Cisco防火牆技術匯總-類型及解決方案
我們知道防火牆有四種類型:集成防火牆功能的路由器,集成防火牆功能的代理伺服器,專用的軟體防火牆和專用的軟硬體結合的防火牆。Cisco的防火牆解決方案中包含了四種類型中的第一種和第四種,即:集成防火牆功能的路由器和專用的軟硬體結合的防火牆。
介紹
硬體防火牆,是網路間的牆,防止非法侵入,過濾信息等,從結構上講,簡單地說是一種PC式的電腦主機加上快閃記憶體(Flash)和防火牆作業系統。它的硬體跟工控機差不多,都是屬於能適合24小時工作的,外觀造型也是相類似。快閃記憶體基本上跟路由器一樣,都是那種EEPROM,作業系統跟CiscoIOS相似,都是命令行(Command)式,我第一次親手拿到的防火牆是CiscoFirewallPix525,是一種機架式標準(即能安裝在標準的機櫃裡),有2U的高度,正面看跟Cisco路由器一樣,只有一些指示燈,從背板看,有兩個以太口(RJ-45網卡),一個配置口(console),2個USB,一個15針的Failover口,還有三個PCI擴展口。
如何配置
我想應該是跟Cisco路由器使用差不多吧,於是用配置線從電腦的COM2連到PIX525的console口,進入PIX作業系統採用windows系統里的“超級終端”,通訊參數設定為默認。初始使用有一個初始化過程,主要設定:Date(日期)、time(時間)、hostname(主機名稱)、insideipaddress(內部網卡IP位址)、domain(主域)等,如果以上設定正確,就能保存以上設定,也就建立了一個初始化設定了。進入Pix525採用超級用戶(enable),默然密碼為空,修改密碼用passwd命令。一般情況下Firewall配置,我們需要做些什麼呢?當時第一次接觸我也不知道該做些什麼,隨設備一起來的有《硬體的安裝》和《命令使用手冊》。我首先看了命令的使用,用於幾個小時把幾百面的英文書看完了,對命令的使用的知道了一點了,但是對如何配置PIX還是不大清楚該從何入手,我想現在只能去找cisco了,於是在官網下載了一些資料,邊看邊實踐了PIX。
防火牆是處網路系統里,因此它跟網路的結構密切相關,一般會涉及的有Router(路由器)、網路IP位址。還有必須清楚標準的TCP[RFC793]和UDP[RFC768]連線埠的定義。
一、 集成在路由器中的防火牆技術
1、 路由器IOS標準設備中的ACL技術G>
ACL即Access Control Lis t(訪問控制列表),簡稱Access List(訪問列表),它是後續所述的IOS Firewall Feature Set的基礎,也是Cisco全線路由器統一界面的作業系統IOS(Internet Operation System,網間作業系統)標準配置的一部分。這就是說在購買了路由器後,ACL功能已經具備,不需要額外花錢去買。
2、 IOS Firewall Feature Set(IOS防火牆軟體包)
IOS Firewall Feature Set是在ACL的基礎上對安全控制的進一步提升,由名稱可知,它是一套專門針對防火牆功能的附加軟體包,可通過IOS升級獲得,並且可以載入到多個Cisco路由器平台上。
目前防火牆軟體包適用的路由器平台包括Cisco 1600、1700、2500、2600和3600,均屬中、低端系列。對很多傾向與使用"all-in-one solution"(一體化解決方案),力求簡單化管理的中小企業用戶來說,它能很大程度上滿足需求。之所以不在高端設備上實施集成防火牆功能,這是為了避免影響大型網路的主幹路由器的核心工作--數據轉發。在這樣的網路中,應當使用專用的防火牆設備。
Cisco IOS防火牆特徵:
基於上下文的訪問控制(CBAC)為先進應用程式提供基於應用程式的安全篩選並支持最新協定
Java能防止下載動機不純的小應用程式
在現有功能基礎上又添加了拒絕服務探測和預防功能,從而增加了保護
在探測到可疑行為後可向中央管理控制台實時傳送警報和系統記錄錯誤信息
TCP/UDP事務處理記錄按源/目的地址和連線埠對跟蹤用戶訪問
配置和管理特性與現有管理應用程式密切配合
二、 專用防火牆--PIX
PIX(Private Internet eXchange)屬於四類防火牆中的第四種--軟硬體結合的防火牆,它的設計是為了滿足高級別的安全需求,以較好的性能價格比提供嚴密的、強有力的安全防範。除了具備第四類防火牆的共同特性,並囊括了IOS Firewall Feature Set的應有功能。
