网站首页  注册会员  本站免费电影 留言板  繁體中文

 

您现在的位置: 陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 组网维护 >> 正文
 

   
专 题 栏 目
相 关 文 章

同样配置能1000 盘点市售
快速找出Excel中错误的身
高端保值配置就该这样攒
Word 2010快速访问工具栏
教你如何查看计算机的硬
Windows7从“库”中快速
通过qq邮箱 快速找回被删
快速调用Win7中资源监视
通吃所有网游!低价ii5网
让迅雷下载结束后自动关

 
快速配置Cisco PIX Firewall技巧           
快速配置Cisco PIX Firewall技巧
作者:陈鹏 文章来源:eNet 点击数: 更新时间:2009-9-9 21:33:40
 




 

1.前言

  如何构建一个安全实用,容易实现的防火墙系统是值得研究的,一般来说,一个完整的防火墙系统既要防止外部入侵,又要防止内部人员的非法访问。对于Cisco PIX Firewall防火墙来说,通过动态和静态的地址映射,管道技术,我们可以方便容易地实现一个较为完整的防火墙系统。

  2. Cisco PIX Firewall功能简介

  一般说来,一个防火系统就是在两个网络之间实施的若干的存取控制方法的集合。通常有两种类型的防火墙;基于网络层的包过滤防火墙和基于应用层的隔离网络的代理服务器(proxy server)。前一种主要是在网络层根据IP包的源和目的地址及源和目的端口来决定是转发还是丢弃IP包,而后一种是在应用层为每一种服务提供一个代理,鉴于这两种技术都有各自的特点和弊端,建设一个具有良好性能的防火墙应是基于拓扑结构的合理选用和防火墙技术的合理配置。

  Cisco PIX Firewall是基于这两种技术结合的防火墙。它应用安全算法(Adaptive Security Algorithm),将内部主机的地址映射为外部地址,拒绝未经允许的包入境,实现了动态,静态地址映射,从而有效地屏蔽了内部网络拓扑结构。通过管道技术,出境访问列表,我们可以有效地控制内、外部各资源的访问。

  PIX Firewall可连接四个不同的网络,每个网络都可定义一个安全级别,级别低的相对于级别高的总是被视为外部网络,但最低的必须是全球统一的IP地址。以下,我们仅以两个网络为例介绍Cisco PIX Firewall防火墙系统。

  3.Cisco PIX Firewall 的配置过程

  在配置之前,应先规划好网络拓扑结构,制定较为祥细的安全策略;

  以图一拓扑结构网络为例。设它有IP地址范围204.31.17.128-204.31.17.191,有E-mail,WWW,FTP等服务器,PIX Firewall的内部虚IP地址范围为:192.168.3.1-192.168.3.255,可以定义以下策略

  3.1 屏蔽内部网络拓扑结构

  为了防止黑客的侵入,应采用动态地址映射隔离内部网络,屏蔽内部网络拓扑结构。我们对PIX Firewall做如下配置:

  nat 1 0 0

  global (outside) 1 204.31.17.131 ?C 204.31.17.165

  global (outside) 1 204.31.17.130

  上述配置阻挡全部入境访问

  3.2 对资源主机的访问控制

  E-mail,FTP,www等服务器是重要的资源,必须利用管道(conduit)使得外部对它们可访问,但必须限制对它们的访问,即禁止除E-mail,www,FTP以外的一切服务,以获得最大的安全性,配置方法如下:

  static (inside,outside) 204.31.17.129 192.168.3.1

  conduit permit tcp host 204.31.17.129 eq www any

  static (inside,outside) 204.31.17.128 192.168.3.2

  conduit permit tcp host 204.31.17.128 eq smtp any

  static (inside,outside) 204.31.17.166 192.168.3.3

  conduit permit tcp host 204.31.17.128 eq ftp any

  3.3 对Internet上的敏感主机和资源的控制

  对于Internet上的一些敏感资源,如一些不健康站点,我们可用(nslookup 域名)查到其IP地址,并对出境的访问加以控制。在PIX Firewall上的配置如下:

  outbound 10 deny 204.31.17.11 255.255.255.255 www tcp

  apply (inside) 10 outgoing_dest

  对内部主机,我们可以控制其能使用的服务,例如,对图一主机192.168.3.4我们可以禁止它使用WWW服务访问外部网络。其配置如下:

  outbound 20 deny 192.168.3.4 255.255.255.255 www tcp

  apply(inside) 20 outgoing_src

  这样我们就可以对内部主机到外部的访问进行完全的控制。

  4.防范内部网络的非法IP和MAC地址

  由于IP地址可被设置更改,非法用户常篡改,盗用他人的IP地址和MAC地址,来达到隐藏其非法访问的目的。我们可以使用PIX Firewall的ARP命令将内部主机的IP和它的MAC地址绑定,来有效地防止篡改和盗用IP地址现象。例如,我们要将主机的IP地址192.168.3.4与它的MAC地址00e0.1e40.2a7c绑定,可进行如下配置:

  arp inside 192.168.3.4 00e0.1e40.2a7c alias

  wr m

  结合以上四种配置,Cisco PIX Firewall可以实现对IP包过滤,屏蔽内部网络和对网络资源加以的控制,并有效地防范IP地址的盗用和篡改。从而较好地实现了一个完整的防火墙系统。由此可见,由PIX来构筑一防火墙系统极其方便的。

  

文章录入:陈鹏    责任编辑:陈鹏 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
     
     
     
     

    Copyright © 2007 - 2009 chenpeng123.com All Rights Reserved
    本站所有文章,软件等均来自网络收集,不代表本站观点,仅供学习和研究使用。如有侵犯您的版权,请联系我们,本站将立即删除。
    鲁ICP备07014697号
    你是本站第 位访客