Firewall baseret på Cisco PIX Firewall System
Abstract: Dette papir introducerer Cisco PIX Firewall firewall egenskaber og funktioner. Viser hvordan man bruger Cisco PIX Firewall til hurtigt og nemt bygge en mere sikker firewall system.
1. Indledning
Med internettet, i en universel og hurtig udvikling af netværket for den stigende invasion af værten ansøgning firewall teknologi er af afgørende betydning. Men de forskellige firewall produkter en bred vifte af forskellige funktioner, som at opnå og opretholde en firewall system bragt mange vanskeligheder. Hvordan man opbygger en sikker og praktisk, let at implementere en firewall system er værd at studere, i almindelighed, en komplet firewall system bør ikke kun forhindre indtrængen udefra, men også for at forhindre uautoriseret adgang til interne medarbejdere. Cisco PIX Firewall er en firewall, gennem dynamiske og statiske adresse kortlægning, rørledning teknologi, vi kan finde det lettere at opnå en mere omfattende firewall system.
2. Om Cisco PIX Firewall funktioner
Generelt er en brandbeskyttelsessystem gennemført mellem de to net en række af de adgangskontrol metode for indsamling. Der er normalt to typer af firewalls, baseret på netværkslaget pakkefiltrering firewall og web-baseret applikation lag proxy server isolation (proxy server). Den tidligere hovedsageligt i netværkslaget pakke efter kilde og destination IP-adresse og kilde og destination port til at fastsætte en frem-eller kassere IP-pakker, så er man i applikationslaget at give en fuldmagt for hver tjeneste, i betragtning af de to Teknologi har sit eget kendetegn og ulemper ved at opbygge en firewall med gode resultater bør være baseret på rimelige valg af topologi og firewall-teknologi på en fornuftig konfiguration.
CISO PIX Firewall er baseret på at kombinere de to teknologier firewall. Det gælder sikkerhed algoritme (Adaptive Security algoritme), den interne værtsadresse kortlægning for den eksterne adresse og nægte at give pakken uden trådte realisere en dynamisk, statisk adresse mapping, hvilket reelt afskærmning det interne net topologi. Gennem rørledningen, forlade adgang listen, kan vi effektivt bekæmpe intern og ekstern adgang til forskellige ressourcer.
PIX Firewall kan oprette forbindelse til fire forskellige netværk, kan hvert netværk definere et sikkerhedsniveau, lavt niveau i forhold til det høje niveau er altid ses som det eksterne netværk, men minimum skal være globalt sammenhængende IP-adresse. Følgende vi kun indføre to eksempel Cisco PIX Firewall netværksfirewall system.
3. Cisco PIX Firewall konfigurationen
I den konfiguration, før du planlægger en god netværkstopologi, at udvikle en mere detailedly sikkerhedspolitik; at planlægge en topologi netværk for eksempel. Set sin IP-adresse vifte 204.31.17.128-204.31.17.191, har E-mail, WWW, FTP og andre servere, PIX Firewall's interne virtuelle IP-adresse-området til :192.168.3.1-192 .168.3.255, kan du definere følgende strategi
3,1 afskærmning det interne netværk topologi
For at forhindre hacker indtrængen, bør isoleres ved hjælp af dynamisk adresse kortlægning det interne net, afskærmning det interne net topologi. Vi stiller følgende konfiguration på PIX Firewall:
nat 1 0 0
global (udendørs) 1 204.31.17.131 - 204.31.17.165
global (udvendig) en 204.31.17.130
Alle indvandrere at få adgang til konfiguration blok
3,2 Resource Access Control vært
E-mail, FTP, www og andre servere er en vigtig ressource, vi skal bruge pipe (conduit) gøres tilgængelige for dem udenfor, men at begrænse adgangen til dem, at det er forbudt undtagen E-mail, www, FTP alle de andre tjenester for maksimal sikkerhed, konfigurere som følger:
statisk (indvendig, udvendig) 204.31.17.129 192.168.3.1
conduit tillade tcp vært 204.31.17.129 eq www enhver
statisk (indvendig, udvendig) 204.31.17.128 192.168.3.2
conduit tillade tcp vært 204.31.17.128 eq smtp enhver
statisk (indvendig, udvendig) 204.31.17.166 192.168.3.3
conduit tillade tcp vært 204.31.17.128 eq ftp enhver
3,3 Internet værter og ressourcer på kontrol af følsomme
For internettet, nogle af de følsomme ressourcer, såsom en række usunde site, kan vi (nslookup domæne) fandt i sin IP-adresse, og exit adgangskontrol. Konfigurationen på PIX Firewall som følger:
udgående 10 benægte 204.31.17.11 255.255.255.255 www tcp
anvendelse (inde) 10 outgoing_dest
Intern vært, kan vi kontrollere det kan bruge tjenesten, for eksempel en vært 192.168.3.4 på kortet kan vi deaktivere den ved hjælp af WWW service at få adgang til eksterne netværk. Konfigurationen er som følger:
udgående 20 benægte 192.168.3.4 255.255.255.255 www tcp
anvendelse (inde) 20 outgoing_src
For at vi kan få adgang til interne vært for ekstern kontrol helt.
4. På det interne netværk IP og MAC-adressen af den ulovlige
Idet IP-adresser kan indstilles til at ændre, illegal brugere ofte manipulation, andres IP-adresse og MAC-adresse, for at nå det mål at skjule deres uautoriseret adgang. Vi kan bruge PIX Firewall's ARP-kommandoen til den interne host IP og MAC-adressen bindende det til effektivt at stjæle musik krog Zou tusmørke P omhandler fænomenet dårlige armhule. For eksempel ønsker vi at være vært IP-adresse 192.168.3.4 og det er MAC-adresse 00e0.1e40.2a7c bindende, kan konfigureres som følger:
arp inde 192.168.3.4 00e0.1e40.2a7c alias
WR m
Kombination af disse fire konfigurationer, kan Cisco PIX Firewall være nået for IP-pakke-filtrering, afskærmning det interne netværk og netværk ressourcer til kontrol og effektivt forhindre IP-adresse tyveri og manipulation. For bedre at kunne opnå en komplet firewall system. Således er det PIX Firewall systemet bygge en yderst bekvem.