打造企業堅固的城墻 Cisco PIX防火墻特殊配置

2019-11-05 02:15:15

字體：大中小

來源：轉載

供稿：網友

選擇高檔完備的網絡安全設備是每一個成功企業必不可少的組網設施，但是實際上更多網絡中存在的威脅來自于企業內部，因此僅僅保護網絡組建的邊界是遠遠不夠的，建立一個一體化、多層次的安全體系結構可以提供更為徹底和實際的保護，

提高企業內部安全防范意識才是解決企業網絡安全的重中之中。

PIX防火墻簡介

PIX（PRivate Internet Exchange）防火墻是Cisco產品系列中稱得上佼佼者的防火墻產品。PIX防火墻可以部署到各種各樣的設計方案中。簡單的情況如下，PIX防火墻可能只有兩個接口，一個接口連接至受保護的內部網絡（內部接口），而另一個接口則連接到公共網絡（外部接口），一般來說就是指因特網。這里所謂的內部和外部具有非凡的意義，且各個接口在PIX防火墻配置中分別被命名為Inside接口（內部）和Outside接口（外部）。

為了讓公司能夠利用與因特網的連接，通常某些服務器必須對于外部世界是可訪問的，這些可訪問的服務器包括DNS、SMTP以及企業能夠擁有的任何公用Web服務器。DNS服務器必須是可訪問的，這樣才能將主機名字轉換成可用于數據報尋址的ip地址。雖然這些服務器可以放在防火墻之后的內部網絡中，但是強烈建議不要這樣做。因為這些主機中的任意一臺受到侵害后，都會導致入侵者能夠方便的訪問到內部網絡。而假如這些服務器放置在DMZ中，則PIX防火墻能夠答應內部用戶不加限制的訪問這些主機，而同時限制外部用戶來訪問這些主機。

從市場所占份額來說，狀態數據報防火墻是主導類型的防火墻產品。大多數的市場都顯示，PIX防火墻或Chechpoint軟件公司的Firewall經常占據市場中的第一位。在PIX防火墻的具體配置中共有58個PIX獨有特性，這些特性中有些功能非常明顯，而有些卻略顯隱蔽；有些特性是默認啟動的，而有些則需要手動進行配置。下面我們就來看下一些在企業組網中需要非凡“關注”特性的配置方法，以便充分利用PIX防火墻，為企業網絡提高安全系數。

手動配置TCP Intercept

思科從IOS 11.2版本中首次在路由器產品中引用了TCP Intercept(TCP截獲)特性，在PIX5.2以上版本中也引入了相同的特性，這個功能特性雖然是默認啟用的，但是仍需要一些手動設置。

該特性能夠為隱藏在防火墻后的主機設備提供保護，抵御成為“SYN泛洪”的特定類型網絡攻擊。使用SYN泛洪，攻擊者通過似乎發自不存在或不可達主機的連接請求，有效的使受害系統負荷過重，從而達到拒絕向目標主機提供服務的目的。SYN防洪巧妙的利用了操作系統為每條新的TCP連接請求分配內存和其他資源的原理。即使主機和服務器能夠支持大量的連接，它們所能處理的未完成連接的數目仍然是有限的。

由于TCP是雙向和全雙工的，所以它在兩個方向上都要建立連接。為了建立從服務器到客戶端的連接，服務器設置SYN位并包括他自己的順序號以便請求建立從服務器到客戶端的連接，服務器設置SYN位置承載對來自客戶端的初始連接請求的確認（ACK位）的分段重并發送給客戶端。此后，服務器等待第3步：從客戶端發來的對服務器到客戶端的連接請求的確認。這個過程通常被成為TCP的“3次握手”。

假如應答者服務器沒有在特定的TCP時間間隔內接收到應答，那么服務器會重傳設置有SYN和ACK位的分段。根據具體的TCP實現，重傳的次數一般是4次，重傳的時間間隔開始是1秒，然后一次加倍。假如服務持續的接受連接請求，那么資源可能很快就會被這些半開放的請求耗盡，這樣就不能再接受其他傳入請求，從而拒絕了那項服務。

TCP Intercept通過啟用此特性實現保護的主機設備截獲連接，以及對連接請求進行應答來解決這個問題。它代表客戶端建立了從PIX到受保護的主機的第二條連接。假如客戶端正常的完成連接，那么PIX防火墻透明地將這兩條連接結合在一起，最后的結果是建立了一條在客戶端和服務器之間的直接連接。

PIX防火墻使用了更短的超時時間間隔，而且假如在這個時間間隔內連接沒有完成，那么PIX就會放棄與客戶端的未完成連接，并且向受保護的服務器發送RST位，結束PIX到服務器的連接，從而釋放掉服務器資源。除了更短的超時之外，TCP Intercept還加入了可配置的閾值。閾值會對連接總數以及最近1分鐘內的連接速率進行監控。假如這兩個指標中任何一個超過了閾值，TCP Intercept都會從最久的連接開始斷掉半開放的連接，知道連接的數目或速率降到閾值以下。

在PIX防火墻上，半開放連接稱作初期連接。閾值可以通過static命令的可選參數進行設置。閾值默認值為0，這樣就有效的禁用了TCP Intercept。而若將這些初期連接參數設置為任何非零數值，就可以啟用TCP Intercept。它有效的替代了稱作Flood Defender的舊PIX特性。這個舊特性只答應對每個主機和服務上的初期連接總數進行限制。

