【文章內(nèi)容簡(jiǎn)介】 的安全性n 屏蔽內(nèi)網(wǎng)用 戶 與外網(wǎng)的直接通信，提供更嚴(yán) 格的 檢查n 提供 對(duì)協(xié)議 的控制，拒 絕 所有沒(méi)有配置的連 接n 提供用 戶級(jí) 控制，可近一步提供身份 認(rèn)證等信息79應(yīng) 用代理的 優(yōu) 缺點(diǎn)n 優(yōu) 點(diǎn)：q 可以 隱 藏內(nèi)部網(wǎng) 絡(luò) 的信息；q 可以具有 強(qiáng) 大的日志 審 核；q 可以 實(shí)現(xiàn) 內(nèi)容的 過(guò)濾 ；n 缺點(diǎn)：q 價(jià)格高q 速度慢 q 失效 時(shí) 造成網(wǎng) 絡(luò) 的 癱瘓80電 路 級(jí) 代理n 電 路 級(jí) 代理因此可以同 時(shí)為 不同的服 務(wù)，如 WEB 、 FTP、 TELNET提供代理服即 SOCKS代理，它工作在 傳輸層 。81應(yīng) 用代理n 應(yīng) 用代理工作在 應(yīng) 用 層 ， 對(duì) 于不同的服 務(wù)，必 須 使用不同的代理 軟 件。應(yīng)用代理應(yīng)用代理內(nèi)部主機(jī)內(nèi)部主機(jī)WEB 服務(wù)服務(wù)FTP服務(wù)WEBFTP82電 路 級(jí) 代理 優(yōu) 缺點(diǎn)優(yōu) 點(diǎn)：n 隱 藏內(nèi)部網(wǎng) 絡(luò) 信息n 配置 簡(jiǎn)單 ，無(wú)需 為 每個(gè) 應(yīng) 用程序配置一個(gè)代理缺點(diǎn)：n 多數(shù) 電 路 級(jí) 網(wǎng)關(guān)都是基于 TCP端口配置，不 對(duì) 數(shù)據(jù)包 檢測(cè) ，可能會(huì)有漏洞83NAT防火 墻NAT定 義 NAT（ Network Address Transla tion）網(wǎng)絡(luò) 地址翻 譯 最初 設(shè)計(jì) 目的是用來(lái)增加私有組織 的可用地址空 間 和解決將 現(xiàn) 有的私有TCP/IP網(wǎng) 絡(luò)連 接到網(wǎng)上的 IP地址 編 號(hào) 問(wèn)題 84NAT防火 墻NAT提供的功能n 內(nèi)部主機(jī)地址 隱 藏n 網(wǎng) 絡(luò)負(fù)載 均衡n 網(wǎng) 絡(luò) 地址交疊85NAT（網(wǎng) 絡(luò) 地址翻 譯 ）n 根據(jù)內(nèi)部 IP地址和外部 IP地址的數(shù)量 對(duì)應(yīng) 關(guān)系，NAT分 為 ：q 基本 NAT： 簡(jiǎn)單 的地址翻 譯q M1，多個(gè)內(nèi)部網(wǎng)地址翻 譯 到 1個(gè) IP地址q MN，多個(gè)內(nèi)部網(wǎng)地址翻 譯 到 N個(gè) IP地址池86NAT的 優(yōu) 缺點(diǎn)n 優(yōu) 點(diǎn)q 管理方便并且 節(jié)約 IP地址 資 源。q 隱 藏內(nèi)部 IP 地址信息。 僅 當(dāng)向某個(gè)外部地址發(fā) 送 過(guò) 出站包 時(shí) ， NAT 才允 許 來(lái)自 該 地址的流量入站。 n 缺點(diǎn)q 外部 應(yīng) 用程序卻不能方便地與 NAT 網(wǎng)關(guān)后面的應(yīng) 用程序 聯(lián) 系。 87防火 墻 布置n 簡(jiǎn)單 包 過(guò)濾 路由n 雙宿 /多宿主機(jī)模式n 屏蔽主機(jī)模式n 屏蔽子網(wǎng)模式88包 過(guò)濾 路由內(nèi)部網(wǎng)絡(luò) 外部網(wǎng)絡(luò)包過(guò)濾路由器優(yōu)點(diǎn)：優(yōu)點(diǎn)： 配置簡(jiǎn)單配置簡(jiǎn)單缺點(diǎn)：缺點(diǎn)：?日志沒(méi)有或很少，難以判斷是否被入侵日志沒(méi)有或很少，難以判斷是否被入侵?規(guī)則表會(huì)隨著應(yīng)用變得很復(fù)雜規(guī)則表會(huì)隨著應(yīng)用變得很復(fù)雜?單一的部件保護(hù)，脆弱單一的部件保護(hù)，脆弱89雙宿 /多宿主機(jī)模式n 堡 壘 主機(jī)：關(guān) 鍵 位置上用于安全防御的某個(gè)系 統(tǒng) ，攻 擊 者攻 擊 網(wǎng) 絡(luò) 必 須 先行攻 擊 的主機(jī)。