Cisco PIX防火墻及網(wǎng)絡(luò)安全怎么配置

　　思科公司制造的路由器、交換機(jī)和其他設(shè)備承載了全世界80%的互聯(lián)網(wǎng)通信，成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一,那么你知道Cisco PIX防火墻及網(wǎng)絡(luò)安全怎么配置嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于Cisco PIX防火墻及網(wǎng)絡(luò)安全怎么配置的相關(guān)資料，供你參考。

　　Cisco PIX防火墻及網(wǎng)絡(luò)安全配置的方法：

　　隨著國(guó)際互連網(wǎng)的發(fā)展，一些企業(yè)建立了自己的INTRANET，并通過專線與INTERNET連通。為了保證企業(yè)內(nèi)部網(wǎng)的安全，防止非法入侵，需要使用專用的防火墻計(jì)算機(jī)。路由器防火墻只能作為過濾器，并不能把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)從入侵者眼前隱藏起來。只要允許外部網(wǎng)絡(luò)上的計(jì)算機(jī)直接訪問內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)，就存在著攻擊者可以損害內(nèi)部局域網(wǎng)上機(jī)器的安全性，并從那里攻擊其他計(jì)算機(jī)的可能性。

　　大多數(shù)提供代理服務(wù)的專用防火墻機(jī)器是基于UNIX系統(tǒng)的，這些操作系統(tǒng)本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange，私有Internet交換)防火墻，它運(yùn)行自己定制的操作系統(tǒng)，事實(shí)證明，它可以有效地防止非法攻擊。PIX防火墻要求有一個(gè)路由器連接到外部網(wǎng)絡(luò)，如附圖所示。PIX有兩個(gè)ETHERNET接口，一個(gè)用于連接內(nèi)部局域網(wǎng)，另一個(gè)用于連接外部路由器。外部接口有一組外部地址，使用他們來與外部網(wǎng)絡(luò)通信。內(nèi)部網(wǎng)絡(luò)則配置有一個(gè)適合內(nèi)部網(wǎng)絡(luò)號(hào)方案的IP地址。PIX的主要工作是在內(nèi)部計(jì)算機(jī)需要與外部網(wǎng)絡(luò)進(jìn)行通信時(shí)，完成內(nèi)部和外部地址之間的映射。

　　配置好PIX防火墻后，從外部世界看來，內(nèi)部計(jì)算機(jī)好象就是直接連接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口，所以，向主機(jī)傳送信息包需要用到MAC地址。為了使內(nèi)部主機(jī)在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層上看起來都好象是連接在外部接口上的，PIX運(yùn)行了代理ARP，代理ARP給外部網(wǎng)絡(luò)層IP地址指定數(shù)據(jù)鏈路MAC地址，這就使得內(nèi)部計(jì)算機(jī)看起來像是在數(shù)據(jù)鏈路層協(xié)議的外部接口上似的。大多數(shù)情況下，與外部網(wǎng)絡(luò)的通信是從內(nèi)部網(wǎng)絡(luò)中發(fā)出的。由于PIX是對(duì)信息包進(jìn)行操作，而不是在應(yīng)用過程級(jí)(代理服務(wù)器則采用這種方法)，PIX既可以跟蹤UDP會(huì)話，也可以跟蹤TCP連接。當(dāng)一個(gè)計(jì)算機(jī)希望同外部計(jì)算機(jī)進(jìn)行通信時(shí)，PIX記錄下內(nèi)部來源地址，然后從外部地址庫(kù)分配一個(gè)地址，并記錄下所進(jìn)行的轉(zhuǎn)換。這就是人們常說的有界NAT(stateful NAT)，這樣，PIX就能記住它在同誰進(jìn)行交談，以及是哪個(gè)計(jì)算機(jī)首先發(fā)起的對(duì)話。只有已被確認(rèn)的來自外部網(wǎng)絡(luò)的信息包才會(huì)運(yùn)行，并進(jìn)入內(nèi)部網(wǎng)絡(luò)。

　　不過，有時(shí)也需要允許外部計(jì)算機(jī)發(fā)起同指定的內(nèi)部計(jì)算機(jī)的通信。典型的服務(wù)包括電子郵件、WWW服務(wù)、以及FTP服務(wù)。PIX給一個(gè)內(nèi)部地址硬編碼一個(gè)外部地址，這個(gè)地址是不會(huì)過期的。在這種情況下，用到對(duì)目標(biāo)地址和端口號(hào)的普通過濾。除非侵入PIX本身，外部用戶仍然是無法了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的。在不了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的情況下，惡意用戶就無法從內(nèi)部主機(jī)向內(nèi)部網(wǎng)絡(luò)實(shí)施攻擊。

