Firewall auf Cisco PIX Firewall System basiert
Abstract: Dieser Aufsatz stellt die Cisco PIX Firewall Firewall-Funktionen und Funktionen. Zeigt, wie Cisco PIX-Firewall verwenden, um schnell und einfach eine sichere Firewall-System.
1. Einführung
Mit dem Internet, zu einem universellen und schnelle Entwicklung des Netzes für die wachsende Invasion der Wirt, ist Application Firewall-Technologie unumgänglich. Aber die Vielzahl von Firewall-Produkten eine breite Palette von unterschiedlichen Funktionen, die zu erreichen und aufrechtzuerhalten ein Firewall-System brachte viele Schwierigkeiten. Wie, um eine sichere und praktische, einfach zu implementieren ein Firewall-System zu bauen lohnt sich das Studium in der Regel eine komplette Firewall-System sollte nicht nur verhindern Eindringen von außen, sondern auch den unberechtigten Zugriff auf interne Mitarbeiter zu verhindern. Die Cisco PIX Firewall ist eine Firewall, durch die dynamische und statische Adressumsetzung, Pipeline-Technologie, können wir leicht erreichen eine leicht integrierbare Firewall-System.
2. Über Cisco PIX Firewall-Funktionen
Im Allgemeinen ist ein Brandschutzsystem zwischen den beiden Netzen eine Reihe der Zutrittskontrolle Methode der Entnahme durchgeführt. Es gibt normalerweise zwei Arten von Firewalls, basierend auf Netzwerkebene Paketfilterungsfirewall und Web-based Application Layer Proxy-Server-Isolierung (Proxy-Server). Der ehemalige hauptsächlich in den Netzwerk-Layer-IP-Paket nach dem Quell-und Zieladressen sowie Quell-und Ziel-Port, eine vorausschauende bestimmen oder IP-Pakete zu verwerfen, dann ist man in der Anwendungsschicht um einen Proxy für jeden Dienst, in Anbetracht der beiden bieten Technology hat seine eigenen Eigenschaften und Nachteile der Aufbau einer Firewall mit einer guten Leistung sollte auf angemessene Auswahl der Topologie und Firewall-Technologie werden in einem vernünftigen Konfiguration.
Ciso PIX Firewall ist auf die Kombination der beiden Technologien basierte Firewall. Es gilt die Sicherheit Algorithmus (Adaptive Security Algorithm), der interne Host-Adresse-Mapping für die externe Adresse und weigern sich, das Paket ohne die Einreise erlauben verwirklichen eine dynamische, statische Adressumsetzung, wodurch effektiv Abschirmung der internen Netzwerk-Topologie. Durch die Pipeline, die Ausfahrt Access-Liste, können wir effektiv steuern die internen und externen Zugriff auf verschiedene Ressourcen.
PIX Firewall kann auf vier verschiedenen Netzwerken verbinden, kann jedes Netzwerk definieren eine Gefahrenstufe, niedrig im Vergleich zu dem hohen Niveau immer als das externe Netz gesehen wird, sondern das Minimum muss eine globale Einheit der IP-Adresse sein. Die folgenden haben wir nur zwei Beispiele vorstellen Cisco PIX Firewall Netzwerk-Firewall-System.
3. Cisco PIX Firewall Konfiguration
In der Konfiguration, bevor Sie planen, ein gutes Netzwerk-Topologie, um eine detailedly Sicherheitspolitik zu entwickeln, auf die Karte einer Topologie-Netz zum Beispiel. Legen Sie seine IP-Adressbereich 204.31.17.128-204.31.17.191, haben E-Mail, WWW, FTP und andere Server, PIX Firewall das interne virtuelle IP-Adressbereich für die :192.168.3.1-192 .168.3.255, können Sie die folgende Strategie definieren
3,1 Abschirmung der internen Netzwerk-Topologie
Um zu verhindern, Hacker-Einbruch, sollten isoliert mit der dynamischen IP-Adresse Zuordnung des internen Netzwerks sein, die Abschirmung der internen Netzwerk-Topologie. Wir machen die folgende Konfiguration auf PIX Firewall:
nat 1 0 0
global (außerhalb) 1 204.31.17.131 - 204.31.17.165
global (außerhalb) 1 204.31.17.130
Alle Migranten den Zugang zum Konfigurations-Block
3,2 Resource Access Control Host
E-Mail, FTP, WWW und andere Server ist eine wichtige Ressource, müssen wir nutzen Rohr (Conduit) zugänglich gemacht, um sie draußen, aber den Zugang zu ihnen zu beschränken, dass mit Ausnahme von E-Mail, WWW, FTP alle anderen Dienstleistungen verboten ist für maximale Sicherheit, wie folgt konfigurieren:
static (innen, außen) 204.31.17.129 192.168.3.1
Conduit erlaubt tcp host 204.31.17.129 eq www keine
static (innen, außen) 204.31.17.128 192.168.3.2
Conduit erlaubt tcp host 204.31.17.128 eq smtp keine
static (innen, außen) 204.31.17.166 192.168.3.3
Conduit erlaubt tcp host 204.31.17.128 eq ftp keine
3,3 Internet-Hosts und Ressourcen über die Kontrolle von sensiblen
Für das Internet, einige der sensiblen Ressourcen wie eine Reihe von ungesunder Ort, können wir (nslookup domain) fand in seiner IP-Adresse, und beenden Sie Access Control. Die Konfiguration auf der PIX Firewall wie folgt:
Outbound-10 bestreiten 204.31.17.11 255.255.255.255 www tcp
Anwendung (innen) 10 outgoing_dest
Internen Host, können wir kontrollieren können den Service zum Beispiel verwenden, einen Host 192.168.3.4 auf der Karte kann man deaktivieren Sie es mit den WWW-Dienst an das externe Netzwerk zugreifen. Die Konfiguration ist wie folgt:
Outbound 20 192.168.3.4 255.255.255.255 leugnen www tcp
Anwendung (innen) 20 outgoing_src
So können wir die internen Host für externe Steuerung komplett zugreifen.
4. Gegen die interne Netzwerk-IP-und MAC-Adresse des illegalen
Da IP-Adressen können sich ändern, illegale Nutzer oft manipuliert, jemand anderem die IP-Adresse und MAC-Adresse, um den Zweck zu erreichen, um ihre unerlaubten Zugriff zu verstecken. Wir können die PIX Firewall ARP-Befehl, um den internen Host IP-und MAC-Adresse verwenden verbindliche sie effektiv zu stehlen Musik Haken Zou Dämmerung P-Adressen das Phänomen der schlechten Achselhöhle. Zum Beispiel haben wir die IP-Adresse 192.168.3.4 der Host will und es die MAC-Adresse 00e0.1e40.2a7c Bindung kann wie folgt konfiguriert werden:
arp innen 192.168.3.4 00e0.1e40.2a7c alias
wr m
Kombination dieser vier Konfigurationen können Cisco PIX-Firewall für IP-Paketfilterung erreicht werden, Abschirmung des internen Netzes und Netzwerk-Ressourcen zu kontrollieren und wirksam zu verhindern IP-Adresse Diebstahl und Manipulation. Um besser zu erreichen, eine komplette Firewall-System. So, die PIX Firewall-System zu bauen extrem bequem.