【正文】 它們轉(zhuǎn)發(fā)到具體的服務(wù)中。代理服務(wù)防火墻可以配置成允許來(lái)自內(nèi)部網(wǎng)絡(luò)的任何連接，它也可以配置成要求用戶認(rèn)證后才建立連接，為安全性提供了額外的保證，使得從內(nèi)部發(fā)動(dòng)攻擊的可能性大大減少。 例如，一個(gè)公司決定將一個(gè)Telnet服務(wù)器作為主機(jī)，以使得遠(yuǎn)程的管理員能夠?qū)ζ鋱?zhí)行某些特定的操作。它代理一個(gè)連接過(guò)程如下：① 有一個(gè)用戶通過(guò)23端口Telnet到這個(gè)代理服務(wù)器上。屏蔽設(shè)備檢測(cè)這個(gè)連接的源IP地址是否在允許的源地址列表中。如果在的話，就對(duì)該連接進(jìn)行下一步的處理；如果不在的話，則拒絕該次連接。② 提示用戶進(jìn)行身份驗(yàn)證。③ 在通過(guò)了身份驗(yàn)證后，系統(tǒng)就會(huì)提示用戶給用戶一個(gè)系統(tǒng)菜單來(lái)允許用戶連接到目的主機(jī)④ 用戶選擇要連接的系統(tǒng)。⑤ 如果有要求，系統(tǒng)會(huì)提示用戶再輸入另外的身份驗(yàn)證信息。(三) 電路層網(wǎng)關(guān)技術(shù)電路層網(wǎng)關(guān)的運(yùn)行方式與代理服務(wù)器相似，它把數(shù)據(jù)包提交給應(yīng)用層過(guò)濾，并只依賴于TCP的連接。它遵循SOCKS 協(xié)議，即電路層網(wǎng)關(guān)的標(biāo)準(zhǔn)。它是在網(wǎng)絡(luò)的傳輸層實(shí)施訪問(wèn)策略，是在內(nèi)部網(wǎng)和外部網(wǎng)之間建立一個(gè)虛擬電路進(jìn)行通信。電路層網(wǎng)關(guān)的工作過(guò)程如下：① 假設(shè)有一個(gè)用戶正在試圖和一個(gè)目的URL進(jìn)行連接。② 該用戶所使用的客戶應(yīng)用程序是將請(qǐng)求發(fā)到地址已被解析的代理服務(wù)器的內(nèi)部上。③ 如果需要身份驗(yàn)證的話，網(wǎng)關(guān)就會(huì)提示用戶進(jìn)行身份驗(yàn)證。④ 如果用戶通過(guò)了身份驗(yàn)證的話，代理服務(wù)器就會(huì)執(zhí)行一些另外的任務(wù)，然后代理服務(wù)器為目的URL發(fā)出一個(gè)DNS請(qǐng)求，接著它再用自己的源IP地址和目的IP地址建立一個(gè)連接。⑤ 代理服務(wù)器將Web服務(wù)器上的應(yīng)答轉(zhuǎn)發(fā)給客戶。(四) 狀態(tài)檢測(cè)技術(shù)狀態(tài)檢測(cè)技術(shù)是包過(guò)濾技術(shù)的延伸，使用各種狀態(tài)表(state tables)來(lái)追蹤活躍的TCP會(huì)話。由用戶定義的訪問(wèn)控制列表(ACL)決定允許建立哪些會(huì)話(session)，只有與活躍會(huì)話相關(guān)聯(lián)的數(shù)據(jù)才能穿過(guò)防火墻。狀態(tài)檢測(cè)技術(shù)防火墻的工作過(guò)程如下：① 防火墻檢查數(shù)據(jù)包是否是一個(gè)已經(jīng)建立并且正在使用的通信流的一部分。② 根據(jù)所使用的協(xié)議，決定對(duì)數(shù)據(jù)包的檢查程度。③ 如果數(shù)據(jù)包和連接表的各項(xiàng)都不匹配，那么防火墻就會(huì)檢測(cè)數(shù)據(jù)包是否與它所配置的規(guī)則集相匹配。④ 在數(shù)據(jù)包檢測(cè)后，防火墻就會(huì)將該數(shù)據(jù)包轉(zhuǎn)發(fā)到它的目的地址，并且防火墻會(huì)在其連接表中為此次對(duì)話創(chuàng)建或者更新一個(gè)連接項(xiàng)，防火墻將使用這個(gè)連接項(xiàng)對(duì)返回的數(shù)據(jù)包進(jìn)行校驗(yàn)。⑤ 防火墻通常對(duì)TCP包中被設(shè)置的FIN位進(jìn)行檢測(cè)或者通過(guò)使用計(jì)時(shí)器來(lái)決定何時(shí)從連接表中刪除某連接項(xiàng)。 狀態(tài)檢測(cè)技術(shù)防火墻是對(duì)包過(guò)濾技術(shù)、電路層網(wǎng)關(guān)和代理服務(wù)技術(shù)的折中，它的速度和靈活性沒(méi)有包過(guò)濾機(jī)制好，但比代理服務(wù)技術(shù)好。它的應(yīng)用級(jí)安全不如代理服務(wù)技術(shù)強(qiáng)，但又比包過(guò)濾的機(jī)制的高。這種結(jié)合是對(duì)包過(guò)濾技術(shù)和代理服務(wù)技術(shù)的折中。四 防火墻的應(yīng)用方案本章主要以Cisco PIX 525防火墻為例來(lái)說(shuō)明防火墻的應(yīng)用方案(一) Cisco PIX防火墻的產(chǎn)品特點(diǎn)任何企業(yè)安全策略的一個(gè)主要部分都是實(shí)現(xiàn)和維護(hù)防火墻，因此防火墻在網(wǎng)絡(luò)安全的實(shí)現(xiàn)當(dāng)中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣，這使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其它外部網(wǎng)絡(luò)相互隔離，并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部的網(wǎng)絡(luò)。