第5章 访问控制与防火墙la.ppt

1,5.5防火墙的体系结构,防火墙可以设置成许多不同的结构，并提供不同级别的安全，而维护和运行的费用也不同。防火墙有多种分类方式。下面介绍四种常用的体系结构：筛选路由器、双网主机式体系结构屏蔽主机式体系结构和屏蔽子网式体系结构。在介绍之前，先了解几个相关的基本概念：堡垒主机：高度暴露于Internet并且是网络中最容易受到侵害的主机。它是防火墙体系的大无畏者，把敌人的火力吸引到自己身上，从而达到保护其他主机的目的。堡垒主机的设计思想是检测点原则，把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其他主机的安全。堡垒主机必须有严格的安防系统，因其最容易遭到攻击。,2,屏蔽主机：被放置到屏蔽路由器后面网络上的主机称为屏蔽主机，该主机能被访问的程度取决于路由器的屏蔽规则。屏蔽子网：位于屏蔽路由器后面的子网，子网能被访问的程度取决于路由器的屏蔽规则。筛选路由式体系结构这种体系结构极为简单，路由器作为内部网和外部网的唯一过滤设备，如下图所示。,3,防火墙的体系结构,内部网,外部网,筛选路由器式体系结构,包过滤,筛选路由器,4,双网主机式体系结构,这种体系结构有一主机专门被用作内部网和外部网的分界线。该主机里插有两块网卡，分别连接到两个网络。防火墙里面的系统可以与这台双网主机进行通信，防火墙外面的系统(Internet上的系统)也可以与这台双网主机进行通信，但防火墙两边的系统之间不能直接进行通信。另外，使用此结构，必须关闭双网主机上的路由分配功能，这样就不会通过软件把两个网络连接在一起了。,图6双网主机式体系结构,5,屏蔽主机式体系结构此类型的防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。下图中的屏蔽路由器实现了把所有外部到内部的连接都路由到了堡垒主机上。堡垒主机位于内部网络，屏蔽路由器联接Internet和内部网络，构成防火墙的第一道防线。（参见下页图7）,图7屏蔽主机式体系结构,6,防火墙的体系结构,屏蔽主机式体系结构,Internet,堡垒主机,防火墙,屏蔽路由器,7,屏蔽路由器必须进行适当的配置，使所有外部到内部的连接都路由到了堡垒主机上，并且实现外部到内部的主动连接。此类型防火墙的安全级别较高，因为它实现了网络层安全(屏蔽路由器包过滤)和应用层安全(堡垒主机代理服务)。入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。即使入侵了内部网络，也必须和堡垒主机相竞争，而堡垒主机是安全性很高的机器，主机上没有任何入侵者可以利用的工具，不能作为黑客进一步入侵的基地。此类型防火墙中屏蔽路由器的配置十分重要，如果路由表遭到破坏，则数据包不会路由到堡垒主机上，使堡垒主机被越过。,8,屏蔽子网(ScreenedSubNet)式体系结构,这种体系结构本质上与屏蔽主机体系结构一样，但是增加了一层保护体系周边网络，而堡垒主机位于周边网络上，周边网络和内部网络被内部屏蔽路由器分开。由前可知，当堡垒主机被入侵之后，整个内部网络就处于危险之中，堡垒主机是最易受侵袭的，虽然其很坚固，不易被入侵者控制，但万一被控制，仍有可能侵袭内部网络。如果采用了屏蔽子网(ScreenedSubNet)式体系结构，入侵者将不能直接侵袭内部网络，因为内部网络受到了内部屏蔽路由器的保护。屏蔽子网式体系结构如下图所示。,图8屏蔽子网式体系结构,9,防火墙的体系结构,屏蔽子网式体系结构,Internet,堡垒主机,屏蔽路由器,屏蔽路由器,周边网络,10,非军事区（DMZ)网络,非军事区(DMZ）网络与防火墙体系结构非常相似。防火墙可以布置成非军事区(DMZ）。组织要提供让外部访问的服务器（如Web服务器或FTP服务器）时才需要用到非军事区（DMZ）。为此，防火墙至少有三个网络接口。一个接口连接内部专用网，一个连接外部公网（即Internet），一个连接公用服务器（构成非军事区（DMZ)网络），如图9.19所示。,11,12,这种模式的主要优点是可以限制非军事区(DMZ)中任何服务的访问。例如，如果惟一需要的服务是Web服务器，则可以将进出非军事区网络的通信流限制为HTTP与HTTPS协议（分别为端口80和443），过滤所有其他通信流。更重要的是，内部专用网并不直接连接非军事区，因此，即使敌人能攻进非军事区，内部专用网也是安全的，无法访问的。