赛迪网 > IT技术 网络管理 > 路由技术
  IT资讯搜索
 
IT产品搜索
[程序开发][网管世界][网络安全][数据库技术]
[操作系统][嘉宾聊天·在线访谈][活动集锦]
[精彩专题][Symantec专区][订阅IT技术周刊]
[开发论坛][网管论坛][安全论坛][数据库论坛]
[操作系统论坛][Sybase专区][IBM dW技术专区]
[病毒求助][病毒与漏洞播报][文档·源码下载]

如何快速配置Cisco PIX Firewall的说明

发布时间:2008.03.25 04:40     来源:赛迪网-技术社区    作者:超级赛亚人

1.前言

如何构建一个安全实用,容易实现的防火墙系统是值得研究的,一般来说,一个完整的防火墙系统既要防止外部入侵,又要防止内部人员的非法访问。对于Cisco PIX Firewall防火墙来说,通过动态和静态的地址映射,管道技术,我们可以方便容易地实现一个较为完整的防火墙系统。

2. Cisco PIX Firewall功能简介

一般说来,一个防火系统就是在两个网络之间实施的若干的存取控制方法的集合。通常有两种类型的防火墙;基于网络层的包过滤防火墙和基于应用层的隔离网络的代理服务器(proxy server)。前一种主要是在网络层根据IP包的源和目的地址及源和目的端口来决定是转发还是丢弃IP包,而后一种是在应用层为每一种服务提供一个代理,鉴于这两种技术都有各自的特点和弊端,建设一个具有良好性能的防火墙应是基于拓扑结构的合理选用和防火墙技术的合理配置。

Cisco PIX Firewall是基于这两种技术结合的防火墙。它应用安全算法(Adaptive Security Algorithm),将内部主机的地址映射为外部地址,拒绝未经允许的包入境,实现了动态,静态地址映射,从而有效地屏蔽了内部网络拓扑结构。通过管道技术,出境访问列表,我们可以有效地控制内、外部各资源的访问。

PIX Firewall可连接四个不同的网络,每个网络都可定义一个安全级别,级别低的相对于级别高的总是被视为外部网络,但最低的必须是全球统一的IP地址。以下,我们仅以两个网络为例介绍Cisco PIX Firewall防火墙系统。

3.Cisco PIX Firewall 的配置过程

在配置之前,应先规划好网络拓扑结构,制定较为祥细的安全策略;

以图一拓扑结构网络为例。设它有IP地址范围204.31.17.128-204.31.17.191,有E-mail,WWW,FTP等服务器,PIX Firewall的内部虚IP地址范围为:192.168.3.1-192.168.3.255,可以定义以下策略

3.1 屏蔽内部网络拓扑结构

为了防止黑客的侵入,应采用动态地址映射隔离内部网络,屏蔽内部网络拓扑结构。我们对PIX Firewall做如下配置:

nat 1 0 0

global (outside) 1 204.31.17.131 ?C 204.31.17.165

global (outside) 1 204.31.17.130

上述配置阻挡全部入境访问

3.2 对资源主机的访问控制

E-mail,FTP,www等服务器是重要的资源,必须利用管道(conduit)使得外部对它们可访问,但必须限制对它们的访问,即禁止除E-mail,www,FTP以外的一切服务,以获得最大的安全性,配置方法如下:

static (inside,outside) 204.31.17.129 192.168.3.1

conduit permit tcp host 204.31.17.129 eq www any

static (inside,outside) 204.31.17.128 192.168.3.2

conduit permit tcp host 204.31.17.128 eq smtp any

static (inside,outside) 204.31.17.166 192.168.3.3

conduit permit tcp host 204.31.17.128 eq ftp any

3.3 对Internet上的敏感主机和资源的控制

对于Internet上的一些敏感资源,如一些不健康站点,我们可用(nslookup 域名)查到其IP地址,并对出境的访问加以控制。在PIX Firewall上的配置如下:

outbound 10 deny 204.31.17.11 255.255.255.255 www tcp

apply (inside) 10 outgoing_dest

对内部主机,我们可以控制其能使用的服务,例如,对图一主机192.168.3.4我们可以禁止它使用WWW服务访问外部网络。其配置如下:

outbound 20 deny 192.168.3.4 255.255.255.255 www tcp

apply(inside) 20 outgoing_src

这样我们就可以对内部主机到外部的访问进行完全的控制。

4.防范内部网络的非法IP和MAC地址

由于IP地址可被设置更改,非法用户常篡改,盗用他人的IP地址和MAC地址,来达到隐藏其非法访问的目的。我们可以使用PIX Firewall的ARP命令将内部主机的IP和它的MAC地址绑定,来有效地防止篡改和盗用IP地址现象。例如,我们要将主机的IP地址192.168.3.4与它的MAC地址00e0.1e40.2a7c绑定,可进行如下配置:

arp inside 192.168.3.4 00e0.1e40.2a7c alias

wr m

结合以上四种配置,Cisco PIX Firewall可以实现对IP包过滤,屏蔽内部网络和对网络资源加以的控制,并有效地防范IP地址的盗用和篡改。从而较好地实现了一个完整的防火墙系统。由此可见,由PIX来构筑一防火墙系统极其方便的。

(责任编辑:高爽)


[ 发表评论 ] 字体[  ] [ 打印 ] [ 进入博客 ] [ 进入论坛 ]  [ 推荐给朋友 ]
  相关文章
  客户需求反馈表
* 姓  名:
更多资料  了解方案  认识厂商
* 单位名称:
* 联系电话:
* 电子邮件:
  赛迪推荐  
  手机·资费 ·新品·导购·评测·手机资费·宽带
手机搜索  诺基亚 N73 MOTO Z6
  IT产品 ·笔记本·台式机·服务器·打印·投影
IT产品搜索 
  IT技术 ·开发·网管·安全·数据库·操作系统
  信息化 ·热点·专题·访谈·周刊·方案案例
· 工信部“三定”公布 总编制731名设24司局
· 北京发电子商务监管意见 营利性网店须办照
· 直播 08中国城市信息化高峰论坛 案例点评
· 烽火网络校园解决方案 移民安置信息管理系统
  IT博客 ·曾剑秋·项立刚·Java学习·网管
  IT技术论坛 ·开发·网管·安全·数据库·系统