設(shè)置防火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡(jiǎn)化網(wǎng)絡(luò)的安全管理。在眾多的企業(yè)級(jí)主流防火墻中，Cisco PIX防火墻是所有同類(lèi)產(chǎn)品中性能最好的一種。Cisco PIX系列防火墻目前有5種型號(hào)PIX506，515，520，525，535，其中PIX535是PIX500系列中最新的，功能也是最強(qiáng)大的一款。它可以提供運(yùn)營(yíng)商級(jí)別的處理能力，適用于大型的ISP等服務(wù)提供商，但是PIX特有的OS操作系統(tǒng)，使得大多數(shù)管理是通過(guò)命令來(lái)實(shí)現(xiàn) 的不像其它同類(lèi)型的防火墻通過(guò)Web管理界面來(lái)進(jìn)行網(wǎng)絡(luò)管理以下通過(guò)實(shí)例介紹如何配置Cisco PIX防火墻。在配置PIX防火墻之前，先來(lái)介紹一下防火墻的物理特性。防火墻通常具有至少3個(gè)接口，但許多早期的防火墻只具有2個(gè)接口；當(dāng)使用具有3個(gè)接口的防火墻時(shí)，就至少產(chǎn)生了3個(gè)網(wǎng)絡(luò)，描述如下：(內(nèi)網(wǎng))：內(nèi)部區(qū)域通常就是指企業(yè)內(nèi)部網(wǎng)絡(luò)或者是企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分。它是互連網(wǎng)絡(luò)的信任區(qū)域，即受到了防火墻的保護(hù)。 2..外部區(qū)域(外網(wǎng))：外部區(qū)域通常指Internet或者非企業(yè)內(nèi)部網(wǎng)絡(luò)。它是互連網(wǎng)絡(luò)中不被信任的區(qū)域，當(dāng)外部區(qū)域想要訪問(wèn)內(nèi)部區(qū)域的主機(jī)和服務(wù)，通過(guò)防火墻，就可以實(shí)現(xiàn)有限制的訪問(wèn)。(DMZ)：?；饏^(qū)是一個(gè)隔離的網(wǎng)絡(luò)，或幾個(gè)網(wǎng)絡(luò)。位于?；饏^(qū)中的主機(jī)或服務(wù)器被稱(chēng)為堡壘主機(jī)。一般在?；饏^(qū)內(nèi)可以放置Web服務(wù)器，Mail服務(wù)器 等。?；饏^(qū)對(duì)于外部用戶通常是可以訪問(wèn)的，這種方式讓外部用戶可以訪問(wèn)企業(yè)的公開(kāi)信息，但卻不允許他們?cè)L問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)注意：2個(gè)接口的防火墻是沒(méi)有?；饏^(qū)的。(二) Cisco PIX525防火墻的配置1．PIX管理訪問(wèn)模式由于PIX535在企業(yè)級(jí)別不具有普遍性，因此下面主要說(shuō)明PIX525在企業(yè)網(wǎng)絡(luò)中的應(yīng)用。PIX防火墻提供4種管理訪問(wèn)模式： ① 非特權(quán)模式：PIX防火墻開(kāi)機(jī)自檢后，就是處于這種模式。系統(tǒng)顯示為pixfirewall ② 特權(quán)模式：輸入enable進(jìn)入特權(quán)模式，可以改變當(dāng)前配置。顯示為pixfirewall ③ 配置模式：輸入configure terminal進(jìn)入此模式，絕大部分的系統(tǒng)配置都在這里進(jìn)行。顯示為pixfirewall(config)④ 監(jiān)視模式：PIX防火墻在開(kāi)機(jī)或重啟過(guò)程中，按住Escape鍵或發(fā)送一個(gè)Break字符，進(jìn)入監(jiān)視模式。這里可以更新*作系統(tǒng)映象和口令恢復(fù)。顯示為monitor2. PIX525配置的基本步驟配置PIX防火墻有6個(gè)基本命令：nameif，interface，ip address，nat，global，route.這些命令在配置PIX時(shí)是必須的。以下是配置的基本步驟：① 配置防火墻接口的名字，并指定安全級(jí)別(nameif)。Pix525(config)nameif ethernet0 outside security0 Pix525(config)nameif ethernet9 inside security100 Pix525(config)nameif dmz security50提示：在缺省配置中，以太網(wǎng)0被命名為外部接口(outside)，安全級(jí)別是0；以太網(wǎng)9被命名為內(nèi)部接口(inside)，～99，數(shù)字越大安全級(jí)別越高。