Firewall basato su Cisco PIX Firewall di sistema
Premessa: Questo articolo introduce la funzionalità di firewall Cisco PIX Firewall e funzioni. Mostra come utilizzare Cisco PIX Firewall in modo rapido e facilmente costruire un sistema di firewall più sicuro.
1. Introduzione
Con Internet, in uno sviluppo universale e rapido della rete per l'invasione crescente di host, firewall tecnologia applicativa è imperativo. Ma la varietà dei prodotti firewall di una vasta gamma di funzioni diverse, che per raggiungere e mantenere un sistema di firewall ha portato molte difficoltà. Come costruire una cassetta di sicurezza e pratico, facile implementare un sistema firewall è degno di studio, in generale, uno sistema firewall completo dovrebbe non solo prevenire intrusioni esterne, ma anche per prevenire unauthorized access staff di internal. Il Cisco PIX Firewall è un firewall, attraverso la mappatura degli indirizzi statici e dinamici, la tecnologia di condotte, si può trovare più facile per realizzare un sistema di firewall più completa.
2. Informazioni su Cisco PIX Firewall presenta
In generale, un sistema di protezione antincendio è attuato tra le due reti una serie di metodo di controllo di accesso di raccolta. Normalmente ci sono due tipi di firewall, basato su strato network packet filtering firewall e Web-based a livello di applicazione di isolamento proxy server (server proxy). Il primo soprattutto nel pacchetto di livello IP della rete a seconda della fonte e gli indirizzi di destinazione e di origine e di porta di destinazione per determinare un avanzamento o scartare i pacchetti IP, allora si è nel livello di applicazione per fornire un proxy per ogni servizio, in vista delle due La tecnologia ha le proprie caratteristiche e gli inconvenienti della costruzione di un firewall con la buona prestazione dovrebbe essere basata sulla selezione ragionevole di topologia e tecnologia firewall in una configurazione ragionevole.
Ciso PIX Firewall si basa sulla combinazione di due tecnologie di firewall. Si applica l'algoritmo di protezione (Adaptive Security Algorithm), l'interno di mappatura indirizzo di host per l'indirizzo esterno e si rifiutano di consentire il pacchetto senza la voce realizzare una dinamica, la mappatura statica degli indirizzi, in tal modo efficace schermatura la topologia interna della rete. Attraverso la pipeline, la lista di accesso di uscita, siamo in grado di controllare efficacemente l'accesso interno ed esterno alle varie risorse.
PIX Firewall in grado di connettersi a quattro reti diverse, ciascuna rete può definire un livello di sicurezza, di basso livello rispetto al livello alto è sempre visto come rete esterna, ma il minimo deve essere globalmente coerente indirizzo IP. Di seguito, si limita a introdurre due esempio Cisco PIX Firewall firewall di sistema di rete.
3. Cisco PIX Firewall configurazione di processo
Nella configurazione prima di pianificare una topologia di rete buona, per sviluppare una politica di sicurezza più detailedly; pianificare una topologia di rete, per esempio. Imposta la sua gamma di indirizzi IP 204.31.17.128-204.31.17.191, hanno E-mail, WWW, server FTP e così via, PIX Firewall interno di un intervallo di indirizzi IP virtuali per il :192.168.3.1 .168.3.255-192, è possibile definire la seguente strategia
3,1 schermatura la topologia interna della rete
Per evitare intrusioni di hacker, deve essere isolato utilizzando l'indirizzo dinamico mappatura della rete interna, schermatura la topologia interna della rete. Facciamo la seguente configurazione sul PIX Firewall:
nat 1 0 0
globale (fuori) 1 204.31.17.131 - 204.31.17.165
globale (fuori) 1 204.31.17.130
Tutti gli immigrati di accedere al blocco di configurazione
3,2 Resource Access Control host
E-mail, FTP, WWW e altri server è una risorsa importante, dobbiamo usare pipe (tubi) reso accessibile al di fuori, ma per limitare l'accesso a loro, che è vietata, tranne E-mail, www, FTP tutti gli altri servizi per la massima sicurezza, configurare come segue:
statico (dentro, fuori) 204.31.17.129 192.168.3.1
condotto permesso host TCP 204.31.17.129 eq www qualsiasi
statico (dentro, fuori) 204.31.17.128 192.168.3.2
condotto permesso host TCP 204.31.17.128 eq smtp qualsiasi
statico (dentro, fuori) 204.31.17.166 192.168.3.3
condotto permesso host TCP 204.31.17.128 eq ftp qualsiasi
3,3 host di Internet e delle risorse, sul controllo dei sensibili
Per l'Internet, alcune delle risorse sensibili, come un certo numero di siti malsani, si può (dominio nslookup) ha trovato il suo indirizzo IP, l'accesso e il controllo di uscita. La configurazione sul PIX Firewall come segue:
uscita 10 negare 204.31.17.11 255.255.255.255 www tcp
applicare (interno) 10 outgoing_dest
host interno, possiamo controllare è possibile utilizzare il servizio, per esempio, un host 192.168.3.4 sulla mappa è possibile disattivarlo utilizzando il servizio WWW per accedere alla rete esterna. La configurazione è la seguente:
uscita 20 negare 192.168.3.4 255.255.255.255 www tcp
applicare (interno) 20 outgoing_src
In modo che possiamo accedere all'host interno di controllo esterno completamente.
4. Contro la rete interna IP e l'indirizzo MAC della illegale
Poiché gli indirizzi IP può essere impostato per cambiare, gli utenti spesso illegale manomesso, qualcun altro indirizzo IP e l'indirizzo MAC, per raggiungere lo scopo di nascondere i loro accessi non autorizzati. Possiamo usare il comando ARP PIX Firewall per l'host IP e MAC address interno vincolante per rubare musica in modo efficace gancio Zou crepuscolo P affronta il fenomeno della ascella male. Per esempio, si desidera ospitare l'indirizzo IP di 192.168.3.4 e MAC address 00e0.1e40.2a7c suo vincolante possono essere le seguenti configurazioni:
arp interno 192.168.3.4 alias 00e0.1e40.2a7c
WR m
La combinazione di questi quattro configurazioni, Cisco PIX Firewall può essere realizzato per il filtraggio dei pacchetti IP, schermatura la rete interna e le risorse di rete di controllare ed effettivamente impedire il furto di indirizzi IP e manomissione. Per meglio realizzare un sistema completo firewall. Così, il sistema PIX Firewall per costruire una posizione estremamente comoda.