PIX成為Cisco在網路安全領域的旗艦產品已有一段歷史了,它的軟硬體結構也經歷了較大的發展。現在的PIX有515和520兩種型號(520系列容量大於515系列),從原來的僅支持兩個10M乙太網接口,到10/100M乙太網、令牌環網和FDDI的多介質、多連線埠(最多4個)套用;其專用作業系統從v5.0開始提供對 IPSec這一標準隧道技術的支持,使PIX能與更多的其它設備一起共同構築起基於標準VPN連線。
Cisco的PIX Firewall能同時支持16,000多路TCP對話,並支持數萬用戶而不影響用戶性能,在額定載荷下,PIX Firewall的運行速度為45Mbps,支持T3速度,這種速度比基於UNIX的防火牆快十倍。
主要特性:
保護方案基於適應性安全算法(ASA),能提供任何其它防火牆都不能提供的最高安全保護
將獲專利的"切入代理"特性能提供傳統代理伺服器無法匹敵的高性能
安裝簡單,維護方便,因而降低了購置成本
支持64路同時連線,企業發展後可擴充到16000路
透明支持所有通用TCP/IP Internet服務,如全球資訊網(WWW)檔案傳輸協定(FTP)、Telnet、Archie、Gopher和rlogin
支持多媒體數據類型,包括Progressive網路公司的Real Audio,Xing技術公司的Steamworks,White Pines公司腃USeeMe,Vocal Te公司的Internet Phone,VDOnet公司的VDOLive,Microsoft公司的NetShow和Uxtreme公司的Web Theater 2
支持H323兼容的視頻會議套用,包括Intel的Internet Video Phone和Microsoft的NetMeeting
無需因安裝而停止運行
無需升級主機或路由器
完全可以從未註冊的內部主機訪問外部Internet
能與基於Cisco IOS的路由器互操作
三、 兩種防火牆技術的比較
IOS FIREWALL FEATURE SET PIX FIREWALL
網路規模 中小型網路,小於250節點的套用。 大型網路,可支持多於500用戶的套用
工作平台 路由器IOS作業系統 專用PIX工作平台
性能 最高支持T1/E1(2M)線路 可支持多條T3/E3(45M)線路
工作原理 基於數據包過濾,核心控制為CBAC 基於數據包過濾,核心控制為ASA
配置方式 命令行或圖形方式(通過ConfigMaker) 命令行方式或圖形方式(通過Firewall Manager)
套用的過濾 支持Java小程式過濾 支持Java小程式過濾
身份認證 通過IOS命令,支持TACACS+、RADIUS伺服器認證。 支持TACACS+、RADIUS集中認證
虛擬專網(VPN) 通過IOS軟體升級可支持IPSec、L2F和GRE隧道技術,支持40或56位DES加密。 支持Private Link或IPSec隧道和加密技術
網路地址翻譯(NAT) 集成IOS Plus實現 支持
冗餘特性 通過路由器的冗餘協定HSRP實現 支持熱冗餘
自身安全 支持Denial-of-Service 支持Denial-of-Service
代理服務 無,通過路由器的路由功能實現套用 切入的代理服務功能
管理 通過路由器的管理工具,如Cisco Works 通過Firewall Manager實現管理
審計功能 一定的跟蹤和報警功能 狀態化數據過濾,可通過Firewall Manager實現較好的額監控、報告功能
四、 Centri防火牆
主要特性:
核心代理體系結構
針對Windows NT定製TCP/IP棧
圖形用戶結構可制訂安全政策
可將安全政策拖放到網路、網路組、用戶和用戶組
ActiveX、Java小應用程式、Java和VB模組
通用資源定位器(URL)模組
連線埠地址轉換
網路地址轉換
透明支持所有通用TCP/IP應用程式,包括WWW、檔案傳輸協定(FTP)Telnet和郵件
為Web、Telnet和FTP提供代理安全服務
根據IP位址、IP子網和IP子網組進行認證
使用sl口令和可重複使用口令Telnet、Web和ftp提供在線上用戶認證
使用Windows NT對所有網路服務進行帶外認證
防止拒絕服務型攻擊,包括syn flood、IP位址哄騙和Ping-of-Death
五、Cisco PIX防火牆的安裝流程
1. 將PIX安放至機架,經檢測電源系統後接上電源,並加電主機。