若添加新的接口，語(yǔ)句可以這樣寫(xiě)： Pix525(config)nameif pix/intf3 security40 (安全級(jí)別任取)② 配置以太口參數(shù)(interface)Pix525(config)interface ethernet0 auto(auto選項(xiàng)表明系統(tǒng)自適應(yīng)網(wǎng)卡類(lèi)型 )Pix525(config)interface ethernet1 100full (100full選項(xiàng)表示100Mbit/s以太網(wǎng)全雙工通信 )Pix525(config)interface ethernet1 100full shutdown (shutdown選項(xiàng)表示關(guān)閉這個(gè)接口，若啟用接口去掉shutdown )③ 配置內(nèi)外網(wǎng)卡的IP地址(ip address)Pix525(config)ip address outside Pix525(config)ip address inside 很明顯，(config)conduit permit tcp host eq any 。其中使用eq和一個(gè)端口來(lái)允許或拒絕對(duì)這個(gè)端口的訪問(wèn)。Eq ftp 就是指允許或拒絕只對(duì)ftp的訪問(wèn)。(config)conduit deny tcp any eq ftp host 。(config)conduit permit icmp any any 表示允許icmp消息向內(nèi)部和外部通過(guò)。(config)static (inside, outside) Pix525(config)conduit permit tcp host eq any 這個(gè)例子說(shuō)明static和conduit的關(guān)系。，現(xiàn)在希望外網(wǎng)的用戶能夠通過(guò)pix防火墻得到web服 務(wù)。所以先做static靜態(tài)映射：－(全局)，然后利用conduit命令允許任何外部主機(jī)對(duì) 。④ 配置fixup協(xié)議 fixup命令作用是啟用，禁止，改變一個(gè)服務(wù)或協(xié)議通過(guò)pix防火墻，由fixup命令指定的端口是pix防火墻要偵聽(tīng)的服務(wù)。見(jiàn)下面例子： (config)fixup protocol ftp 21 //啟用ftp協(xié)議，并指定ftp的端口號(hào)為21(config)fixup protocol 80Pix525(config)fixup protocol 1080 //為協(xié)議指定80和1080兩個(gè)端口。(config)no fixup protocol smtp 80 //禁用smtp協(xié)議。⑤ 設(shè)置telnettelnet 有一個(gè)版本的變化。在pix OS (pix*作系統(tǒng)的版本號(hào))之前，只能從內(nèi)部網(wǎng)絡(luò)上的主機(jī)通過(guò)telnet訪問(wèn)pix。在pix OS 及后續(xù)版本中，可以在所有的接口上啟用telnet到pix的訪問(wèn)。當(dāng)從外部接口要telnet到pix防火墻時(shí)，telnet數(shù)據(jù)流需要用ipsec提 供保護(hù)，也就是說(shuō)用戶必須配置pix來(lái)建立一條到另外一臺(tái)pix，路由器或vpn客戶端的ipsec隧道。另外就是在PIX上配置SSH，然后用 SSH client從外部telnet到PIX防火墻，PIX支持SSH1和SSH2，不過(guò)SSH1是免費(fèi)軟件，SSH2是商業(yè)軟件。相比之下 cisco路由器的telnet就做得不怎么樣了。telnet配置語(yǔ)法：telnet local_ip [netmask] local_ip表示被授權(quán)通過(guò)telnet訪問(wèn)到pix的ip地址。如果不設(shè)此項(xiàng)，pix的配置方式只能由console進(jìn)行。說(shuō)了這么多，下面給出一個(gè)配置實(shí)例供大家參考。Wele to the PIX firewallType help or 39。?39。 for a list of available mands. PIX525 en Password:PIX525sh config :Saved : PIX Version (1) //PIX當(dāng)前的* Nameif ethernet0 outside security0 Nameif ethernet1 inside security100 //顯示目前pix只有2個(gè)接口Enable password 7Y051HhCcoiRTSQZ encrypted Passed 7Y051HhCcoiRTSQZ encrypted //pix防火墻密碼在默認(rèn)狀態(tài)下已被加密，在配置文件中不會(huì)以明文顯示，telnet 密碼缺省為cisco Hostname PIX525 //主機(jī)名稱(chēng)為PIX525 Domainname //，通常用作為外部訪問(wèn)Fixup protocol ftp 21Fixup protocol 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 // 當(dāng)前啟用