　　1．前言

　　如何构建一个安全实用，容易实现的防火墙系统是值得研究的，一般来说，一个完整的防火墙系统既要防止外部入侵，又要防止内部人员的非法访问。对于Cisco PIX Firewall防火墙来说，通过动态和静态的地址映射，管道技术，我们可以方便容易地实现一个较为完整的防火墙系统。

　　2． Cisco PIX Firewall功能简介

　　一般说来，一个防火系统就是在两个网络之间实施的若干的存取控制方法的集合。通常有两种类型的防火墙；基于网络层的包过滤防火墙和基于应用层的隔离网络的代理服务器（proxy server）。前一种主要是在网络层根据IP包的源和目的地址及源和目的端口来决定是转发还是丢弃IP包，而后一种是在应用层为每一种服务提供一个代理，鉴于这两种技术都有各自的特点和弊端，建设一个具有良好性能的防火墙应是基于拓扑结构的合理选用和防火墙技术的合理配置。

　　Cisco PIX Firewall是基于这两种技术结合的防火墙。它应用安全算法（Adaptive Security Algorithm），将内部主机的地址映射为外部地址，拒绝未经允许的包入境，实现了动态，静态地址映射，从而有效地屏蔽了内部网络拓扑结构。通过管道技术，出境访问列表，我们可以有效地控制内、外部各资源的访问。

　　PIX Firewall可连接四个不同的网络，每个网络都可定义一个安全级别，级别低的相对于级别高的总是被视为外部网络，但最低的必须是全球统一的IP地址。以下，我们仅以两个网络为例介绍Cisco PIX Firewall防火墙系统。

　　3．Cisco PIX Firewall 的配置过程

　　在配置之前，应先规划好网络拓扑结构，制定较为祥细的安全策略；

　　以图一拓扑结构网络为例。设它有IP地址范围204.31.17.128-204.31.17.191,有E-mail，WWW，FTP等服务器，PIX Firewall的内部虚IP地址范围为：192.168.3.1-192.168.3.255,可以定义以下策略

　　3.1 屏蔽内部网络拓扑结构

　　为了防止黑客的侵入，应采用动态地址映射隔离内部网络，屏蔽内部网络拓扑结构。我们对PIX Firewall做如下配置:

　　nat 1 0 0

　　global (outside) 1 204.31.17.131 ?C 204.31.17.165

　　global (outside) 1 204.31.17.130

　　上述配置阻挡全部入境访问

　　3.2 对资源主机的访问控制

　　E-mail，FTP，www等服务器是重要的资源，必须利用管道(conduit)使得外部对它们可访问，但必须限制对它们的访问，即禁止除E-mail，www，FTP以外的一切服务，以获得最大的安全性，配置方法如下：

　　static (inside，outside) 204.31.17.129 192.168.3.1

　　conduit permit tcp host 204.31.17.129 eq www any

　　static (inside，outside) 204.31.17.128 192.168.3.2

　　conduit permit tcp host 204.31.17.128 eq smtp any

　　static (inside，outside) 204.31.17.166 192.168.3.3

　　conduit permit tcp host 204.31.17.128 eq ftp any

　　3.3 对Internet上的敏感主机和资源的控制

　　对于Internet上的一些敏感资源，如一些不健康站点，我们可用(nslookup 域名)查到其IP地址，并对出境的访问加以控制。在PIX Firewall上的配置如下：

　　outbound 10 deny 204.31.17.11 255.255.255.255 www tcp

　　apply (inside) 10 outgoing_dest

　　对内部主机，我们可以控制其能使用的服务，例如，对图一主机192.168.3.4我们可以禁止它使用WWW服务访问外部网络。其配置如下：

　　outbound 20 deny 192.168.3.4 255.255.255.255 www tcp

　　apply(inside) 20 outgoing_src

　　这样我们就可以对内部主机到外部的访问进行完全的控制。

　　４．防范内部网络的非法IP和MAC地址

　　由于IP地址可被设置更改，非法用户常篡改，盗用他人的IP地址和MAC地址，来达到隐藏其非法访问的目的。我们可以使用PIX Firewall的ARP命令将内部主机的IP和它的MAC地址绑定，来有效地防止篡改和盗用IP地址现象。例如，我们要将主机的IP地址192.168.3.4与它的MAC地址00e0.1e40.2a7c绑定，可进行如下配置：

　　arp inside 192.168.3.4 00e0.1e40.2a7c alias

[1] [2] 下一页

上一篇:第二代垂直搜索精准找到你要的

下一篇:赤水牛开后门并破坏可执行程序

快速配置Cisco PIX Firewall技巧相关文章：

·设好eMule电驴两项关键配置提高下载速度

·Windows 2003安全设置大全-IIS、终端服务、FTP、SQL的配置

·windows 2003服务器配置VPN实现各种网络环境VSS协同开发

·CISCO路由器配置小结

·Serv-U配置图文教程(1)

·Windows Server 2003 安全配置实战演习

·IIS安装配置全攻略

·路由器备份配置(1)

·Windows 2003安全设置大全-系统权限与安全配置

·Cisco Catalyst 2948G-L3 配置样例

快速配置Cisco PIX Firewall技巧相关软件：

·JBuilder 7 WebLogic 6.X 详细配置及相关内容

·Cisco路由器配置疑难解析

·以Tomcat服务器为核心的3种配置JSP环境的方法

·最简单的配置个人的电脑安全

·Windows NT下DNS的配置与管理

·PowerStrip(显卡屏幕配置)V3.75 Build 590 Beta 多国语言版

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.com All Rights Reserved.	鄂ICP备05000083号Powered by:vipcn