1. 引言
隨著Internet的進一普及和迅猛發展,針對入網主機的入侵的日益增多,應用防火牆技術勢在必行 。但各種各樣的防火牆產品種類繁多,功能不一,這就給防火牆系統的實現和維護帶來了許多難處。
如何構建一個安全實用,容易實現的防火牆系統是值得研究的,一般來說,一個完整的防火牆系統既要防止外部入侵,又要防止內部人員的非法訪問。對於思科PIX防火牆來說,通過動態和靜態的地址映射,管道技術,我們可以方便容易地實現一個較為完整的防火牆系統。
2. 思科 PIX功能簡介
一般說來,一個防火系統就是在兩個網絡之間實施的若干的存取控制方法的集合。通常有兩種類型的防火牆;基於網絡層的包過濾防火牆和基於應用層的隔離網絡的代理服務器(proxy server)。前一種主要是在網絡層根據IP包的源和目的地址及源和目的端口來決定是轉發還是丟棄IP包,而後一種是在應用層為每一種服務提供一個代理,鑒於這兩種技術都有各自的特點和弊端,建設一個具有良好性能的防火牆應是基於拓撲結構的合理選用和防火牆技術的合理配置。
思科 PIX是基於這兩種技術結合的防火牆。它應用安全算法(Adaptive Security Algorithm),將內部主機的地址映射為外部地址,拒絕未經允許的包入境,實現了動態,靜態地址映射,從而有效地屏蔽了內部網絡拓撲結構。通過管道技術,出境訪問列表,我們可以有效地控制內、外部各資源的訪問。
PIX可連接四個不同的網絡,每個網絡都可定義一個安全級別,級別低的相對於級別高的總是被視為外部網絡,但最低的必須是全球統一的IP地址。以下,我們僅以兩個網絡為例介紹思科 PIX防火牆系統。
3.思科 PIX 的配置過程
在配置之前,應先規劃好網絡拓撲結構,制定較為祥細的安全策略;
以圖一拓撲結構網絡為例。設它有IP地址范圍204.31.17.128-204.31.17.191,有E-mail,WWW,FTP等服務器,PIX的內部虛IP地址范圍為:192.168.3.1-192.168.3.255,可以定義以下策略
3.1 屏蔽內部網絡拓撲結構
為了防止黑客的侵入,應采用動態地址映射隔離內部網絡,屏蔽內部網絡拓撲結構。我們對PIX做如下配置:
nat 1 0 0
global (outside) 1 204.31.17.131 ?C 204.31.17.165
global (outside) 1 204.31.17.130
上述配置阻擋全部入境訪問
3.2 對資源主機的訪問控制
E-mail,FTP,www等服務器是重要的資源,必須利用管道(conduit)使得外部對它們可訪問,但必須限制對它們的訪問,即禁止除E-mail,www,FTP以外的一切服務,以獲得最大的安全性,配置方法如下: