当前位置:首页 >> 信息与通信 >>

PIX


防火墙是在两个或者多个安全区域, 利用策略对连接的多个区域之间进行流量控制。 纵观防 火墙的发展历史,经历了无状态过滤防火墙,应用代理防火墙,基于状态的防火墙以及应用防火 墙。 目前防火墙融合了很多功能,例如 VPN、远程访问、IDS/IPS、反病毒、内容的深层过滤、 负载均衡等。但是丰富了安全功能性,同时也带来了很多挑战性。能不能很好的利用这些功能, 需要对网络进行合理的设计。

随着安全的不断发展,客户的要求也在不断的变化,从而提出了很多防火墙的新概念, 例如虚拟防火墙、模块策略结构 MPF(modular policy framework) 、透明防火墙。t 虚拟防火墙概念的提出是因为客户需要对不同的部门进行不同的安全策略控制,而且这 些安全策略是独立的。PIX 7.0 提出了 context,分为 admin context 与 context,首先配置 admin context 对其他 context 进行配置管理。所有这些 context 的防火墙是相互独立。admin context 是 用于创建新的 context 和改变系统的 context,可以看到整个防火墙的 syslog。 虚拟防火墙能简化网 络安全的管理,一台设备实现多台设备的功能,同时也降低了成本。PIX 虚拟防火墙虽然能带来 一定的功能,但同时也限制了一些功能的使用,虚拟防火墙不支持 VPN、web VPN、动态路由协 议、组播通信等。每个虚拟防火墙共享一个流量,当一个虚拟防火墙占用了过多流量,那么就会 减少其他虚拟防火墙的流量。 模块化策略采用更加灵活的策略过滤,例如 PIX 7.0 以前的版本只能针对所有的 TCP 连接 或者某一个网段的 TCP 连接设置最大连接数,而模块化的策略能对具体的 TCP 协议类型进行更 加细化灵活的控制。 应用层防火墙提供了极强的应用层安全性, 能对 Http 等应用层协议的一些具体命令进行 过滤,能进行内容过滤,url 过滤,能进行状态检查、安全性检查,同时提供了 NAT/PAT 的支持, 动态分配端口号。 应用层防火墙防止基于 web 的攻击应用非常广泛,因为企业都不会 block 80 端口,但是 很多黑客都利用 80 端口进行攻击,而且很多软件都走 80 端口进行数据传输。比如 http message 等, 因此要过滤这些数据需要检查 Http message 的数据头是否符合标准的 rfc 标准或者扩展的方 法,如果不符合可以进行阻拦。而且可以检查 http 包的长度、包的 request 长度、url 长度等进 行检查采取相应的动作。还可对 ftp 的 21 端口进行深度检查,通过指定 ftp 的命令范围防范恶 意的攻击。 pix 防火墙, 穿越防火墙传输采用 syn 随机化处理, TCP 防止外网黑客监听猜测 syn number 来模仿 server 建立 TCP 连接。 透明防火墙是相对于路由模式防火墙而言的。路由防火墙的两边的 IP 地址是在不同网段 的,当用户需要把防火墙加入到网络中时,不想改变两边的网络网段,因此需要个透明防火墙, 把两个 VLAN 桥接在一起。内网与外网的 IP 地址不做任何变化,都用同一个网关。 透明防火墙能让路由协议通过防火墙, 同时也让 HSRP、 VRRP、 GLBP 等协议能穿过防火墙, 还能让组播协议、 IPX、MPLS、BPDUS 等穿过防火墙。透明防火墙的 IP 地址在作为内部网络的 网关而是只用于对防火墙进行管理而用, 内网的网关依然是原来的网关。 透明防火墙能让防火墙 快速的融入到网络中。 防火墙的高可用性, 当主防火墙出现问题或者连接中断时, 利用 state 和 heartbeate 两种 方法,用 heartbeate 通知备用防火墙取代主防火墙同时用 state 把主防火墙在中断前的所有连接

信息移植到备用防火墙,从而不用重新建立连接。pix 7.0 支持 active-active 模式的高可用性,是 利用虚拟防火墙技术实现的。能对网络的流量进行分流的控制。

