ファイアウォールはCisco PIX Firewallのシステムに基づいて
要約:これは論文では、Cisco PIXファイアウォールファイアウォール機能と機能を紹介します。どのように迅速およびCisco PIXファイアウォールを使用するに簡単に、より安全なファイアウォールのシステムを構築する方法を示します。
1。導入
インターネットでは、ホストの成長侵略のためのネットワークの普遍的かつ急速な発展には、アプリケーションのファイアウォール技術が不可欠です。しかし、ファイアウォール製品達成するために、ファイアウォールのシステムは多くの困難をもたらした維持さまざまな機能の広い範囲の様々な。どのように安全かつ実用的な、簡単なファイアウォールのシステム実装をビルドするために検討に値する、一般的に、完全なファイアウォールのシステムでのみ、外部の侵入を防ぐことが必要ですが、また、内部スタッフへの不正アクセスを防止します。 Cisco PIX Firewallでは、ファイアウォール、動的および静的アドレスマッピングにより、パイプライン技術、我々はそれが簡単に、より包括的ファイアウォールシステムを実現するために見つけることができる。
2。 Cisco PIXファイアウォールについての機能
一般的に、消防システムは2つのネットワーク間でのコレクションのアクセス制御方式の数を実装されます。通常、ファイアウォールの2種類があります。ネットワーク層のパケットがファイアウォールおよびWebベースのアプリケーション層のプロキシサーバーの分離を(プロキシサーバー)フィルタリングに基づく。ネットワーク層のIPパケットを中心に、ソースと宛先アドレスと送信元および宛先ポートに転送を決定したり、IPパケットを破棄よると、して1つの元は、アプリケーション層の2つのビューで、各サービスのプロキシを提供することですテクノロジーは、トポロジとファイアウォール技術の合理的な選択に合理的な構成に基づいする必要があります独自の機能と優れたパフォーマンスを備えたファイアウォール構築の欠点がある。
Ciso PIX Firewallのは、2つの技術のファイアウォールを組み合わせることに基づいています。これは、外部アドレスの内部ホストアドレスのマッピングをセキュリティアルゴリズム(適応型セキュリティアルゴリズム)適用され、エントリがなく、動的静的アドレスマッピングを実現するパッケージを許可することを拒否することにより、効果的に内部ネットワークトポロジーをシールド。パイプラインを通じ、出口へのアクセスリストには、我々は効果的に様々なリソースへの内部および外部からのアクセスを制御できます。
PIX Firewallでは、4つの異なるネットワークに接続することができます、各ネットワークは、しかし、高いレベルを基準には、常に外部ネットワークとして見られている低レベルのセキュリティレベルを定義することができます最小値はグローバルに一貫性のあるIPアドレスでなければなりません。以下は、私たちは2つの例のCisco PIX Firewallのネットワークファイアウォールのシステムをご紹介します。
3。 Cisco PIXファイアウォールの設定プロセス
構成では、より詳細に規定のセキュリティポリシーを開発する優れたネットワークのトポロジを計画する前に、マップする例のトポロジのネットワークです。設定は、そのIPアドレスの範囲204.31.17.128-204.31.17.191、電子メール、WWWやFTPや他のサーバー、:192.168.3.1 - 192 .168.3.255場合は、次の戦略を定義することができますのPIX Firewallの内部の仮想IPアドレスの範囲がある
3.1内部ネットワークのトポロジをシールド
ハッカーの侵入を防ぐため、動的アドレスを内部ネットワークのマッピングを使用、内部ネットワークのトポロジを遮蔽分離される必要があります。我々は、PIX Firewall上、次の設定を行う:
NATは1 0 0
(外)1 204.31.17.131グローバル - 204.31.17.165
(外)1 204.31.17.130グローバル
すべての移民が設定ブロックにアクセスする
3.2リソースアクセスコントロールのホスト
電子メール、FTP、WWWと他のサーバーが重要な資源は、(管)が外にアクセスしたが、パイプを使用する必要があります、その電子メールは、www、FTPの他のすべてのサービスを除いて禁止されてそれらへのアクセスを制限することですとして構成最大限のセキュリティのため、次の:
(内部、外部)204.31.17.129 192.168.3.1静的
導管は、204.31.17.129 eqは任意のWWWのTCPホストを許可する
(内部、外部)204.31.17.128 192.168.3.2静的
導管は、204.31.17.128 eqは任意のSMTPのTCPホストを許可する
(内部、外部)204.31.17.166 192.168.3.3静的
導管は、204.31.17.128 eqは任意のFTPのTCPホストを許可する
3.3インターネットホストおよびリソース敏感な制御
インターネット不健全なサイトの数はいくつかの敏感なリソースなどの、我々はできる(nslookupをドメイン)については、そのIPアドレス、および終了のアクセス制御が見つかりました。 PIXファイアウォールの設定は次のとおり:
10は、204.31.17.11 255.255.255.255のwww tcpを拒否発信
(内部)10 outgoing_destを適用する
内部ホストは、我々はサービスを利用することができ、例えば制御することができます、図1の諸曁は192.168.3.4我々はそれは、WWWの外部ネットワークにアクセスするサービスを使用禁止することができます。以下のように構成は:
20は、192.168.3.4 255.255.255.255のwww tcpを拒否発信
(内部)20 outgoing_srcを適用する
だから我々は外部制御を完全に内部ホストにアクセスすることができます。
4。に対する内部ネットワークのIPとMACアドレス不正
IPアドレスは、他の誰かがIPアドレスとMACアドレス、その不正なアクセスを非表示にする目的を達成することは違法ユーザーを頻繁に改ざん変更するには設定することができるので。我々は、内部ホストIPアドレスとMACにバインドアドレスを効果的音楽フックゾウ黄昏Pを盗むためにPIX FirewallののARPコマンドを使用することができます悪い脇の現象を解決します。たとえば、我々は192.168.3.4のIPアドレスをホストする、それがMACは00e0.1e40.2a7cアドレスバインディングだとして構成することができます次:
192.168.3.4 00e0.1e40.2a7c別名内部arpコマンド
WRのメートル
これらの4つの構成の組み合わせは、Cisco PIXファイアウォールのIPパケットフィルタ、および制御するために効果的にIPアドレスの盗難や改ざんを防止するため、内部ネットワークおよびネットワークリソースをシールドを実現することができます。より完全なファイアウォールのシステムを実現する。したがって、PIX Firewallのシステムは非常に便利をビルドします。