Cisco 防火墙技术汇总.doc-道客多多

资源描述

1、Cisco 防火墙技术汇总我们知道防火墙有四种类型:集成防火墙功能的路由器，集成防火墙功能的代理服务器，专用的软件防火墙和专用的软硬件结合的防火墙。Cisco 的防火墙解决方案中包含了四种类型中的第一种和第四种，即:集成防火墙功能的路由器和专用的软硬件结合的防火墙。一、集成在路由器中的防火墙技术1、路由器 IOS 标准设备中的 ACL 技术ACL 即 Access Control List(访问控制列表)，简称 Access List(访问列表)，它是后续所述的IOS Firewall Feature Set 的基础，也是 Cisco 全线路由器统一界面的操作系统 IOS(Interne

2、t Operation System，网间操作系统)标准配置的一部分。这就是说在购买了路由器后，ACL 功能已经具备，不需要额外花钱去买。2、 IOS Firewall Feature Set(IOS 防火墙软件包)IOS Firewall Feature Set 是在 ACL 的基础上对安全控制的进一步提升，由名称可知，它是一套专门针对防火墙功能的附加软件包，可通过 IOS 升级获得，并且可以加载到多个Cisco 路由器平台上。目前防火墙软件包适用的路由器平台包括 Cisco 1600、1700、2500 、2600 和 3600，均属中、低端系列。对很多倾向与使用“all-in-one s

3、olution“(一体化解决方案)，力求简单化管理的中小企业用户来说，它能很大程度上满足需求。之所以不在高端设备上实施集成防火墙功能，这是为了避免影响大型网络的主干路由器的核心工作-数据转发。在这样的网络中，应当使用专用的防火墙设备。Cisco IOS 防火墙特征:基于上下文的访问控制(CBAC)为先进应用程序提供基于应用程序的安全筛选并支持最新协议 Java 能防止下载动机不纯的小应用程序在现有功能基础上又添加了拒绝服务探测和预防功能，从而增加了保护在探测到可疑行为后可向中央管理控制台实时发送警报和系统记录错误信息 TCP/UDP 事务处理记录按源 /目的地址和端口对跟踪用户访问配置和管理特

4、性与现有管理应用程序密切配合.订购信息Cisco 1600 系列 Cisco IOS 防火墙特性IP/Firewall CD16-BW/EW/CH-11.3=IP/Firewall CD16-BY/EY/CH-11.3=IP/IPX/Firewall Plus CD16-C/BHP-11.3=Cisco 2500 系列 Cisco IOS 防火墙特性IP/Firewall CD25CH-11.2=IP/IPX/AT/DEC/Firewall Plus CD25-BHP-11.2=二、专用防火墙-PIXPIX(Private Internet eXchange)属于四类防火墙中的第四种- 软硬

5、件结合的防火墙，它的设计是为了满足高级别的安全需求，以较好的性能价格比提供严密的、强有力的安全防范。除了具备第四类防火墙的共同特性，并囊括了 IOS Firewall Feature Set 的应有功能。PIX 成为 Cisco 在网络安全领域的旗舰产品已有一段历史了，它的软硬件结构也经历了较大的发展。现在的 PIX 有 515 和 520 两种型号(520 系列容量大于 515 系列)，从原来的仅支持两个 10M 以太网接口，到 10/100M 以太网、令牌环网和 FDDI 的多介质、多端口(最多4 个)应用; 其专用操作系统从 v5.0 开始提供对 IPSec 这一标准隧道技术的支持，使

6、PIX 能与更多的其它设备一起共同构筑起基于标准 VPN 连接。Cisco 的 PIX Firewall 能同时支持 16，000 多路 TCP 对话，并支持数万用户而不影响用户性能，在额定载荷下，PIX Firewall 的运行速度为 45Mbps，支持 T3 速度，这种速度比基于 UNIX 的防火墙快十倍。主要特性:保护方案基于适应性安全算法(ASA)，能提供任何其它防火墙都不能提供的最高安全保护将获专利的“切入代理“特性能提供传统代理服务器无法匹敌的高性能安装简单，维护方便，因而降低了购置成本支持 64 路同时连接，企业发展后可扩充到 16000 路透明支持所有通用 TCP/IP Int