2. 將CONSOLE口連線到PC的串口上,運行HyperTerminal程式從CONSOLE口進入PIX系統;此時系統提示pixfirewall>。
3. 輸入命令:enable,進入特權模式,此時系統提示為pixfirewall#。
4. 輸入命令: configure terminal,對系統進行初始化設定。
5. 配置以太口參數:
interface ethernet0 auto (auto選項表明系統自適應網卡類型 )interface ethernet1 auto
6. 配置內外網卡的IP位址:
ip address inside ip_address netmask
ip address outside ip_address netmask
7. 指定外部地址範圍:
global 1 ip_address-ip_address
8. 指定要進行要轉換的內部地址:
nat 1 ip_address netmask
9. 設定指向內部網和外部網的預設路由
route inside 0 0 inside_default_router_ip_address
route outside 0 0 outside_default_router_ip_address
10. 配置靜態IP位址對映:
static outside ip_address inside ip_address
11. 設定某些控制選項:
conduit global_ip port<-port> protocol foreign_ip global_ip 指的是要控制的地址
port 指的是所作用的連線埠,其中0代表所有連線埠
protocol 指的是連線協定,比如:TCP、UDP等
foreign_ip 表示可訪問global_ip的外部ip,其中表示所有的ip。
12. 設定telnet選項:
telnet local_ip
local_ip 表示被允許通過telnet訪問到pix的ip地址(如果不設此項, PIX的配置只能由consle方式進行)。
13. 將配置保存:
wr mem
14. 幾個常用的網路測試命令:
#ping
#show interface 查看連線埠狀態
#show static 查看靜態地址映射
六、PIX與路由器的結合配置
(一)、PIX防火牆
1、設定PIX防火牆的外部地址:
ip address outside 131.1.23.2
2、設定PIX防火牆的內部地址:
ip address inside 10.10.254.1
3、設定一個內部計算機與Internet上計算機進行通信時所需的全局地址池:
global1 131.1.23.10-131.1.23.254
4、允許網路地址為10.0.0.0的網段地址被PIX翻譯成外部地址:
nat 110.0.0.0
5、網管工作站固定使用的外部地址為131.1.23.11:
static 131.1.23.11 10.14.8.50
6、允許從RTRA傳送到到網管工作站的系統日誌包通過PIX防火牆:
conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255
7、允許從外部發起的對郵件伺服器的連線(131.1.23.10):
mailhost 131.1.23.10 10.10.254.3
8、允許網路管理員通過遠程登錄管理IPX防火牆:
telnet 10.14.8.50
9、在位於網管工作站上的日誌伺服器上記錄所有事件日誌:
syslog facility 20.7
syslog host 10.14.8.50
(二)、路由器RTRA
RTRA是外部防護路由器,它必須保護PIX防火牆免受直接攻擊,保護FTP/HTTP伺服器,同時作為一個警報系統,如果有人攻入此路由器,管理可以立即被通知。
1、阻止一些對路由器本身的攻擊:www.net130.com
no service tcps mall-servers
2、強制路由器向系統日誌伺服器傳送在此路由器發生的每一個事件,包括被存取斜砭芫陌吐酚善髖渲玫母謀洌徽飧齠骺梢宰魑韻低徹芾碓鋇腦縉讜ぞな居腥嗽謔醞脊セ髀酚善鰨蛘咭丫ト肼酚善鰨謔醞脊セ鞣闌鵯劍?BR>logging trapde bugging
3、此地址是網管工作站的外部地址,路由器將記錄所有事件到此主機上:
logging 131.1.23.11
4、保護PIX防火牆和HTTP/FTP伺服器以及防衛欺騙攻擊(見存取列表):
enable secret xxxxxxxxxxx
