CISCO PIX防火墙及网络安全配置指南
思科PIX防火墙的基本配置
思科PIX 防火墙的基本配置【项目目标】掌握PIX 防火墙基本配置方法。
【项目背景】某公司使用Cisco PIX 515防火墙连接到internet ,ISP 分配给该公司一段公网IP 地址。
公司具有Web 服务器和Ftp 服务器,要求让内网用户和外网用户都能够访问其web 服务和FTP 服务,但外部网络用户不可以访问内网。
【方案设计】1.总体设计ISP 分配给该公司一段公网IP 地址为61.1.1.2—61.1.1.254。
在DMZ 区域放置一台Web 服务器和一台Ftp 服务器,使用61.1.1.3和61.1.1.4这两个全局IP 地址分别将Web 服务器和Ftp 服务器发布到Internet 。
利用访问控制列表来控制外网用户的访问。
2.任务分解任务1:防火墙基本配置。
任务2:接口基本配置。
任务3:配置防火墙默认路由。
任务4:配置内网用户访问外网规则。
任务5:发布DMZ 区域的服务器。
任务6:配置访问控制列表。
任务7:查看与保存配置。
3.知识准备所有的防火墙都是按以下两种情况配置的:(1)拒绝所有的流量,这需要在网络中特殊指定能够进入和出去的流量的一些类型。
(2)允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。
不过大多数防火墙默认都是拒绝所有的流量作为安全选项。
一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。
换句话说,如果你想让你的内部用户能够发送和接收Email ,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP 的进程。
4.拓扑结构:如图8-17所示。
图8-17 项目拓扑结构5.设备说明PIX515dmzoutsidinside File ServerWeb192.168.1.Interne以PIX515防火墙7.X 版本的操作系统为例,介绍其配置过程。
在配置之前先假设pix515防火墙的ethernet0接口作为外网接口(命名为outside),并分配全局IP 地址为61.1.1.2;ethernet1接口作为内网接口(命名为inside),并分配私有IP 地址为192.168.1.1;ethernet2接口作为DMZ 接口,并分配私有IP 地址为192.168.2.1。
PIX防火墙
任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色。
防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。
设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
在众多的企业级主流防火墙中,Cisco PIX防火墙是所有同类产品性能最好的一种。
Cisco PIX系列防火墙目前有5种型号PIX506,515,520,525,535。
其中PIX535是PIX 500系列中最新,功能也是最强大的一款。
它可以提供运营商级别的处理能力,适用于大型的ISP等服务提供商。
但是PIX特有的OS操作系统,使得大多数管理是通过命令行来实现的,不象其他同类的防火墙通过Web管理界面来进行网络管理,这样会给初学者带来不便。
本文将通过实例介绍如何配置Cisco PIX防火墙。
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。
防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:Ø内部区域(内网)。
内部区域通常就是指企业内部网络或者是企业内部网络的一部分。
它是互连网络的信任区域,即受到了防火墙的保护。
Ø外部区域(外网)。
外部区域通常指Internet或者非企业内部网络。
它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
Ø停火区(DMZ)。
停火区是一个隔离的网络,或几个网络。
位于停火区中的主机或服务器被称为堡垒主机。
一般在停火区内可以放置Web服务器,Mail 服务器等。
停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。
注意:2个接口的防火墙是没有停火区的。
由于PIX535在企业级别不具有普遍性,因此下面主要说明PIX525在企业网络中的应用。
思科认证一个思科PIX防火墙的实际应用配置
思科认证:一个思科PIX防火墙的实际应用配置为了方便广大考生更好的复习,帮考网综合整理提供了思科认证:一个思科PIX防火墙的实际应用配置,以供各位考生考试复习参考,希望对考生复习有所帮助。
PIX:一个合法IP完成inside、outside和dmz之间的访问现有条件:100M宽带接入,分配一个合法的IP(222.134.135.98)(只有1个静态IP是否够用?);Cisco防火墙PiX515e-r-DMZ-BUN1台(具有Inside、Outside、DMZ三个RJ45接口)!请问能否实现以下功能:1、内网中的所有用户可以防问Internet和DMZ中的WEB服务器。
2、外网的用户可以防问DMZ区的Web平台。
3、DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中的其它服务器。
注:DMZ区WEB服务器作为应用服务器,使用内网中的数据库服务器。
解决方案:一、概述本方案中,根据现有的设备,只要1个合法的IP地址(电信的IP地址好贵啊,1年租期10000元RMB),分别通过PIX515所提供的NAT、PAT、端口重定向、ACL和route功能完全可以实现所提的功能要求。
