防火墙体系结构 (3)
[ 2006-4-15 23:05:00 | By: tanaimao ]
7.1.7 建立堡垒主机
我们在前面介绍了堡垒主机应完成的工作,而建立堡垒主机则应遵循以下步骤:
•给堡垒主机一个安全的运行环境。
•关闭机器上所有不必要的服务软件。
•安装或修改必需的服务软件。
•根据最终需要重新配置机器。
•检查机器上的安全保障机制。
•将堡垒主机连入网络。
在进行最后一步之前,必须保证机器与Internet是相互隔离的。如果内部网尚未与Internet相连,那我们应将堡垒主机完全配置好后方可与内部网与Internet相连;如果我们在一个与Internet相连的内部网上建立防火墙,那就应该将堡垒主机配置成与内部网无连接的单独机器。如果在配置堡垒主机时被入侵,那这个堡垒主机就可能由内部网的防卫机制变成内部网的入侵机制。
7.1.8 堡垒主机小结
本节介绍了在防火墙体系结构中最为重要部分:堡垒主机,堡垒主机可以独立地构成一个防火墙系统,也可以作为复杂防火墙系统中的一个组件。本节从它的基本概念开始,介绍了构建堡垒主机的两个原则、它在网络中存放的位置及建立堡垒主机时需要考虑的几个内容,并且在网络中如何保证堡垒主机的正常运行
等。
7.2 双宿主主机结构防火墙
内部网络
Internet
双宿主
主 机
防火墙
双宿主主机防火墙结构示意图
此结构的防火墙系统由一台装有两张网卡的堡垒主机构成。两张网卡分别与外部网以及内部受保护网相连。堡垒主机上运行防火墙软件,可以转发数据,提供服务等。堡垒主机将防止在外部网络和内部系统之间建立任何直接的连接,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。
双宿主主机防火墙体系结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机位于内外部网络之间并与内外部网络相连。如上图所示。该计算机具有两个接口,并具有以下特点:
•两个端口之间不能进行直接的IP数据包的转发;
•防火墙内部的系统可以与双宿主主机进行通信,同时防火墙外部的系统也可以与双宿主主机进行通信,但二者之间不能直接进行通信。
这种体系结构的优点系结构非常简单,易于实现,并且具有高度的安全性,可以完全阻止内部网络与外部网络的通信。
这种主机还可以充当与这台相连的若干网络之间的路由器。它能将一个网络的IP数据包在无安全控制下传递给另外一个网络。但是在将一台双宿主主机安装到防火墙结构中时,首先要使双宿主主机的这种路由功能失效。从一个外部网络(比如Internet)来的数据包不能无条件地传递给另外一个网络(如内部网络)。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络方间不可直接通信,内外部网络之间的IP数据流被双宿主主机完全切断。
双宿主主机可以提供很高程序的网络控制。如果安全规则不允许数据包在内外部网之间直传,而又发现内部网外有一个对应的外部数据源,这就说明系统的安全机制有问题了。在有些情况下,如果一个申请者的数据类型与外部网提供的某种服务不相符合时,双宿主主机可以否决申请者要求的与外部网络的连接。同样情况下,用包过滤系统要做到这种控制是非常困难的。
双重宿主主机的实现方案有两种:
•用户直接登录到双重宿主主机;
•通过代理服务来实现。
双宿主主机只有用代理服务的方式或者让用户直接注册到双宿主主机上才能提供安全控制服务,但在堡垒主机上设置用户帐户会产生很大的安全问题。另外,这种结构要求用户每次都必须在双宿主主机上注册,这样会使用户感到使用不方便。采用代理服务它的安全性较好,堡垒主机还能维护系统日志或远程日志。但是可能对于某些网络服务无法找到代理,并不能完全按照要求提供全部安全服务,同时堡垒主机是入侵者致力攻击的目标,一旦被攻破,防火墙就完全失效了。
网上找的,我也不懂对不对
硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。它的硬件跟共控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。闪存基本上跟路由器一样,都是那中EEPROM,操作系统跟Cisco IOS相似,都是命令行(Command)式。我第一次亲手那到的防火墙是Cisco Firewall Pix 525,是一种机架式标准(即能安装在标准的机柜里),有2U的高度,正面看跟Cisco 路由器一样,只有一些指示灯,从背板看,有两个以太口(RJ-45网卡),一个配置口(console),2个USB,一个15针的Failover口,还有三个PCI扩展口。
如何开始Cisco Firewall Pix呢?我想应该是跟Cisco 路由器使用差不多吧,于是用配置线从电脑的COM2连到PIX 525的console口,进入PIX操作系统采用windows系统里的“超级终端”,通讯参数设置为默然。初始使用有一个初始化过程,主要设置:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,如果以上设置正确,就能保存以上设置,也就建立了一个初始化设置了。
进入Pix 525采用超级用户(enable),默然密码为空,修改密码用passwd 命令。一般情况下Firewall配置,我们需要做些什么呢?当时第一次接触我也不知道该做些什么,随设备一起来的有《硬件的安装》和《命令使用手册》。我首先看了命令的使用,用于几个小时把几百面的英文书看完了,对命令的使用的知道了一点了,但是对如何配置PIX还是不大清楚该从何入手,我想现在只能去找cisco了,于是在www.cisco.com下载了一些资料,边看边实践了PIX。
防火墙是处网络系统里,因此它跟网络的结构密切相关,一般会涉及的有Route(路由器)、网络IP地址。还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。
下面我讲一下一般用到的最基本配置
1、 建立用户和修改密码
跟Cisco IOS路由器基本一样。
2、 激活以太端口
必须用enable进入,然后进入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
3、 命名端口与安全级别
采用命令nameif
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet0 outside security100
security0是外部端口outside的安全级别(0安全级别最高)
security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。
4、 配置以太端口IP 地址
采用命令为:ip address
如:内部网络为:192.168.1.0 255.255.255.0
外部网络为:222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0
5、 配置远程访问[telnet]
在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
测试telnet
在[开始]->[运行]
telnet 192.168.1.1
PIX passwd:
输入密码:cisco
6、 访问列表(access-list)
此功能与Cisco IOS基本上是相似的,也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,如:只允许访问主机:222.20.16.254的www,端口为:80
PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
7、 地址转换(NAT)和端口转换(PAT)
NAT跟路由器基本是一样的,
首先必须定义IP Pool,提供给内部IP地址转换的地址段,接着定义内部网段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则:
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
则某些情况下,外部地址是很有限的,有些主机必须单独占用一个IP地址,必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令,这种称为(PAT),这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
8、 DHCP Server
在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCP Server),Cisco Firewall PIX都具有这种功能,下面简单配置DHCP Server,地址段为192.168.1.100—192.168.168.1.200