PIX非凡應用配置

PIX防火墻支持很多需要某種非凡形式處理的標準或普通應用，其中一些要求對ASA狀態表所維護的信息作一些修改，以便在狀態數據報過濾環境中可以使用。另外一些由于被NAT修改了IP地址，所以可能需要對一個或多個上層協議頭字段進行調整。還有一組并不遵循所期望的發送者和接受者交換的對稱模式。對于大多數應用來說，客戶端和服務器之間交換的IP數據報具有相同的源和目的IP地址以及TCP/UDP端口號，只不過每次交換過程中發送者和接收者的角色正好相反。接下來我們將對這些非凡情況進行具體介紹。

1、 java Applet封鎖

PIX防火墻使得網絡治理員能夠過濾掉可能有害的Java小程序?？梢愿鶕炔靠蛻舳说脑吹刂?、外部服務器的目的地址，或者同時根據兩者，來對Java過濾進行定義。命令語法中包含反掩碼，它可以用來定義單個的地址或地址范圍。當啟用了Java過濾后，PIX防火墻就會搜索含有Java小程序標記（十六進制字符串0 x CEFE BABE）的http數據報。

啟用Java過濾的配置命令的一個實例如下：

Filter java 80 10.1.1.0 255.255.255 0.0.0.0.0.0.0.0

對上面命令的解釋如下：假如訪問端口80，那么子網10.1.1.0（一個較為安全的接口）中的所有客戶端都會禁止從安全性級別較低的接口商的任何主機（0.0.0.0.0.0.0.0）上下載Java小程序。這里的0.0.0.0.0.0.0.0 也可以縮寫稱0 0

2、ActiveX

與ActiveX有關的網絡安全問題類似于Java問題。ActiveX控件由可嵌入到Web頁中的對象組成，這些空間能夠下載到客戶端計算機中運行。ActiveX的過濾可以通過注釋掉Html<object>命令的引用來實現。所用到的命令語法實際上與Java過濾使用的命令相同，只不過是用filter activex…代替了filter java…。

3、 URL過濾

利用與Websense公司合作，Cisco提供了將Websense的Open Server內容過濾服務器與PIX防火墻配合使用的能力。Websense被很多組織用于設置和增強作為網絡安全策略的一個組成部分的因特網訪問策略(IAP)。Websense利用一個由超過150萬的站點構成的主數據庫對因特網內容進行過濾。對訪問的拒絕（封鎖）可以根據用戶、團體或者時間來設置。

URL過濾答應PIX防火墻將Websense服務器定義的IAP出站用戶所請求的URL進行比較。下面的例子使用地址為10.2.2.2的Websense服務器過濾掉除子網10.1.1.0上的用戶之外的所有出站訪問。第3行只在例外情況時才需要，否則它是可選的。

url-server host 10.2.2.2

filter url http 0000

filter url except 10.1.1.0 255.255.255.0

控制通過PIX防火墻的流量

由于防火墻的主要目的是封鎖，至少是要控制對受保護網絡的訪問，所以應當關注的是傳入的數據報。把傳入流量或入站流量定義為從安全性較差的接口進入PIX防火墻和從安全性較高的接口離開PPIX防火墻的數據報。類似的，把傳出流量或出站流量定義為從安全性較高的接口進入PIX防火墻和從安全性較差的接口離開PIX防火墻的數據報。其中只有一個接口被命名為Inside（安全級別＝100），也只有一個接口被命名為Outside（安全級別＝0）。這是因為在所有接口中，這兩個接口是永遠分別處在最內部和最外部的。根據具體的安全級別，其他DMZ或外圍接口相對于另外的接口可能是內部的，也可能是外部的，但是他們相對于Inside接口而言總是外部的，對于Outside接口而言則總是內部的。

在PIX防火墻5.2之前的版本中，用來定義答應流量的協議參數的命令是conduit命令。Conduit命令的語法看起來非常像擴展訪問列表所使用的格式，不過在命令的語法中，源地址和目的地址的位置正好相反。從5.2版本開始，傳統的擴展訪問列表代替了conduit命令。目前，盡管Cisco推薦使用新的格式，但是實際上這兩種命令格式都可以使用。

為了對去往這些服務器的流量定義相應的通道，可以規定服務器的IP地址作為目的地址，并規定HTTP、DNS和SMTP作為目的端口號，但是通常并不知道源地址和源端口號。下面是一個訪問列表的例子，在這個例子中，IP地址為10.1.1.1的服務器能夠提供所有3種服務。

access-list dmz permit tcp any host 10.1.1.1 eq http

Access-list dmz permit tcp any host 10.1.1.1 eq smtp

Access-list dmz permit tcp any host 10.1.1.1 eq domain

上面所列方法就舉例而言是已經足夠了，但是在安全方面還要進一步設置。因為并不能預知外部用戶將使用哪些源IP地址和源端口，所以必須在ACL中規定答應使用所有的原地址和源端口。

上一篇：無線網卡鏈接無線路由組網設置詳解(圖)

下一篇：無線區域網和認知無線電技術(2)