Firewall basado en Cisco PIX Firewall Sistema
Resumen: Este artículo presenta el Cisco PIX Firewall funciones de cortafuegos y funciones. Muestra cómo utilizar Cisco PIX Firewall para crear rápida y fácilmente un sistema de cortafuegos más seguro.
1. Introducción
Con el Internet, en un desarrollo universal y rápido de la red para la invasión creciente de acogida, las técnicas de aplicación cortafuegos es imprescindible. Pero la variedad de productos de firewall una amplia gama de funciones diferentes, que para lograr y mantener un sistema de firewall traído muchas dificultades. ¿Cómo construir un seguro y práctico, fácil de implementar un sistema de firewall es digno de estudio, en general, un sistema de firewall completo no sólo debe evitar la intrusión externa, sino también para evitar el acceso no autorizado a personal interno. El Cisco PIX Firewall es un cortafuegos, a través de la asignación de direcciones dinámicas y estáticas, la tecnología de la tubería, que puede resultar más fácil conseguir un sistema de servidor de seguridad más amplio.
2. Acerca de Cisco PIX Firewall cuenta con
En general, un sistema de protección contra incendios se realizan entre las dos redes de un número del método de control de acceso de la colección. Generalmente hay dos tipos de cortafuegos, sobre la base de paquetes de capa de red y la capa de filtrado de firewall basados en la Web Proxy de la aplicación de aislamiento de servidor (servidor proxy). El primero, principalmente en la capa de red de paquetes IP de acuerdo a la fuente y las direcciones de destino y el origen y el puerto de destino para determinar un delantero o descartar los paquetes IP, entonces uno está en la capa de aplicación para proporcionar un proxy para cada servicio, en vista de las dos Tecnología tiene sus propias características y los inconvenientes de la construcción de un firewall con un buen desempeño se debe basar en la selección razonable de la topología y la tecnología de firewall en una configuración razonable.
Ciso PIX Firewall se basa en la combinación de dos tecnologías de servidor de seguridad. Se aplica el algoritmo de seguridad (Adaptive Security Algorithm), la asignación de direcciones de host interno de la dirección externa y se niegan a permitir que el paquete sin que haya entrado realizar un mapeo dinámico, la dirección estática, con lo que efectivamente proteger a la topología de la red interna. A través de la tubería, la lista de acceso de salida, se puede controlar perfectamente el acceso interno y externo a los distintos recursos.
PIX Firewall puede conectarse a cuatro redes diferentes, cada red puede definir un nivel de seguridad, nivel bajo en relación con el alto nivel siempre es vista como la red externa, pero el mínimo debe ser la dirección IP coherente a escala mundial. A continuación, sólo se introducen dos ejemplo Cisco PIX Firewall sistema de firewall de red.
3. Cisco PIX Firewall proceso de configuración
En la configuración antes de planificar una topología de red de calidad, para desarrollar una política de seguridad más detalladamente, para asignar una topología de red, por ejemplo. Establezca su rango de direcciones IP 204.31.17.128-204.31.17.191, han de correo electrónico, WWW, FTP y otros servidores, internos gama virtual PIX Firewall dirección IP para el :192.168.3.1-192 .168.3.255, puede definir la siguiente estrategia
3,1 blindaje de la topología de la red interna
Para prevenir la intrusión de piratas informáticos, debe ser aislado, usando la dirección de la cartografía dinámica de la red interna, el blindaje de la topología de red interna. Hacemos la siguiente configuración en PIX Firewall:
nat 1 0 0
mundial (fuera) un 204.31.17.131 - 204.31.17.165
mundial (fuera) un 204.31.17.130
Todos los inmigrantes para acceder al bloque de configuración
3,2 de recursos de control de acceso de acogida
E-mail, FTP, WWW y otros servidores es un recurso importante que debe utilizar tubo (conduit) que les sean accesibles fuera, sino que debe restringir el acceso a ellos, que está prohibida, salvo de correo electrónico, WWW, FTP todos los demás servicios para una máxima seguridad, configure la siguiente manera:
estática (interior, exterior) 204.31.17.129 192.168.3.1
permiso de conducción de acogida tcp 204.31.17.129 eq www cualquier
estática (interior, exterior) 204.31.17.128 192.168.3.2
permiso de conducción de acogida tcp 204.31.17.128 eq smtp cualquier
estática (interior, exterior) 204.31.17.166 192.168.3.3
permiso de conducción de acogida tcp 204.31.17.128 eq ftp cualquier
3,3 servidores de Internet y recursos en el control de la información sensible
Para Internet, algunos de los recursos sensibles, tales como un número de sitio malsano, podemos (de dominio nslookup) encontraron en su dirección IP, y control de acceso de salida. La configuración en el Firewall PIX de la siguiente manera:
salida 10 204.31.17.11 255.255.255.255 negar www tcp
se aplican (en el interior) 10 outgoing_dest
host interno, podemos controlar, puede utilizar el servicio, por ejemplo, un host 192.168.3.4 en el mapa podemos desactivarlo usando el servicio WWW para acceder a la red externa. La configuración es la siguiente:
salida 20 192.168.3.4 255.255.255.255 negar www tcp
se aplican (en el interior) 20 outgoing_src
Para que podamos acceder al host interno de control externo por completo.
4. En la red IP interna y la dirección MAC de la ilegal
Puesto que las direcciones IP se puede establecer en cambio, los usuarios ilegales a menudo manipulada, alguien más la dirección IP y la dirección MAC, para lograr el propósito de ocultar su acceso no autorizado. Podemos usar el comando del Firewall PIX de ARP al host interno direcciones IP y MAC es vinculante para robar música gancho eficaz Zou crepúsculo P aborda el fenómeno de las axilas mal. Por ejemplo, queremos ser sede de la dirección IP de 192.168.3.4 y la dirección MAC 00e0.1e40.2a7c vinculante, puede ser configurado de la siguiente manera:
arp 192.168.3.4 dentro alias 00e0.1e40.2a7c
wr m
La combinación de estas cuatro configuraciones, Cisco PIX Firewall se puede alcanzar para filtrado de paquetes IP, protegiendo la red interna y los recursos de red para controlar y prevenir eficazmente el robo de direcciones IP y la manipulación. Para mejorar la consecución de un sistema de firewall completo. Así, el sistema PIX Firewall para construir una muy conveniente.