bokföring och bokföring

Hur blockera en IP på PIX

När en värdmaskin försöker att bryta sig in i ditt företags nätverk via Internet, kan det vara värt din tid att begränsa värdens IP-adress eller nätverk. Även om många sofistikerade verktyg är tillgängliga via Intrusion Prevention Sensors, eller IPS, är det enklaste sättet att begränsa åtkomst genom att uppdatera PIX-brandväggen direkt. För att blockera en eller en rad IP-adresser, skapa en åtkomstkontrolllista eller ACL. För att detta ska fungera behöver du en konsolkabel eller en telnetanslutning till PIX, och ett terminalprogram som Hyperterminal.

1.

Anslut till CLI på PIX med ditt terminalprogram. Om en konsolkabel används, innebär det vanligtvis att serielportens baudhastighet är inställd på "9600", databitarna till "8", flödesstyrning till "none" och paritetsbitar till "1". Telnetanslutningar fungerar normalt inte om PIX inte har konfigurerats tidigare.

2.

Skriv "Ena" (lämna citaten här och hela) och tryck sedan på "Enter" för att gå in i globalt konfigurationsläge. Ett lösenord på aktiveringsnivå kan behövas för att kunna fortsätta. Skriv "Config T" eller "Configure terminal" och tryck "Enter" för att gå till terminal konfigurationsläge.

3.

Skapa en åtkomstlistan genom att skriva följande och tryck sedan på "Enter":

access-list [namn eller nummer] neka ip [IP-adress du vill blockera] 0.0.0.0 någon

"[Namn eller nummer]" kan vara en alfanumerisk kombination; Fältet "neka ip" anger att du vill stoppa trafiken när en viss IP detekteras som källa. "[IP-adress du vill blockera]" är självförklarande; "0.0.0.0" är en mask som säger att PIX-brandväggen bara matchar den exakta IP-adressen. och "något" betyder att stoppa trafik från denna IP, oavsett destination.

4.

Skriv "åtkomstgrupp [namn eller nummer] i gränssnittet utanför" och tryck sedan på "Enter" för att tillämpa denna regel på det yttre gränssnittet.

5.

Avsluta globalt konfigurationsläge, skriv "copy run start" eller "copy run-config startup-config" och tryck sedan på "Enter" för att spara konfigurationen till minnet.

tips

  • Du kan blockera en rad IP-adresser genom att ange en mask efter IP-adressen. Till exempel, för att blockera all adress som börjar med "10.1.1", använd denna åtkomstlista kommando:
  • access-list [NAME] neka ip 10.1.1.0 0.0.0.255 någon

varningar

  • Var noga med att lägga till en "tillåten ip någon vilken" rad till slutet av din åtkomstlista, eftersom PIX-brandväggen implicit nekar all trafik som inte matchar åtkomstlistan. Genom att lägga till "tillåt IP-valfri" -linje efter avvisningsförklaringen säkerställs att eventuell trafik som inte matchar den oöverkomliga IP-adressen kommer att kunna komma igenom. Den första "någon" representerar källan, medan den andra "någon" representerar destinationen.
  • Om du inte är nätverksadministratör, var noga med att rådfråga en professionell innan du ändrar säkerhetsinställningarna på PIX. Ändring av åtkomstkontrolllistor utan att veta vilka konfigurationer som redan finns på plats kan resultera i stora nätverksstopp.
  • Informationen i denna artikel gäller PIX version 6. Det kan variera något eller betydligt med andra versioner eller produkter.

none

Rekommenderas