PIX防火墻

常用命令有:nameif、interface、ip address、nat、global、route、static等。

nameif

設(shè)置接口名稱，并指定安全級(jí)別，安全級(jí)別取值范圍為1~100，數(shù)字越大安全級(jí)別越高。

例如要求設(shè)置:

ethernet0命名為外部接口outside，安全級(jí)別是0。

ethernet1命名為內(nèi)部接口inside，安全級(jí)別是100。

ethernet2命名為中間接口dmz, 安裝級(jí)別為50。

使用命令:

PIX525(config)#nameif ethernet0 outside security0

PIX525(config)#nameif ethernet1 inside security100

PIX525(config)#nameif ethernet2 dmz security50

interface

配置以太口工作狀態(tài)，常見狀態(tài)有:auto、100full、shutdown。

auto:設(shè)置網(wǎng)卡工作在自適應(yīng)狀態(tài)。

100full:設(shè)置網(wǎng)卡工作在100Mbit/s，全雙工狀態(tài)。

shutdown:設(shè)置網(wǎng)卡接口關(guān)閉，否則為激活。

命令:

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 100full

PIX525(config)#interface ethernet1 100full shutdown

ip address

配置網(wǎng)絡(luò)接口的IP地址，例如:

PIX525(config)#ip address outside 133.0.0.1 255.255.255.252

PIX525(config)#ip address inside 192.168.0.1 255.255.255.0

內(nèi)網(wǎng)inside接口使用私有地址192.168.0.1，外網(wǎng)outside接口使用公網(wǎng)地址133.0.0.1。

global

指定公網(wǎng)地址范圍:定義地址池。

Global命令的配置語法:

global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中:

(if_name):表示外網(wǎng)接口名稱，一般為outside。

nat_id:建立的地址池標(biāo)識(shí)(nat要引用)。

ip_address-ip_address:表示一段ip地址范圍。

[netmark global_mask]:表示全局ip地址的網(wǎng)絡(luò)掩碼。

例如:

PIX525(config)#global (outside) 1 133.0.0.1-133.0.0.15

地址池1對(duì)應(yīng)的IP是:133.0.0.1-133.0.0.15

PIX525(config)#global (outside) 1 133.0.0.1

地址池1只有一個(gè)IP地址 133.0.0.1。

PIX525(config)#no global (outside) 1 133.0.0.1

表示刪除這個(gè)全局表項(xiàng)。

nat

地址轉(zhuǎn)換命令，將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)公網(wǎng)ip。

nat命令配置語法:nat (if_name) nat_id local_ip或acl_id [netmark]

其中:

(if_name):表示接口名稱，一般為inside.

nat_id: 表示地址池，由global命令定義。

local_ip: 表示內(nèi)網(wǎng)的ip地址。對(duì)于0.0.0.0表示內(nèi)網(wǎng)所有主機(jī)。

[netmark]:表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。

在實(shí)際配置中nat命令總是與global命令配合使用。

一個(gè)指定外部網(wǎng)絡(luò)，一個(gè)指定內(nèi)部網(wǎng)絡(luò)，通過net_id聯(lián)系在一起。

例如:

PIX525(config)#nat (inside) 1 0 0

表示內(nèi)網(wǎng)的所有主機(jī)(0 0)都可以訪問由global指定的外網(wǎng)。

PIX525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

表示只有172.16.5.0/16網(wǎng)段的主機(jī)可以訪問global指定的外網(wǎng)。

route

route命令定義靜態(tài)路由。

語法:

route (if_name) 0 0 gateway_ip [metric]

其中:

(if_name):表示接口名稱。

0 0 :表示所有主機(jī),

Gateway_ip:表示網(wǎng)關(guān)路由器的ip地址或下一跳。

[metric]:路由花費(fèi)。缺省值是1。

例如:

PIX525(config)#route outside 0 0 133.0.0.1 1

設(shè)置缺省路由從outside口送出，下一跳是133.0.0.1。

0 0 代表 0.0.0.0 0.0.0.0，表示任意網(wǎng)絡(luò)。

PIX525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1

設(shè)置到10.1.0.0網(wǎng)絡(luò)下一跳是10.8.0.1。最后的"1"是花費(fèi)。

static

配置靜態(tài)IP地址翻譯，使內(nèi)部地址與外部地址一一對(duì)應(yīng)。

語法:

static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address

其中:

internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口，安全級(jí)別較高，如inside。

external_if_name表示外部網(wǎng)絡(luò)接口，安全級(jí)別較低，如outside。

outside_ip_address表示外部網(wǎng)絡(luò)的公有ip地址。

inside_ ip_address表示內(nèi)部網(wǎng)絡(luò)的本地ip地址。

(括號(hào)內(nèi)序順是先內(nèi)后外，外邊的順序是先外后內(nèi))

例如:

PIX525(config)#static (inside，outside) 133.0.0.1 192.168.0.8

表示內(nèi)部ip地址192.168.0.8，訪問外部時(shí)被翻譯成133.0.0.1全局地址。

PIX525(config)#static (dmz，outside) 133.0.0.1 172.16.0.2

中間區(qū)域ip地址172.16.0.2，訪問外部時(shí)被翻譯成133.0.0.1全局地址。

conduit

管道conduit命令用來設(shè)置允許數(shù)據(jù)從低安全級(jí)別的接口流向具有較高安全級(jí)別的接口。

例如允許從outside到DMZ或inside方向的會(huì)話(作用同訪問控制列表)。

語法:

conduitpermit|deny protocol global_ip port[-port] foreign_ip [netmask]

其中:

global_ip是一臺(tái)主機(jī)時(shí)前面加host參數(shù)，所有主機(jī)時(shí)用any表示。

foreign_ip 表示外部ip。

[netmask] 表示可以是一臺(tái)主機(jī)或一個(gè)網(wǎng)絡(luò)。

例如:

PIX525(config)#static (inside，outside) 133.0.0.1 192.168.0.3

PIX525(config)#conduitpermit tcp host 133.0.0.1 eq www any

這個(gè)例子說明static和conduit的關(guān)系。192.168.0.3是內(nèi)網(wǎng)一臺(tái)web服務(wù)器，

現(xiàn)在希望外網(wǎng)的用戶能夠通過PIX防火墻訪問web服務(wù)。

所以先做static靜態(tài)映射:192.168.0.3->133.0.0.1

然后利用conduit命令允許任何外部主機(jī)對(duì)全局地址133.0.0.1進(jìn)行http訪問。

訪問控制列表ACL

訪問控制列表的命令與conduit命令類似，

例:

PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eq www

PIX525(config)#access-list 100 deny ip any any

PIX525(config)#access-group 100 in interface outside

10、偵聽命令fixup

作用是啟用或禁止一個(gè)服務(wù)或協(xié)議，

通過指定端口設(shè)置PIX防火墻要偵聽listen服務(wù)的端口。

例:

PIX525(config)#fixup protocol ftp 21

啟用ftp協(xié)議，并指定ftp的端口號(hào)為21

PIX525(config)#fixup protocol http 8080

PIX525(config)#no fixup protocol http 80

啟用http協(xié)議8080端口，禁止80端口。

telnet

當(dāng)從外部接口要telnet到PIX防火墻時(shí)，telnet數(shù)據(jù)流需要用vpn隧道ipsec提供保護(hù)或

在PIX上配置SSH，然后用SSH client從外部到PIX防火墻。

例:

telnet local_ip [netmask]

local_ip 表示被授權(quán)可以通過telnet訪問到PIX的ip地址。

如果不設(shè)此項(xiàng)，PIX的配置方式只能用console口接超級(jí)終端進(jìn)行。

PIX防火墻的配置模式與路由器類似，有4種管理模式:

PIXfirewall>:用戶模式

PIXfirewall#:特權(quán)模式

PIXfirewall(config)#:配置模式

monitor>:ROM監(jiān)視模式，開機(jī)按住[Esc]鍵或發(fā)送一個(gè)"Break"字符，進(jìn)入監(jiān)視模式。

放置對(duì)外開放的服務(wù)器。

沒有連接的狀態(tài)(沒有握手或握手不成功或非法的數(shù)據(jù)包)，任何數(shù)據(jù)包無法穿過防火墻。

(內(nèi)部發(fā)起的連接可以回包。通過ACL開放的服務(wù)器允許外部發(fā)起連接)

inside可以訪問任何outside和dmz區(qū)域。

dmz可以訪問outside區(qū)域。

outside訪問dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。

inside訪問dmz需要配合acl(訪問控制列表)。

設(shè):

ethernet0命名為外部接口outside，安全級(jí)別是0。

ethernet1被命名為內(nèi)部接口inside，安全級(jí)別100。

ethernet2被命名為中間接口dmz，安全級(jí)別50。

參考配置:

PIX525#conf t ;進(jìn)入配置模式

PIX525(config)#nameif ethernet0 outside security0 ;設(shè)置定全級(jí)0

PIX525(config)#nameif ethernet1 inside security100 ;設(shè)置定全級(jí)100

PIX525(config)#nameif ethernet2 dmz security50 ;設(shè)置定全級(jí)50

PIX525(config)#interface ethernet0 auto ;設(shè)置自動(dòng)方式

PIX525(config)#interface ethernet1 100full ;設(shè)置全雙工方式

PIX525(config)#interface ethernet2 100full ;設(shè)置全雙工方式

PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 ;設(shè)置接口IP

PIX525(config)#ip address inside 10.66.1.200 255.255.0.0 ;設(shè)置接口IP

PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;設(shè)置接口IP

PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定義的地址池

PIX525(config)#nat (inside) 1 0 0 ;0 0表示所有

PIX525(config)#route outside 0 0 133.0.0.2 ;設(shè)置默認(rèn)路由

PIX525(config)#static (dmz，outside) 133.1.0.1 10.65.1.101 ;靜態(tài)NAT

PIX525(config)#static (dmz，outside) 133.1.0.2 10.65.1.102 ;靜態(tài)NAT

PIX525(config)#static (inside，dmz) 10.65.1.200 10.66.1.200 ;靜態(tài)NAT

PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;設(shè)置ACL

PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;設(shè)置ACL

PIX525(config)#access-list 101 deny ip any any ;設(shè)置ACL

PIX525(config)#access-group 101 in interface outside ;將ACL應(yīng)用在outside端口

當(dāng)內(nèi)部主機(jī)訪問外部主機(jī)時(shí)，通過nat轉(zhuǎn)換成公網(wǎng)IP，訪問internet。

當(dāng)內(nèi)部主機(jī)訪問中間區(qū)域dmz時(shí)，將自己映射成自己訪問服務(wù)器，否則內(nèi)部主機(jī)將會(huì)

映射成地址池的IP，到外部去找。

當(dāng)外部主機(jī)訪問中間區(qū)域dmz時(shí)，對(duì)133.0.0.1映射成10.65.1.101， static是雙向的。

PIX的所有端口默認(rèn)是關(guān)閉的，進(jìn)入PIX要經(jīng)過acl入口過濾。

靜態(tài)路由指示內(nèi)部的主機(jī)和dmz的數(shù)據(jù)包從outside口出去。

show interface ;查看端口狀態(tài)。

show static ;查看靜態(tài)地址映射。

show ip ;查看接口ip地址。

show config ;查看配置信息。

show run ;顯示當(dāng)前配置信息。

write terminal ;將當(dāng)前配置信息寫到終端。

show cpu usage ;顯示CPU利用率，排查故障時(shí)常用。

show traffic ;查看流量。

show connect count ;查看連接數(shù)。

show blocks ;顯示攔截的數(shù)據(jù)包。

show mem ;顯示內(nèi)存

13、DHCP 服務(wù)

PIX具有DHCP服務(wù)功能。

例:

PIX525(config)#ip address dhcp

PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside

PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47

PIX525(config)#dhcp domain

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

在具體應(yīng)用防火墻技術(shù)時(shí)，還要考慮到兩個(gè)方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個(gè)功能。 二是防火墻技術(shù)的另外一個(gè)弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個(gè)難題，如果延遲太大將無法支持實(shí)時(shí)服務(wù)請求。并且，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購置高速路由器，又會(huì)大大提高經(jīng)濟(jì)預(yù)算。

