定
logging history notifications
syslogサーバを指定
logging host inside AAA.BBB.CCC.DDD
nmp-server community名を設定
snmp-server community public
トラップ通知機能を使用する
snmp-server enable traps
フラッド攻撃を防ぐ
floodguard enable
その他の設定
Domain名設定
domain-name AAAA.co.jp
画面ページング
no pager
MTU設定
mtu outside 1500
mtu inside 1500
timeoutの設定
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
ntpサーバの指定
ntp server 172.27.100.200 source inside
PIX Firewall HTTP サーバをイネーブルにする
http server enable
PIX Firewall HTTPサーバにアクセスできるクライアントを指定
http 172.26.1.130 255.255.255.255 inside
拒否された着信 TCP パケットに対するリセットを送信
service resetinbound
PIX GARP発生タイミング
icmp permit any coutside。unreachableを許可する理由
「no buffer」、 「overrun」
IDENT 接続のリセット
セッション切れる?(clear static,clear xlate)
解体、ファームのUP、passwd 回復
Failover時のフロー 電源障害の場合は即Failover 1〜2秒 テストの流れ Link UP/Down>Network Activity test>ARP test>ブロードキャスト test 障害発生 | Time | | 0s ↓ | ---------------------- | | 2回連続 | | | Helloパケットの未受信| | ---------------------- | | | 3〜6s ↓ | ---------------------- | | Link UP/Down調査 | | | アクティブ側で施行 | | ---------------------- | | Down | |----------------->Failover | 4〜8s ↓ | ---------------------- | |Network Activity test | | | アクティブ側で施行 | | ---------------------- | | Packet受信 | IF正常と判断 |----------------->非Failover| ↓ | ---------------------- | |Network Activity test | | | スタンバイ側で施行 | | ---------------------- | | Packet受信 | |-----------------> Failover| ↓ | ---------------------- | | ARP test | | | アクティブ側で施行 | | ---------------------- | | Packet受信 | |----------------->非Failover| IF正常と判断 ↓ | ---------------------- | | ARP test | | | スタンバイ側で施行 | | ---------------------- | | Packet受信 | |-----------------> Failover| ↓ | ---------------------- | | ブロードキャスト test| | | アクティブ側で施行 | | ---------------------- | | Packet受信 | |----------------->非Failover| IF正常と判断 ↓ | ---------------------- | | ブロードキャスト test| | | スタンバイ側で施行 | | ---------------------- | | Packet受信 | |-----------------> Failover| ↓ | 再ARP test