Cisco 防火牆技術匯總

Cisco 防火牆技術匯總
出處：www.net130.com 作者：www.net130.com 時間：2006年1月5日15:14



我們知道防火牆有四種類型：集成防火牆功能的路由器，集成防火牆功能的代理伺服器，專用的軟體防火牆和專用的軟硬體結合的防火牆。Cisco的防火牆解決方案中包含了四種類型中的第一種和第四種，即：集成防火牆功能的路由器和專用的軟硬體結合的防火牆。
一、 集成在路由器中的防火牆技術
1、 路由器IOS標準設備中的ACL技術
ACL即Access Control Lis t（訪問控制列表），簡稱Access List（訪問列表），它是後續所述的IOS Firewall Feature Set的基礎，也是Cisco全線路由器統一介面的作業系統IOS（Internet Operation System，網間作業系統）標準配置的一部分。這就是說在購買了路由器後，ACL功能已經具備，不需要額外花錢去買。

2、 IOS Firewall Feature Set（IOS防火牆套裝軟體）
IOS Firewall Feature Set是在ACL的基礎上對安全控制的進一步提升，由名稱可知，它是一套專門針對防火牆功能的附加套裝軟體，可通過IOS升級獲得，並且可以載入到多個Cisco路由器平臺上。
目前防火牆套裝軟體適用的路由器平臺包括Cisco 1600、1700、2500、2600和3600，均屬中、低端系列。對很多傾向與使用"all-in-one solution"（一體化解決方案），力求簡單化管理的中小企業用戶來說，它能很大程度上滿足需求。之所以不在高端設備上實施集成防火牆功能，這是為了避免影響大型網路的主幹路由器的核心工作--資料轉發。在這樣的網路中，應當使用專用的防火牆設備。
Cisco IOS防火牆特徵：
l 基於上下文的訪問控制（CBAC）為先進應用程式提供基於應用程式的安全篩選並支援最新協定
l Java能防止下載動機不純的小應用程式
l 在現有功能基礎上又添加了拒絕服務探測和預防功能，從而增加了保護
l 在探測到可疑行為後可向中央管理控制臺即時發送警報和系統記錄錯誤資訊
l TCP/UDP事務處理記錄按源/目的地址和埠對跟蹤用戶訪問
l 配置和管理特性與現有管理應用程式密切配合

訂購資訊
Cisco 1600系列Cisco IOS防火牆特性
IP/Firewall CD16-BW/EW/CH-11.3=
IP/Firewall CD16-BY/EY/CH-11.3=
IP/IPX/Firewall Plus CD16-C/BHP-11.3=
Cisco 2500系列Cisco IOS防火牆特性
IP/Firewall CD25CH-11.2=
IP/IPX/AT/DEC/Firewall Plus CD25-BHP-11.2=
二、 專用防火牆--PIX
PIX（Private Internet eXchange）屬於四類防火牆中的第四種--軟硬體結合的防火牆，它的設計是為了滿足高級別的安全需求，以較好的性能價格比提供嚴密的、強有力的安全防範。除了具備第四類防火牆的共同特性，並囊括了IOS Firewall Feature Set的應有功能。
PIX成為Cisco在網路安全領域的旗艦產品已有一段歷史了，它的軟硬體結構也經歷了較大的發展。現在的PIX有515和520兩種型號（520系列容量大於515系列），從原來的僅支援兩個10M乙太網介面，到10/100M乙太網、權杖環網和FDDI的多介質、多埠（最多4個）應用；其專用作業系統從v5.0開始提供對IPSec這一標準隧道技術的支援，使PIX能與更多的其他設備一起共同構築起基於標準VPN連接。
Cisco的PIX Firewall能同時支持16，000多路TCP對話，並支援數萬用戶而不影響用戶性能，在額定載荷下，PIX Firewall的運行速度為45Mbps，支援T3速度，這種速度比基於UNIX的防火牆快十倍。

