Cisco PIX防火墻及網(wǎng)絡(luò)安全怎么配置
思科公司制造的路由器、交換機(jī)和其他設(shè)備承載了全世界80%的互聯(lián)網(wǎng)通信,成為了網(wǎng)絡(luò)應(yīng)用的成功實踐者之一,那么你知道Cisco PIX防火墻及網(wǎng)絡(luò)安全怎么配置嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于Cisco PIX防火墻及網(wǎng)絡(luò)安全怎么配置的相關(guān)資料,供你參考。
Cisco PIX防火墻及網(wǎng)絡(luò)安全配置的方法:
隨著國際互連網(wǎng)的發(fā)展,一些企業(yè)建立了自己的INTRANET,并通過專線與INTERNET連通。為了保證企業(yè)內(nèi)部網(wǎng)的安全,防止非法入侵,需要使用專用的防火墻計算機(jī)。路由器防火墻只能作為過濾器,并不能把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)從入侵者眼前隱藏起來。只要允許外部網(wǎng)絡(luò)上的計算機(jī)直接訪問內(nèi)部網(wǎng)絡(luò)上的計算機(jī),就存在著攻擊者可以損害內(nèi)部局域網(wǎng)上機(jī)器的安全性,并從那里攻擊其他計算機(jī)的可能性。
大多數(shù)提供代理服務(wù)的專用防火墻機(jī)器是基于UNIX系統(tǒng)的,這些操作系統(tǒng)本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange,私有Internet交換)防火墻,它運(yùn)行自己定制的操作系統(tǒng),事實證明,它可以有效地防止非法攻擊。PIX防火墻要求有一個路由器連接到外部網(wǎng)絡(luò),如附圖所示。PIX有兩個ETHERNET接口,一個用于連接內(nèi)部局域網(wǎng),另一個用于連接外部路由器。外部接口有一組外部地址,使用他們來與外部網(wǎng)絡(luò)通信。內(nèi)部網(wǎng)絡(luò)則配置有一個適合內(nèi)部網(wǎng)絡(luò)號方案的IP地址。PIX的主要工作是在內(nèi)部計算機(jī)需要與外部網(wǎng)絡(luò)進(jìn)行通信時,完成內(nèi)部和外部地址之間的映射。
配置好PIX防火墻后,從外部世界看來,內(nèi)部計算機(jī)好象就是直接連接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口,所以,向主機(jī)傳送信息包需要用到MAC地址。為了使內(nèi)部主機(jī)在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層上看起來都好象是連接在外部接口上的,PIX運(yùn)行了代理ARP,代理ARP給外部網(wǎng)絡(luò)層IP地址指定數(shù)據(jù)鏈路MAC地址,這就使得內(nèi)部計算機(jī)看起來像是在數(shù)據(jù)鏈路層協(xié)議的外部接口上似的。大多數(shù)情況下,與外部網(wǎng)絡(luò)的通信是從內(nèi)部網(wǎng)絡(luò)中發(fā)出的。由于PIX是對信息包進(jìn)行操作,而不是在應(yīng)用過程級(代理服務(wù)器則采用這種方法),PIX既可以跟蹤UDP會話,也可以跟蹤TCP連接。當(dāng)一個計算機(jī)希望同外部計算機(jī)進(jìn)行通信時,PIX記錄下內(nèi)部來源地址,然后從外部地址庫分配一個地址,并記錄下所進(jìn)行的轉(zhuǎn)換。這就是人們常說的有界NAT(stateful NAT),這樣,PIX就能記住它在同誰進(jìn)行交談,以及是哪個計算機(jī)首先發(fā)起的對話。只有已被確認(rèn)的來自外部網(wǎng)絡(luò)的信息包才會運(yùn)行,并進(jìn)入內(nèi)部網(wǎng)絡(luò)。
不過,有時也需要允許外部計算機(jī)發(fā)起同指定的內(nèi)部計算機(jī)的通信。典型的服務(wù)包括電子郵件、WWW服務(wù)、以及FTP服務(wù)。PIX給一個內(nèi)部地址硬編碼一個外部地址,這個地址是不會過期的。在這種情況下,用到對目標(biāo)地址和端口號的普通過濾。除非侵入PIX本身,外部用戶仍然是無法了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的。在不了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的情況下,惡意用戶就無法從內(nèi)部主機(jī)向內(nèi)部網(wǎng)絡(luò)實施攻擊。