,13,5.6防火墙的构筑原则,构筑防火墙主要从以下几个方面考虑：体系结构的设计；安全策略的制订；安全策略的实施。,14,1.网络策略影响Firewall系统设计、安装和使用的网络策略可分为2级，高级的网络策略定义允许和禁止服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。2.服务访问策略服务访问策略集中在因特网访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是允许通过增强认证的用户在必要的情况下从因特网访问某些内部主机和服务；允许内部用户访问指定的因特网主机和服务。,15,3.防火墙设计策略防火墙设计策略基于特定的Firewall,定义完成服务访问策略的规则。通常有2种基本的设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是好用但不安全，第二种是安全但不好用，通常采用第二种类型的设计策略。而多数防火墙都在2种之间采取折衷。4.增强的认证许多在因特网上发生的入侵事件源于脆弱的传统用户口令机制。多年来，用户被告知使用难于猜测和破译的口令，虽然如此，攻击者仍然在因特网上监视传输的口令明文，使传统的口令机制形同虚设。增强的认证机制包含智能卡认证令牌，生理特征（指纹）以及基于软件（RSA）等技术，来克服传统口令的弱点。虽然存在多种认证技术，它们均使用增强的认证机制产生难被攻击者重用的口令和密钥。目前许多流行的增强机制使用一次有效的口令和密钥（如SmartCard和认证令牌）。,16,防火墙的产品(国外),17,防火墙的产品(国内),18,5.7防火墙产品,Juniper公司的Netscreen防火墙产品Netscreen防火墙可以说是硬件防火墙领域内的领导者。2004年2月，Netscreen被网络设备巨头Juniper收购，成为Juniper的安全产品部，两家公司合并后将与Cisco展开激烈的竟争。Netscreen的产品完全基于硬件ASIC芯片，它就像个盒子一样安装使用起来很简单。产品系列：Netscreen5000产品系列是定制化、高性能的安全系统，适用于高端用户。Netscreen-500集防火墙、VPN及流量管理等功能于一体，是一款高性能的产品，支持多个安全域，适用于中高端用户。其中端产品主要有：Netscreen204、Netscreen208。,19,低端产品有：NetScreen50、Netscreen25。NetscreenGlobalSecurityManagement(集群防火墙集中管理软件)提供了服务提供商和企业所需要的用来管理所有Netscreen产品的特性。与防毒领袖厂商TrendMicro合作推出的Netscreen-5GT集成防火墙/VPN/DoS保护功能并提供了内置的病毒扫描功能。主要特色：,20,a.专用的网络安全整合式设备：高性能安全产品，集成防火墙、VPN和流量管理功能，性能优越。b.产品线完整，能满足各大小商业需求：适用于包括宽带接入的移动用户，小型、中型或大型企业，高流量的电子商务网站，以及其他网络安全的环境。c.安装和管理：通过使用内置的WebUI界面、命令行界面和Netscreen中央管理方案，在几分钟内完成安装和管理，并且可以快速实施到数千台设备上。d.通用性：所有设备都提供相同核心功能和管理界面，便于管理和操作。,21,CyberwallPlus系列防火墙,CyberwallPlus系列防火墙是由网屹(Network1)公司开发，是基于软件的防火墙。Cyberwallplus家族由四种系列防火墙产品和中心的管理器组成，提供全方位的保护。它们分别是CyberwallPLUSSV保护服务器防火墙；CyberwallPLUSWS保护工作站防火墙；CyberwallPLUS-IP边界防火墙；CyberwallPLUSAP多协议防火墙及CyberwallPLUSCM集中管理产品。,22,a.CyberwallPLUS-SV和CyberwallPLUSWS是为分别保护与互联网或企业网相连的Windows服务器和工作站而设计的，它以先进的信息包过滤技术为基础，提供周密的网络访问控制、优化主机入侵检测、防止入侵算法和详细的流量审核日志。CyberwallPlusAP是高速的局域网防火墙，是为满足不断增长的内部网络安全需要而设计的。,23,b.CyberwallPlus-AP运行在装有两个以太网卡WindowsNT/2000的系统上，帮助用户的计算机网络抵御恶意的网络访问和入侵。