主要特性：
l 保護方案基於適應性安全演算法（ASA），能提供任何其他防火牆都不能提供的最高安全保護
l 將獲專利的"切入代理"特性能提供傳統代理伺服器無法匹敵的高性能
l 安裝簡單，維護方便，因而降低了購置成本
l 支援64路同時連接，企業發展後可擴充到16000路
l 透明支援所有通用TCP/IP Internet服務，如萬維網（WWW）檔傳輸協議（FTP）、Telnet、Archie、Gopher和rlogin
l 支援多媒體資料類型，包括Progressive網路公司的Real Audio，Xing技術公司的Steamworks，White Pines公司腃USeeMe，Vocal Te公司的Internet Phone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的Web Theater 2
l 支援H323相容的視頻會議應用，包括Intel的Internet Video Phone和Microsoft的NetMeeting
l 無需因安裝而停止運行
l 無需升級主機或路由器
l 完全可以從未註冊的內部主機訪問外部Internet
l 能與基於Cisco IOS的路由器互操作

訂購資訊
帶2個10/100BaseT NIC的64路PIX PIX-64-A-CH
帶2個10/100BaseT NIC的1024路PIX PIX1K-A-CH
帶2個10/100BaseT NIC的16K路（不限）PIX PIXUR-A-CH
帶2個10/100BaseT NIC的64路200MHZ PIX PIX64-B-CH
帶2個10/100BaseT NIC的1024路200MHZ PIX PIX1K-B-CH
帶2個10/100BaseT NIC的16K路200MHZ PIX PIXUR-B-CH
10/100M bps乙太網介面，RJ45 PIX-1FE=
4/16Mbps權杖環網介面 PIX-1TR=
PIX軟體版本升級 SWPIX-VER=
三、 兩種防火牆技術的比較
IOS FIREWALL FEATURE SET PIX FIREWALL
網路規模 中小型網路，小於250節點的應用。 大型網路，可支援多於500用戶的應用
工作平臺 路由器IOS作業系統 專用PIX工作平臺
性能 最高支援T1/E1（2M）線路 可支援多條T3/E3（45M）線路
工作原理 基於資料包過濾，核心控制為CBAC 基於資料包過濾，核心控制為ASA
配置方式 命令行或圖形方式（通過ConfigMaker） 命令行方式或圖形方式（通過Firewall Manager）
應用的過濾 支援Java小程式過濾 支援Java小程式過濾
身份認證 通過IOS命令，支持TACACS+、RADIUS伺服器認證。 支持TACACS+、RADIUS集中認證
虛擬專網（VPN） 通過IOS軟體升級可支援IPSec、L2F和GRE隧道技術，支援40或56位DES加密。 支援Private Link或IPSec隧道和加密技術
網路位址翻譯（NAT） 集成IOS Plus實現 支援
冗余特性 通過路由器的冗餘協議HSRP實現 支援熱冗餘
自身安全 支持Denial-of-Service 支持Denial-of-Service
代理服務 無，通過路由器的路由功能實現應用 切入的代理服務功能
管理 通過路由器的管理工具，如Cisco Works 通過Firewall Manager實現管理
審計功能 一定的跟蹤和報警功能 狀態化資料過濾，可通過Firewall Manager實現較好的額監控、報告功能
四、 Centri防火牆
主要特性：
l 核心代理體系結構
l 針對Windows NT定制TCP/IP棧
l 圖形用戶結構可制訂安全政策
l 可將安全政策拖放到網路、網路組、用戶和用戶組
l ActiveX、Java小應用程式、Java和Vb模組
l 通用資源定位器（URL）模組
l 埠位址轉換
l 網路位址轉換
l 透明支援所有通用TCP/IP應用程式，包括WWW、檔傳輸協議（FTP）Telnet和郵件
l 為Web、Telnet和FTP提供代理安全服務
l 根據IP位址、IP子網和IP子網組進行認證
l 使用sl口令和可重複使用口令Telnet、Web和ftp提供聯機用戶認證
l 使用Windows NT對所有網路服務進行帶外認證
l 防止拒絕服務型攻擊，包括SYN Flood、IP地址哄騙和Ping-of-Death
訂購資訊
Cisco Centri產品
Centri Firewall v4.0 for Windows NT,50個用戶 Centri-50
Centri Firewall v4.0 for Windows NT,100個用戶 Centri-100
Centri Firewall v4.0 for Windows NT,250個用戶 Centri-250
Centri Firewall v4.0 for Windows NT,用戶不限 Centri-UNR
Centri Firewall v4.0 for Windows NT,從100個用戶升級到250個 Centri-UDP-100-250
Centri Firewall v4.0 for Windows NT,從250個用戶升級到無窮多 Centri-250-UNR
五、Cisco PIX防火牆的安裝流程
1. 將PIX安放至機架，經檢測電源系統後接上電源，並加電主機。
2. 將CONSOLE口連接到PC的串口上，運行HyperTerminal程式從CONSOLE口進入PIX系統；此時系統提示pixfirewall>。
3. 輸入命令：enable,進入特權模式，此時系統提示為pixfirewall#。
4. 輸入命令： configure terminal,對系統進行初始化設置。
5. 配置乙太口參數:
interface ethernet0 auto （auto選項表明系統自適應網卡類型 ）interface ethernet1 auto
6. 配置內外網卡的IP位址：
ip address inside ip_address netmask
ip address outside ip_address netmask
7. 指定外部位址範圍：
global 1 ip_address-ip_address
8. 指定要進行要轉換的內部位址：
nat 1 ip_address netmask
9. 設置指向內部網和外部網的缺省路由
route inside 0 0 inside_default_router_ip_address
route outside 0 0 outside_default_router_ip_address
10. 配置靜態IP位元址對映:
static outside ip_address inside ip_address
11. 設置某些控制選項：
conduit global_ip port<-port> protocol foreign_ip global_ip 指的是要控制的位址
port 指的是所作用的埠，其中0代表所有埠
protocol 指的是連接協定，比如：TCP、UDP等
foreign_ip 表示可訪問global_ip的外部ip，其中表示所有的ip。
12. 設置telnet選項：
telnet local_ip
local_ip 表示被允許通過telnet訪問到pix的ip位址（如果不設此項， PIX的配置只能由consle方式進行）。
13. 將配置保存：
wr mem
14. 幾個常用的網路測試命令：
#ping
#show interface 查看埠狀態
#show static 查看靜態位址映射
六、PIX與路由器的結合配置