DNS: 主202.96.128.68 备202.96.144.47
主域名称:abc.com.cn
DHCP Client 通过PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain abc.com.cn
9、 静态端口重定向(Port Redirection with Statics)
在PIX 版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX 传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
命令格式:
static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用户直接访问地址222.20.16.99 telnet端口,通过PIX重定向到内部主机192.168.1.99的telnet端口(23)。
PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.99 FTP,通过PIX重定向到内部192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.208 www(即80端口),通过PIX重定向到内部192.168.123的主机的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.201 HTTP(8080端口),通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.5 smtp(25端口),通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
10、显示与保存结果
采用命令show config
保存采用write memory
今天我们来介绍pix防火墙的一些高级配置。
配置静态IP地址翻译(static):
如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。
static命令配置语法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address,其中internal_if_name表示内部网络接口,安全级别较高。如inside.。external_if_name为外部网络接口,安全级别较低,如outside等。
outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。 示例语句如下:
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成 static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。PIX将把192.168.0.8映射为61.144.51.62以便NAT更好的工作。
小提示:
使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。
管道命令(conduit):
使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法 (ASA)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。
对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。说得通俗一点管道命令(conduit)就相当于以往CISCO设备的访问控制列表(ACL)。
conduit命令配置语法:
conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask],其中permit|deny为允许|拒绝访问,global_ip指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
port指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。protocol指的是连接协议,比如:TCP、UDP、ICMP等。foreign_ip表示可访问global_ip的外部ip。对于任意主机可以用any表示。如果 foreign_ip是一台主机,就用host命令参数。示例语句如下:
Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp就是指允许或拒绝只对ftp的访问。
Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
设置不允许外部主机61.144.51.89对任何全局地址进行ftp访问。
Pix525(config)#conduit permit icmp any any
设置允许icmp消息向内部和外部通过。
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3 Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
这两句是将static和conduit语句结合而生效的,192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射把内部IP192.168.0.3转换为全局IP61.144.51.62,然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。
小提示:
对于上面的情况不使用conduit语句设置容许访问规则是不可以的,因为默认情况下PIX不容许数据包主动从低安全级别的端口流向高安全级别的端口。
配置fixup协议:
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。示例例子如下:
Pix525(config)#fixup protocol ftp 21
启用ftp协议,并指定ftp的端口号为21
Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080
为http协议指定80和1080两个端口。
Pix525(config)#no fixup protocol smtp 80
禁用smtp协议。
设置telnet:
在pix5.0之前只能从内部网络上的主机通过telnet访问pix。在pix 5.0及后续版本中,可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用 ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH,然后用SSH client从外部telnet到PIX防火墙。
我们可以使用telnet语句管理登录PIX的权限,telnet配置语法:telnet local_ip [netmask] local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。也就是说默认情况下只有通过 console口才能配置PIX防火墙。
小提示:
由于管理PIX具有一定的危险性,需要的安全级别非常高,所以不建议大家开放提供外网IP的telnet管理PIX的功能。如果实际情况一定要通过外网IP管理PIX则使用SSH加密手段来完成。
大概是几千的,不一样的型号有所不同,硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。它的硬件跟工控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。闪存基本上跟路由器一样,都是那种EEPROM,操作系统跟Cisco IOS相似,都是命令行(Command)式,我第一次亲手拿到的防火墙是Cisco Firewall Pix525,是一种机架式标准(即能安装在标准的机柜里),有2U的高度,正面看跟Cisco路由器一样,只有一些指示灯,从背板看,有两个以太口(RJ-45网卡),一个配置口(console),2个USB,一个15针的Failover口,还有三个PCI扩展口。1.CISCO ASA5505-SSL10-K8 北京价格¥8400
2.CISCO ASA5505-SSL10-K9 北京价格¥8400
3.CISCO ASA5505-SSL25-K9 北京价格¥1.57万
4.CISCO ASA5505-50-BUN-K9 北京价格¥4000
5.CISCO ASA5505-50-BUN-K8 北京价格¥4000
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)