CyberwallPlus-AP是一个有两个端口的系统，以透明的网桥模式工作，而不像大多数防火墙是路由模式，能够接受、过滤4500余种IP和非IP协议。CyberwallPlusAP设计简单、有效，应用时不需要破坏现有的网络地址或重新配置网络，甚至可以放在同一IP子网的节点之间。,24,c.CyberwallPlusIP是保护专有网络抵御攻击和入侵的互联网防火墙，位于网络的周边，保护进出公共互联网流量的安全，是一个高经济效益的网络安全解决方案，提供多层次的包过滤检测，阻止未授权的网络访问。CyberwallPlusIP作为先进的防火墙解决方案系列的一员，为用户提供强有力的安全保护功能，它具备高度的灵活性、可伸缩性，可以很好地适应用户对未来安全需求的变化。,25,CheckPoint防火墙,作为CheckPoint软件技术有限公司网络安全性产品线中最为重要的产品。CheckPointTMFireWall-1是业界领先的企业级安全性套件，它集成了访问控制、认证、加密、网络地址翻译、内容安全性和日志审核等特性。a.FireWall-1通过分布式的客户机/服务器结构管理安全策略，保证高性能、高伸缩性和集中控制。b.FireWalll由基本模块(防火墙模块、状态检测模块和管理模块)和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机/服务器结构。,26,c.FireWall1采用CheckPoint公司的状态检测(StatefulInspection)专利技术，以不同的服务区分应用类型，为网络提供高安全、高性能和高扩展性保证。d.Firewall1状态检测模块分析所有的包通信层，汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用。e.Firewall1可以在不修改本地服务器或客户应用程序的情况下，对试图访问内部服务器的用户进行身份认证。FireWall-1的认证服务集成在其安全策略中，通过图形用户界面集中管理，通过日志管理器监视、跟踪认证会话。,27,思科安全PIX防火墙CiscoSecurePIX防火墙基于包过滤和应用代理两种主流防火墙技术的基础上，提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。ASA自适应安全算法与包过滤相比，功能更加强劲；另外，ASA与应用层代理防火墙相比，其性能更高，扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过PIX防火墙。这样，内部和外部的授权用户就可以透明地访问企业资源，同时保护内部网络不会受到非授权访问的侵袭。关于ASA算法详情请访问,28,以PIXFirewall515为例，思科防火墙具有以下一些关键特性：a.非常高的性能。b.实时嵌入式操作系统。c.位于企业网络和internet访问路由器之间，并包括以太网、快速以太网、令牌环网或FDDILAN连接选项。d.保护模式基于自适应安全算法(ASA)，可以确保最高的安全性。,29,e.用于验证和授权的“直通代理”技术。f.URL过滤。g.HPOpenView集成。h.用于配置和管理的图形用户界面。i.通过电子邮件和寻呼机提供报警和告警通知。j.通过专用链路加密卡提供VPN支持。k.符合委托技术评估计划(TTAR)，通过美国安全事务处(NSA)的认证。,30,天融信公司的网络卫土,网络卫士是我国第一套自主知识产权的防火墙系统，是一种基于硬件的防火墙，目前有NGFW3000、NGFW4000、NGFW4000UF、NGFWARES几款产品。网络卫士防火墙由多个模块组成，包括包过滤、应用代理、NAT、VPN、防攻击等功能模块，各模块可分离、裁剪和升级，以满足不同用户的需求。管理器的硬件平台为能运行Netscape4.0浏览器的Intel兼容微机，软件平台采用Win9x操作系统。主要特色：采用了领先一步的SSN(安全服务器网络)技术，安全性高于其他防火墙普遍采用的DMZ(非军事区)技术。SSN与外部网之间有防火墙保护，与内部网之间也有防火墙保护，一旦SSN受到破坏，内部网络仍会处于防火墙的保护之下。,31,网络卫士防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能，可以为不同类型的Internet接入网络提供全方位的网络安全服务。