7、ernet 服务，如万维网 (WWW)文件传输协议 (FTP)、Telnet、Archie、Gopher和 rlogin 支持多媒体数据类型，包括 Progressive 网络公司的 Real Audio，Xing 技术公司的Steamworks，White Pines 公司的 CUSeeMe，Vocal Te 公司的 Internet Phone，VDOnet 公司的 VDOLive，Microsoft 公司的 NetShow 和 Uxtreme 公司的 Web Theater 2 支持 H323 兼容的视频会议应用，包括 Intel 的 Internet Video Phone 和 Mic

8、rosoft 的 NetMeeting 无需因安装而停止运行无需升级主机或路由器完全可以从未注册的内部主机访问外部 Internet 能与基于Cisco IOS 的路由器互操作订购信息带 2 个 10/100BaseT NIC 的 64 路 PIX PIX-64-A-CH带 2 个 10/100BaseT NIC 的 1024 路 PIX PIX1K-A-CH带 2 个 10/100BaseT NIC 的 16K 路(不限)PIX PIXUR-A-CH带 2 个 10/100BaseT NIC 的 64 路 200MHZ PIX PIX64-B-CH带 2 个 10/100BaseT NIC

9、的 1024 路 200MHZ PIX PIX1K-B-CH带 2 个 10/100BaseT NIC 的 16K 路 200MHZ PIX PIXUR-B-CH10/100M bps 以太网接口，RJ45 PIX-1FE=4/16Mbps 令牌环网接口 PIX-1TR=PIX 软件版本升级 SWPIX-VER=三、两种防火墙技术的比较IOS FIREWALL FEATURE SET PIX FIREWALL网络规模中小型网络，小于 250 节点的应用。大型网络，可支持多于 500 用户的应用工作平台路由器 IOS 操作系统专用 PIX 工作平台性能最高支持 T1/E1(2M)线路

10、可支持多条 T3/E3(45M)线路工作原理基于数据包过滤，核心控制为 CBAC 基于数据包过滤，核心控制为 ASA配置方式命令行或图形方式(通过 ConfigMaker) 命令行方式或图形方式(通过 Firewall Manager)应用的过滤支持 Java 小程序过滤支持 Java 小程序过滤身份认证通过 IOS 命令，支持 TACACS+、RADIUS 服务器认证。支持TACACS+、RADIUS 集中认证虚拟专网(VPN) 通过 IOS 软件升级可支持 IPSec、L2F 和 GRE 隧道技术，支持 40 或 56位 DES 加密。支持 Private Link 或 I

11、PSec 隧道和加密技术网络地址翻译(NAT) 集成 IOS Plus 实现支持冗余特性通过路由器的冗余协议 HSRP 实现支持热冗余自身安全支持 Denial-of-Service 支持 Denial-of-Service代理服务无，通过路由器的路由功能实现应用切入的代理服务功能管理通过路由器的管理工具，如 Cisco Works 通过 Firewall Manager 实现管理审计功能一定的跟踪和报警功能状态化数据过滤，可通过 Firewall Manager 实现较好的额监控、报告功能四、 Centri 防火墙主要特性:核心代理体系结构针对 Windows NT 定制

12、TCP/IP 栈图形用户结构可制订安全政策可将安全政策拖放到网络、网络组、用户和用户组ActiveX、Java 小应用程序、 Java 和 Vb 模块通用资源定位器(URL)模块端口地址转换网络地址转换透明支持所有通用 TCP/IP 应用程序，包括 WWW、文件传输协议(FTP)Telnet 和邮件为 Web、Telnet 和 FTP 提供代理安全服务根据 IP 地址、IP 子网和 IP 子网组进行认证使用 sl 口令和可重复使用口令 Telnet、Web 和 ftp 提供联机用户认证使用 Windows NT 对所有网络服务进行带外认证防止拒绝服务型攻击，包括 SYN Flood、IP 地址