（一）、PIX防火牆
1、設置PIX防火牆的外部位址：
ip address outside 131.1.23.2
2、設置PIX防火牆的內部位址：
ip address inside 10.10.254.1
3、設置一個內部電腦與Internet上電腦進行通信時所需的全局位址池：
global1 131.1.23.10-131.1.23.254
4、允許網路位址為10.0.0.0的網段位址被PIX翻譯成外部位址：
nat 110.0.0.0
5、網管工作站固定使用的外部位址為131.1.23.11：
static 131.1.23.11 10.14.8.50
6、允許從RTRA發送到到網管工作站的系統日誌包通過PIX防火牆：
conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255
7、允許從外部發起的對郵件伺服器的連接（131.1.23.10）：
mailhost 131.1.23.10 10.10.254.3
8、允許網路管理員通過遠端登錄管理IPX防火牆：
telnet 10.14.8.50
9、在位於網管工作站上的日誌伺服器上記錄所有事件日誌：
syslog facility 20.7
syslog host 10.14.8.50
（二）、路由器RTRA
RTRA是外部防護路由器，它必須保護PIX防火牆免受直接攻擊，保護FTP/HTTP伺服器，同時作為一個警報系統，如果有人攻入此路由器，管理可以立即被通知。
1、阻止一些对路由器本身的攻击：www.net130.com


no service tcps mall-servers
2、强制路由器向系统日志服务器发送在此路由器发生的每一个事件，包括被存取斜砭芫陌吐酚善髋渲玫母谋洌徽飧龆骺梢宰魑韵低彻芾碓钡脑缙谠ぞな居腥嗽谑酝脊セ髀酚善鳎蛘咭丫ト肼酚善鳎谑酝脊セ鞣阑鹎剑?BR>logging trapde bugging
3、此地址是网管工作站的外部地址，路由器将记录所有事件到此主机上：
logging 131.1.23.11
4、保护PIX防火墙和HTTP/FTP服务器以及防卫欺骗攻击（见存取列表）：
enable secret xxxxxxxxxxx
interface Ethernet 0
ipaddress 131.1.23.1 255.255.255.0
interfaceSerial 0
ip unnumbered ethernet 0
ip access-group 110 in
5、禁止任何顯示為來源於路由器RTRA和PIX防火牆之間的資訊包，這可以防止欺騙攻擊：
access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog
6、防止對PIX防火牆外部介面的直接攻擊並記錄到系統日誌伺服器任何企圖連接PIX防火牆外部介面的事件：
access-list 110 deny ip any host 131.1.23.2 log
7、允許已經建立的TCP會話的資訊包通過：
access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established
8、允許和FTP/HTTP伺服器的FTP連接：
access-list 110 permit tcp any host 131.1.23.3 eq ftp
9、允許和FTP/HTTP伺服器的FTP資料連接：
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
10、允許和FTP/HTTP伺服器的HTTP連接：
access-list 110 permit tcp any host 131.1.23.2 eq www
11、禁止和FTP/HTTP伺服器的別的連接並記錄到系統日誌伺服器任何企圖連接FTP/HTTP的事件：
access-list 110 deny ip any host 131.1.23.2 log
12、允許其他預定在PIX防火牆和路由器RTRA之間的流量：
access-list 110 permit ip any 131.1.23.0 0.0.0.255
13、限制可以遠端登錄到此路由器的IP位址：
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
14、只允許網管工作站遠端登錄到此路由器，當你想從Internet管理此路由器時，應對此存取控制列表進行修改：
access-list 10 permit ip 131.1.23.11
（三）、路由器RTRB
RTRB是內部網防護路由器，它是你的防火牆的最後一道防線，是進入內部網的入口。
1、記錄此路由器上的所有活動到網管工作站上的日誌伺服器，包括配置的修改：www.net130.com

logging trap debugging
logging 10.14.8.50
2、允許通向網管工作站的系統日誌資訊：
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255
3、禁止所有別的從PIX防火牆發來的資訊包：
access-list 110 deny ip any host 10.10.254.2 log
4、允許郵件主機和內部郵件伺服器的SMTP郵件連接：
access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp
5、禁止別的來源與郵件伺服器的流量：
access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255
6、防止內部網路的信任位址欺騙：
access-list deny ip any 10.10.254.0 0.0.0.255
7、允許所有別的來源於PIX防火牆和路由器RTRB之間的流量：
access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255
8、限制可以遠端登錄到此路由器上的IP地址：
line vty 0 4
login
password xxxxxxxxxx
access-class 10 in
9、只允許網管工作站遠端登錄到此路由器，當你想從Internet管理此路由器時，應對此存取控制列表進行修改：
access-list 10 permit ip 10.14.8.50
按以上設置配置好PIX防火牆和路由器後，PIX防火牆外部的攻擊者將無法在外部連接上找到可以連接的開放埠，也不可能判斷出內部任何一台主機的 IP位址，即使告訴了內部主機的IP位址，要想直接對它們進行Ping和連接也是不可能的。這樣就可以對整個內部網進行有效的保護。

http://www.5dmail.net/html/2006-1-5/200615151446.htm