该系统在增强传统防火墙安全性的同时，还通过VPN架构，为企业网提供一整套从网络层到应用层的安全解决方案，包括访问控制、身份验证、授权控制、数据加密、数据完整性等安全服务。,32,清华紫光网联科技的UF3100/UF3500防火墙,UF3100/UF3500是一种基于硬件的防火墙，兼具防火墙和流量控制等功能，无丢包数据通过率达50Mbps，可以支持T3线路甚至局域网间的流量要求。UF3100/UF3500结构紧凑(设计高度仅1U)，可放置在桌面或安装在标准机架上，是为机关或企业网内的数据提供最安全保护的硬件产品之一。主要特色：,33,a.防火墙系统采用汇编语言编写网络层IP包处理的操作，充分发挥了CPU的能力。UF3100防火墙自身具有很高的安全性，完全消除了Y2K问题，保护内部网络，并形成一个完整的安全系统。UF3100提供了一个附加的功能，即采用VPN技术使得远程用户能通过互联网安全访问内部网络。UF3100将整个网络分成外部网、DMZ隔离区、内部网三层结构，大大增强了网络的抗攻击性能。硬件外形采用标准的19英寸的结构，便于安装。b.UF3500防火墙是为ISP等大型机构设计使用的，数据通过率为70MbpS，还通过专门的FPGA实现了QOS，保证了视频、音频等实时应用程序的运行。UF3500还提供了硬件选项支持未来功能的增加，如保证更高加密强度的加密模块等。,34,网眼防火墙NetEye,NetEye是一种软件防火墙产品，目前最新的版本是NetEye2.0版本。网眼防火墙NetEye2.0集网络数据的监控和管理于一体，可以随时对网络数据的流动情况进行分析、监控和管理，以便及时制订保护内部网络数据的相应措施。该系统具有可靠性高、不易遭到攻击破坏等特点。网眼防火墙NetEye2.0系统的管理主机和监控主机建立在一种独立安全的局域网络之内，而且通信数据经过了加密处理，提高了系统的安全性。,35,主要特色：可以工作在交换和路由两种模式下，当防火墙工作在交换模式时，内网、DMZ区和路由器的内部端口构成一个统一的交换式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置；当防火墙工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换；也就是说，内网和DMZ都可以使用保留地址，内网用户通过地址转换访问Internet，同时隔绝Internet对内网的访问，DMZ区通过反向地址转换对Internet提供服务。用户可以根据自己的网络情况和实际的安全需要来配置NetEye防火墙的工作模式。,36,东方龙马防火墙,东方龙马公司在代理国外著名网络安全产品的同时推出了自己的防火墙产品OLM防火墙，它是一种硬件防火墙。综合运用了强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施。它根据系统管理者设定的安全规则保护内部网络，同时提供强大的访问控制、网络地址转换、透明的代理服务、信息过滤、流量控制等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。主要特色：,37,a.OLM防火墙提供了“内部网到外部网”、“外部网到内部网”的双向NAT功能，同时支持两种方式的网络地址转换。一种为静态地址映射，即外部地址和内部地址一对一的映射，使内部地址的主机既可以访问外部网络，也可以接受外部网络提供的服务。b.另一种是更灵活的方式，可以支持多对一的映射，即内部的多台机器可以通过一个外部有效地址访问外部网络。让多个内部IP地址共享一个外部IP地址，就必须转换端口地址，这样，内部不同IP地址的数据包就能转换为同一个IP地址而端口地址不同，通过这些端口对外部提供服务。这种NAT转换可以更有效地利用IP地址资源，并且提供更好的安全性。,38,中科网威“长城”防火墙(NetpowerFirewall),“长城”防火墙是一种基于软件的防火墙，它拥有独特的系统体系结构设计，能把高速的运行能力、强有力的安全性能和简单易用、方便操作等特点有机地结合在一起，为企业的重要数据和内部网络系统提供了一层可靠的安全保障。“长城”防火墙能提供内容控制、日志管理、入侵探测、远程管理等多种功能，其采用专用的系统平台，保证了自身体系结构的可靠性，消除了软件类防火墙由于操作系统平台本身引起的安全问题，而且“长城”防火墙无用户数限制，使得大型机构能充分享受到价格的优惠。主要特色：,39,a.