二、实施步骤初始化Pix防火墙:给每个边界接口分配一个名字,并指定安全级别给每个接口分配IP地址pix515e(config)# ip address outside 222.134.135.98 255.255.255.252pix515e(config)# ip address inside 192.168.1.1 255.255.255.0 pix515e(config)# ip address dmz 10.0.0.1 255.255.255.0。
思科Asa & pix 防火墙命令详解
思科Asa & pix 防火墙命令详解配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route,static.1. 配置防火墙接口的名字,并指定安全级别(nameif)。
Pix525(config)#nameif ethernet0 outside security0Pix525(config)#nameif ethernet1 inside security100Pix525(config)#nameif dmz security502. 配置以太口参数(interface)Pix525(config)#interface ethernet0 autoPix525(config)#interface ethernet1 100fullPix525(config)#interface ethernet1 100full shutdown3. 配置内外网卡的IP地址(ip address)Pix525(config)#ip address outside 61.144.51.42 255.255.255.248Pix525(config)#ip address inside 192.168.0.1 255.255.255.04. 指定要进行转换的内部地址(nat)nat命令配置语法:nat (if_name) nat_id local_ip [netmark]if_name)表示内网接口名字,例如inside;Nat_id用来标识全局地址池,使它与其相应的global命令相匹配;若为0表示不进行nat转换。
例1.Pix525(config)#nat (inside) 1 0 05. 指定外部地址范围(global)Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]例1.Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.486. 设置指向内网和外网的静态路由(route)route命令配置语法:route if_name 0 0 gateway_ip [metric]例1.Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 17. 配置静态IP地址翻译(static)static命令配置语法:static (internal_if_name,external_if_name) outside_ip_address inside_ip_address例1.Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.88. 管道命令(conduit)conduit命令配置语法:conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask] permit | deny :允许| 拒绝访问例1. Pix525(config)#conduit permit tcp host 61.144.51.89 eq www any9. 访问控制列表ACL例:PIX525(config)#access-list 100 permit tcp any host 61.144.51.62 eq wwwPIX525(config)#access-list 100 deny tcp any anyPIX525(config)#access-group 100 in interface outside例1:static (inside,outside) 59.61.77.202 192.168.1.2 netmask 255.255.255.255 0 0 //定义内部主机192.168.1.2对外ip为59.61.77.20210. 配置fixup协议fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。
中国移动PIX防火墙安全配置手册V0.1.doc
中国移动PIX防火墙安全配置手册Version 1.0中国移动通信有限公司二零零四年十二月拟制: 审核: 批准: 会签: 标准化:版本控制分发控制目录1 综述 (5)2 CISCO PIX的几种典型配置 (6)2.1 典型配置(1)——访问控制、包过滤和NA T (6)2.1.1 网络拓扑图 (6)2.1.2 配置环境 (6)2.1.3 配置举例 (9)2.2 典型配置(2)——IPsec VPN Tunnel (13)2.2.1 网络拓扑图 (13)2.2.2 配置 (13)2.3 典型配置(3)——双机热备 (15)2.4 典型配置(4)——内容过滤 (20)2.4.1 filter activex示例 (20)2.4.2 filter url示例 (20)2.5 典型配置(5)——入侵检测 (21)3 PIX防火墙自身加固 (23)3.1 PIX防火墙操作系统版本较低 (23)3.2 PIX防火墙没有安全配置SNMP (23)3.3 配置了telnet允许,地址段是调试时的地址,没有更改为管理工作站的地址 (24)3.4 telnet远程管理是明文传输,没有配置SSH (24)3.5没有在PIX防火墙上配置防止恶意攻击的特性 (24)3.6策略配置inside<--→outside的策略不严格,如any---→any等 (25)1综述本配置手册介绍了Cisco PIX防火墙的几种典型的配置场景,以加强防火墙对网络的安全防护作用。