n 雙宿 /多宿主機(jī)防火 墻 又稱 為 雙宿 /多宿網(wǎng)關(guān)防火 墻 ，它是一種 擁 有兩個(gè)或多個(gè) 連 接到不同網(wǎng) 絡(luò) 上的網(wǎng) 絡(luò) 接口的防火 墻 ，通常用一臺(tái)裝有兩 塊 或多 塊 網(wǎng)卡的堡 壘 主機(jī)做防火 墻 ，兩 塊 或多 塊 網(wǎng)卡各自與受保 護(hù) 網(wǎng)和外部網(wǎng)相 連 90雙宿 /多宿主機(jī)模式內(nèi)部網(wǎng)絡(luò) 外部網(wǎng)絡(luò)應(yīng)用代理服務(wù)器完成：?對(duì)外屏蔽內(nèi)網(wǎng)信息?設(shè)置訪問(wèn)控制?對(duì)應(yīng)用層數(shù)據(jù)嚴(yán)格檢查91優(yōu) 點(diǎn)：n 配置 簡(jiǎn)單n 檢查 內(nèi)容更 細(xì) 致n 屏蔽了內(nèi)網(wǎng) 結(jié) 構(gòu)缺點(diǎn)：n 應(yīng) 用代理本身的安全性92屏蔽主機(jī)內(nèi)部網(wǎng)絡(luò) 外部網(wǎng)絡(luò)包過(guò)濾路由包過(guò)濾路由堡壘主機(jī)堡壘主機(jī)兩道屏障：網(wǎng)絡(luò)層的包過(guò)濾；應(yīng)用層代理服務(wù)兩道屏障：網(wǎng)絡(luò)層的包過(guò)濾；應(yīng)用層代理服務(wù)注：與雙宿主機(jī)網(wǎng)關(guān)不同，這里的應(yīng)用網(wǎng)關(guān)只有注：與雙宿主機(jī)網(wǎng)關(guān)不同，這里的應(yīng)用網(wǎng)關(guān)只有一塊網(wǎng)卡。一塊網(wǎng)卡。Web服務(wù)器服務(wù)器93屏蔽主機(jī)優(yōu) 點(diǎn)：n 雙重保 護(hù) ，安全性更高。實(shí) 施策略：n 針對(duì) 不同的服 務(wù) ， 選擇 其中的一種或兩種保 護(hù) 措施。94屏蔽子網(wǎng)內(nèi)部網(wǎng)絡(luò) 外部網(wǎng)絡(luò)外部路外部路由器由器內(nèi)部路內(nèi)部路由器由器周邊網(wǎng)絡(luò)（周邊網(wǎng)絡(luò)（DMZ））95屏蔽子網(wǎng)1）周 邊 網(wǎng) 絡(luò) ：非 軍 事化區(qū)、?；饏^(qū)（ DMZ）n 周 邊 網(wǎng) 絡(luò) 是另一個(gè)安全 層 ,是在外部網(wǎng) 絡(luò) 與內(nèi)部網(wǎng) 絡(luò) 之 間 的附加的網(wǎng) 絡(luò) 。n 對(duì) 于周 邊 網(wǎng) 絡(luò) ，如果某人侵入周 邊 網(wǎng)上的堡壘 主機(jī)，他 僅 能探聽(tīng)到周 邊 網(wǎng)上的通信。2）內(nèi)部路由器（阻塞路由器）：保 護(hù) 內(nèi)部的網(wǎng) 絡(luò) 使之免受 Inter和周 邊 子網(wǎng)的侵犯。它 為 用 戶 的防火 墻執(zhí) 行大部分的數(shù)據(jù)包 過(guò)濾 工作96屏蔽子網(wǎng)n 3）外部路由器： 在理 論 上，外部路由器保護(hù) 周 邊 網(wǎng)和內(nèi)部網(wǎng)使之免受來(lái)自 Inter的侵犯。 實(shí)際 上，外部路由器 傾 向于允 許 幾乎任何 東 西從周 邊 網(wǎng)出站，并且它 們 通常只 執(zhí) 行非常少的數(shù)據(jù)包 過(guò)濾 。n 外部路由器安全任 務(wù) 之一是：阻止從Inter上 偽 造源地址 進(jìn) 來(lái)的任何數(shù)據(jù)包。97優(yōu) 點(diǎn)n 安全性 較 高n 可用性 較 好缺點(diǎn)n 配置復(fù) 雜n 成本高98PIX994種管理 訪問(wèn) 模式 n 非特 權(quán) 模式q PIX防火 墻 開(kāi)機(jī)自 檢 后，就是 處 于 這 種模式。系 統(tǒng)顯 示 為pixfirewall n 特 權(quán) 模式q 輸 入 enable進(jìn) 入特 權(quán) 模式，可以改 變 當(dāng)前配置。 顯 示 為pixfirewall n 配置模式q 輸 入 configure terminal進(jìn) 入此模式， 絕 大部分的系 統(tǒng) 配置都在 這里 進(jìn) 行。 