　　PIX另一個(gè)關(guān)鍵性的安全特性是對(duì)TCP信息包的序列編號(hào)進(jìn)行隨機(jī)化處理。由于IP地址電子欺騙的方法早已公布，所以，入侵者已經(jīng)有可能通過這種方法，控制住一個(gè)現(xiàn)成的TCP連接，然后向內(nèi)部局域網(wǎng)上的計(jì)算機(jī)發(fā)送它們自己的信息。要想做到這一點(diǎn)，入侵者必須猜出正確的序列編號(hào)。在通常的TCP/IP中實(shí)現(xiàn)是很容易的，因?yàn)槊看纬跏蓟B接時(shí)，大都采用一個(gè)相同的編號(hào)來啟動(dòng)會(huì)話。而PIX則使用了一種數(shù)學(xué)算法來隨機(jī)化產(chǎn)生序列編號(hào)，這實(shí)際上使得攻擊者已經(jīng)不可能猜出連接所使用的序列編號(hào)了。

　　配置PIX防火墻是一個(gè)比較直接的工作，在提供相同級(jí)別的安全服務(wù)情況下，PIX的配置相比設(shè)置代理服務(wù)器要簡(jiǎn)單的多。從理論上講，所需做的就是指定一個(gè)IP地址和一個(gè)用來對(duì)外部進(jìn)行訪問的地址庫(kù)，一個(gè)針對(duì)內(nèi)部連接的IP地址和網(wǎng)絡(luò)掩嗎、RIP、超時(shí)以及其他附屬安全信息。下面介紹一個(gè)PIX防火墻實(shí)際配置案例，供大家參考。因?yàn)槁酚善鞯呐渲迷诎踩苑矫婧蚉IX防火墻是相輔相成的，所以路由器的配置實(shí)例也一并列出。

　　一.PIX 防火墻

　　ip address outside 131.1.23.2

　　//設(shè)置PIX防火墻的外部地址

　　ip address inside 10.10.254.1

　　//設(shè)置PIX防火墻的內(nèi)部地址

　　global 1 131.1.23.10-131.1.23.254

　　//設(shè)置一個(gè)內(nèi)部計(jì)算機(jī)與INTERNET

　　上計(jì)算機(jī)進(jìn)行通信時(shí)所需的全局地址池

　　nat 1 10.0.0.0

　　//允許網(wǎng)絡(luò)地址為10.0.0.0

　　的網(wǎng)段地址被PIX翻譯成外部地址

　　static 131.1.23.11 10.14.8.50

　　//網(wǎng)管工作站固定使用的外部地址為131.1.23.11

　　conduit 131.1.23.11　514 udp

　　131.1.23.1 255.255.255.255

　　//允許從RTRA發(fā)送到到

　　網(wǎng)管工作站的系統(tǒng)日志包通過PIX防火墻

　　mailhost 131.1.23.10 10.10.254.3

　　//允許從外部發(fā)起的對(duì)

　　郵件服務(wù)器的連接(131.1.23.10)

　　telnet 10.14.8.50

　　//允許網(wǎng)絡(luò)管理員通過

　　遠(yuǎn)程登錄管理IPX防火墻

　　syslog facility 20.7

　　syslog host 10.14.8.50

　　//在位于網(wǎng)管工作站上的

　　日志服務(wù)器上記錄所有事件日志

　　二.路由器RTRA

　　---- RTRA是外部防護(hù)路由器，它必須保護(hù)PIX防火墻免受直接攻擊，保護(hù)FTP/HTTP服務(wù)器，同時(shí)作為一個(gè)警報(bào)系統(tǒng)，如果有人攻入此路由器，管理可以立即被通知。

　　no service tcp small-servers

　　//阻止一些對(duì)路由器本身的攻擊

　　logging trap debugging

　　//強(qiáng)制路由器向系統(tǒng)日志服務(wù)器

　　發(fā)送在此路由器發(fā)生的每一個(gè)事件，

　　包括被存取列表拒絕的包和路由器配置的改變;