PIX另一個關(guān)鍵性的安全特性是對TCP信息包的序列編號進(jìn)行隨機(jī)化處理。由于IP地址電子欺騙的方法早已公布,所以,入侵者已經(jīng)有可能通過這種方法,控制住一個現(xiàn)成的TCP連接,然后向內(nèi)部局域網(wǎng)上的計算機(jī)發(fā)送它們自己的信息。要想做到這一點(diǎn),入侵者必須猜出正確的序列編號。在通常的TCP/IP中實現(xiàn)是很容易的,因為每次初始化連接時,大都采用一個相同的編號來啟動會話。而PIX則使用了一種數(shù)學(xué)算法來隨機(jī)化產(chǎn)生序列編號,這實際上使得攻擊者已經(jīng)不可能猜出連接所使用的序列編號了。
配置PIX防火墻是一個比較直接的工作,在提供相同級別的安全服務(wù)情況下,PIX的配置相比設(shè)置代理服務(wù)器要簡單的多。從理論上講,所需做的就是指定一個IP地址和一個用來對外部進(jìn)行訪問的地址庫,一個針對內(nèi)部連接的IP地址和網(wǎng)絡(luò)掩嗎、RIP、超時以及其他附屬安全信息。下面介紹一個PIX防火墻實際配置案例,供大家參考。因為路由器的配置在安全性方面和PIX防火墻是相輔相成的,所以路由器的配置實例也一并列出。
一.PIX 防火墻
ip address outside 131.1.23.2
//設(shè)置PIX防火墻的外部地址
ip address inside 10.10.254.1
//設(shè)置PIX防火墻的內(nèi)部地址
global 1 131.1.23.10-131.1.23.254
//設(shè)置一個內(nèi)部計算機(jī)與INTERNET
上計算機(jī)進(jìn)行通信時所需的全局地址池
nat 1 10.0.0.0
//允許網(wǎng)絡(luò)地址為10.0.0.0
的網(wǎng)段地址被PIX翻譯成外部地址
static 131.1.23.11 10.14.8.50
//網(wǎng)管工作站固定使用的外部地址為131.1.23.11
conduit 131.1.23.11 514 udp
131.1.23.1 255.255.255.255
//允許從RTRA發(fā)送到到
網(wǎng)管工作站的系統(tǒng)日志包通過PIX防火墻
mailhost 131.1.23.10 10.10.254.3
//允許從外部發(fā)起的對
郵件服務(wù)器的連接(131.1.23.10)
telnet 10.14.8.50
//允許網(wǎng)絡(luò)管理員通過
遠(yuǎn)程登錄管理IPX防火墻
syslog facility 20.7
syslog host 10.14.8.50
//在位于網(wǎng)管工作站上的
日志服務(wù)器上記錄所有事件日志
二.路由器RTRA
---- RTRA是外部防護(hù)路由器,它必須保護(hù)PIX防火墻免受直接攻擊,保護(hù)FTP/HTTP服務(wù)器,同時作為一個警報系統(tǒng),如果有人攻入此路由器,管理可以立即被通知。
no service tcp small-servers
//阻止一些對路由器本身的攻擊
logging trap debugging
//強(qiáng)制路由器向系統(tǒng)日志服務(wù)器
發(fā)送在此路由器發(fā)生的每一個事件,
包括被存取列表拒絕的包和路由器配置的改變;
這個動作可以作為對系統(tǒng)管理員的早期預(yù)警,
預(yù)示有人在試圖攻擊路由器,或者已經(jīng)攻入路由器,
正在試圖攻擊防火墻
logging 131.1.23.11
//此地址是網(wǎng)管工作站的外部地址,
路由器將記錄所有事件到此
主機(jī)上enable secret xxxxxxxxxxx
interface Ethernet 0
ip address 131.1.23.1 255.255.255.0
interface Serial 0
ip unnumbered ethernet 0
ip access-group 110 in
//保護(hù)PIX防火墻和HTTP/FTP
服務(wù)器以及防衛(wèi)欺騙攻擊(見存取列表)
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log