13、哄骗和 Ping-of-Death订购信息Cisco Centri 产品Centri Firewall v4.0 for Windows NT,50 个用户 Centri-50Centri Firewall v4.0 for Windows NT,100 个用户 Centri-100Centri Firewall v4.0 for Windows NT,250 个用户 Centri-250Centri Firewall v4.0 for Windows NT,用户不限 Centri-UNRCentri Firewall v4.0 for Windows NT,从 100 个用户升级到 250

14、个 Centri-UDP-100-250Centri Firewall v4.0 for Windows NT,从 250 个用户升级到无穷多 Centri-250-UNR五、Cisco PIX 防火墙的安装流程1. 将 PIX 安放至机架，经检测电源系统后接上电源，并加电主机。2. 将 CONSOLE 口连接到 PC 的串口上，运行 HyperTerminal 程序从 CONSOLE 口进入PIX 系统; 此时系统提示 pixfirewall。3. 输入命令:enable,进入特权模式，此时系统提示为 pixfirewall#。4. 输入命令: configure terminal,对系统进

15、行初始化设置。5. 配置以太口参数:interface ethernet0 auto (auto 选项表明系统自适应网卡类型 )interface ethernet1 auto6. 配置内外网卡的 IP 地址:ip address inside ip_address netmaskip address outside ip_address netmask7. 指定外部地址范围:global 1 ip_address-ip_address8. 指定要进行要转换的内部地址:nat 1 ip_address netmask9. 设置指向内部网和外部网的缺省路由route inside 0 0 ins

16、ide_default_router_ip_addressroute outside 0 0 outside_default_router_ip_address10. 配置静态 IP 地址对映:static outside ip_address inside ip_address11. 设置某些控制选项:conduit global_ip port protocol foreign_ip global_ip 指的是要控制的地址port 指的是所作用的端口，其中 0 代表所有端口protocol 指的是连接协议，比如:TCP、UDP 等foreign_ip 表示可访问 global_ip 的外部

17、 ip，其中表示所有的 ip。12. 设置 telnet 选项:telnet local_iplocal_ip 表示被允许通过 telnet 访问到 pix 的 ip 地址(如果不设此项， PIX 的配置只能由 consle 方式进行)。13. 将配置保存:wr mem14. 几个常用的网络测试命令:#ping#show interface 查看端口状态#show static 查看静态地址映射六、PIX 与路由器的结合配置(一)、PIX 防火墙1、设置 PIX 防火墙的外部地址:ip address outside 131.1.23.22、设置 PIX 防火墙的内部地址:ip address

18、 inside 10.10.254.13、设置一个内部计算机与 Internet 上计算机进行通信时所需的全局地址池 :global1 131.1.23.10-131.1.23.2544、允许网络地址为 10.0.0.0 的网段地址被 PIX 翻译成外部地址:nat 110.0.0.05、网管工作站固定使用的外部地址为 131.1.23.11:static 131.1.23.11 10.14.8.506、允许从 RTRA 发送到到网管工作站的系统日志包通过 PIX 防火墙:conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.2557、允许从外部发

19、起的对邮件服务器的连接(131.1.23.10):mailhost 131.1.23.10 10.10.254.38、允许网络管理员通过远程登录管理 IPX 防火墙:telnet 10.14.8.509、在位于网管工作站上的日志服务器上记录所有事件日志:syslog facility 20.7syslog host 10.14.8.50(二)、路由器 RTRARTRA 是外部防护路由器，它必须保护 PIX 防火墙免受直接攻击，保护 FTP/HTTP 服务器，同时作为一个警报系统，如果有人攻入此路由器，管理可以立即被通知。1、阻止一些对路由器本身的攻击:no service tcps mall-