我们可以将一个单一的物理防火墙逻辑上分为多个虚拟防火墙, 每个虚拟防火墙都是独立的 设备,它们有自己独立的安全策略、接口和管理接口;ASA 会为每个虚拟防火墙保存一个配置 文件,以保存每个虚拟防火墙的这些策略和配置;这些配置文件可以保存在本地,可以保存在外 部服务器上;许多特性在多虚拟防火墙模式下都被支持,包括 routing table、防火墙特性、IPS 以及管理,但是也有一些特性不被支持,包括 VPN、组播以及动态路由协议; Pix 防火墙分为单模式——即作为单一物理防火墙,多模式——支持虚拟化防火墙 一、系统配置模式 二、虚拟防火墙配置模式 三、context——可以理解为一个虚拟防火墙 系统配置 在系统配置下,我们可以创建、删除、修改以及管理虚拟防火墙。比如我们在系统配置下面 创建虚拟防火墙, 并且指定将哪些接口分配给哪些虚拟防火墙等, 只有在系统配置下创建了虚拟 防火墙后,我们才可以使用changeto命令到单个虚拟防火墙下对其进行配置,虚拟防火墙的配置 和物理防火墙的配置方法一样,只不过不支持动态路由协议、组播以及VPN; 系统配置中除了 包含有指定的Failover接口外,不包含任何接口; Admin Context Admin context 和其他虚拟防火墙一样,只是用户登录到该虚拟防火墙上以后,就拥有了系统管 理员的权限,并能够访问系统以及其他虚拟防火墙;虚拟防火墙必须存储在Flash中,不能够存 储在外部服务器上; Admin context 必须先于其他的虚拟防火墙进行创建和配置,如果系统已经在多模式或从 single 模式切换到多模式下的时候,admin context 会在 Flash 中自动创建一个 admin.cfg 文件。如果不 想使用 admin.cfg 作为 admin context,你可以使用 admin-context 命令改变; 全局下改变防火墙的运行模式为多模式; 使用命令:show mode查看当前路由器运行的模式,如果是single模式,那么使用mode multiple 命令启用多虚拟防火墙;

实验拓扑:

这个拓扑中, 中间的 PIX 配置三个虚拟防火墙, Ethernet0 连接到一个 3550 交换机的 TRUNK 端口, 分别接到三个不同的 VLAN, 外口 Ethernet1 连接到 Internet,试验中可以使用一台路由器代替。 由于这里 Ethernet0 是和交换机的 TRUNK 端口相连,来接收不同 VLAN 的流量,所以这里使用子接口为 TRUNK 去 VLAN 标签, 并将这些子接口分配给各个虚拟防火墙,是内部各个 VLAN 都能访问 Internet 首先配置 3550 交换机: interface FastEthernet0/2 switchport access vlan 2 ! interface FastEthernet0/3 switchport access vlan 3 ! interface FastEthernet0/4 switchport access vlan 4 ! interface FastEthernet0/10 //和 PIX 的 Ethernet0 口相连 switchport trunk encapsulation dot1q //PIX 的默认的 TRUNK 类型就是 dot1q switchport trunk allowed vlan 2,3,4 switchport mode trunk ---------------------------------------------------------------------------------------------------------------------------------------------------

PIX 的配置: changeto system: interface Ethernet0 no ! shutdown //切换到系统模式进行整体的全局配置

interface Ethernet0.2

//创建子接口

vlan 2 //为子接口进行封装,去 VLAN 标签 interface Ethernet0.3 vlan 3 interface Ethernet0.4 vlan 4 ! interface Ethernet1 no ! shutdown

admin-context admin context admin

//指定管理虚拟防火墙名称为 admin //创建虚拟防火墙 admin

allocate-interface Ethernet0.2 Intf1 //分配 E0.2 子接口到虚拟防火墙 admin,别名是 Intf1 allocate-interface Ethernet1 Intf0 //分配接口 E1 到虚拟防火墙 admin,别名是 Intf0 config-url flash:/admin.cfg ! context DepartmentA //创建虚拟防火墙名称为 DepartmentA //指定该虚拟防火墙的配置文件

allocate-interface Ethernet0.3 Intf1 allocate-interface Ethernet1 Intf0 config-url flash:/DepartmentA.cfg ! context DepartmentB allocate-interface Ethernet0.4 Intf1 allocate-interface Ethernet1 Intf0 config-url flash:/DepartmentB.cfg ---------------------------------------------------------------------------------------------------------------------------------------------------

changeto context admin://切换到虚拟防火墙 admin 中 interface Intf1 nameif inside security-level 100 ip address 192.168.2.1 255.255.255.0 ! interface Intf0 mac-address 00aa.0000.01c1 nameif outside security-level 0 ip address 192.168.1.10 255.255.255.0 ---------------------------------------------------------------------------------------------------------------------------------------------------