　　這個(gè)動(dòng)作可以作為對(duì)系統(tǒng)管理員的早期預(yù)警，

　　預(yù)示有人在試圖攻擊路由器，或者已經(jīng)攻入路由器，

　　正在試圖攻擊防火墻

　　logging 131.1.23.11

　　//此地址是網(wǎng)管工作站的外部地址，

　　路由器將記錄所有事件到此

　　主機(jī)上enable secret xxxxxxxxxxx

　　interface Ethernet 0

　　ip address 131.1.23.1 255.255.255.0

　　interface Serial 0

　　ip unnumbered ethernet 0

　　ip access-group 110 in

　　//保護(hù)PIX防火墻和HTTP/FTP

　　服務(wù)器以及防衛(wèi)欺騙攻擊(見存取列表)

　　access-list 110 deny ip 131.1.23.0 0.0.0.255 any log

　　// 禁止任何顯示為來源于路由器RTRA

　　和PIX防火墻之間的信息包,這可以防止欺騙攻擊

　　access-list 110 deny ip any host 131.1.23.2 log

　　//防止對(duì)PIX防火墻外部接口的直接

　　攻擊并記錄到系統(tǒng)日志服務(wù)器任何企圖連接

　　PIX防火墻外部接口的事件r

　　access-list 110 permit tcp any

　　131.1.23.0 0.0.0.255 established

　　//允許已經(jīng)建立的TCP會(huì)話的信息包通過

　　access-list 110 permit tcp any host 131.1.23.3 eq ftp

　　//允許和FTP/HTTP服務(wù)器的FTP連接

　　access-list 110 permit tcp any host 131.1.23.2 eq ftp-data

　　//允許和FTP/HTTP服務(wù)器的FTP數(shù)據(jù)連接

　　access-list 110 permit tcp any host 131.1.23.2 eq www

　　//允許和FTP/HTTP服務(wù)器的HTTP連接

　　access-list 110 deny ip any host 131.1.23.2 log

　　//禁止和FTP/HTTP服務(wù)器的別的連接

　　并記錄到系統(tǒng)日志服務(wù)器任何

　　企圖連接FTP/HTTP的事件

　　access-list 110 permit ip any 131.1.23.0 0.0.0.255

　　//允許其他預(yù)定在PIX防火墻

　　和路由器RTRA之間的流量

　　line vty 0 4

　　login

　　password xxxxxxxxxx

　　access-class 10 in

　　//限制可以遠(yuǎn)程登錄到此路由器的IP地址

　　access-list 10 permit ip 131.1.23.11

　　//只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器,

　　當(dāng)你想從INTERNET管理此路由器時(shí),

　　應(yīng)對(duì)此存取控制列表進(jìn)行修改

　　三. 路由器RTRB

　　---- RTRB是內(nèi)部網(wǎng)防護(hù)路由器,它是你的防火墻的最后一道防線,是進(jìn)入內(nèi)部網(wǎng)的入口.

　　logging trap debugging

　　logging 10.14.8.50

　　//記錄此路由器上的所有活動(dòng)到

　　網(wǎng)管工作站上的日志服務(wù)器,包括配置的修改

　　interface Ethernet 0

　　ip address 10.10.254.2 255.255.255.0

　　no ip proxy-arp

　　ip access-group 110 in

　　access-list 110 permit udp host 10.10.254.0 0.0.0.255

　　//允許通向網(wǎng)管工作站的系統(tǒng)日志信息

　　access-list 110 deny ip any host 10.10.254.2 log

　　//禁止所有別的從PIX防火墻發(fā)來的信息包

　　access-list permit tcp host 10.10.254.3

　　10.0.0.0 0.255.255.255 eq smtp

　　//允許郵件主機(jī)和內(nèi)部郵件服務(wù)器的SMTP郵件連接

　　access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255

　　//禁止別的來源與郵件服務(wù)器的流量

　　access-list deny ip any 10.10.254.0 0.0.0.255

　　//防止內(nèi)部網(wǎng)絡(luò)的信任地址欺騙

　　access-list permit ip 10.10.254.0

　　0.0.0.255 10.0.0.0 0.255.255.255

　　//允許所有別的來源于PIX防火墻

　　和路由器RTRB之間的流量

　　line vty 0 4

　　login

　　password xxxxxxxxxx

　　access-class 10 in

　　//限制可以遠(yuǎn)程登錄到此路由器上的IP地址

　　access-list 10 permit ip 10.14.8.50

　　//只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器,

　　當(dāng)你想從INTERNET管理此路由器時(shí),

　　應(yīng)對(duì)此存取控制列表進(jìn)行修改

　　---- 按以上設(shè)置配置好PIX防火墻和路由器后,PIX防火墻外部的攻擊者將無法在外部連接上。

　　看過文章“Cisco PIX防火墻及網(wǎng)絡(luò)安全怎么配置”的人還看了：

　　1.思科路由器恢復(fù)出廠配置的方法有哪些

　　2.思科路由器怎么進(jìn)入 思科路由器怎么設(shè)置

　　3.思科路由器控制端口連接圖解

　　4.思科路由器基本配置教程

　　5.cisco怎么進(jìn)端口

　　6.cisco常用命令

　　7.詳解思科route print

　　8.cisco ip設(shè)置

　　9.如何查看Cisco路由器的配置信息