20、servers2、强制路由器向系统日志服务器发送在此路由器发生的每一个事件，包括被存取列表拒绝的包和路由器配置的改变;这个动作可以作为对系统管理员的早期预警，预示有人在试图攻击路由器，或者已经攻入路由器，正在试图攻击防火墙:logging trapde bugging3、此地址是网管工作站的外部地址，路由器将记录所有事件到此主机上:logging 131.1.23.114、保护 PIX 防火墙和 HTTP/FTP 服务器以及防卫欺骗攻击(见存取列表):enable secret xxxxxxxxxxxinterface Ethernet 0ipaddress 131.1.23.1 255.25

21、5.255.0interfaceSerial 0ip unnumbered ethernet 0ip access-group 110 in5、禁止任何显示为来源于路由器 RTRA 和 PIX 防火墙之间的信息包，这可以防止欺骗攻击:access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog6、防止对 PIX 防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接 PIX防火墙外部接口的事件:access-list 110 deny ip any host 131.1.23.2 log7、允许已经建立的 TCP 会话的信息包通过:access-l

22、ist 110 permit tcp any 131.1.23.0 0.0.0.255 established8、允许和 FTP/HTTP 服务器的 FTP 连接:access-list 110 permit tcp any host 131.1.23.3 eq ftp9、允许和 FTP/HTTP 服务器的 FTP 数据连接:access-list 110 permit tcp any host 131.1.23.2 eq ftp-data10、允许和 FTP/HTTP 服务器的 HTTP 连接:access-list 110 permit tcp any host 131.1.23.2 eq

23、 www11、禁止和 FTP/HTTP 服务器的别的连接并记录到系统日志服务器任何企图连接FTP/HTTP 的事件 :access-list 110 deny ip any host 131.1.23.2 log12、允许其他预定在 PIX 防火墙和路由器 RTRA 之间的流量:access-list 110 permit ip any 131.1.23.0 0.0.0.25513、限制可以远程登录到此路由器的 IP 地址:line vty 0 4loginpassword xxxxxxxxxxaccess-class 10 in14、只允许网管工作站远程登录到此路由器，当你想从 Intern

24、et 管理此路由器时，应对此存取控制列表进行修改:access-list 10 permit ip 131.1.23.11(三)、路由器 RTRBRTRB 是内部网防护路由器，它是你的防火墙的最后一道防线，是进入内部网的入口。1、记录此路由器上的所有活动到网管工作站上的日志服务器，包括配置的修改:logging trap debugginglogging 10.14.8.502、允许通向网管工作站的系统日志信息:interface Ethernet 0ip address 10.10.254.2 255.255.255.0no ip proxy-arpip access-group 110 i

25、naccess-list 110 permit udp host 10.10.254.0 0.0.0.2553、禁止所有别的从 PIX 防火墙发来的信息包 :access-list 110 deny ip any host 10.10.254.2 log4、允许邮件主机和内部邮件服务器的 SMTP 邮件连接:access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp5、禁止别的来源与邮件服务器的流量:access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.2

26、556、防止内部网络的信任地址欺骗:access-list deny ip any 10.10.254.0 0.0.0.2557、允许所有别的来源于 PIX 防火墙和路由器 RTRB 之间的流量 :access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.2558、限制可以远程登录到此路由器上的 IP 地址:line vty 0 4loginpassword xxxxxxxxxxaccess-class 10 in9、只允许网管工作站远程登录到此路由器，当你想从 Internet 管理此路由器时，应对此存取控制列表进行修改:access-list 10 permit ip 10.14.8.50按以上设置配置好 PIX 防火墙和路由器后， PIX 防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口，也不可能判断出内部任何一台主机的 IP 地址，即使告诉了内部主机的 IP 地址，要想直接对它们进行 Ping 和连接也是不可能的。这样就可以对整个内部网进行有效的保护。

展开阅读全文