同时也提供了PIX防火墙自身的安全加固建议,防止针对防火墙的直接攻击。
通用和共性的有关防火墙管理、技术、配置方面的内容,请参照《中国移动防火墙安全规范》。
2CISCO PIX的几种典型配置2.1 典型配置(1)——访问控制、包过滤和NAT2.1.1网络拓扑图2.1.2配置环境本配置中没有用户认证和授权,NAT(网络地址转换)完成地址转换工作。
下面的例子中,所有接口上的用户可以访问所有服务器,而在内部、dmz1、dmz2、dmz3和dmz4接口上的主机可以启动连接。
Cisco网络防火墙配置方法是什么用哪些命令
Cisco网络防火墙配置方法是什么用哪些命令防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。
这篇文章主要介绍了Cisco网络防火墙配置方法,需要的朋友可以参考下方法步骤由于网络防火墙默认禁止所有的通信,因为,只有对其进行适当配置后,才能实现正常的网络通信。
如何配置Cisco网络防火墙1.进入全局配置模式ciscoasa# configure terminal2.选择欲作为网络防火墙外部接口的网络接口ciscoasa(config)# interface interface-id3.为该接口指定IP地址和网掩码ciscoasa(config-if)#4.将该接口指定IP地址和网掩码ciscoasa(config-if)# nameif outsideINFO:Security level for "outside" set to 0 by default5.激活该外部接口ciscoasa(config-if)# no shutdown6.返回至全局配置模式ciscoasa(config-if)# exit7.选择欲作为网络防火墙内部接口的网络接口ciscoasa(config-if)# interface interface-id8.为了该接口指定为内部接口。
ciscoasa(config-if)# ip address ip-address subnet-mask9.将该接口指定为内容接口ciscoasa(config-if)# nameif insideINFO:Security level for "outside" set to 100 by default10.激活该外部接口ciscoasa(config-if)# no shutdown11.返回至全局配置模式ciscoasa(config-if)# exit12.启动Web___ciscoasa(config)# web___13.允许___对外访问ciscoasa(config-web___)#enable outside14.指定SSL ___客户端(SSL VP___linet,SVC)文件位置。
第8章 Cisco PIX防火墙
第8章 Cisco PIX防火墙
PIX防火墙的概述 PIX防火墙系列产品介绍 PIX防火墙的基本使用
PIX防火墙的高级配置
PIX防火墙攻击防护
PIX防火墙的概述
PIX防火墙是Cisco端到端安全解决方案中的一 个关键组件,它是基于专用的硬件和软件的安 全解决方案,在不影响网络性能的情况下,提 供了高级安全保障。PIX防火墙使用了包括数 据包过滤、代理过滤以及状态检测包过滤在内 的混合技术,同时它也提高了应用代理的功能, 因此它被认为是一种混合系统。
PIX防火墙系列产品介绍
Cisco PIX防火墙500系列产品能满足比较广泛 的需求和不同大小的网络规模目前包括如下5 种型号。
PIX 506防火墙——它是为远程办公和小型办公室/ 家庭办公而设计 PIX 515防火墙——它是为小型办公室和远程办公 设计 PIX 520防火墙——它是为中小型企业和远程办公 设计 PIX 525防火墙——适用于企业和服务提供商 PIX 535防火墙——它是500系列中最强大的产品, 为企业级和服务提供商用户设计
PIX防火墙的基本使用
在使用任何一种Cisco设备时,命令行接口(CLI) 都是用于配置、监视和维护设备的主要方式。另 外也可以通过图形化用户接口方式来配置防火墙, 例如PIX设备管理器PDM(PIX Device Manager)
PDM具体可以实现下列功能。
• 启动PIX防火墙接口、为接口分配地址。 • 配置主机名和密码。 • 配置地址转换NAT、PPPoE、简单的VPN、DHCP。 • 配置自动更新。
PIX防火墙系列产品介绍
PIX防火墙500系列产品的规格
PIX防火墙系列产品介绍
在Cisco Catalyst 6500系列交换机和 Cisco 7600系列 Internet路由器上集成了一个增强吉比特(Multi Gigabit)级防火墙模块,这个模块叫做FWSM。它是一个 高性能平台,是针对高端企业客户和服务提供商设计的。 支持矩阵功能,可以和总线、交换矩阵进行交互操作。 FWSM基于PIX防火墙技术,在交换机和路由器中提供基于 状态的防火墙功能。 FASA的特点和优势有:
Cisco防火墙
配置PIX防火墙
4. 指定要进行转换的内部地址(nat)
网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip,Nat 命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一 段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行 对外访问。 nat命令配置语法:nat (if_name) nat_id local_ip [netmark] 其中(if_name)表示内网接口名字,例如inside. Nat_id 用来标识全局地址池,使它与其相应的global命令相匹配, local_ip表示内网被分配的ip地址,例如0.0.0.0表示内网所有主机可 以对外访问。 [netmark]表示内网ip地址的子网掩码。 例1.Pix525(config)#nat (inside) 1 0 0 表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0 例2.Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0 表示只有172.16.5.0这个网段内的主机可以访问外网。