提供基于时间、基于地址的存取控制模式。b.检测SYN攻击、检测TearDrop攻击、检测PingofDeath攻击、检测IPSpoofing攻击、默认数据包拒绝、过滤源路由IP、动态过滤访问。C.提供telnet、ftp、http等常用协议的支持。d.提供可视化、可听化、系统日志等告警方式。e.提供标记、口令等身份认证方式。f.提供图表式配置管理功能。防火墙的最新资料，请登录相关厂商的网站进行查阅。,40,硬件防火墙的性能指标,1.性能是防火墙的关健防火墙作为一个网络设备，运行于网络之中，其性能的好坏直接影响到网络的整体性能。评价防火墙的性能指标有很多，包括用来评价网络设备性能的指标，如吞吐量、延迟、丢包率、背对背等指标；还有用来评价防火墙的性能指标，如最大连接数、连接建立速率等指标。需要说明的一点是：防火墙的性能指标固然重要，但防火墙的性能指标高，一定是要在其高安全性的条件下的，也就是防火墙不能因为性能而失去其安全性，因为如果这样，就完全可以不用防火墙了。下面对各个指标对防火墙的影响进行说明。,41,2.吞吐量、延迟、丢包率目前，许多用户在选购防火墙时，测试性能时都选择这几个指标，并用Smartbits,Nettest等测试仪器进行测量。那么这些指标是否能够真正的反映防火墙的性能呢？这几个指标是IETF的RFC1242,2544中定义的，用来评价网络设备的性能指标，在某种程度上可以用来评价防火墙，但决不能单纯用这几个指标用来评价防火墙。防火墙是安全设备，因此应该在防火墙保证高安全性的情况下用这几个指标来评价防火墙的性能，也就是要在防火墙进行NAT转换、大量规则、应用层过滤,VPN应用的情况下，测试这几个指标，这样才能够真实反映防火墙的性能。,42,3.最大连接数、连接建立速率很多用户用最大连接数指标来评价防火墙的性能，认为连接数量越大，防火墙的性能越好，认为同等价钱的情况下，支持的连接数量越大，防火墙的性价比就越高。那么连接数到底代表的是什么呢？由于状态检测的防火墙要建立连接表，来保存当前连接的状态信息（包括应用层的状态信息），最大连接数就是指防火墙最多可以保存多少条连接的状态信息。连接数是否越大越好呢，通常情况下是这样的，为什么说是通常情况下呢？因为有些厂家为了宣传的目的，把连接数设置得很大，以此来吸引用户的购买，,43,但这样的连接数只是防火墙进行状态检测时的连接数，并不是防火墙能够保证高安全性的同时所能达到的连接数量。即达到这个厂家宣传的连接数时，防火墙将不能进行应用层保护、NAT转换、VPN应用等功能，而这个连接数对用户是没有任何实际意义的。现在，很多测评机构评价防火墙时，也只是单纯的测试防火墙的这种情况下的连接数，其不能真正反映防火墙的性能。最大连接数的测试，应该是防火墙在该连接数情况下，仍然可以进行NAT转换、应用层保护、VPN应用等操作。,44,连接数多大是合适的呢？以一个有500个用户的企业为例，假设该500个用户同时上网，每个用户打开10个浏览器窗口，每个窗口建立了5条连接，则一共需要的连接数是500105=25000条连接，这是在极端情况下，通常情况下，用户的连接还会有断掉的，每个窗口不一定都能够建立5条连接，每个用户不一定都能够打开10个浏览器窗口，而且还同时有数据传输。因此，用户选购防火墙时，不要为最大连接数很大的表面现象所蒙骗，要弄清楚，连接数是什么情况下的连接数，还要考虑自己是否需要那么大的连接数。,45,连接建立速率通常是指防火墙每秒能够建立多少条连接。如果防火墙的连接建立速率比较小，则当并发访问多的时候，就会有连接建立不成功的情况，通常表现给终端用户的就是不能成功浏览网页，或应用不能使用，重新连接才可能成功。对于上面的例子，如果500个用户同时上网，每个浏览器打开5条连接，这需要防火墙的连接建立速率为2500才能满足。通常，防火墙的连接建立速率应该在2000条/s，以上才能够满足要求，否则就可能严重影响用户的使用。,46,综上所述，性能指标是防火墙的一个关键指标。防火墙在进行NAT转换、大量规则、VPN应用、应用层保护等高安全性的情况下的吞吐量、延迟、丢包率、背靠背等指标，才是用来评价防火墙性能的指标。最大连接数，一定要分清是否是防火墙进行高安全性时最大连接数量。连接建立速率直接影响到并发访问时的性能，因此该值不能够太小，否则会影响用户应用的响应时间。以上关于性能的说明，用户在选购防火墙时一定要注意。,47,CiscoPIX防火墙配置命令,PIX是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。