Brannmur basert på Cisco PIX Firewall System
Sammendrag: Denne artikkelen introduserer Cisco PIX Firewall brannmur og funksjoner. Viser hvordan du bruker Cisco PIX brannmur til å raskt og enkelt å bygge et sikrere system brannmur.
En. Innledning
Med Internett, til en universell og rask utvikling av nettverk for den voksende invasjon av verten, er programmet brannmur teknologi imperativ. Men variasjonen av brannmurprodukter et bredt spekter av ulike funksjoner, som å oppnå og opprettholde en brannmur system brakte mange vanskeligheter. Hvordan bygge en sikker og praktisk, enkel å implementere en brannmur system er verdt å studere, generelt, en komplett brannmur bør ikke bare hindre eksterne inntrengning, men også for å hindre uautorisert tilgang til interne medarbeidere. Cisco PIX Firewall er en brannmur, gjennom dynamisk og statisk adresse kartlegging, rørledningsteknologi, vi kan finne det lettere å oppnå en mer omfattende brannmur-systemet.
2. Om Cisco PIX brannmur funksjoner
Generelt sett er en brannbeskyttelse system implementert mellom de to nettverkene en rekke av tilgangskontroll metode for innsamling. Det er vanligvis to typer brannmurer, basert på nettverkslaget pakkefiltrering brannmur og web-basert applikasjon laget proxy server isolasjon (proxy-server). Den tidligere hovedsakelig i nettverkslaget IP-pakker i henhold til kilden og målet adresser og kilde og destinasjon havn å avgjøre en fremskutt eller forkaste IP-pakker, så man er i programmet laget for å gi en proxy for hver tjeneste, i lys av de to Teknologien har sine egne egenskaper og ulemper ved å bygge en brannmur med gode resultater bør være basert på rimelig utvalg av topologi og brannmur teknologi på en fornuftig konfigurasjon.
Ciso PIX brannmur er basert på å kombinere de to teknologiene brannmuren. Den gjelder sikkerheten algoritmen (Adaptive Sikkerhetsalgoritme), den interne vertsadressen kartlegging for ekstern adresse og nekter å la pakken uten oppføringen realisere en dynamisk, statisk adresse kartlegging, dermed effektivt skjerming det interne nettverket topologi. Gjennom rørledningen, utkjørselen tilgang listen, kan vi effektivt kontrollere intern og ekstern tilgang til ulike ressurser.
PIX brannmur kan koble til fire forskjellige nettverk, kan hvert nettverk definere et sikkerhetsnivå, lavt nivå i forhold til det høye nivået blir alltid sett på som det eksterne nettverket, men minimum må være globalt samme IP-adresse. Følgende, vi bare innføre to eksempel Cisco PIX Firewall nettverksbrannmur system.
Tre. Cisco PIX Firewall konfigurasjonsprosessen
I konfigurasjonen før du planlegger en god nettverkstopologi, å utvikle en mer detailedly sikkerhetspolitisk; å kartlegge en topologi nettverk for eksempel. Angi IP-adressen utvalg 204.31.17.128-204.31.17.191, har E-post, WWW, FTP og andre servere, PIX Firewall interne virtuelle IP-adresseområde for :192.168.3.1-192 .168.3.255, kan du definere følgende strategi
3.1 skjerming av interne nettverkstopologi
For å hindre inntrengning hacker, bør isoleres ved hjelp av dynamiske adressen kartlegge interne nettverket, skjerming av interne nettverkstopologien. Vi gjør følgende oppsett på PIX Firewall:
nat 1 0 0
global (utenfor) 1 204.31.17.131 - 204.31.17.165
global (utenfor) 1 204.31.17.130
Alle innvandrere å få tilgang til konfigurasjonen blokk
3.2 Ressurs Access Control verten
E-post, FTP, WWW og andre servere er en viktig ressurs, må vi bruke pipe (rør) gjort tilgjengelig for dem utenfor, men for å begrense tilgangen til dem, som er forbudt, bortsett fra e-post, www, FTP alle de andre tjenestene for maksimal sikkerhet, konfigurere på følgende måte:
statiske (inne, ute) 204.31.17.129 192.168.3.1
kanal tillatelse tcp host 204.31.17.129 EQ www noen
statiske (inne, ute) 204.31.17.128 192.168.3.2
kanal tillatelse tcp host 204.31.17.128 EQ smtp noen
statiske (inne, ute) 204.31.17.166 192.168.3.3
kanal tillatelse tcp host 204.31.17.128 EQ ftp noen
3.3 Internett-verter og ressurser på kontroll av sensitive
For Internett, noen av de sensitive ressurser, for eksempel en rekke usunne området, kan vi (nslookup domene) fant i sin IP-adresse, og avslutte tilgangskontroll. Konfigurasjonen på PIX-brannmuren som følger:
utgående 10 nekter 204.31.17.11 255.255.255.255 www tcp
gjelder (i) 10 outgoing_dest
Intern vert, kan vi styre den kan bruke tjenesten, for eksempel, en vert 192.168.3.4 på kartet vi kan deaktivere den ved hjelp av WWW service og tilgang til eksterne nettverk. Konfigurasjonen er som følger:
utgående 20 nekter 192.168.3.4 255.255.255.255 www tcp
gjelder (i) 20 outgoing_src
Slik at vi kan få tilgang til interne verten til eksterne kontrollen fullstendig.
4. Mot det interne nettverket IP-og MAC-adressen til ulovlige
Fordi IP-adresser kan settes til å endre, ulovlige brukere ofte tuklet med, en annens IP-adresse og MAC-adresse, for å oppnå hensikten å skjule sin uautorisert tilgang. Vi kan bruke PIX brannmuren er ARP-kommandoen på intern vert IP og MAC-adresse binder den til effektivt stjele musikk kroken Zou skumringen P adresser fenomenet dårlige armhulen. For eksempel ønsker vi å være vert for IP-adressen 192.168.3.4 og det er MAC-adresse 00e0.1e40.2a7c bindende, kan konfigureres slik:
arp innsiden 192.168.3.4 00e0.1e40.2a7c alias
WR m
Kombinasjon av disse fire konfigurasjoner kan Cisco PIX Firewall oppnås for IP pakkefiltrering, skjerming av interne nett og ressurser til kontroll og effektivt forhindre IP-adresse tyveri og manipulering. For bedre å oppnå et komplett brannmur system. Så til PIX Firewall-systemet bygge et ekstremt praktisk.