配置PIX防火墙
6. 设置指向内网和外网的静态路由(route)
定义一条静态路由。route命令配置语法: route (if_name) 0 0 gateway_ip [metric] 其中(if_name)表示接口名字,例如inside,outside。 Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。 通常缺省是1。 例1: Pix525(config)#route outside 0 0 61.144.51.168 1 表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。 例2: Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1 如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如 果内部存在多个网络,需要配置一条以上的静态路由。上面那条命令表示 创建了一条到网络10.1.1.0的静态路由,静态路由的下一跳路由器ip地址是 172.16.0.1
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
随着国际互连网的发展,一些企业建立了自己的INTRANET,并通过专线与INTERNET连通。为了保证企业内部网的安全,防止非法入侵,需要使用专用的防火墙计算机。路由器防火墙只能作为过滤器,并不能把内部网络结构从入侵者眼前隐藏起来。只要允许外部网络上的计算机直接访问内部网络上的计算机,就存在着攻击者可以损害内部局域网上机器的安全性,并从那里攻击其他计算机的可能性。
lign=left>大多数提供代理服务的专用防火墙机器是基于UNIX系统的,这些操作系统本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange,私有Internet交换)防火墙,它运行自己定制的操作系统,事实证明,它可以有效地防止非法攻击。PIX防火墙要求有一个路由器连接到外部网络,如附图所示。PIX有两个ETHERNET接口,一个用于连接内部局域网,另一个用于连接外部路由器。外部接口有一组外部地址,使用他们来与外部网络通信。内部网络则配置有一个适合内部网络号方案的IP地址。PIX的主要工作是在内部计算机需要与外部网络进行通信时,完成内部和外部地址之间的映射。
配置好PIX防火墙后,从外部世界看来,内部计算机好象就是直接连接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口,所以,向主机传送信息包需要用到MAC地址。为了使内部主机在数据链路层和网络层上看起来都好象是连接在外部接口上的,PIX运行了代理ARP,代理ARP给外部网络层IP地址指定数据链路MAC地址,这就使得内部计算机看起来像是在数据链路层协议的外部接口上似的。大多数情况下,与外部网络的通信是从内部网络中发出的。由于PIX是对信息包进行操作,而不是在应用过程级(代理服务器则采用这种方法),PIX既可以跟踪UDP会话,也可以跟踪TCP连接。当一个计算机希望同外部计算机进行通信时,PIX记录下内部来源地址,然后从外部地址库分配一个地址,并记录下所进行的转换。这就是人们常说的有界NAT(stateful NAT),这样,PIX就能记住它在同谁进行交谈,以及是哪个计算机首先发起的对话。只有已被确认的来自外部网络的信息包才会运行,并进入内部网络。
不过,有时也需要允许外部计算机发起同指定的内部计算机的通信。典型的服务包括电子邮件、WWW服务、以及FTP服务。PIX给一个内部地址硬编码一个外部地址,这个地址是不会过期的。在这种情况下,用到对目标地址和端口号的普通过滤。除非侵入PIX本身,外部用户仍然是无法了解内部网络结构的。在不了解内部网络结构的情况下,恶意用户就无法从内部主机向内部网络实施攻击。
PIX另一个关键性的安全特性是对TCP信息包的序列编号进行随机化处理。由于IP地址电子欺骗的方法早已公布,所以,入侵者已经有可能通过这种方法,控制住一个现成的TCP连接,然后向内部局域网上的计算机发送它们自己的信息。要想做到这一点,入侵者必须猜出正确的序列编号。在通常的TCP/IP中实现是很容易的,因为每次初始化连接时,大都采用一个相同的编号来启动会话。而PIX则使用了一种数学算法来随机化产生序列编号,这实际上使得攻击者已经不可能猜出连接所使用的序列编号了。
配置PIX防火墙是一个比较直接的工作,在提供相同级别的安全服务情况下,PIX的配置相比设置代理服务器要简单的多。从理论上讲,所需做的就是指定一个IP地址和一个用来对外部进行访问的地址库,一个针对内部连接的IP地址和网络掩吗、RIP、超时以及其他附属安全信息。下面介绍一个PIX防火墙实际配置案例,供大家参考。因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。
一.PIX 防火墙设置
二.路由器RTRA设置 RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通知。
