Brandvägg bygger på Cisco PIX Firewall System
Sammanfattning: Denna uppsats presenterar Cisco PIX Firewall brandvägg egenskaper och funktioner. Visar hur du använder Cisco PIX Firewall för att snabbt och enkelt skapa en säkrare brandvägg system.
1. Inledning
Med Internet, till en universell och snabb utveckling av nätverk för den växande invasionen av värden, är ansökan brandväggsteknologi nödvändighet. Men mångfalden av brandväggsprodukter en mängd olika funktioner, som att uppnå och bibehålla en brandvägg system medfört många svårigheter. Hur man bygger en säker och praktisk, lätt att genomföra en brandvägg är värd att studera i allmänhet en komplett brandvägg system bör inte bara förebygga intrång, utan också för att förhindra obehörig åtkomst till intern personal. Cisco PIX Firewall är en brandvägg genom dynamisk och statisk adress kartläggning, pipeline-teknik, vi kan finna det lättare att uppnå ett mer omfattande brandvägg system.
2. Om Cisco PIX Firewall funktioner
I allmänhet är ett brandskyddssystem genomföras mellan de två nätverken ett antal av de åtkomstkontroll metoden för insamling. Det finns vanligtvis två typer av brandväggar, baserat på nätverkslagret paketfiltrerande brandvägg och webbaserade applikationslagret proxyserver isolering (proxyserver). Den tidigare främst ifråga om nätverk IP-paket enligt källan och adresser destination och källa och destination port till avgöra en framåt eller slänga IP-paket, då man är i applikationslagret att ge en fullmakt för varje tjänst, med tanke på de två Teknik har sina egna egenskaper och nackdelar med att bygga en brandvägg med bra prestanda bör baseras på rimliga val av topologi och brandvägg teknik i en rimlig konfiguration.
CISO PIX Firewall är att kombinera de två teknikerna brandväggen. Det gäller säkerheten algoritm (Adaptive Security Algorithm), den inre kartläggning värdadressen för extern adress och vägra ge paketet utan posten förverkliga en dynamisk och statisk adress kartläggning, vilket effektivt skyddar det interna nätverket topologi. Genom rörledningen, avfarten tillgång listan, kan vi kontrollera effektivt intern och extern åtkomst till olika resurser.
PIX Firewall kan ansluta till fyra olika nät, kan varje nätverk definiera en säkerhetsnivå, låg nivå i förhållande till den höga nivån är alltid ses som det externa nätet, men det minsta måste vara globalt samma IP-adress. Följande introducerar vi bara två exempel Cisco PIX Firewall system nätverk brandvägg.
3. Cisco PIX Firewall konfigurationsprocessen
I konfigurationen innan du planerar en bra nätverkstopologin, att utveckla en mer detailedly säkerhetspolitiken, för att kartlägga en topologi nätverk till exempel. Ställ in IP-adressen utbud 204.31.17.128-204.31.17.191, har e-post, WWW, FTP och andra servrar, PIX Firewall interna virtuella IP-adress intervall som för :192.168.3.1-192 .168.3.255 kan du ange följande strategi
3,1 skyddar det interna nätverket topologi
För att förhindra att hackare intrång, bör isoleras med hjälp av dynamisk adress kartlägga det interna nätverket, skyddar det interna nätverket topologi. Vi gör följande konfiguration på PIX Firewall:
nat 1 0 0
global (utanför) en 204.31.17.131 - 204.31.17.165
global (utanför) en 204.31.17.130
Alla invandrare att komma åt konfigurationen blocket
3,2 Resource Access Control värd
E-post, FTP, WWW och andra servrar är en viktig resurs måste vi använda rör (conduit) tillgänglig för dem utanför, men att begränsa tillgången till dem, som är förbjudet förutom e-post, www, FTP alla andra tjänster för maximal säkerhet, konfigurera enligt följande:
statisk (insidan, utsidan) 204.31.17.129 192.168.3.1
conduit tillstånd tcp värd 204.31.17.129 eq www något
statisk (insidan, utsidan) 204.31.17.128 192.168.3.2
conduit tillstånd tcp värd 204.31.17.128 eq smtp någon
statisk (insidan, utsidan) 204.31.17.166 192.168.3.3
conduit tillstånd tcp värd 204.31.17.128 eq ftp någon
3,3 Internet värdar och resurser på kontroll av känsliga
För Internet, några av de känsliga resurser, såsom ett antal av ohälsosamma webbplats, kan vi (nslookup domän) finns i sin IP-adress, och avsluta passagekontroll. Konfigurationen på PIX Firewall följande:
utgående 10 förneka 204.31.17.11 255.255.255.255 www tcp
tillämpas (inuti) 10 outgoing_dest
Interna värden, kan vi kontrollera den kan använda tjänsten, till exempel, en värd 192.168.3.4 på kartan kan vi stänga av den med hjälp av WWW tjänsten att få tillgång till externa nätverk. Konfigurationen är följande:
utgående 20 förneka 192.168.3.4 255.255.255.255 www tcp
tillämpas (inuti) 20 outgoing_src
Så att vi kan komma åt intern värd för en yttre kontroll helt.
4. Mot det interna nätverket IP-och MAC-adressen för olaglig
Eftersom IP-adresserna kan ställas till förändringar, olagliga användare ofta manipulerats, någon annans IP-adress och MAC-adress, för att nå målet att gömma sina obehörig åtkomst. Vi kan använda PIX Firewall ARP-kommandot för den inre värd IP adress och MAC-adress binder effektivt stjäla musik krok Zou skymning P tar upp fenomenet med dåliga armhålan. Till exempel, vi vill vara värd för IP-adressen 192.168.3.4 och det är MAC-adress 00e0.1e40.2a7c bindande, kan konfigureras på följande sätt:
arp inne 192.168.3.4 00e0.1e40.2a7c alias
WR m
Kombination av dessa fyra konfigurationer kan Cisco PIX Firewall uppnås för IP-paketfiltrering, avskärmning det interna nätverket och nätverksresurser för att kontrollera och förhindra IP-adress stöld och manipulation. Att bättre kunna uppnå en fullständig brandvägg system. Därmed är PIX Firewall systemet bygga en extremt bekväm.