FireWall(PIX編)

基本

Hostnameを設定

hostname testFW

現在実行中のConfig表示

show run

現在保存されているConfig表示

show config

CPU使用率表示

show cpu usage

コネクション数の表示(コネクションの表示はsh conn)

show conn count

メモリー使用率の表示

show mem

Xlate数の表示(IP変換テーブル)(Xlateの表示はshow xlate)

show xlate count

Configの保存

wr mem

Configの削除

write erase

Interfaceへの設定

Interfaceに名前をつけSecurityレベルを設定

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 DMZ security10
nameif ethernet3 sync security90

Interfaceのスピードを設定

interface ethernet0 100full

Interfaceをシャットダウン

interface ethernet4 100full shutdown

InterfaceにIPを設定する

ip address outside 192.168.1.1 255.255.255.0
ip address inside 172.26.1.121 255.255.255.128
ip address DMZ 10.10.10.1 255.255.255.0
ip address sync 200.200.200.1 255.255.255.252

ルーティング設定

デフォルトゲートウェイ設定

route outside 0.0.0.0 0.0.0.0 192.168.1.251 1

特定の宛先へのルーティング

route inside 172.27.100.0 255.255.255.0 172.26.1.251 1
route inside 172.27.101.0 255.255.255.0 172.26.1.251 1

Failover設定

failover機能を有効にする

failover

failover機器間のHelloの間隔

failover poll 3(3秒に設定)

failover IPの設定

failover ip address outside 192.168.1.2
failover ip address inside 172.26.1.122
failover ip address DMZ 10.10.10.2
failover ip address sync 200.200.200.2

ステートフル フェールオーバー用に利用可能なインターフェイスを指定

failover link sync

NAT系設定

NAT後のIPアドレスを設定

global (outside) 1 192.168.1.5 netmask 255.255.255.255

NATを適用するIP範囲を設定

nat (DMZ) 1 172.26.1.0 255.255.255.128 0 0

Security系設定

ACLを設定

access-list AAAAAAAA(access-group名) deny ip any any
access-list acl-DMZ permit udp 172.26.1.0 255.255.255.128 host AAA.BBB.CCC.DDD eq domain
access-list acl-DMZ permit tcp 172.26.1.0 255.255.255.128 any eq smtp

access-group名をインターフェイスに割り当てる

access-group acl-outside in interface outside
access-group acl-inside in interface inside
access-group acl-DMZ in interface DMZ
access-group acl-sync in interface sync

ICMPのACL(PIXのインターフェイスで終端する)

icmp permit any unreachable outside   到達不能メッセージ許可
icmp deny any outside
icmp permit host AAA.BBB.CCC.DDD inside 管理サーバなどからのPING許可

Logging機能を有効

logging on

syslog メッセージに、 タイムスタンプ値を付ける

logging timestamp

syslog メッセージだけにロギング レベルを設定

logging trap notifications

syslog トラップを送信するための SNMP メッセージ レベルを設定

logging history notifications

syslogサーバを指定

logging host inside AAA.BBB.CCC.DDD

プロトコルの捜査を行う

fixup protocol ftp 21
no fixup protocol smtp 25

IP スプーフィング保護

ip verify reverse-path interface outside
ip verify reverse-path interface inside

IDS シグニチャを使用する

ip audit info action alarm
ip audit attack action alarm

snmp-serverを指定

snmp-server host inside 172.27.100.200

nmp-server community名を設定

snmp-server community public

トラップ通知機能を使用する

snmp-server enable traps

フラッド攻撃を防ぐ

floodguard enable

telnet接続を許可するクライアント設定

telnet 172.27.100.200 255.255.255.255 inside

その他の設定

Domain名設定

domain-name AAAA.co.jp

画面ページング

no pager

MTU設定

mtu outside 1500
mtu inside 1500

timeoutの設定

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute

ntpサーバの指定

ntp server 172.27.100.200 source inside

PIX Firewall HTTP サーバをイネーブルにする

http server enable

PIX Firewall HTTPサーバにアクセスできるクライアントを指定

http 172.26.1.130 255.255.255.255 inside

拒否された着信 TCP パケットに対するリセットを送信

service resetinbound

PIX GARP発生タイミング
icmp permit any coutside。unreachableを許可する理由
「no buffer」、 「overrun」
IDENT 接続のリセット
セッション切れる?(clear static,clear xlate)
解体、ファームのUP、passwd 回復

Failover時のフロー

電源障害の場合は即Failover 1〜2秒

テストの流れ
Link UP/Down>Network Activity test>ARP test>ブロードキャスト test

        障害発生                         | Time
          |                            |  0s
          ↓                            |
 ----------------------                  |
|        2回連続       |                 |
| Helloパケットの未受信|                 |
 ----------------------                  |
          |                            | 3〜6s
          ↓                            |
 ----------------------                  |
|    Link UP/Down調査  |                 |
|   アクティブ側で施行 |                 |
 ----------------------                  |
          |         Down               |
          |----------------->Failover  | 4〜8s
          ↓                            |
 ----------------------                  |
|Network Activity test |                 |
|   アクティブ側で施行 |                 |
 ----------------------                  |
          |         Packet受信         | IF正常と判断
          |----------------->非Failover| 
          ↓                            |
 ----------------------                  |
|Network Activity test |                 |
|   スタンバイ側で施行 |                 |
 ----------------------                  |
          |         Packet受信         | 
          |----------------->  Failover| 
          ↓                            |
 ----------------------                  |
|        ARP test      |                 |
|   アクティブ側で施行 |                 |
 ----------------------                  |
          |         Packet受信         | 
          |----------------->非Failover| IF正常と判断
          ↓                            |
 ----------------------                  |
|        ARP test      |                 |
|   スタンバイ側で施行 |                 |
 ----------------------                  |
          |         Packet受信         | 
          |----------------->  Failover| 
          ↓                            |
 ----------------------                  |
| ブロードキャスト test|                 |
|   アクティブ側で施行 |                 |
 ----------------------                  |
          |         Packet受信         | 
          |----------------->非Failover| IF正常と判断
          ↓                            |
 ----------------------                  |
| ブロードキャスト test|                 |
|   スタンバイ側で施行 |                 |
 ----------------------                  |
          |         Packet受信         | 
          |----------------->  Failover|
          ↓                            |
        再ARP test