Cisco防火墻技術(shù)匯總.doc

Cisco 防火墻技術(shù)匯總我們知道防火墻有四種類型:集成防火墻功能的路由器，集成防火墻功能的代理服務(wù)器，專用的軟件防火墻和專用的軟硬件結(jié)合的防火墻。Cisco的防火墻解決方案中包含了四種類型中的第一種和第四種，即:集成防火墻功能的路由器和專用的軟硬件結(jié)合的防火墻。 一、 集成在路由器中的防火墻技術(shù)1、 路由器IOS標(biāo)準(zhǔn)設(shè)備中的ACL技術(shù)ACL即Access Control List(訪問(wèn)控制列表)，簡(jiǎn)稱Access List(訪問(wèn)列表)，它是后續(xù)所述的IOS Firewall Feature Set的基礎(chǔ)，也是Cisco全線路由器統(tǒng)一界面的操作系統(tǒng)IOS(Internet Operation System，網(wǎng)間操作系統(tǒng))標(biāo)準(zhǔn)配置的一部分。這就是說(shuō)在購(gòu)買了路由器后，ACL功能已經(jīng)具備，不需要額外花錢去買。2、 IOS Firewall Feature Set(IOS防火墻軟件包)IOS Firewall Feature Set是在ACL的基礎(chǔ)上對(duì)安全控制的進(jìn)一步提升，由名稱可知，它是一套專門針對(duì)防火墻功能的附加軟件包，可通過(guò)IOS升級(jí)獲得，并且可以加載到多個(gè)Cisco路由器平臺(tái)上。目前防火墻軟件包適用的路由器平臺(tái)包括Cisco 1600、1700、2500、2600和3600，均屬中、低端系列。對(duì)很多傾向與使用all-in-one solution(一體化解決方案)，力求簡(jiǎn)單化管理的中小企業(yè)用戶來(lái)說(shuō)，它能很大程度上滿足需求。之所以不在高端設(shè)備上實(shí)施集成防火墻功能，這是為了避免影響大型網(wǎng)絡(luò)的主干路由器的核心工作-數(shù)據(jù)轉(zhuǎn)發(fā)。在這樣的網(wǎng)絡(luò)中，應(yīng)當(dāng)使用專用的防火墻設(shè)備。Cisco IOS防火墻特征:基于上下文的訪問(wèn)控制(CBAC)為先進(jìn)應(yīng)用程序提供基于應(yīng)用程序的安全篩選并支持最新協(xié)議Java能防止下載動(dòng)機(jī)不純的小應(yīng)用程序在現(xiàn)有功能基礎(chǔ)上又添加了拒絕服務(wù)探測(cè)和預(yù)防功能，從而增加了保護(hù)在探測(cè)到可疑行為后可向中央管理控制臺(tái)實(shí)時(shí)發(fā)送警報(bào)和系統(tǒng)記錄錯(cuò)誤信息TCP/UDP事務(wù)處理記錄按源/目的地址和端口對(duì)跟蹤用戶訪問(wèn)配置和管理特性與現(xiàn)有管理應(yīng)用程序密切配合.訂購(gòu)信息Cisco 1600系列Cisco IOS防火墻特性IP/Firewall CD16-BW/EW/CH-11.3=IP/Firewall CD16-BY/EY/CH-11.3=IP/IPX/Firewall Plus CD16-C/BHP-11.3=Cisco 2500系列Cisco IOS防火墻特性IP/Firewall CD25CH-11.2=IP/IPX/AT/DEC/Firewall Plus CD25-BHP-11.2=二、 專用防火墻-PIXPIX(Private Internet eXchange)屬于四類防火墻中的第四種-軟硬件結(jié)合的防火墻，它的設(shè)計(jì)是為了滿足高級(jí)別的安全需求，以較好的性能價(jià)格比提供嚴(yán)密的、強(qiáng)有力的安全防范。除了具備第四類防火墻的共同特性，并囊括了IOS Firewall Feature Set的應(yīng)有功能。PIX成為Cisco在網(wǎng)絡(luò)安全領(lǐng)域的旗艦產(chǎn)品已有一段歷史了，它的軟硬件結(jié)構(gòu)也經(jīng)歷了較大的發(fā)展?，F(xiàn)在的PIX有515和520兩種型號(hào)(520系列容量大于515系列)，從原來(lái)的僅支持兩個(gè)10M以太網(wǎng)接口，到10/100M以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI的多介質(zhì)、多端口(最多4個(gè))應(yīng)用;其專用操作系統(tǒng)從v5.0開始提供對(duì)IPSec這一標(biāo)準(zhǔn)隧道技術(shù)的支持，使PIX能與更多的其它設(shè)備一起共同構(gòu)筑起基于標(biāo)準(zhǔn)VPN連接。Cisco的PIX Firewall能同時(shí)支持16，000多路TCP對(duì)話，并支持?jǐn)?shù)萬(wàn)用戶而不影響用戶性能，在額定載荷下，PIX Firewall的運(yùn)行速度為45Mbps，支持T3速度，這種速度比基于UNIX的防火墻快十倍。主要特性:保護(hù)方案基于適應(yīng)性安全算法(ASA)，能提供任何其它防火墻都不能提供的最高安全保護(hù)將獲專利的切入代理特性能提供傳統(tǒng)代理服務(wù)器無(wú)法匹敵的高性能安裝簡(jiǎn)單，維護(hù)方便，因而降低了購(gòu)置成本支持64路同時(shí)連接，企業(yè)發(fā)展后可擴(kuò)充到16000路透明支持所有通用TCP/IP Internet服務(wù)，如萬(wàn)維網(wǎng)(WWW)文件傳輸協(xié)議(FTP)、Telnet、Archie、Gopher和rlogin支持多媒體數(shù)據(jù)類型，包括Progressive網(wǎng)絡(luò)公司的Real Audio，Xing技術(shù)公司的Steamworks，White Pines公司的CUSeeMe，Vocal Te公司的Internet Phone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的Web Theater 2支持H323兼容的視頻會(huì)議應(yīng)用，包括Intel的Internet Video Phone和Microsoft的NetMeeting無(wú)需因安裝而停止運(yùn)行無(wú)需升級(jí)主機(jī)或路由器完全可以從未注冊(cè)的內(nèi)部主機(jī)訪問(wèn)外部Internet能與基于Cisco IOS的路由器互操作訂購(gòu)信息帶2個(gè)10/100BaseT NIC的64路PIX PIX-64-A-CH帶2個(gè)10/100BaseT NIC的1024路PIX PIX1K-A-CH帶2個(gè)10/100BaseT NIC的16K路(不限)PIX PIXUR-A-CH帶2個(gè)10/100BaseT NIC的64路200MHZ PIX PIX64-B-CH帶2個(gè)10/100BaseT NIC的1024路200MHZ PIX PIX1K-B-CH帶2個(gè)10/100BaseT NIC的16K路200MHZ PIX PIXUR-B-CH10/100M bps以太網(wǎng)接口，RJ45 PIX-1FE=4/16Mbps令牌環(huán)網(wǎng)接口 PIX-1TR=PIX軟件版本升級(jí) SWPIX-VER=三、 兩種防火墻技術(shù)的比較IOS FIREWALL FEATURE SET PIX FIREWALL網(wǎng)絡(luò)規(guī)模 中小型網(wǎng)絡(luò)，小于250節(jié)點(diǎn)的應(yīng)用。 大型網(wǎng)絡(luò)，可支持多于500用戶的應(yīng)用工作平臺(tái) 路由器IOS操作系統(tǒng) 專用PIX工作平臺(tái)性能 最高支持T1/E1(2M)線路 可支持多條T3/E3(45M)線路工作原理 基于數(shù)據(jù)包過(guò)濾，核心控制為CBAC 基于數(shù)據(jù)包過(guò)濾，核心控制為ASA配置方式 命令行或圖形方式(通過(guò)ConfigMaker) 命令行方式或圖形方式(通過(guò)Firewall Manager)應(yīng)用的過(guò)濾 支持Java小程序過(guò)濾 支持Java小程序過(guò)濾身份認(rèn)證 通過(guò)IOS命令，支持TACACS+、RADIUS服務(wù)器認(rèn)證。 支持TACACS+、RADIUS集中認(rèn)證虛擬專網(wǎng)(VPN) 通過(guò)IOS軟件升級(jí)可支持IPSec、L2F和GRE隧道技術(shù)，支持40或56位DES加密。 支持Private Link或IPSec隧道和加密技術(shù)網(wǎng)絡(luò)地址翻譯(NAT) 集成IOS Plus實(shí)現(xiàn) 支持冗余特性 通過(guò)路由器的冗余協(xié)議HSRP實(shí)現(xiàn) 支持熱冗余自身安全 支持Denial-of-Service 支持Denial-of-Service代理服務(wù) 無(wú)，通過(guò)路由器的路由功能實(shí)現(xiàn)應(yīng)用 切入的代理服務(wù)功能管理 通過(guò)路由器的管理工具，如Cisco Works 通過(guò)Firewall Manager實(shí)現(xiàn)管理審計(jì)功能 一定的跟蹤和報(bào)警功能 狀態(tài)化數(shù)據(jù)過(guò)濾，可通過(guò)Firewall Manager實(shí)現(xiàn)較好的額監(jiān)控、報(bào)告功能四、 Centri防火墻主要特性:核心代理體系結(jié)構(gòu)針對(duì)Windows