CISCO PIX防火墻及網(wǎng)絡安全配置指南

隨著國際互連網(wǎng)的發(fā)展，一些企業(yè)建立了自己的INTRANET，并通過專線與INTERNET連通。為了保證企業(yè)內(nèi)部網(wǎng)的安全，防止非法入侵，需要使用專用的防火墻計算機。路由器防火墻只能作為過濾器，并不能把內(nèi)部網(wǎng)絡結(jié)構(gòu)從入侵者眼前隱藏起來。只要允許外部網(wǎng)絡上的計算機直接訪問內(nèi)部網(wǎng)絡上的計算機，就存在著攻擊者可以損害內(nèi)部局域網(wǎng)上機器的安全性，并從那里攻擊其他計算機的可能性。 

大多數(shù)提供代理服務的專用防火墻機器是基于UNIX系統(tǒng)的，這些操作系統(tǒng)本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange，私有Internet交換)防火墻，它運行自己定制的操作系統(tǒng)，事實證明，它可以有效地防止非法攻擊。PIX防火墻要求有一個路由器連接到外部網(wǎng)絡，如附圖所示。PIX有兩個ETHERNET接口，一個用于連接內(nèi)部局域網(wǎng)，另一個用于連接外部路由器。外部接口有一組外部地址，使用他們來與外部網(wǎng)絡通信。內(nèi)部網(wǎng)絡則配置有一個適合內(nèi)部網(wǎng)絡號方案的IP地址。PIX的主要工作是在內(nèi)部計算機需要與外部網(wǎng)絡進行通信時，完成內(nèi)部和外部地址之間的映射。 

配置好PIX防火墻后，從外部世界看來，內(nèi)部計算機好象就是直接連接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口，所以，向主機傳送信息包需要用到MAC地址。為了使內(nèi)部主機在數(shù)據(jù)鏈路層和網(wǎng)絡層上看起來都好象是連接在外部接口上的，PIX運行了代理ARP，代理ARP給外部網(wǎng)絡層IP地址指定數(shù)據(jù)鏈路MAC地址，這就使得內(nèi)部計算機看起來像是在數(shù)據(jù)鏈路層協(xié)議的外部接口上似的。大多數(shù)情況下，與外部網(wǎng)絡的通信是從內(nèi)部網(wǎng)絡中發(fā)出的。由于PIX是對信息包進行操作，而不是在應用過程級（代理服務器則采用這種方法），PIX既可以跟蹤UDP會話，也可以跟蹤TCP連接。當一個計算機希望同外部計算機進行通信時，PIX記錄下內(nèi)部來源地址，然后從外部地址庫分配一個地址，并記錄下所進行的轉(zhuǎn)換。這就是人們常說的有界NAT（stateful NAT），這樣，PIX就能記住它在同誰進行交談，以及是哪個計算機首先發(fā)起的對話。只有已被確認的來自外部網(wǎng)絡的信息包才會運行，并進入內(nèi)部網(wǎng)絡。 

不過，有時也需要允許外部計算機發(fā)起同指定的內(nèi)部計算機的通信。典型的服務包括電子郵件、WWW服務、以及FTP服務。PIX給一個內(nèi)部地址硬編碼一個外部地址，這個地址是不會過期的。在這種情況下，用到對目標地址和端口號的普通過濾。除非侵入PIX本身，外部用戶仍然是無法了解內(nèi)部網(wǎng)絡結(jié)構(gòu)的。在不了解內(nèi)部網(wǎng)絡結(jié)構(gòu)的情況下，惡意用戶就無法從內(nèi)部主機向內(nèi)部網(wǎng)絡實施攻擊。 

PIX另一個關(guān)鍵性的安全特性是對TCP信息包的序列編號進行隨機化處理。由于IP地址電子欺騙的方法早已公布，所以，入侵者已經(jīng)有可能通過這種方法，控制住一個現(xiàn)成的TCP連接，然后向內(nèi)部局域網(wǎng)上的計算機發(fā)送它們自己的信息。要想做到這一點，入侵者必須猜出正確的序列編號。在通常的TCP/IP中實現(xiàn)是很容易的，因為每次初始化連接時，大都采用一個相同的編號來啟動會話。而PIX則使用了一種數(shù)學算法來隨機化產(chǎn)生序列編號，這實際上使得攻擊者已經(jīng)不可能猜出連接所使用的序列編號了。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]