中国移动PIX防火墙安全配置手册
Version1.0
中国移动通信有限公司
二零零四年十二月
拟制:
审核:
批准:
会签:
标准化:
版本控制
版本号
日期
参与人员
更新说明
分发控制
编号
读者
文档权限
与文档的主要关系创建、修改、读取
负责编制、修改、审核批准
负责本文档的批准程序标准化审核
作为本项目的标准化负责人，负责对本文档进行标准化审核读取读取
目录
1 综述 5
2 CISCOPIX的几种典型配置 6
2.1 典型配置（1）——访问控制、包过滤和NAT 6
2.1.1 网络拓扑图 6
2.1.2 配置环境 6
2.1.3 配置举例 9
2.2 典型配置（2）——IPsecVPNTunnel 13
2.2.1 网络拓扑图 13
2.2.2 配置 13
2.3 典型配置（3）——双机热备 15
2.4 典型配置（4）——内容过滤 20
2.4.1 filteractivex示例 20
2.4.2 filterurl示例 20
2.5 典型配置（5）——入侵检测 21
3 PIX防火墙自身加固 23
3.1 PIX防火墙操作系统版本较低 23
3.2 PIX防火墙没有安全配置SNMP 23
3.3 配置了telnet允许，地址段是调试时的地址，没有更改为管理工作站的地址 24
3.4 telnet远程管理是明文传输，没有配置SSH 24
3.5 没有在PIX防火墙上配置防止恶意攻击的特性 24
3.6 策略配置inside<--(outside的策略不严格，如any---(any等 25