changeto context DepartmentA: interface Intf1 nameif inside security-level 100

ip address 192.168.3.1 255.255.255.0 ! interface Intf0 mac-address 00aa.0000.01c2 nameif outside security-level 0 ip address 192.168.1.11 255.255.255.0 ---------------------------------------------------------------------------------------------------------------------------------------------------

changeto context DepartmentB: interface Intf1 nameif inside security-level 100 ip address 192.168.4.1 255.255.255.0 ! interface Intf0 mac-address 00aa.0000.01c3 nameif outside security-level 0 ip address 192.168.1.12 255.255.255.0 最后在试验中代替 Internet 的路由器上进行验证:

成功 ping 通每个虚拟接口上配置的 IP 地址。 注意: 因为当前 E1 只有一个 MAC 地址,2 层数据帧在到达防火墙 E1 口时,将不知道如何将数据帧发给谁,需要在 D1、D2 的 E1 接口上 指定不同的 MAC 地址来分类流量。为该共享接口指定一个不同的 MAC 地址,该 MAC 地址可以自动产生,也可以手工指定

补充说明: 补充说明:流量分类
将一个物理防火墙划分为多个虚拟的防火墙,那么就要涉及到一个对流量分类的问题, 物理防火墙收到一个流量/连接后, 要能够区分出该连接是属于哪个虚拟防火墙的; ASA 对流量的分类有三中方法:

将一个接口唯一的划分到一个虚拟防火墙中(基于接口) 如果一个接口唯一的只属于一个虚拟防火墙, 那么所有从这个接口进入的流量都应该只 属于这一个防火墙。在透明模式下,一个接口唯一属于一个虚拟防火墙是必须的; 基于MAC地址 多虚拟防火墙中,如果一个接口同时属于多个虚拟防火墙(即共享接口),那么可以使 用基于MAC地址来对流量进行分类。这时候就要求在每个虚拟防火墙上,为该共享接 口指定一个不同的MAC地址,该MAC地址可以自动产生,也可以手工指定; 基于NAT 除了基于MAC地址分类以外,还可以基于NAT来对流量进行分类;分类器会截取流量, 并执行一个目的地址查找,所有其他域都被忽略,只有目的地址被使用。为了使用目的 地址对流量进行分类,那么分类器就必须知道每个虚拟防火墙后面的子网。分类器根据 NAT的配置, 来决定每个虚拟防火墙后面的子网; 分类器将目的地址和static命令或global 做匹配; 以下的方法不被用于包的分类: NAT免除 路由表——如果一个虚拟防火墙包含一个到达一个子网(A)的指向外部路由器的静态 路由,并且同时包含一个关于子网A的static路由,那么分类器使用static命令来对包进行 分类; 以下是包分类的例子: 基于 MAC 地址进行分类:

如图,GE0/0.1为共享接口,被同时分配给多个虚拟防火墙,Context B后面的主机 209.165.201.1要访问Internet。数据包在传输过程中,如果不做NAT转换,IP地址是不会 改变的,只有MAC地址改变;因此,连接Internet的路由器收到后,显示的IP地址是主 机B的209.165.201.1,源MAC地址为Context B的GE0/0.1的接口的MAC地址,并把该对 应条目写到ARP表中,当流量返回的时候,目的地址是主机B的地址,然后就会被封装 成Context B的GE0/0.1接口的MAC地址; 下图展示了多个虚拟防火墙共享 outside 接口, 并且不使用 MAC 地址分类, 而使用配置 的 NAT 表进行分类,图中分类器会将包转发给 Context B,因为 Context B 包含有目的 地址的地址转换连接

配置多虚拟防火墙
我们可以按照以下步骤配置多虚拟防火墙: 全局下改变防火墙的运行模式为多模式; 使用命令:show mode查看当前路由器运行的模式,如果是single模式,那么使用mode multiple命令启用多虚拟防火墙; 在系统配置下创建虚拟防火墙,并为每个虚拟防火墙指定一个配置URL; 首先配置指定admin context: hostname(config)#admin-context name

然后可以增加创建context: hosname(config)#context name //eg :hostname(config)#context c1 注意:虚拟防火墙的名字大小写字母敏感; 为虚拟防火墙分配接口: hostname(config-ctx)#allocate-interface physical_interface [map_name] [visible | invisible] map_name:为接口关联一个别名,然后在该虚拟防火墙上调用的时候就可以直接调用 该名字;注意,别名必须以字母开头,以字母或数字结束; visible/invisible:该关键字指明在show interface的时候,可以看到物理接口ID,即使你 设置了mapped name;缺省的是invisible,即只能够看到mapped name; eg :hostname(config-ctx)#allocate-interface e0 int0 为虚拟防火墙指定下载配置的URL连接: hostname(config-ctx)#config-url url //eg:hostname(config-ctx)#config-url c1.cfg 验证配置信息:show context 自动为Context共享接口产生MAC地址: 在系统配置下,使用命令:mac-address auto MAC地址自动产生的规则和格式: Active 设备MAC地址:12_slot .port_subid.contextid Standby设备MAC地址:02_slot.port_subid.contextid 在系统和虚拟防火墙、虚拟防火墙和虚拟防火墙之间切换:changeto context_name | sys

10.4 实验练习

需求: 在ASA5510上建立管理虚拟防火墙,名字为admin;然后划分出两个虚拟防火墙, 名字分别为c1和c2(注意大小写敏感) 划两个分子接口:E0/0.1和E0/0.2 虚拟防火墙的接口分配如下:

Nat control默认情况是关闭的,不要启用NAT control,要求R1、R2、R3之间能 够互相ping通;同时,要求R2能够telnet到R1上; 配置admin防火墙,要求只有PC才能够SSH到admin防火墙上; 需求2:

拓扑和接口分配如需求1 要求启用NAT control,要求R1、R2、R3的loopback0口之间都能够互相ping通, 并且要求R1能够到R2上;(做NAT的地址池自己定义,如果需要也可以考虑使 用PAT) 配置admin防火墙,要求只有PC才能够SSH到admin防火墙上


相关文章:
PIX防火墙配置方法
PIX防火墙配置方法_IT/计算机_专业资料。思科 PIX 防火墙的基础 思科 PIX 防火墙可以保护各种网络。有用于小型家庭网络的 PIX 防火墙,也有用于大型园区或者企业网络...
PIX详细配置命令说明
PIX详细配置命令说明_IT/计算机_专业资料。PIX详细配置命令说明 配置PIX 防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少 3 个接口,但许多早期的防 ...
精讲PIX白皮书
违法上述规则的所有企图都将失败,而且将把相应的信息发送至 系统日志 三:Pix 防火墙家族: PIX 501防火墙 PIX501 对以宽带介入方式的 SOHO 和远程办公者是个理想...
ASA与PIX防火墙的区别
ASA与PIX防火墙的区别_信息与通信_工程科技_专业资料。ASA 与 PIX 防火墙的区别 2009-08-05 13:24:55 标签: [推送到技术圈] 很多年来,Cisco PIX 一直都是...
pix515e配置
防火墙是 cisco firewall pix 515e,是一种机架式标准(即能安装在标准的机柜里) ,有 1u 的 高度, 正面看跟 cisco 路由器一样, 只有一些指示灯, 从背板看, ...
新买相机如何测试坏点(DeadPixelTest使用详解)
新买相机如何测试坏点 (DeadPixelTest 使用详解)下砂 发表于:09-11-20 14:28 数码相机购买时主要测试的有两项,LCD 坏点和 CCD 坏点测试 1、LCD 的坏点检测...
防火墙CISCO-PIX525配置手册
互连网安全密钥管理协议策略 应用到外网接口 ―――――― PIX525(config)#crypto isakmp policy 10 //建立 isakmp 策略 PIX525(config-isakmp-policy)#...
PIX防火墙比较有用的指令
PIX防火墙比较有用的指令_计算机软件及应用_IT/计算机_专业资料。PIX 防火墙几个比较有用的指令 show cpu usage PIX 只有一个 CPU 来完成所有的工作, 从处理包...
PIX to PIX VPN配置示例
PIX to PIX VPN配置示例_IT/计算机_专业资料。PIX防火墙vpn配置 ,防火墙vpn配置PIX to PIX VPN 配置示例 公司 xyz 总部设在北京,分部设在上海,为了将分部网络...
GNS3模拟PIX防火墙
1、模拟的方法 模拟的方法很简单,从网上下载 pix 的 IOS(是.bin 格式的文件),然后在 GNS3 的“编辑”– >“首选项”–>”Qemu”–>”PIX”,在 binary ...
更多相关标签: