PIX'te IP Nasıl Engellenir

Bir ana makine İnternet üzerinden işletmenizin ağına tekrar tekrar girmeye çalıştığında, bu ana bilgisayarın IP adresini veya ağını kısıtlamak için zaman ayırmaya değer olabilir. Çok sayıda karmaşık araç İzinsiz Giriş Önleme Sensörleri veya IPS'ler aracılığıyla mevcut olsa da, erişimi kısıtlamanın en basit yolu, PIX güvenlik duvarını doğrudan güncellemektir. Bir veya bir IP adresi aralığını engellemek için bir Erişim Kontrol Listesi veya ACL oluşturun. Bunun çalışması için, bir konsol kablosuna veya PIX'e bir telnet bağlantısına ve Hyperterminal gibi bir terminal programına ihtiyacınız vardır.

1.

Terminal programınızı kullanarak PIX'in CLI'sine bağlanın. Bir konsol kablosu kullanılıyorsa, bu genellikle seri port baud hızını "9600" e, veri bitlerini "8" e, akış kontrolünü "hiç" e ve eşlik bitlerini "1" e ayarlamayı içerir. PIX önceden yapılandırılmadıysa, Telnet bağlantıları genellikle çalışmaz.

2.

"Ena" yazın (burada ve başındaki alıntıları atlayın) ve sonra genel yapılandırma moduna girmek için "Enter" tuşuna basın. Devam etmek için etkinleştirme düzeyinde bir şifre gerekebilir. "Config T" veya "Terminal konfigürasyonu" yazın ve terminal konfigürasyon moduna girmek için "Enter" tuşuna basın.

3.

Aşağıdakini yazıp "Enter" tuşuna basarak bir erişim listesi girişi oluşturun:

access-list [isim veya numara] inkar ip [engellemek istediğiniz IP adresi] 0.0.0.0

"[İsim veya numara]", herhangi bir alfanümerik kombinasyon olabilir; "ipi reddet" alanı, kaynak olarak belirli bir IP algılandığında trafiği durdurmak istediğinizi belirtir; "[Engellenmesini istediğiniz IP adresi]" açıklamalıdır; "0.0.0.0", PIX güvenlik duvarına yalnızca bu IP ile eşleşmesini söyleyen bir maskedir; ve "herhangi biri", hedefi ne olursa olsun, bu IP’den gelen trafiği durdurmak anlamına gelir.

4.

"Access-group [isim veya numara] 'nın dışındaki arayüzde" yazın ve sonra bu kuralı dışa dönük arayüze uygulamak için "Enter" tuşuna basın.

5.

Genel yapılandırma modundan çıkın, "copy run start" veya "copy-config startup-config" yazın ve ardından yapılandırmayı belleğe kaydetmek için "Enter" tuşuna basın.

İpuçları

• IP adresinden sonra bir maske belirterek bir dizi IP adresini engelleyebilirsiniz. Örneğin, "10.1.1" ile başlayan tüm adresleri engellemek için bu erişim listesi komutunu kullanın:
• erişim listesi [NAME] herhangi bir ip iptali 10.1.1.0 0.0.0.255

Uyarılar

• PIX güvenlik duvarı, erişim listesiyle eşleşmeyen tüm trafiği dolaylı olarak reddettiği için, erişim listenizin sonuna bir "ip'e izin ver" satırı eklemeye dikkat edin. Reddetme ifadesinden sonra "herhangi bir IP'ye izin ver" satırının eklenmesi, rahatsız edici IP adresiyle eşleşmeyen herhangi bir trafiğin atlayabilmesini sağlar. İlk "herhangi", kaynağı temsil ederken, ikinci "herhangi", hedefi temsil eder.
• Ağ yöneticisi değilseniz, PIX'teki güvenlik ayarlarını değiştirmeden önce bir uzmana danışın. Hangi yapılandırmaların zaten mevcut olduğunu bilmeden erişim kontrol listelerini değiştirmek büyük ağ kesintilerine neden olabilir.
• Bu makaledeki bilgiler PIX sürüm 6 için geçerlidir. Diğer sürümlerde veya ürünlerde biraz veya önemli ölçüde değişebilir.