interface Ethernet 0
ipaddress 131.1.23.1 255.255.255.0
interfaceSerial 0
ip unnumbered ethernet 0
ip access-group 110 in
5、禁止任何顯示為來源於路由器RTRA和PIX防火牆之間的信息包,這可以防止欺騙攻擊:
access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog
6、防止對PIX防火牆外部接口的直接攻擊並記錄到系統日誌伺服器任何企圖連線PIX防火牆外部接口的事件:
access-list 110 deny ip any host 131.1.23.2 log
7、允許已經建立的TCP會話的信息包通過:
access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established
8、允許和FTP/HTTP伺服器的FTP連線:
access-list 110 permit tcp any host 131.1.23.3 eq ftp
9、允許和FTP/HTTP伺服器的FTP數據連線:
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
10、允許和FTP/HTTP伺服器的HTTP連線:
access-list 110 permit tcp any host 131.1.23.2 eq www
11、禁止和FTP/HTTP伺服器的別的連線並記錄到系統日誌伺服器任何企圖連線FTP/HTTP的事件:
access-list 110 deny ip any host 131.1.23.2 log
12、允許其他預定在PIX防火牆和路由器RTRA之間的流量:
access-list 110 permit ip any 131.1.23.0 0.0.0.255
13、限制可以遠程登錄到此路由器的IP位址:
line VTY 0 4
login
password xxxxxxxxxx
access-class 10 in
14、只允許網管工作站遠程登錄到此路由器,當你想從Internet管理此路由器時,應對此存取控制列表進行修改:
access-list 10 permit ip 131.1.23.11
(三)、路由器RTRB
RTRB是內部網防護路由器,它是你的防火牆的最後一道防線,是進入內部網的入口。
1、記錄此路由器上的所有活動到網管工作站上的日誌伺服器,包括ugging
logging 10.14.8.50
2、允許通向網管工作站的系統日誌信息:
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255
3、禁止所有別的從PIX防火牆發來的信息包:
access-list 110 deny ip any host 10.10.254.2 log
4、允許郵件主機和內部郵件伺服器的SMTP郵件連線:
access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp
5、禁止別的來源與郵件伺服器的流量:
access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255
6、防止內部網路的信任地址欺騙:
access-list deny ip any 10.10.254.0 0.0.0.255
7、允許所有別的來源於PIX防火牆和路由器RTRB之間的流量:
access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255
8、限制可以遠程登錄到此路由器上的IP位址:
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
9、只允許網管工作站遠程登錄到此路由器,當你想從Internet管理此路由器時,應對此存取控制列表進行修改:
access-list 10 permit ip 10.14.8.50
按以上設定配置好PIX防火牆和路由器後,PIX防火牆外部的攻擊者將無法在外部連線上找到可以連線的開放連線埠,也不可能判斷出內部任何一台主機的IP位址,即使告訴了內部主機的IP位址,要想直接對它們進行Ping和連線也是不可能的。這樣就可以對整個內部網進行有效的保護