顯 示 為 pixfirewall(config) n 監(jiān)視 模式q PIX防火 墻 在開(kāi)機(jī)或重啟 過(guò) 程中，按住 Escape鍵 或 發(fā) 送一個(gè)Break字符， 進(jìn) 入 監(jiān)視 模式。 這 里可以更新 *作系 統(tǒng) 映象和口令恢復(fù)。 顯 示 為 monitor1006個(gè)基本命令 n nameifn interfacen ip addressn natn globaln route 101nameif n 配置防火 墻 接口的名字，并指定安全 級(jí)別 q Pix525(config)nameif ether0 outside security 0 q Pix525(config)nameif ether1 inside security 100q Pix525(config)nameif ether2 dmz security 50q 在缺省配置中，以太網(wǎng) 0被命名 為 外部接口（ outside），安全 級(jí)別 是 0；以太網(wǎng) 1被命名 為 內(nèi)部接口（ inside），安全 級(jí)別 是 100。安全 級(jí)別 取 值 范 圍為 1～ 99，數(shù)字越大安全 級(jí)別 越高。 102interface n 配置以太口參數(shù) n Pix525(config)interface ether0 auto q auto選項(xiàng) 表明系 統(tǒng) 自適 應(yīng) 網(wǎng)卡 類 型n Pix525(config)interface ether1 100fullq 100full選項(xiàng) 表示 100Mbit/s以太網(wǎng)全雙工通信 n Pix525(config)interface ether1 100full shutdown q shutdown選項(xiàng) 表示關(guān) 閉這 個(gè)接口，若啟用接口去掉shutdown103ip address n Pix525(config)ip address outside n Pix525(config)ip address inside n 很明 顯 ， Pix525防火 墻 在外網(wǎng)的 ip地址是，內(nèi)網(wǎng) ip地址是 104nat n 指定要 進(jìn) 行 轉(zhuǎn)換 的內(nèi)部地址 n 網(wǎng) 絡(luò) 地址翻 譯 （ nat）作用是將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為 外網(wǎng)的公有 ip.n Nat命令 總 是與 global命令一起使用， 這 是因 為 nat命令可以指定一臺(tái)主機(jī)或一段范 圍的主機(jī) 訪問(wèn) 外網(wǎng)， 訪問(wèn) 外網(wǎng) 時(shí) 需要利用global所指定的地址池 進(jìn) 行 對(duì) 外 訪問(wèn) 。 105nat命令配置 語(yǔ) 法n nat (if_name) nat_id local_ip [mark] n 其中（ if_name）表示內(nèi)網(wǎng)接口名字，例如inside。 nat_id用來(lái) 標(biāo)識(shí) 全局地址池，使它與其相 應(yīng) 的 global命令相匹配， local_ip 表示內(nèi)網(wǎng)被分配的 ip地址。例如 網(wǎng)所有主機(jī)可以 對(duì) 外 訪問(wèn) 。 [mark]表示內(nèi)網(wǎng) ip地址的子網(wǎng)掩 碼 。106nat例子n 例 1． Pix525(config)nat (inside) 1 0 0 q 表示啟用 nat,內(nèi)網(wǎng)的所有主機(jī)都可以 訪問(wèn) 外網(wǎng)，用 0可以代表 n 例 2． Pix525(config)nat (inside) 1 q 表示只有 個(gè)網(wǎng)段內(nèi)的主機(jī)可以 訪問(wèn)外網(wǎng)。107global n 指定外部地址范 圍 n global命令把內(nèi)網(wǎng)的 ip地址翻 譯 成外網(wǎng)的 ip地址或一段地址范 圍 。n global命令的配置 語(yǔ) 法： global (if_name) nat_id ip_addressip_address [mark global_mask] n 其中（ if_name）表示外網(wǎng)接口名字，例如 outside.。 