NT定制TCP/IP棧圖形用戶結(jié)構(gòu)可制訂安全政策可將安全政策拖放到網(wǎng)絡(luò)、網(wǎng)絡(luò)組、用戶和用戶組ActiveX、Java小應(yīng)用程序、Java和Vb模塊通用資源定位器(URL)模塊端口地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換透明支持所有通用TCP/IP應(yīng)用程序，包括WWW、文件傳輸協(xié)議(FTP)Telnet和郵件為Web、Telnet和FTP提供代理安全服務(wù)根據(jù)IP地址、IP子網(wǎng)和IP子網(wǎng)組進(jìn)行認(rèn)證使用sl口令和可重復(fù)使用口令Telnet、Web和ftp提供聯(lián)機(jī)用戶認(rèn)證使用Windows NT對(duì)所有網(wǎng)絡(luò)服務(wù)進(jìn)行帶外認(rèn)證防止拒絕服務(wù)型攻擊，包括SYN Flood、IP地址哄騙和Ping-of-Death訂購(gòu)信息Cisco Centri產(chǎn)品Centri Firewall v4.0 for Windows NT,50個(gè)用戶 Centri-50Centri Firewall v4.0 for Windows NT,100個(gè)用戶 Centri-100Centri Firewall v4.0 for Windows NT,250個(gè)用戶 Centri-250Centri Firewall v4.0 for Windows NT,用戶不限 Centri-UNRCentri Firewall v4.0 for Windows NT,從100個(gè)用戶升級(jí)到250個(gè) Centri-UDP-100-250Centri Firewall v4.0 for Windows NT,從250個(gè)用戶升級(jí)到無(wú)窮多 Centri-250-UNR五、Cisco PIX防火墻的安裝流程1. 將PIX安放至機(jī)架，經(jīng)檢測(cè)電源系統(tǒng)后接上電源，并加電主機(jī)。2. 將CONSOLE口連接到PC的串口上，運(yùn)行HyperTerminal程序從CONSOLE口進(jìn)入PIX系統(tǒng);此時(shí)系統(tǒng)提示pixfirewall。3. 輸入命令:enable,進(jìn)入特權(quán)模式，此時(shí)系統(tǒng)提示為pixfirewall#。4. 輸入命令: configure terminal,對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。5. 配置以太口參數(shù):interface ethernet0 auto (auto選項(xiàng)表明系統(tǒng)自適應(yīng)網(wǎng)卡類型 )interface ethernet1 auto6. 配置內(nèi)外網(wǎng)卡的IP地址:ip address inside ip_address netmaskip address outside ip_address netmask7. 指定外部地址范圍:global 1 ip_address-ip_address8. 指定要進(jìn)行要轉(zhuǎn)換的內(nèi)部地址:nat 1 ip_address netmask9. 設(shè)置指向內(nèi)部網(wǎng)和外部網(wǎng)的缺省路由route inside 0 0 inside_default_router_ip_addressroute outside 0 0 outside_default_router_ip_address10. 配置靜態(tài)IP地址對(duì)映:static outside ip_address inside ip_address11. 設(shè)置某些控制選項(xiàng):conduit global_ip port protocol foreign_ip global_ip 指的是要控制的地址port 指的是所作用的端口，其中0代表所有端口protocol 指的是連接協(xié)議，比如:TCP、UDP等f(wàn)oreign_ip 表示可訪問(wèn)global_ip的外部ip，其中表示所有的ip。12. 設(shè)置telnet選項(xiàng):telnet local_iplocal_ip 表示被允許通過(guò)telnet訪問(wèn)到pix的ip地址(如果不設(shè)此項(xiàng)， PIX的配置只能由consle方式進(jìn)行)。13. 將配置保存:wr mem14. 