---- 隨著國(guó)際互連網(wǎng)的發(fā)展，一些企業(yè)建立了自己的INTRANET，并通過(guò)專(zhuān)線與INTERNET連通。為了保證企業(yè)內(nèi)部網(wǎng)的安全，防止非法入侵，需要使用專(zhuān)用的防火墻計(jì)算機(jī)。路由器防火墻只能作為過(guò)濾器，并不能把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)從入侵者眼前隱藏起來(lái)。

　　只要允許外部網(wǎng)絡(luò)上的計(jì)算機(jī)直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)，就存在著攻擊者可以損害內(nèi)部局域網(wǎng)上機(jī)器的安全性，并從那里攻擊其他計(jì)算機(jī)的可能性。　

　　---- 大多數(shù)提供代理服務(wù)的專(zhuān)用防火墻機(jī)器是基于UNIX系統(tǒng)的，這些操作系統(tǒng)本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange，私有Internet交換)防火墻，它運(yùn)行自己定制的操作系統(tǒng)，事實(shí)證明，它可以有效地防止非法攻擊。PIX防火墻要求有一個(gè)路由器連接到外部網(wǎng)絡(luò)，如附圖所示。PIX有兩個(gè)ETHERNET接口，一個(gè)用于連接內(nèi)部局域網(wǎng)，另一個(gè)用于連接外部路由器。外部接口有一組外部地址，使用他們來(lái)與外部網(wǎng)絡(luò)通信。內(nèi)部網(wǎng)絡(luò)則配置有一個(gè)適合內(nèi)部網(wǎng)絡(luò)號(hào)方案的IP地址。PIX的主要工作是在內(nèi)部計(jì)算機(jī)需要與外部網(wǎng)絡(luò)進(jìn)行通信時(shí)，完成內(nèi)部和外部地址之間的映射?！?

　　---- 配置好PIX防火墻后，從外部世界看來(lái)，內(nèi)部計(jì)算機(jī)好象就是直接連接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口，所以，向主機(jī)傳送信息包需要用到MAC地址。為了使內(nèi)部主機(jī)在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層上看起來(lái)都好象是連接在外部接口上的，PIX運(yùn)行了代理ARP，代理ARP給外部網(wǎng)絡(luò)層IP地址指定數(shù)據(jù)鏈路MAC地址，這就使得內(nèi)部計(jì)算機(jī)看起來(lái)像是在數(shù)據(jù)鏈路層協(xié)議的外部接口上似的。大多數(shù)情況下，與外部網(wǎng)絡(luò)的通信是從內(nèi)部網(wǎng)絡(luò)中發(fā)出的。由于PIX是對(duì)信息包進(jìn)行操作，而不是在應(yīng)用過(guò)程級(jí)（代理服務(wù)器則采用這種方法），PIX既可以跟蹤UDP會(huì)話，也可以跟蹤TCP連接。當(dāng)一個(gè)計(jì)算機(jī)希望同外部計(jì)算機(jī)進(jìn)行通信時(shí)，PIX記錄下內(nèi)部來(lái)源地址，然后從外部地址庫(kù)分配一個(gè)地址，并記錄下所進(jìn)行的轉(zhuǎn)換。這就是人們常說(shuō)的有界NAT（stateful NAT），這樣，PIX就能記住它在同誰(shuí)進(jìn)行交談，以及是哪個(gè)計(jì)算機(jī)首先發(fā)起的對(duì)話。只有已被確認(rèn)的來(lái)自外部網(wǎng)絡(luò)的信息包才會(huì)運(yùn)行，并進(jìn)入內(nèi)部網(wǎng)絡(luò)。　

　　---- 不過(guò)，有時(shí)也需要允許外部計(jì)算機(jī)發(fā)起同指定的內(nèi)部計(jì)算機(jī)的通信。典型的服務(wù)包括電子郵件、WWW服務(wù)、以及FTP服務(wù)。PIX給一個(gè)內(nèi)部地址硬編碼一個(gè)外部地址，這個(gè)地址是不會(huì)過(guò)期的。在這種情況下，用到對(duì)目標(biāo)地址和端口號(hào)的普通過(guò)濾。除非侵入PIX本身，外部用戶仍然是無(wú)法了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的。在不了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的情況下，惡意用戶就無(wú)法從內(nèi)部主機(jī)向內(nèi)部網(wǎng)絡(luò)實(shí)施攻擊?！?

　　---- PIX另一個(gè)關(guān)鍵性的安全特性是對(duì)TCP信息包的序列編號(hào)進(jìn)行隨機(jī)化處理。由于IP地址電子欺騙的方法早已公布，所以，入侵者已經(jīng)有可能通過(guò)這種方法，控制住一個(gè)現(xiàn)成的TCP連接，然后向內(nèi)部局域網(wǎng)上的計(jì)算機(jī)發(fā)送它們自己的信息。要想做到這一點(diǎn)，入侵者必須猜出正確的序列編號(hào)。在通常的TCP/IP中實(shí)現(xiàn)是很容易的，因?yàn)槊看纬跏蓟B接時(shí)，大都采用一個(gè)相同的編號(hào)來(lái)啟動(dòng)會(huì)話。而PIX則使用了一種數(shù)學(xué)算法來(lái)隨機(jī)化產(chǎn)生序列編號(hào)，這實(shí)際上使得攻擊者已經(jīng)不可能猜出連接所使用的序列編號(hào)了。　

　　---- 配置PIX防火墻是一個(gè)比較直接的工作，在提供相同級(jí)別的安全服務(wù)情況下，PIX的配置相比設(shè)置代理服務(wù)器要簡(jiǎn)單的多。從理論上講，所需做的就是指定一個(gè)IP地址和一個(gè)用來(lái)對(duì)外部進(jìn)行訪問(wèn)的地址庫(kù)，一個(gè)針對(duì)內(nèi)部連接的IP地址和網(wǎng)絡(luò)掩嗎、RIP、超時(shí)以及其他附屬安全信息。下面介紹一個(gè)PIX防火墻實(shí)際配置案例，供大家參考。因?yàn)槁酚善鞯呐渲迷诎踩苑矫婧?a title="PIX防火墻">PIX防火墻是相輔相成的，所以路由器的配置實(shí)例也一并列出?！?

　　一.PIX 防火墻　

　　ip address outside 131.1.23.2　

　　//設(shè)置PIX防火墻的外部地址　

　　ip address inside 10.10.254.1　

　　//設(shè)置PIX防火墻的內(nèi)部地址　

　　global 1 131.1.23.10-131.1.23.254　

　　//設(shè)置一個(gè)內(nèi)部計(jì)算機(jī)與INTERNET　

　　上計(jì)算機(jī)進(jìn)行通信時(shí)所需的全局地址池　

　　nat 1 10.0.0.0　

　　//允許網(wǎng)絡(luò)地址為10.0.0.0　

　　的網(wǎng)段地址被PIX翻譯成外部地址　

　　static 131.1.23.11 10.14.8.50　

　　//網(wǎng)管工作站固定使用的外部地址為131.1.23.11　

　　conduit 131.1.23.11　514 udp　

　　131.1.23.1 255.255.255.255　

　　//允許從RTRA發(fā)送到到　

　　網(wǎng)管工作站的系統(tǒng)日志包通過(guò)PIX防火墻　

　　mailhost 131.1.23.10 10.10.254.3　

　　//允許從外部發(fā)起的對(duì)　

　　郵件服務(wù)器的連接（131.1.23.10）　

　　telnet10.14.8.50　

　　//允許網(wǎng)絡(luò)管理員通過(guò)　

　　遠(yuǎn)程登錄管理IPX防火墻　

　　syslogfacility 20.7　

　　syslog host 10.14.8.50　

　　//在位于網(wǎng)管工作站上的　

　　日志服務(wù)器上記錄所有事件日志　

　　二.路由器RTRA　

　　---- RTRA是外部防護(hù)路由器，它必須保護(hù)PIX防火墻免受直接攻擊，保護(hù)FTP/HTTP服務(wù)器，同時(shí)作為一個(gè)警報(bào)系統(tǒng)，如果有人攻入此路由器，管理可以立即被通知?！?

　　no service tcp small-servers　

　　//阻止一些對(duì)路由器本身的攻擊　

　　logging trap debugging　

　　//強(qiáng)制路由器向系統(tǒng)日志服務(wù)器　

　　發(fā)送在此路由器發(fā)生的每一個(gè)事件，　

　　包括被存取列表拒絕的包和路由器配置的改變；　

　　這個(gè)動(dòng)作可以作為對(duì)系統(tǒng)管理員的早期預(yù)警，　

　　預(yù)示有人在試圖攻擊路由器，或者已經(jīng)攻入路由器，　

　　正在試圖攻擊防火墻　

　　logging 131.1.23.11　

　　//此地址是網(wǎng)管工作站的外部地址，　

　　路由器將記錄所有事件到此　

　　主機(jī)上enable secret xxxxxxxxxxx　

　　interface Ethernet 0　

　　ip address 131.1.23.1 255.255.255.0　

　　interface Serial 0　

　　ip unnumbered ethernet 0　

　　ip access-group 110 in　

　　//保護(hù)PIX防火墻和HTTP/FTP　

　　服務(wù)器以及防衛(wèi)欺騙攻擊（見(jiàn)存取列表）　

　　access-list110 deny ip 131.1.23.0 0.0.0.255 any log　

　　// 禁止任何顯示為來(lái)源于路由器RTRA　

　　和PIX防火墻之間的信息包,這可以防止欺騙攻擊　

　　access-list 110 deny ip any host 131.1.23.2 log　

　　//防止對(duì)PIX防火墻外部接口的直接　

　　攻擊并記錄到系統(tǒng)日志服務(wù)器任何企圖連接　

　　PIX防火墻外部接口的事件r　

　　access-list 110 permit tcp any　

　　131.1.23.0 0.0.0.255 established　

　　//允許已經(jīng)建立的TCP會(huì)話的信息包通過(guò)　

　　access-list 110 permit tcp any host 131.1.23.3 eq ftp　

　　//允許和FTP/HTTP服務(wù)器的FTP連接　

　　access-list 110 permit tcp any host 131.1.23.2 eq ftp-data　

　　//允許和FTP/HTTP服務(wù)器的FTP數(shù)據(jù)連接　

　　access-list 110 permit tcp any host 131.1.23.2 eq www　

　　//允許和FTP/HTTP服務(wù)器的HTTP連接　

　　access-list 110 deny ip any host 131.1.23.2 log　

　　//禁止和FTP/HTTP服務(wù)器的別的連接　

　　并記錄到系統(tǒng)日志服務(wù)器任何　

　　企圖連接FTP/HTTP的事件　

　　access-list 110 permit ip any 131.1.23.0 0.0.0.255　

　　//允許其他預(yù)定在PIX防火墻　

　　和路由器RTRA之間的流量　

　　line vty 0 4　

　　login　

　　password xxxxxxxxxx　

　　access-class 10 in　

　　//限制可以遠(yuǎn)程登錄到此路由器的IP地址　

　　access-list 10 permit ip 131.1.23.11　

　　//只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器,　

　　當(dāng)你想從INTERNET管理此路由器時(shí),　

　　應(yīng)對(duì)此存取控制列表進(jìn)行修改　

　　三. 路由器RTRB　

　　---- RTRB是內(nèi)部網(wǎng)防護(hù)路由器,它是你的防火墻的最后一道防線,是進(jìn)入內(nèi)部網(wǎng)的入口.　

　　logging trap debugging　

　　logging 10.14.8.50　

　　//記錄此路由器上的所有活動(dòng)到　

　　網(wǎng)管工作站上的日志服務(wù)器,包括配置的修改　

　　interface Ethernet 0　

　　ip address 10.10.254.2 255.255.255.0　

　　no ip proxy-arp　

　　ip access-group 110 in　

　　access-list 110 permit udp host 10.10.254.0 0.0.0.255　

　　//允許通向網(wǎng)管工作站的系統(tǒng)日志信息　

　　access-list 110 deny ip any host 10.10.254.2 log　

　　//禁止所有別的從PIX防火墻發(fā)來(lái)的信息包　

　　access-list permit tcp host 10.10.254.3　

　　10.0.0.0 0.255.255.255 eq smtp　

　　//允許郵件主機(jī)和內(nèi)部郵件服務(wù)器的SMTP郵件連接　

　　access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255　

　　//禁止別的來(lái)源與郵件服務(wù)器的流量　

　　access-list deny ip any 10.10.254.0 0.0.0.255　

　　//防止內(nèi)部網(wǎng)絡(luò)的信任地址欺騙　

　　access-list permit ip 10.10.254.0　

　　0.0.0.255 10.0.0.0 0.255.255.255　

　　//允許所有別的來(lái)源于PIX防火墻　

　　和路由器RTRB之間的流量　

　　line vty 0 4　

　　login　

　　password xxxxxxxxxx　

　　access-class 10 in　

　　//限制可以遠(yuǎn)程登錄到此路由器上的IP地址　

　　access-list 10 permit ip 10.14.8.50　

　　//只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器,　

　　當(dāng)你想從INTERNET管理此路由器時(shí),　

　　應(yīng)對(duì)此存取控制列表進(jìn)行修改　

　　---- 按以上設(shè)置配置好PIX防火墻和路由器后,PIX防火墻外部的攻擊者將無(wú)法在外部連接上找到可以連接的開(kāi)放端口,也不可能判斷出內(nèi)部任何一臺(tái)主機(jī)的IP地址,即使告訴了內(nèi)部主機(jī)的IP地址,要想直接對(duì)它們進(jìn)行Ping和連接也是不可能的。

　　這樣就可以對(duì)整個(gè)內(nèi)部網(wǎng)進(jìn)行有效的保護(hù)，防止外部的非法攻擊。

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。