Nat_id用來(lái) 標(biāo)識(shí) 全局地址池，使它與其相 應(yīng) 的nat命令相匹 配， ip_addressip_address表示翻 譯 后的 單 個(gè) ip地址或一段 ip地址范 圍 。 [mark global_mask]表示全局 ip地址的網(wǎng) 絡(luò) 掩 碼 。 108global 例子n 例 1． Pix525(config)global (outside) 1 q 表示內(nèi)網(wǎng)的主機(jī)通 過(guò) pix防火 墻 要 訪問(wèn) 外網(wǎng) 時(shí) ， pix防火墻 將使用 段 ip地址池 為 要 訪問(wèn) 外網(wǎng)的主機(jī)分配一個(gè)全局 ip地址。n 例 2． Pix525(config)global (outside) 1 q 表示內(nèi)網(wǎng)要 訪問(wèn) 外網(wǎng) 時(shí) ， pix防火 墻 將 為訪問(wèn) 外網(wǎng)的所有主機(jī) 統(tǒng) 一使用 個(gè) 單 一 ip地址。n 例 3. Pix525(config)no global (outside) 1 q 表示 刪 除 這 個(gè)全局表 項(xiàng) 。109route n 設(shè) 置指向內(nèi)網(wǎng)和外網(wǎng)的靜 態(tài) 路由（ route） 定 義 一條靜 態(tài) 路由。 n route命令配置 語(yǔ) 法： route (if_name) 0 0 gateway_ip [metric] n 其中（ if_name）表示接口名字，例如 inside， outside。 gateway_ip表示網(wǎng)關(guān)路由器的 ip地址。 [metric]表示到 gateway_ip的跳數(shù)。通常缺省是 1。110n 例 1． Pix525(config)route outside 0 0 1 q 表示一條指向 邊 界路由器（ ip地址 ）的缺省路由。n 例 2． Pix525(config)route inside 1 q 創(chuàng) 建了一條到網(wǎng) 絡(luò) 態(tài) 路由，靜 態(tài) 路由的下一條路由器 ip地址是 n Pix525(config)route inside 1 111static n 配置靜 態(tài) IP地址翻 譯n 如果從外網(wǎng) 發(fā) 起一個(gè)會(huì) 話 ，會(huì) 話 的目的地址是一個(gè)內(nèi)網(wǎng)的 ip地址， static就把內(nèi)部地址翻 譯 成一個(gè)指定的全局地址，允 許這 個(gè)會(huì) 話 建立。 n static (internal_if_name， external_if_name) outside_ip_address inside_ ip_address q 其中 internal_if_name表示內(nèi)部網(wǎng) 絡(luò) 接口，安全 級(jí)別較高，如 inside。 external_if_name為 外部網(wǎng) 絡(luò) 接口，安全級(jí)別較 低，如 outside等。 outside_ip_address為 正在 訪問(wèn) 的 較 低安全 級(jí)別 的接口上的 ip地址。 inside_ ip_address為 內(nèi)部網(wǎng) 絡(luò) 的本地 ip地址。 112conduit n 管道命令n 前面 講過(guò) 使用 static命令可以在一個(gè)本地 ip地址和一個(gè)全局 ip地址之 間創(chuàng) 建了一個(gè)靜 態(tài) 映射，但從外部到內(nèi)部接口的 連 接仍然會(huì)被 pix防火 墻的自適 應(yīng) 安全算法 (ASA)阻 擋 。n conduit命令用來(lái)允 許 數(shù)據(jù)流從具有 較 低安全 級(jí)別 的接口流向具有 較 高安全 級(jí)別 的接口，例如允 許 從外部到 DMZ或內(nèi)部接口的入方向的會(huì)話 。 對(duì) 于向內(nèi)部接口的 連 接， static和 conduit命令將一起使用，來(lái)指定會(huì) 話 的建立。 113conduit命令配置 語(yǔ) 法114115116配置 fixup協(xié)議 n fixup命令作用是啟用，禁止，改