Firewall op basis van Cisco PIX Firewall System
Abstract: Deze paper introduceert de Cisco PIX Firewall firewall features en functies. Laat zien hoe snel Cisco PIX Firewall te gebruiken en gemakkelijk te bouwen aan een veiliger firewall systeem.
1. Invoering
Met het internet, in een universele en snelle ontwikkeling van het netwerk voor de groeiende invasie van gastheer, applicatie firewall-technologie is noodzakelijk. Maar de verscheidenheid van firewall producten van een breed scala van verschillende functies, die te bereiken en handhaven van een firewall systeem bracht veel moeilijkheden. Hoe bouw je een veilig en praktisch, makkelijk om een firewall in te voeren is het bestuderen waard is, in het algemeen, een complete firewall systeem moet niet alleen voorkomen dat externe inbraak, maar ook om te voorkomen dat onbevoegden toegang krijgen tot de interne medewerkers. De Cisco PIX Firewall is een firewall, door de dynamische en statische adres mapping, pijpleiding technologie, wij vinden het gemakkelijker om een meer uitgebreide firewall systeem te bereiken.
2. Over Cisco PIX Firewall functies
In het algemeen is een brandbeveiligingssysteem dat wordt gerealiseerd tussen de twee netwerken een aantal van de controle op de toegang methode van inzameling. Er zijn meestal twee soorten firewalls, gebaseerd op netwerklaag packet filtering firewall en web-gebaseerde applicatie laag isolatie proxy server (proxy server). Voormalig is voornamelijk gebaseerd in de bron van de netwerklaag IP-pakket en de bestemming adressen en de bron en bestemming poort om te bepalen of een termijncontract IP-pakketjes weggooien, terwijl de laatste is de applicatielaag naar een proxy voor elke dienst, in het licht van deze twee te bieden Technologie heeft zijn eigen kenmerken en nadelen van het bouwen van een firewall met een goede prestatie moet worden gebaseerd op redelijke selectie van de topologie en firewall technologie in een redelijke configuratie.
CISO PIX Firewall is gebaseerd op het combineren van de twee technologieën firewall. Het geldt de zekerheid algoritme (Algoritme Adaptive Security), de interne host-adres mapping voor het externe adres en weigeren aan het pakket toe te laten zonder de vermelding een dynamische, statische adres mapping te realiseren, waardoor effectief het afschermen van het interne netwerk topologie. Via de pijpleiding, de afslag toegangs-lijsten, kunnen we effectief controle van de interne en externe toegang tot de verschillende middelen.
PIX Firewall kan verbinding maken met vier verschillende netwerken, kan elk netwerk voor een beveiligingsniveau, laag niveau ten opzichte van het hoge niveau altijd wordt gezien als het externe netwerk, maar de minimum moet wereldwijd consistent IP-adres. De volgende hebben we alleen de invoering van twee bijvoorbeeld Cisco PIX Firewall firewall systeem.
3. Cisco PIX Firewall-configuratie-proces
In de configuratie voordat u van plan bent een goed netwerk topologie, een meer gedetailleerd te veiligheidsbeleid te ontwikkelen; het toewijzen van een netwerk topologie bijvoorbeeld. Stel het IP-adres bereik 204.31.17.128-204.31.17.191 zijn e-mail, WWW, FTP en andere servers, virtuele interne PIX Firewall IP-adres bereik voor de :192.168.3.1 .168.3.255-192, kunt u de volgende strategie te bepalen
3,1 afscherming het interne netwerk topologie
Om te voorkomen dat hackers binnendringen, moeten worden geïsoleerd met behulp van het dynamische adres in kaart brengen van het interne netwerk, het afschermen van het interne netwerk topologie. We maken de volgende configuratie op PIX Firewall:
NAT 1 0 0
wereldwijde (buiten) 1 204.31.17.131 - 204.31.17.165
wereldwijde (buiten) 1 204.31.17.130
Alle immigranten om de configuratie toegang blokkeren
3.2 Resource Access Control ontvangst
E-mail, FTP, WWW en andere servers is een belangrijke bron, moeten we gebruikmaken van buis (buis) toegankelijk gemaakt voor hen buiten, maar de toegang ertoe te beperken, dat is verboden met uitzondering van E-mail, www, ftp buitenkant van alle diensten voor maximale veiligheid, configureren als volgt:
statische (binnenkant, buitenkant) 204.31.17.129 192.168.3.1
conduit vergunning tcp host 204.31.17.129 eq www geen
statische (binnenkant, buitenkant) 204.31.17.128 192.168.3.2
conduit vergunning tcp host 204.31.17.128 eq smtp elke
statische (binnenkant, buitenkant) 204.31.17.166 192.168.3.3
conduit vergunning tcp host 204.31.17.128 eq elke ftp
3,3 internet-hosts en middelen aan de controle van gevoelige
Voor het internet, een deel van de gevoelige middelen, zoals een aantal ongezonde site, kunnen we (nslookup domein) gevonden in het IP-adres, en de controle op de toegang af te sluiten. De configuratie op de PIX Firewall als volgt:
10 uitgaande ontkennen 255.255.255.255 204.31.17.11 www tcp
toe te passen (binnen) 10 outgoing_dest
Interne host, kunnen we de controle kan de dienst gebruiken, bijvoorbeeld, een host 192.168.3.4 op de kaart kunnen we deze uitschakelen met behulp van de WWW-service op de externe toegang tot het netwerk. De configuratie is als volgt:
20 uitgaande ontkennen 192.168.3.4 255.255.255.255 www tcp
toe te passen (binnen) 20 outgoing_src
Dus dat kunnen we volledig de interne host de toegang tot externe controle.
4. Tegen het interne netwerk IP-en MAC-adres van de illegale
Omdat IP-adressen kan worden ingesteld om te veranderen, illegale gebruikers vaak geknoeid met iemand anders het IP-adres en MAC-adres, het doel te bereiken om hun toegang door onbevoegden te verbergen. We kunnen de PIX Firewall opdracht ARP gebruiken om de interne host-IP en MAC-adres te koppelen aan daadwerkelijk muziek te stelen haak Zou schemering P-adressen van het verschijnsel van slechte oksel. Bijvoorbeeld, willen we het IP-adres van 192.168.3.4 host en het MAC-adres van 00e0.1e40.2a7c bindend zijn, kan worden geconfigureerd als volgt:
arp binnen 192.168.3.4 00e0.1e40.2a7c alias
WR m
Combinatie van deze vier configuraties, kan Cisco PIX Firewall worden bereikt voor IP-packet filtering, het afschermen van het interne netwerk en netwerkbronnen te controleren en effectief te voorkomen IP-adres van diefstal en manipulatie. Om beter te komen tot een volledige firewall systeem. Zo, de PIX Firewall systeem uit te bouwen een uiterst handig.