下面将介绍PIX防火墙的配置规则,模式,以及命令使用。PIX有很多型号，并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。PIX防火墙常见接口有：console、Failover、Ethernet、USB。,48,网络区域：内部网络：inside外部网络：outside中间区域：称DMZ(停火区)。放置对外开放的服务器。,49,防火墙的配置规则,没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接inside可以访问任何outside和dmz区域。dmz可以访问outside区域。inside访问dmz需要配合static(静态地址转换)。outside访问dmz需要配合acl(访问控制列表)。,50,PIX防火墙的配置模式,PIX防火墙的配置模式与路由器类似，有4种管理模式：PIXfirewall：用户模式PIXfirewall#：特权模式PIXfirewall(config)#：配置模式monitor：ROM监视模式，开机按住Esc键或发送一个“Break”字符，进入监视模式。,51,PIX基本配置命令,常用命令有：nameif、interface、ipaddress、nat、global、route、static等。nameif：设置接口名称，并指定安全级别，安全级别取值范围为1100，数字越大安全级别越高。例如要求设置：ethernet0命名为外部接口outside，安全级别是0。ethernet1命名为内部接口inside，安全级别是100。ethernet2命名为中间接口dmz,安装级别为50。,52,使用命令：PIX525(config)#nameifethernet0outsidesecurity0PIX525(config)#nameifethernet1insidesecurity100PIX525(config)#nameifethernet2dmzsecurity50,53,Interface：配置以太口工作状态，常见状态有：auto、100full、shutdown。auto：设置网卡工作在自适应状态。100full：设置网卡工作在100Mbit/s，全双工状态。shutdown：设置网卡接口关闭，否则为激活。命令：PIX525(config)#interfaceethernet0autoPIX525(config)#interfaceethernet1100fullPIX525(config)#interfaceethernet1100fullshutdown,54,ipaddress：配置网络接口的IP地址，例如：PIX525(config)#ipaddressoutside52PIX525(config)#ipaddressinside内网inside接口使用私有地址，外网outside接口使用公网地址。,55,global：指定公网地址范围：定义地址池。global命令的配置语法：global(if_name)nat_idip_address-ip_addressnetmarkglobal_mask其中：(if_name)：表示外网接口名称，一般为outside。nat_id：建立的地址池标识(nat要引用)。ip_address-ip_address：表示一段ip地址范围。netmarkglobal_mask：表示全局ip地址的网络掩码。,56,例如：PIX525(config)#global(outside)1-5地址池1对应的IP是：-5PIX525(config)#global(outside)1地址池1只有一个IP地址。PIX525(config)#noglobal(outside)1表示删除这个全局表项。,57,nat：地址转换命令，将内网的私有ip转换为外网公网ip。nat命令配置语法：nat(if_name)nat_idlocal_ipnetmark其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。local_ip：表示内网的ip地址。对于表示内网所有主机。netmark：表示内网ip地址的子网掩码。在实际配置中nat命令总是与global命令配合使用。一个指定外部网络，一个指定内部网络，通过net_id联系在一起。