鐘百成 朱連慶
[摘要]以Cisco PIX Firewall防火墻為例,介紹防火墻的一些功能和作用。說明如何利用Cisco PIX Firewall配置方便快捷地構(gòu)建一個較為安全的防火墻系統(tǒng)。
[關(guān)鍵詞]防火墻 網(wǎng)絡安全 網(wǎng)絡配置 IP地址
中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0120048-01
一、引言
隨著Internet的進入普及和迅猛發(fā)展,針對入網(wǎng)主機的入侵的日益增多,應用防火墻技術(shù)勢在必行 。但各種各樣的防火墻產(chǎn)品種類繁多,功能不一,這就給防火墻系統(tǒng)的實現(xiàn)和維護帶來了許多難處。如何構(gòu)建一個安全實用,容易實現(xiàn)的防火墻系統(tǒng)是值得研究的,一般來說,一個完整的防火墻系統(tǒng)既要防止外部入侵,又要防止內(nèi)部人員的非法訪問。對于Cisco PIX Firewall防火墻來說,通過動態(tài)和靜態(tài)的地址映射,管道技術(shù),我們可以方便容易地實現(xiàn)一個較為完整的防火墻系統(tǒng)。
二、Cisco PIX Firewall功能簡介
一般說來,一個防火系統(tǒng)就是在兩個網(wǎng)絡之間實施的若干的存取控制方法的集合。通常有兩種類型的防火墻;基于網(wǎng)絡層的包過濾防火墻和基于應用層的隔離網(wǎng)絡的代理服務器(proxy server)。前一種主要是在網(wǎng)絡層根據(jù)IP包的源和目的地址及源和目的端口來決定是轉(zhuǎn)發(fā)還是丟棄IP包,而后一種是在應用層為每一種服務提供一個代理,鑒于這兩種技術(shù)都有各自的特點和弊端,建設一個具有良好性能的防火墻應是基于拓撲結(jié)構(gòu)的合理選用和防火墻技術(shù)的合理配置。
Cisco PIX Firewall是基于這兩種技術(shù)結(jié)合的防火墻。它應用安全算法(Adaptive Security Algorithm),將內(nèi)部主機的地址映射為外部地址,拒絕未經(jīng)允許的包入境,實現(xiàn)了動態(tài),靜態(tài)地址映射,從而有效地屏蔽了內(nèi)部網(wǎng)絡拓撲結(jié)構(gòu)。通過管道技術(shù),出境訪問列表,我們可以有效地控制內(nèi)、外部各資源的訪問。
PIX Firewall可連接四個不同的網(wǎng)絡,每個網(wǎng)絡都可定義一個安全級別,級別低的相對于級別高的總是被視為外部網(wǎng)絡,但最低的必須是全球統(tǒng)一的IP地址。以下,我們僅以兩個網(wǎng)絡為例介紹Cisco PIX Firewall防火墻系統(tǒng)。
三、Cisco PIX Firewall的配置過程
在配置之前,應先規(guī)劃好網(wǎng)絡拓撲結(jié)構(gòu),制定較為詳細的安全策略;以圖一拓撲結(jié)構(gòu)網(wǎng)絡為例。設它有IP地址范圍204.31.17.128-204.31.17.191,有E-mail,WWW,F(xiàn)TP等服務器,PIX Firewall的內(nèi)部虛IP地址范圍為:192.168.
3.1-192.168.3.255,可以定義以下策略:
(一)屏蔽內(nèi)部網(wǎng)絡拓撲結(jié)構(gòu)
為了防止黑客的侵入,應采用動態(tài)地址映射隔離內(nèi)部網(wǎng)絡,屏蔽內(nèi)部網(wǎng)絡拓撲結(jié)構(gòu)。我們對PIX Firewall做如下配置:
nat100
Global (outside)1204.31.17.131204.31.17.165
global (outside)1204.31.17.130
上述配置阻擋全部入境訪問
(二)對資源主機的訪問控制
E-mail,F(xiàn)TP,www等服務器是重要的資源,必須利用管道(conduit)使得外部對它們可訪問,但必須限制對它們的訪問,即禁止除E-mail,www,F(xiàn)TP以外的一切服務,以獲得最大的安全性,配置方法如下:
static(inside,outside) 204.31.17.129 192.168.3.1
conduit permit tcp host 204.31.17.129eqwwwany
static(inside,outside) 204.31.17.128 192.168.3.2
conduit permit tcp host 204.31.17.128eqsmtpany
static(inside,outside) 204.31.17.166 192.168.3.3
conduit permit tcp host 204.31.17.128eqftpany
(三)對Internet上的敏感主機和資源的控制
對于Internet上的一些敏感資源,如一些不健康站點,我們可用(nslookup域名)查到其IP地址,并對出境的訪問加以控制。在PIX Firewall上的配置如下:
outbound 10 deny 204.31.17.11255.255.255.255 www tcp
apply (inside) 10outgoing_dest
對內(nèi)部主機,我們可以控制其能使用的服務,例如,對圖一主機192.168.3.4我們可以禁止它使用WWW服務訪問外部網(wǎng)絡。其配置如下:
outbound 20 deny192.168.3.4255.255.255.255wwwtcp
apply(inside) 20 outgoing_src
為樣我們就可以對內(nèi)部主機到外部的訪問進行完全的控制。
四、防范內(nèi)部網(wǎng)絡的非法IP和MAC地址
由于IP地址可被設置更改,非法用戶常篡改,盜用他人的IP地址和MAC地址,來達到隱藏其非法訪問的目的。我們可以使用PIX Firewall的ARP命令將內(nèi)部主機的IP和它的MAC地址綁定,來有效地防止篡改和盜用IP地址現(xiàn)象。例如,我們要將主機的IP地址192.168.0.100與它的MAC地址00e0.1e40.2a7c綁定,可進行如下配置:
arp inside 192.168.0.10000e0.1e40.2a7c alias
wr m
結(jié)合以上四種配置,Cisco PIX Firewall可以實現(xiàn)對IP包過濾,屏蔽內(nèi)部網(wǎng)絡和對網(wǎng)絡資源加以的控制,并有效地防范IP地址的盜用和篡改。從而較好地實現(xiàn)了一個完整的防火墻系統(tǒng)。由此可見,由PIX來構(gòu)筑一防火墻系統(tǒng)極其方便的。
參考文獻:
[1]Cisco system資料configuration guide for the PIX Firewall.
[2]Cisco system資料Introduction to Cisco Router configuration.