ip address outside 131.1.23.2 //设置PIX防火墙的外部地址 ip address inside 10.10.254.1 //设置PIX防火墙的内部地址 global 1 131.1.23.10-131.1.23.254 //设置一个内部计算机与INTERNET 上计算机进行通信时所需的全局地址池 nat 1 10.0.0.0 //允许网络地址为10.0.0.0 的网段地址被PIX翻译成外部地址 static 131.1.23.11 10.14.8.50 //网管工作站固定使用的外部地址为131.1.23.11 conduit 131.1.23.11 514 udp 131.1.23.1 255.255.255.255 //允许从RTRA发送到到 网管工作站的系统日志包通过PIX防火墙 mailhost 131.1.23.10 10.10.254.3 //允许从外部发起的对 邮件服务器的连接(131.1.23.10) telnet 10.14.8.50 //允许网络管理员通过 远程登录管理IPX防火墙 syslog facility 20.7 syslog host 10.14.8.50 //在位于网管工作站上的 日志服务器上记录所有事件日志
no service tcp small-servers //阻止一些对路由器本身的攻击 logging trap debugging //强制路由器向系统日志服务器 发送在此路由器发生的每一个事件, 包括被存取列表拒绝的包和路由器配置的改变; 这个动作可以作为对系统管理员的早期预警, 预示有人在试图攻击路由器,或者已经攻入路由器, 正在试图攻击防火墙 logging 131.1.23.11 //此地址是网管工作站的外部地址, 路由器将记录所有事件到此 主机上enable secret xxxxxxxxxxx
interface Ethernet 0 ip address 131.1.23.1 255.255.255.0
interface Serial 0 ip unnumbered ethernet 0 ip access-group 110 in //保护PIX防火墙和HTTP/FTP 服务器以及防卫欺骗攻击(见存取列表)
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log // 禁止任何显示为来源于路由器RTRA 和PIX防火墙之间的信息包,这可以防止欺骗攻击 access-list 110 deny ip any host 131.1.23.2 log //防止对PIX防火墙外部接口的直接 攻击并记录到系统日志服务器任何企图连接 PIX防火墙外部接口的事件r access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established //允许已经建立的TCP会话的信息包通过 access-list 110 permit tcp any host 131.1.23.3 eq ftp //允许和FTP/HTTP服务器的FTP连接 access-list 110 permit tcp any host 131.1.23.2 eq ftp-data //允许和FTP/HTTP服务器的FTP数据连接 access-list 110 permit tcp any host 131.1.23.2 eq www //允许和FTP/HTTP服务器的HTTP连接 access-list 110 deny ip any host 131.1.23.2 log //禁止和FTP/HTTP服务器的别的连接 并记录到系统日志服务器任何 企图连接FTP/HTTP的事件 access-list 110 permit ip any 131.1.23.0 0.0.0.255 //允许其他预定在PIX防火墙 和路由器RTRA之间的流量
line vty 0 4 login
password xxxxxxxxxx access-class 10 in //限制可以远程登录到此路由器的IP地址 access-list 10 permit ip 131.1.23.11 //只允许网管工作站远程登录到此路由器, 当你想从INTERNET管理此路由器时, 应对此存取控制列表进行修改
三. 路由器RTRB设置 RTRB是内部网防护路由器,它是你的防火墙的最后一道防线,是进入内部网的入口.
logging trap debugging logging 10.14.8.50 //记录此路由器上的所有活动到 网管工作站上的日志服务器,包括配置的修改
interface Ethernet 0 ip address 10.10.254.2 255.255.255.0 no ip proxy-arp ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255 //允许通向网管工作站的系统日志信息 access-list 110 deny ip any host 10.10.254.2 log //禁止所有别的从PIX防火墙发来的信息包 access-list permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp //允许邮件主机和内部邮件服务器的SMTP邮件连接 access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255 //禁止别的来源与邮件服务器的流量 access-list deny ip any 10.10.254.0 0.0.0.255 //防止内部网络的信任地址欺骗 access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255 //允许所有别的来源于PIX防火墙 和路由器RTRB之间的流量
line vty 0 4 login