Pare-feu Cisco PIX basée sur système pare-feu
Résumé: Cet article présente les fonctionnalités de pare-feu Cisco PIX Firewall et des fonctions. Montre comment utiliser Cisco PIX Firewall afin de créer rapidement et facilement un système de pare-feu plus sûr.
1. Introduction
Avec l'Internet, dans un développement universel et rapide du réseau de l'invasion croissante de l'hôte, de la technologie pare-feu applicatif est impératif. Mais la variété des produits pare-feu un large éventail de fonctions différentes, pour atteindre et maintenir un système de pare-feu a de nombreuses difficultés. Comment construire un coffre-fort et pratique, facile à mettre en œuvre un système de pare-feu est intéressant d'étudier, en général, un système de pare-feu complet doit non seulement prévenir les intrusions extérieures, mais aussi pour empêcher l'accès non autorisé à du personnel interne. La gamme Cisco PIX Firewall est un pare-feu, à travers le mappage des adresses dynamiques et statiques technologie des pipelines, on peut trouver plus facile de parvenir à un système de pare-feu plus complet.
2. A propos de Cisco PIX Firewall caractéristiques
En général, un système de protection contre l'incendie est mis en œuvre entre les deux réseaux un certain nombre de la méthode de contrôle d'accès de la collecte. Il ya généralement deux types de pare-feu; basée sur le filtrage de paquets de la couche réseau et de pare-feu basés sur le Web couche application serveur proxy isolement (serveur proxy). L'ex-principalement dans le paquet de couche réseau IP en fonction de la source et les adresses de destination et source et port de destination afin de déterminer avant ou rejeter les paquets IP, on est dans la couche application pour fournir une procuration pour chaque service, en vue des deux La technologie a ses propres caractéristiques et les inconvénients de la construction d'un pare-feu avec de bonnes performances devraient être fondées sur le choix raisonnable de la topologie et de la technologie pare-feu dans une configuration raisonnable.
RSSI PIX Firewall est basée sur la combinaison des deux technologies de pare-feu. Il applique l'algorithme de sécurité (Adaptive Security Algorithm), la cartographie hôte interne adresse pour l'adresse externe et refusent de laisser le paquet sans l'entrée réaliser une dynamique, cartographie adresse statique, ainsi efficacement le blindage de la topologie du réseau interne. Dans le pipeline, la liste d'accès de sortie, on peut contrôler efficacement l'accès interne et externe à diverses ressources.
PIX Firewall peut se connecter à quatre réseaux différents, chaque réseau peut définir un niveau de sécurité, le faible niveau par rapport au niveau élevé est toujours considéré comme le réseau externe, mais le minimum doit être globalement cohérentes adresse IP. Ce qui suit, nous ne présenter deux par exemple Cisco PIX Firewall système de pare-feu réseau.
3. Cisco PIX Firewall processus de configuration
Dans la configuration avant de planifier une topologie de réseau bien, de développer une politique de sécurité plus detailedly; à la carte d'un réseau topologie par exemple. Définissez sa plage d'adresses IP 204.31.17.128-204.31.17.191, ont E-mail, WWW, FTP et autres serveurs, pare-feu PIX interne de gamme adresse IP virtuelle pour la :192.168.3.1-192 .168.3.255, vous pouvez définir la stratégie suivante
3,1 blindage la topologie du réseau interne
Pour empêcher l'intrusion de pirates informatiques, doivent être isolés en utilisant l'adresse dynamique cartographie du réseau interne, le blindage de la topologie du réseau interne. Nous faisons la configuration suivante sur le pare-feu PIX:
nat 1 0 0
mondiale (à l'extérieur) 1 204.31.17.131 - 204.31.17.165
mondiale (à l'extérieur) 1 204.31.17.130
Tous les immigrants à accéder au bloc de configuration
3.2 Resource Access Control d'accueil
E-mail, FTP, Web et autres serveurs est une ressource importante, il faut utiliser un tuyau (canalisation) qui leurs sont accessibles à l'extérieur, mais de restreindre l'accès à eux, qui est interdite, sauf E-mail, Web, FTP tous les autres services pour une sécurité maximale, configurer comme suit:
statique (intérieur, extérieur) 204.31.17.129 192.168.3.1
conduit permis hôte TCP 204.31.17.129 eq www toute
statique (intérieur, extérieur) 204.31.17.128 192.168.3.2
conduit permis hôte TCP 204.31.17.128 eq smtp toute
statique (intérieur, extérieur) 204.31.17.166 192.168.3.3
conduit permis hôte TCP 204.31.17.128 eq ftp toute
3,3 hôtes Internet et des ressources sur le contrôle de données sensibles
Pour l'Internet, certaines des ressources sensibles, comme certains le site insalubres, nous pouvons (domaine nslookup) dans son adresse IP, contrôle d'accès et de sortie. La configuration sur le pare-feu PIX comme suit:
sortants TCP 10 nier 204.31.17.11 255.255.255.255 www
s'appliquent (à l'intérieur) 10 outgoing_dest
hôte interne, nous pouvons contrôler elle peut utiliser le service, par exemple, un hôte 192.168.3.4 sur la carte on peut désactiver l'utilisation du service WWW pour accéder au réseau externe. La configuration est la suivante:
20 sortants nier tcp 192.168.3.4 255.255.255.255 www
s'appliquent (à l'intérieur) 20 outgoing_src
Pour que nous puissions accéder à l'hôte interne à un contrôle externe complètement.
4. Contre le réseau IP interne et l'adresse MAC de l'illicite
Les adresses IP peuvent être en train de changer, les utilisateurs illégaux souvent trafiqués, quelqu'un d'autre adresse IP et l'adresse MAC, pour atteindre le but de cacher leur accès non autorisé. Nous pouvons utiliser le pare-feu PIX commande ARP à l'hôte interne IP et adresse MAC qui le lie efficacement volez pas la musique crépusculaire crochet Zou P aborde le phénomène de l'aisselle mal. Par exemple, nous voulons d'accueillir l'adresse IP de 192.168.3.4 et c'est l'adresse MAC contraignant 00e0.1e40.2a7c, peut être configuré comme suit:
arp intérieur 192.168.3.4 alias 00e0.1e40.2a7c
m wr
La combinaison de ces quatre configurations, Cisco PIX Firewall peut être obtenue pour filtrage de paquets IP, protection du réseau interne et les ressources du réseau pour contrôler et prévenir efficacement le vol et la falsification d'adresse IP. Pour mieux parvenir à un système pare-feu complet. Ainsi, le système de pare-feu PIX de construire une pratique extrêmement.