幾個(gè)常用的網(wǎng)絡(luò)測(cè)試命令:#ping#show interface 查看端口狀態(tài)#show static 查看靜態(tài)地址映射六、PIX與路由器的結(jié)合配置(一)、PIX防火墻1、設(shè)置PIX防火墻的外部地址:ip address outside 2、設(shè)置PIX防火墻的內(nèi)部地址:ip address inside 3、設(shè)置一個(gè)內(nèi)部計(jì)算機(jī)與Internet上計(jì)算機(jī)進(jìn)行通信時(shí)所需的全局地址池:global1 0-544、允許網(wǎng)絡(luò)地址為的網(wǎng)段地址被PIX翻譯成外部地址:nat 5、網(wǎng)管工作站固定使用的外部地址為1:static 1 06、允許從RTRA發(fā)送到到網(wǎng)管工作站的系統(tǒng)日志包通過(guò)PIX防火墻:conduit 1514 udp 557、允許從外部發(fā)起的對(duì)郵件服務(wù)器的連接(0):mailhost 0 8、允許網(wǎng)絡(luò)管理員通過(guò)遠(yuǎn)程登錄管理IPX防火墻:telnet 09、在位于網(wǎng)管工作站上的日志服務(wù)器上記錄所有事件日志:syslog facility 20.7syslog host 0(二)、路由器RTRARTRA是外部防護(hù)路由器，它必須保護(hù)PIX防火墻免受直接攻擊，保護(hù)FTP/HTTP服務(wù)器，同時(shí)作為一個(gè)警報(bào)系統(tǒng)，如果有人攻入此路由器，管理可以立即被通知。1、阻止一些對(duì)路由器本身的攻擊:no service tcps mall-servers2、強(qiáng)制路由器向系統(tǒng)日志服務(wù)器發(fā)送在此路由器發(fā)生的每一個(gè)事件，包括被存取列表拒絕的包和路由器配置的改變;這個(gè)動(dòng)作可以作為對(duì)系統(tǒng)管理員的早期預(yù)警，預(yù)示有人在試圖攻擊路由器，或者已經(jīng)攻入路由器，正在試圖攻擊防火墻:logging trapde bugging3、此地址是網(wǎng)管工作站的外部地址，路由器將記錄所有事件到此主機(jī)上:logging 14、保護(hù)PIX防火墻和HTTP/FTP服務(wù)器以及防衛(wèi)欺騙攻擊(見(jiàn)存取列表):enable secret xxxxxxxxxxxinterface Ethernet 0ipaddress interfaceSerial 0ip unnumbered ethernet 0ip access-group 110 in5、禁止任何顯示為來(lái)源于路由器RTRA和PIX防火墻之間的信息包，這可以防止欺騙攻擊:access-list 110 deny ip 55 anylog6、防止對(duì)PIX防火墻外部接口的直接攻擊并記錄到系統(tǒng)日志服務(wù)器任何企圖連接PIX防火墻外部接口的事件:access-list 110 deny ip any host log7、允許已經(jīng)建立的TCP會(huì)話的信息包通過(guò):access-list 110 permit tcp any 55 established8、允許和FTP/HTTP服務(wù)器的FTP連接:access-list 110 permit tcp any host eq ftp9、允許和FTP/HTTP服務(wù)器的FTP數(shù)據(jù)連接:access-list 110 permit tcp any host eq ftp-data10、允許和FTP/HTTP服務(wù)器的HTTP連接:access-list 110 permit tcp any host eq www11、禁止和FTP/HTTP服務(wù)器的別的連接并記錄到系統(tǒng)日志服務(wù)器任何企圖連接FTP/HTTP的事件:access-list 110 deny ip any host log12、允許其他預(yù)定在PIX防火墻和路由器RTRA之間的流量:access-list 110 permit ip any 5513、限制可以遠(yuǎn)程登錄到此路由器的IP地址:line vty 0 4loginpassword xxxxxxxxxxaccess-class 10 in14、只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器，當(dāng)你想從Internet管理此路由器時(shí)，應(yīng)對(duì)此存取控制列表進(jìn)行修改:access-list 10 permit ip 1(三)、路由器RTRBRTRB是內(nèi)部網(wǎng)防護(hù)路由器，它是你的防火墻的最后一道防線，是進(jìn)入內(nèi)部網(wǎng)的入口。1、記錄此路由器上的所有活動(dòng)到網(wǎng)管工作站上的日志服務(wù)器，包括配置的修改:logging trap debugginglogging 02、允許通向網(wǎng)管工作站的系統(tǒng)日志信息:interface Ethernet 0ip address no ip proxy-arpip access-grou