// 禁止任何顯示為來源于路由器RTRA
和PIX防火墻之間的信息包,這可以防止欺騙攻擊
access-list 110 deny ip any host 131.1.23.2 log
//防止對PIX防火墻外部接口的直接
攻擊并記錄到系統(tǒng)日志服務(wù)器任何企圖連接
PIX防火墻外部接口的事件r
access-list 110 permit tcp any
131.1.23.0 0.0.0.255 established
//允許已經(jīng)建立的TCP會話的信息包通過
access-list 110 permit tcp any host 131.1.23.3 eq ftp
//允許和FTP/HTTP服務(wù)器的FTP連接
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
//允許和FTP/HTTP服務(wù)器的FTP數(shù)據(jù)連接
access-list 110 permit tcp any host 131.1.23.2 eq www
//允許和FTP/HTTP服務(wù)器的HTTP連接
access-list 110 deny ip any host 131.1.23.2 log
//禁止和FTP/HTTP服務(wù)器的別的連接
并記錄到系統(tǒng)日志服務(wù)器任何
企圖連接FTP/HTTP的事件
access-list 110 permit ip any 131.1.23.0 0.0.0.255
//允許其他預(yù)定在PIX防火墻
和路由器RTRA之間的流量
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
//限制可以遠(yuǎn)程登錄到此路由器的IP地址
access-list 10 permit ip 131.1.23.11
//只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器,
當(dāng)你想從INTERNET管理此路由器時,
應(yīng)對此存取控制列表進(jìn)行修改
三. 路由器RTRB
---- RTRB是內(nèi)部網(wǎng)防護(hù)路由器,它是你的防火墻的最后一道防線,是進(jìn)入內(nèi)部網(wǎng)的入口.
logging trap debugging
logging 10.14.8.50
//記錄此路由器上的所有活動到
網(wǎng)管工作站上的日志服務(wù)器,包括配置的修改
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255
//允許通向網(wǎng)管工作站的系統(tǒng)日志信息
access-list 110 deny ip any host 10.10.254.2 log
//禁止所有別的從PIX防火墻發(fā)來的信息包
access-list permit tcp host 10.10.254.3
10.0.0.0 0.255.255.255 eq smtp
//允許郵件主機(jī)和內(nèi)部郵件服務(wù)器的SMTP郵件連接
access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255
//禁止別的來源與郵件服務(wù)器的流量
access-list deny ip any 10.10.254.0 0.0.0.255
//防止內(nèi)部網(wǎng)絡(luò)的信任地址欺騙
access-list permit ip 10.10.254.0
0.0.0.255 10.0.0.0 0.255.255.255
//允許所有別的來源于PIX防火墻
和路由器RTRB之間的流量
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
//限制可以遠(yuǎn)程登錄到此路由器上的IP地址
access-list 10 permit ip 10.14.8.50
//只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器,
當(dāng)你想從INTERNET管理此路由器時,
應(yīng)對此存取控制列表進(jìn)行修改
---- 按以上設(shè)置配置好PIX防火墻和路由器后,PIX防火墻外部的攻擊者將無法在外部連接上。
看過文章“Cisco PIX防火墻及網(wǎng)絡(luò)安全怎么配置”的人還看了: