通过Pix防火墙的访问

连接和转换 传输协议 为了更深入理解CiscoPIX防火墙如何处理入站和出站传输 我们简要回顾一下两个网络会话的重要传输协议 TCP 传输控制协议UDP 用户数据报协议 TCP TCP是一个面向连接的协议 当位于PIX防火墙内部一台比较安全的主机发起会话时 PIX防火墙在会话状态过滤器上创建一个日志 并从网络流里提取出网络会话 实时地验证它们的合法性 PIX防火墙记录下网络流 等待从对方获得一个确认 这样PIX防火墙在三次握手之后允许连接之间进行数据传输 如图演示的是当经过PIX防火墙建立一个TCP会话时PIX是如何处理的 UDP UDP是无连接的 因此PIX必须采用其它某种方法来确保它的安全性 因为UDP没有握手和序列的机制 所以使用UDP的应用程序很难保证其安全性 想要确定UDP当前的传输状态是困难的 又由于它没有明确的开始 数据流状态和结束 所以想要维护其会话状态同样是困难的 尽管如此 当一个UDP数据包从一个较安全的接口发送到一个不太安全的接口时 PIX仍然要建立一个UDP连接槽 因此 所有以后返回的UDP数据包信息都要与连接槽内所存储的信息进行匹配 如果匹配成功的话将被转发到内部网络 网络地址转换 当内部数据通过PIX时 可以使用PIX转换所有的内部IP地址 从一个网络安全的角度来看 如果一个特殊的安全策略指定只允许出站流量的话 那么转换内部地址是非常安全的行为 当一个用户试图从外部建立一个到内部的连接时 这个外部用户将不会成功 除非配置PIX允许从Internet到目标地址是私有地址的会话 否则这个会话不能被建立 私有地址范围 10 0 0 0 10 255 255 255172 16 0 0 172 31 255 255192 168 0 0 192 168 255 255 PIX支持以下4种类型的地址转换 动态内部NAT 把在较安全接口上的主机地址转换成不太安全接口上的一段IP地址或一个地址池 这个过程允许内部用户去共享已经注册的IP地址 并且从公共Internet的角度来看 隐藏了内部地址 动态外部NAT 把在不太安全接口上的主机地址转换成较安全的接口上一段IP地址或一个地址池 静态内部NAT 在较安全的接口和不太安全的接口之间提供一种永久的 一对一的IP地址的映射 这个过程允许主机从公共Internet访问内部主机 并且不会暴露其真实的IP地址 静态外部NAT 在不太安全接口和较安全的接口之间提供一种永久的 一对一的IP地址映射 高安全级能访问低安全级接口 除非用nat和global命令禁止了 低安全级不能访问高安全级接口 除非用static和accesslist命令允许了 内部地址转换过程图 动态内部NAT转换 双接口的NAT转换 三接口的NAT转换 当DMZ上用户访问外部主机时 它的源地址被转换成global outside 命令定义的192 168 0 20到192 168 0 254范围中的某一个地址 global dmz 命令只在内部用户访问DMZ接口上的Web服务器时起作用 动态外部转换 如图示 通过配置外部NAT使路由器C无法知道去往172 26 26 0 24网络的路由 因为172 26 26 0 24网络进来的数据包源地址将被转换成10 0 0 20 10 0 0 254范围内某个IP地址 该例中的ACLIN访问列表与静态映射配合使用 来实现只由172 26 26 0 24网段上的主机来访问地址为10 0 2 2的FTP服务器 第一句命令最后一个关键字outside启用外部NAT 从低安全级接口到高安全级接口连接中的源地址将进行转换 这个特性也被称为双向NAT 端口地址转换PAT是一个IP和一个源端口号的结合 它将创建一个唯一的对话 PAT对所有的包使用相同的IP地址 但是它可以通过源端口号的不同来区分 其端口号取值范围要大于1024 端口地址转换 PAT的特性 PAT和NAT可以同时使用 PAT地址可以与外部接口地址不同 使用PAT扩展IP地址的使用范围 在使用PAT时 最多可以允许64000台内部主机使用一个外部IP地址 PAT将端口号映射到单一的IP地址 在PIX防火墙上可以通过PAT使用一个IP地址来将内部源地址隐藏 从而实现安全的转换 如图 PIX防火墙通过检查安全规则来核实相应的安全级别 紧接着使用PAT所定义的IP地址转换相应的源IP地址 为了保持会话的可区分性 将源端口改为大于1024中的一个唯一值 普通PAT示例 PAT使用外部接口 将子网映射到PAT地址上 使用多个PAT来备份PAT地址 使用PAT扩大一个全局地址池 标识NAT 控制出站连接的另外一个特性是控制那些内部IP地址在外部可见的能力 nat0命令可以关闭地址转换 因此没有经过地址转换的内部IP地址对于外部来说是可见的 当在你的内部网络中拥有NIC注册的IP地址 并且这个地址是要被外部网络访问的时候 就要使用这个特性 使用nat0要看你的安全策略 如果你的策略允许内部客户端的IP地址暴露于Internet 这时nat0就可执行这个策略 Static命令 静态内部转换可以让一台内部主机固定地址使用PIX防火墙全局网络中的一个地址 使用static命令可以配置静态转换 为一个出站的连接使用static命令时 要确保离开内部主机的数据包总是被映射到一个具体指定的全局IP地址 除了static命令之外 还必须配置一个适当的访问控制列表 ACL 用来允许外部网络对内部服务器的入站访问 对于必须映射到相同全局IP地址的出站连接 单独使用static命令 Static命令创建一个在本地IP地址和一个全局IP地址之间的永久映射 被称为静态转换槽或Xlate 可以用来创建一个入站和出站之间的转换 Static命令允许一个位于低安全级别接口的流量 穿过PIX防火墙到达一个较高安全级别的接口 例如 如果想允许外部接口到达DMZ接口或者从外部接口到内部接口的入站会话 就必须通过配置static命令和access list命令来实现 Static命令语法参数 Real interface 网络接口名称 一般指的是较高安全级别的接口 这种情况下 将对较高安全级别的地址进行转换 Mapped interface 当real interface表示较高安全级别的接口 则这个参数就表示较低安全级别的接口 Mapped address real address要进行映射的地址 Interface 指定重载overload接口的全局地址 Real address 要进行映射的地址 如上图webserver的静态映射命令如下 网络静态转换 NetStatic 静态PAT端口重定向 端口重定向 它允许外部用户通过使用一个具体的IP地址或者端口号来连接内部网中相应的服务器 这类流量首先要到达PIX防火墙 然后PIX防火墙将对其进行重定向 并将其转发到相应的内网服务器上 所使用的共享全局地址可以是一个唯一的地址 也可以是一个共享的出站PAT地址 还可以与外部接口共享一个地址 注意 除了配置static命令外 还要配置conduit或者access list命令来允许入站连接 命令格式 部分参数解析 TCP 指定TCP端口重定向 UDP 指定UDP端口重定向 Mapped ip 用于重定向的全局IP地址 Mapped port 用于端口重定向的全局TCP或UDP端口 Real ip 来自内部网络的本地IP地址 Local ip 用于端口重定向的本地TCP或UDP端口 一个外部用户发出一个到PIX外部IP地址192 168 0 2的telnet请求 当PIX防火墙收到这个请求后 将重定向这个请求到地址为10 0 0 4的主机上 紧接着这个用户又发出了一个到PAT地址192 168 0 9端口为8080的HTTP请求 PIX防火墙收到该请求后重定向这个请求到主机172 16 0 2的80端口上 连接和转换 当讨论PIX防火墙时 最重要的是明白转换会话和连接会话的区别 转换是定位在TCP IP协议栈中的IP层 而连接 Connections 是在传输层 连接是转换的子集 可以在一个转换下打开多个连接 Xlate命令允许你显示和清除转换xlate槽的内容 当一个会话通过PIX建立时 一个转换槽也将被建立 请注意在你修改配后 先前的转换槽依然存在 所以在你的配置中添加 修改 删除alias conduit global nat route或者static命令后 使用clearxlate是个好习惯 命令Showxlate showxlatedetail 命令Showconn showconndetail 命令showlocal host 静态与管道 尽管大多数的连接是从高安全级别接口到低安全级别接口 但有时也有来自低安全级别接口到高安全级别接口的连接 对于低安全级别接口到高安全级别接口的连接 我们可以使用static和conduit命令 注意 你同样可以通过使用static和access list命令 来允许入站的通信 连接源于低安全级别接口 在防火墙上通过使用static和access list命令 来允许入站流量是现在首选的一种方法 尽管这里介绍了conduit命令 但ACL依然是首选 由于static命令是在内部IP地址和全局IP地址之间创建静态的映射 所以通过使用static命令 允许在一个特殊的内部地址和一个全局地址之间建立一个永久的映射关系 这样将从低安全级别的接口访问高安全级别的接口打开了一个缺口 即使在使用static命令创建了一个内部IP地址到全局IP地址的静态映射关系后 但是PIX防火墙的ASA仍然会堵塞从外部到内部接口的连接 这时就要通过使用conduit命令解决这个问题 Conduit命令将会在PIX防火墙的ASA上创建一个例外 来允许接口之间的流量 Conduit命令将允许或拒绝 从PIX防火墙的外部访问到内部网络上某台主机的TCP或UDP服务的连接 Conduit语句通过允许从PIX防火墙上的一个网络接口访问到其他接口上的主机的连接 来为PIX防火墙的ASA创建一个例外 可以创建使用多达8000个通道 使用noconduit命令来删除一个通道 命令格式 conduitpermit denyprotocolglobal ipglobal mask operatorport port foreign ipforeign mask operatorport port global ipglobal mask 先前用static或global定义的全局IP地址 如果global ip是一个主机地址 那么就可以通过在global ip前指定host命令 来取代global maskforeign ipforeign mask 一个能访问global ip的外部IP地址 你可用通过指定0 0 0 0或者0 来代表任意主机 如果foreign ipforeign mask都是0 0 0 00 0 0 0的话 则可以用any命令来替代它们 这个命令将被应用到所有接口上 pixfirewall config static inside outside 192 168 0 1010 0 0 11pixfirewall config conduitpermittcphost192 168 0 10eqftpany 这条命令的意思是允许外部所有的主机访问全局IP地址为192 168 0 10的FTP服务 配置DNS支持 可以通过两种方法来配置PIX防火墙转换DNSA 记录中的IP地址 使用Alias命令 使用扩展nat或static命令中的DNS选项 Alias命令具有两种功能 其中一种功能是当DNS解析的回复产生于外部网络中的DNS服务器时 可以利用该命令来对DNS回复进行DNS解析修正 在DNS解析修正中 将把通过DNS A记录所解析出来的域名相对应的IP地址进行转换 DNS解析修正应用在当内部的主机通过域名连接处于内部的服务器 并且用来进行域名解析的DNS服务器处于PIX防火墙外部的情况下 另一种功能是 可以通过使用这个命令来完成对目的地址进行转换 称为DNAT 在DNAT中 PIX防火墙将对一个应用呼叫的目的地址进行转换 当一台内部客户端使用处于边界网络中相关服务器的外部地址 来发起一个到这台服务器的应用呼叫时 就必须要使用DNAT 它不会对DNS解析的回复进行修改 Alias命令格式 alias if name dnat ipforeign ip netmask dnat ip 用于替换外部IP地址的内部地址foreign ip 一个要被内部IP地址替换的外部地址if name 发起到foreign ip的内部网络接口注意 上面2个地址表示处于内部网络中的同一台主机 使用alias命令进行DNS解析修正 1 一个在地址为10 0 0 5主机上的用户想通过web浏览器来访问2 当主机使用域名C来访问web服务器时 首先要通过处于PIX防火墙外的DNS服务器对其域名进行地址解析 所以主机想要将数据包发送到PIX防火墙 3 因为在内部网络上配置了NAT 所以防火墙将源地址10 0 0 5转换成192 168 0 20 并且转发这个地址解析请求信息到DNS服务器 4 DNS服务器收到地址解析请求后 在自己的A 记录中查找域名相对应的IP地址 然后将DNS解析后的信息发送回192 168 0 20 在这个DNS解析回复中包含的内容是 域名C对应的IP地址为192 168 0 175 当PIX防火墙接受到DNS解析回复后 将把地址192 168 0 17转换成10 0 0 10 并且转发这个DNS解析回复到10 0 0 5这台主机上 这时收到DNS解析回复的10 0 0 5主机就会知道要访问的web服务器与自己处于同一个网段 是可以直接到达的 如果不使用alias命令通知防火墙转换DNS解析回复中的地址 那么10 0 0 5这台主机就会认为C的web服务器处于PIX防火墙的外部 这样就会导致该主机访问的包发送给PIX防火墙 通过以下步骤来实现DNS解析修正 1 通过static命令来配置web服务器的内部地址到一个可路由的全局IP地址192 168 0 17的转换 这个步骤是必须的 因为DNS服务器上存在着到192 168 0 17的静态映射 并且域名通过DNS服务器解析出来的IP地址必须总是相同的 此外 由于处于内部的web服务器要被Internet上的用户访问 所以必须配置static和conduit这两条命令 2 当一个通道配置完成后 处于Internet上的任何用户都可以访问web服务器的80端口 3 当配置了DNS解析修正后 PIX防火墙将会监控包含192 168 0 17的DNS解析回复 一旦发现就会将地址192 168 0 17替换成10 0 0 10 用于DNS修正解析时 alias命令可以理解为 当防火墙收到一个foreign ip 的DNS解析回复时 那么防火墙将对这个DNS解析回复进行修正 把foreign ip改为dnat ip 使用alias命令来实现目的地址NAT 你同样可以使用alias命令来执行DNAT的功能 DNAT通常使用在下图所假想的网络环境中 如下图 在PIX防火墙的DMZ中有一台IP地址为172 16 0 2的Web服务器 当处于10 0 0 0网络上的主机通过域名访问这台web服务器的时候 首先要通过处于PIX防火墙外部接口上的DNS服务器对其域名进行地址解析 在这种情况下就会产生一个问题 但是我们可以通过使用alias命令来解决 1 一个地址为10 0 0 11主机上的用户 想通过web浏览器来访问C 2 当主机使用域名C来访问web服务器时 首先要通过处于PIX防火墙外部的DNS服务器对其域名进行地址解析 所以主机要将数据包发送到PIX防火墙 3 因为在内部网络上配置了NAT 所以PIX防火墙将源地址10 0 0 11转换成192 168 0 20 并且转发这个地址解析请求信息 相对应的IP地址 到DNS服务器 4 DNS服务器收到地址解析请求后 在自己的A 记录中查找域名C相对应的IP地址 然后将DNS解析后的信息发送回192 168 0 20 在这个DNS解析回复中包含的内容是域名C对应的IP地址为192 168 0 115 当PIX防火墙接受到DNS解析回复后 将把地址192 168 0 20转换成10 0 0 11 并且转发这个DNS解析回复到10 0 0 11这台主机上 但是这次PIX防火墙并没有转换DNS解析回复中的域名C所对应的地址 而是将它转发回10 0 0 11主机 这时We