網(wǎng)絡(luò)防火墻安全配置探討

鐘百成　朱連慶

[摘要]以Cisco PIX Firewall防火墻為例，介紹防火墻的一些功能和作用。說明如何利用Cisco PIX Firewall配置方便快捷地構(gòu)建一個較為安全的防火墻系統(tǒng)。

[關(guān)鍵詞]防火墻 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)配置 IP地址

中圖分類號：TP3文獻(xiàn)標(biāo)識碼：A文章編號：1671－7597（2009）0120048－01

一、引言

隨著Internet的進(jìn)入普及和迅猛發(fā)展，針對入網(wǎng)主機(jī)的入侵的日益增多，應(yīng)用防火墻技術(shù)勢在必行 。但各種各樣的防火墻產(chǎn)品種類繁多，功能不一，這就給防火墻系統(tǒng)的實(shí)現(xiàn)和維護(hù)帶來了許多難處。如何構(gòu)建一個安全實(shí)用，容易實(shí)現(xiàn)的防火墻系統(tǒng)是值得研究的，一般來說，一個完整的防火墻系統(tǒng)既要防止外部入侵，又要防止內(nèi)部人員的非法訪問。對于Cisco PIX Firewall防火墻來說，通過動態(tài)和靜態(tài)的地址映射，管道技術(shù)，我們可以方便容易地實(shí)現(xiàn)一個較為完整的防火墻系統(tǒng)。

二、Cisco PIX Firewall功能簡介

一般說來，一個防火系統(tǒng)就是在兩個網(wǎng)絡(luò)之間實(shí)施的若干的存取控制方法的集合。通常有兩種類型的防火墻；基于網(wǎng)絡(luò)層的包過濾防火墻和基于應(yīng)用層的隔離網(wǎng)絡(luò)的代理服務(wù)器(proxy server)。前一種主要是在網(wǎng)絡(luò)層根據(jù)IP包的源和目的地址及源和目的端口來決定是轉(zhuǎn)發(fā)還是丟棄IP包，而后一種是在應(yīng)用層為每一種服務(wù)提供一個代理，鑒于這兩種技術(shù)都有各自的特點(diǎn)和弊端，建設(shè)一個具有良好性能的防火墻應(yīng)是基于拓?fù)浣Y(jié)構(gòu)的合理選用和防火墻技術(shù)的合理配置。

Cisco PIX Firewall是基于這兩種技術(shù)結(jié)合的防火墻。它應(yīng)用安全算法(Adaptive Security Algorithm)，將內(nèi)部主機(jī)的地址映射為外部地址，拒絕未經(jīng)允許的包入境，實(shí)現(xiàn)了動態(tài)，靜態(tài)地址映射，從而有效地屏蔽了內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。通過管道技術(shù)，出境訪問列表，我們可以有效地控制內(nèi)、外部各資源的訪問。

PIX Firewall可連接四個不同的網(wǎng)絡(luò)，每個網(wǎng)絡(luò)都可定義一個安全級別，級別低的相對于級別高的總是被視為外部網(wǎng)絡(luò)，但最低的必須是全球統(tǒng)一的IP地址。以下，我們僅以兩個網(wǎng)絡(luò)為例介紹Cisco PIX Firewall防火墻系統(tǒng)。

三、Cisco PIX Firewall的配置過程

在配置之前，應(yīng)先規(guī)劃好網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，制定較為詳細(xì)的安全策略；以圖一拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)為例。設(shè)它有IP地址范圍204.31.17.128-204.31.17.191,有E-mail，WWW，F(xiàn)TP等服務(wù)器，PIX Firewall的內(nèi)部虛IP地址范圍為:192.168.

3.1-192.168.3.255,可以定義以下策略：

（一）屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

為了防止黑客的侵入，應(yīng)采用動態(tài)地址映射隔離內(nèi)部網(wǎng)絡(luò)，屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。我們對PIX Firewall做如下配置：

nat100

Global (outside)1204.31.17.131204.31.17.165

global (outside)1204.31.17.130

上述配置阻擋全部入境訪問

（二）對資源主機(jī)的訪問控制

E-mail，F(xiàn)TP，www等服務(wù)器是重要的資源，必須利用管道(conduit)使得外部對它們可訪問，但必須限制對它們的訪問，即禁止除E-mail，www，F(xiàn)TP以外的一切服務(wù)，以獲得最大的安全性，配置方法如下：

static(inside，outside) 204.31.17.129 192.168.3.1

conduit permit tcp host 204.31.17.129eqwwwany

static(inside，outside) 204.31.17.128 192.168.3.2

conduit permit tcp host 204.31.17.128eqsmtpany

static(inside，outside) 204.31.17.166 192.168.3.3

conduit permit tcp host 204.31.17.128eqftpany

（三）對Internet上的敏感主機(jī)和資源的控制

對于Internet上的一些敏感資源，如一些不健康站點(diǎn)，我們可用（nslookup域名）查到其IP地址，并對出境的訪問加以控制。在PIX Firewall上的配置如下：

outbound 10 deny 204.31.17.11255.255.255.255 www tcp

apply (inside) 10outgoing_dest

對內(nèi)部主機(jī)，我們可以控制其能使用的服務(wù)，例如，對圖一主機(jī)192.168.3.4我們可以禁止它使用WWW服務(wù)訪問外部網(wǎng)絡(luò)。其配置如下：

outbound 20 deny192.168.3.4255.255.255.255wwwtcp

apply(inside) 20 outgoing_src

為樣我們就可以對內(nèi)部主機(jī)到外部的訪問進(jìn)行完全的控制。

四、防范內(nèi)部網(wǎng)絡(luò)的非法IP和MAC地址

由于IP地址可被設(shè)置更改，非法用戶常篡改，盜用他人的IP地址和MAC地址，來達(dá)到隱藏其非法訪問的目的。我們可以使用PIX Firewall的ARP命令將內(nèi)部主機(jī)的IP和它的MAC地址綁定，來有效地防止篡改和盜用IP地址現(xiàn)象。例如，我們要將主機(jī)的IP地址192.168.0.100與它的MAC地址00e0.1e40.2a7c綁定，可進(jìn)行如下配置：

arp inside 192.168.0.10000e0.1e40.2a7c alias

wr m

結(jié)合以上四種配置，Cisco PIX Firewall可以實(shí)現(xiàn)對IP包過濾，屏蔽內(nèi)部網(wǎng)絡(luò)和對網(wǎng)絡(luò)資源加以的控制，并有效地防范IP地址的盜用和篡改。從而較好地實(shí)現(xiàn)了一個完整的防火墻系統(tǒng)。由此可見，由PIX來構(gòu)筑一防火墻系統(tǒng)極其方便的。

參考文獻(xiàn)：

[1]Cisco system資料configuration guide for the PIX Firewall.

[2]Cisco system資料Introduction to Cisco Router configuration.