總之，防火墻是企業(yè)網(wǎng)安全問題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火墻外，使其對(duì)防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。

(1)設(shè)置網(wǎng)卡IP地址為192.168.1.234，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為192.168.1.1。

(2)設(shè)置DNS為61.177.7.1。

(3)Linux防火墻設(shè)置，禁用SELinux，啟用防火墻，信任WWW、FTP、SSH、SMTP端口。

(4)設(shè)置防火墻，使能信任TCP協(xié)議的POP3端口。

一個(gè)個(gè)人防火墻, 通常軟件應(yīng)用過濾信息進(jìn)入或留下。一臺(tái)電腦和一個(gè)傳統(tǒng)防火墻通常跑在一臺(tái)專用的網(wǎng)絡(luò)設(shè)備或電腦被安置在兩個(gè)或更多網(wǎng)絡(luò)或DMZs (解除軍事管制區(qū)域) 界限。 這樣防火墻過濾所有信息進(jìn)入或留下被連接的網(wǎng)絡(luò)。 后者定義對(duì)應(yīng)于"防火墻" 的常規(guī)意思在網(wǎng)絡(luò), 和下面會(huì)談?wù)勥@類型防火墻。

以下是兩個(gè)主要類型防火墻: 網(wǎng)絡(luò)層防火墻和 應(yīng)用層防火墻。 這兩類型防火墻也許重疊; 的確, 單一系統(tǒng)會(huì)兩個(gè)一起實(shí)施。

網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻可視為一種 IP 封包過濾器，運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。

我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)"否定規(guī)則"就予以放行?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾，例如:來源 IP 地址、來源端口號(hào)、目的 IP 地址或端口號(hào)、服務(wù)類型(如 WWW 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進(jìn)行過濾。

應(yīng)用層防火墻

應(yīng)用層防火墻是在 TCP/IP 堆棧的"應(yīng)用層"上運(yùn)作，您使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。

防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實(shí)現(xiàn)而言，這個(gè)方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會(huì)考慮以這種方法設(shè)計(jì)。

XML 防火墻是一種新型態(tài)的應(yīng)用層防火墻。

代理服務(wù)

代理服務(wù)設(shè)備(可能是一臺(tái)專屬的硬件，或只是普通機(jī)器上的一套軟件)也能像應(yīng)用程序一樣回應(yīng)輸入封包(例如連接要求)，同時(shí)封鎖其他的封包，達(dá)到類似于防火墻的效果。

代理由外在網(wǎng)絡(luò)使竄改一個(gè)內(nèi)部系統(tǒng)更加困難, 并且一個(gè)內(nèi)部系統(tǒng)誤用不一定會(huì)導(dǎo)致一個(gè)安全漏洞可開采從防火墻外面(只要應(yīng)用代理剩下的原封和適當(dāng)?shù)乇慌渲? 。 相反地, 入侵者也許劫持一個(gè)公開可及的系統(tǒng)和使用它作為代理人為他們自己的目的; 代理人然后偽裝作為那個(gè)系統(tǒng)對(duì)其它內(nèi)部機(jī)器。 當(dāng)對(duì)內(nèi)部地址空間的用途加強(qiáng)安全, 破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對(duì)目標(biāo)網(wǎng)絡(luò)。

防火墻經(jīng)常有網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) 的功能, 并且主機(jī)被保護(hù)在防火墻之后共同地使用所謂的"私人地址空間", 依照被定義在[RFC 1918] 。 管理員經(jīng)常設(shè)置了這樣情節(jié)在努力(無定論的有效率) 假裝內(nèi)部地址或網(wǎng)絡(luò)。

防火墻的適當(dāng)?shù)呐渲靡蠹记珊椭悄堋?它要求管理員對(duì)網(wǎng)絡(luò)協(xié)議和電腦安全有深入的了解。 因小差錯(cuò)可使防火墻不能作為安全工具.