,58,例如：PIX525(config)#nat(inside)100表示内网的所有主机(00)都可以访问由global指定的外网。PIX525(config)#nat(inside)1表示只有/16网段的主机可以访问global指定的外网。,59,route命令定义静态路由。语法：route(if_name)00gateway_ipmetric其中：(if_name)：表示接口名称。00：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。metric：路由花费。缺省值是1。,60,例如：PIX525(config)#routeoutside001设置缺省路由从outside口送出，下一跳是。00代表，表示任意网络。PIX525(config)#routeinside1设置到网络下一跳是。最后的“1”是花费。,61,Static：配置静态IP地址翻译，使内部地址与外部地址一一对应。语法：static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。external_if_name表示外部网络接口，安全级别较低，如outside。outside_ip_address表示外部网络的公有ip地址。inside_ip_address表示内部网络的本地ip地址。(括号内序顺是先内后外，外边的顺序是先外后内),62,例如：PIX525(config)#static(inside，outside)表示内部ip地址，访问外部时被翻译成全局地址。PIX525(config)#static(dmz，outside)中间区域ip地址，访问外部时被翻译成全局地址。,63,管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。语法：conduitpermit|denyprotocolglobal_ipport-portforeign_ipnetmask其中：global_ip是一台主机时前面加host参数，所有主机时用any表示。foreign_ip表示外部mask表示可以是一台主机或一个网络。,64,例如：PIX525(config)#static(inside，outside)PIX525(config)#conduitpermittcphosteqwwwany这个例子说明static和conduit的关系。是内网一台web服务器，现在希望外网的用户能够通过PIX防火墙访问web服务。所以先做static静态映射：然后利用conduit命令允许任何外部主机对全局地址进行http访问。,65,访问控制列表ACL访问控制列表的命令与couduit命令类似，例：PIX525(config)#access-list100permitipanyhosteqwwwPIX525(config)#access-list100denyipanyanyPIX525(config)#access-group100ininterfaceoutside,66,侦听命令fixup作用是启用或禁止一个服务或协议，通过指定端口设置PIX防火墙要侦听listen服务的端口。例：PIX525(config)#fixupprotocolftp21启用ftp协议，并指定ftp的端口号为21PIX525(config)#fixupprotocolhttp8080PIX525(config)#nofixupprotocolhttp80启用http协议8080端口，禁止80端口。,67,telnet当从外部接口要telnet到PIX防火墙时，telnet数据流需要用vpn隧道ipsec提供保护或在PIX上配置SSH，然后用SSHclient从外部到PIX防火墙。例：telnetlocal_ipnetmasklocal_ip表示被授权可以通过telnet访问到PIX的ip地址。如果不设此项，PIX的配置方式只能用console口接超级终端进行,68,显示命令：showinterface；查看端口状态。showstatic；查看静态地址映射。showip；查看接口ip地址。showconfig；查看配置信息。showrun；显示当前配置信息。writeterminal；将当前配置信息写到终端。showcpuusage；显示CPU利用率，排查故障时常用。showtraffic；查看流量。showblocks；显示拦截的数据包。showmem；显示内存,69