网络安全与实训-7.5.5PIX防火墙高级配置与防护-杨文虎

Pix防火墙高级配置与防护PIX防火墙的高级配置01PIX防火墙的攻击防护02PIX防火墙配置案例0301PREFACEPIX防火墙的高级配置RelatedmattersneedingattentionPIX防火墙的高级配置PIX防火墙的高级配置当防火墙的工作模式为NAT时，当有数据从内部经过防火墙外出时，防火墙此时翻译所有的内部IP地址，那么经过转换后的地址（源地址）必须是在Internet上注册过的地址。当外部用户访问内部网络的某台服务器时，除非配置PIX允许从Internet到目标地址是私有地址的会话，否则这个会话不能被建立。PIX防火墙的高级配置动态地址翻译——把在较安全接口上的主机地址转换成不太安全接口上的一段IP地址或一个地址池。其中动态地址翻译又分为两类：连续的IP地址组成）允许内部用户去共享这些地址访问外网络地址翻译NAT通过定义地址池（由多个部网络。端口地址翻译（PAT）—所有本地地址都被翻译成同一个IP地址来访问外部网络。PIX防火墙支持以下两种类型的地址转换。PIX防火墙的高级配置静态地址翻译——在较安全的接口和不太安全的接口之间提供一种永久的、一对一的IP地址的映射。除上述分类外，PIX防火墙还有一种NAT的特殊应用“nat0”，它可以禁止地址翻译，使内部地址不经翻译就对外部网络可见。PIX防火墙的高级配置在PIX防火墙实现地址转换技术时，它将网络地址按照应用语法分为如下3种。本地地址（localaddress）——定义分配给内部主机的地址。全局地址（globaladdress）——定义在建立通过PIX会话时，本地地址被翻译的地址。外部地址（foreignaddress）——定义一台外部主机的IP地址。PIX防火墙的高级配置对于采取NAT的动态地址翻译，必须使用nat命令来定义本地地址，然后使用global命令定义全局地址。例如允许内部网络/24这个子网可以访问外部网络，其全局地址为-0/24。具体语法如下所示。pixfirewall#(config)nat(inside)1pixfirewall#(config)global(outside)1-0netmaskPIX防火墙的高级配置如果全局地址只有一个/24，此时动态地址翻译就被称为端口地址翻译。具体语法如下所示。pixfirewall#(config)nat(inside)1pixfirewall#(config)global(outside)1netmask在使用端口地址翻译时它指定的IP地址不能被其他地址池所使用，当与网络地址翻译一起应用时，只有地址池的地址耗尽时才会使用端口地址翻译指定的IP地址。PIX防火墙的高级配置在管道或访问列表的支持的前提下，静态地址翻译可以让较低安全级别接口上的设备访问位于较高安全级别接口上的IP地址，当该IP地址的设备向外建立会话时都会被翻译成相同的地址。静态地址翻译需要使用static命令来实现，static命令语法如下所示。static［（internal_interface，external_interface）］global_iplocal_ip［netmaskmask］[max_conns[em_limit]][norandomseq]PIX防火墙的高级配置Static命令描述PIX防火墙的高级配置当一台处于较低安全级别的接口上的设备，试图通过PIX防火墙访问处于较高安全级别接口上的设备时，有以下两种方法。对于合法请求的响应—首先由处于较高安全级别接口上的设备，发起对较低安全级别的接口上的设备的连接请求，默认情况下，对于该请求的响应是被允许通过防火墙的。通过管道或访问列表—通过配置相应的安全策略，来定义基于地址或端口号的数据流可以通过防火墙。PIX防火墙的高级配置conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口。对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。conduit命令配置语法：conduitpermit|denyprotocolglobal_ipglobal_mask[operatorport[-port]]foreign_ipforeign_mask[operatorport[-port]]Conduit命令描述PIX防火墙的高级配置PIX防火墙的高级配置一般在PIX防火墙上可以拥有最多8000个管道查看所配置的管道，可以使用showconduit命令，它可以显示管道的数量以及某个管道被利用的次数。通过noconduit来删除不需要的管道配置。除了管道以外，ACL也可以实现非受信网络访问受信网络它是路由器和PIX防火墙用来控制流量的一个列表，可以阻止或允许特定的IP地址数据包通过PIX防火墙。使用access-list和access-group这两个命令来实现上述功能。PIX防火墙的高级配置access-list命令用于定义数据包的限制范围，其命令配置语法：access-listacl_ID[lineline_num]permit|denyprotocolsource_ipsource_mask[operatorport[-port]]destination_ipdestination_mask[operatorport[-port]]PIX防火墙的高级配置Access-list命令描述PIX防火墙的高级配置access-group命令（如表8.9所示）用于将访问列表与接口绑定，访问列表只有与接口绑定后才能生效。其命令配置语法：access-groupacl_IDininterfaceinterface_nameAccess-group命令描述PIX防火墙的高级配置通过showaccess-list来查看访问列表的配置通过clearaccess-list来删除整个访问列表使用noaccess-list参数来删除某一特定语句需要注意的是如果使用了NAT0技术，需要使用nat0access-list命令对与访问列表匹配的数据不进行地址翻译。在PIX防火墙的配置中建议使用访问列表而不是管道，原因有两个，一是考虑将来的兼容性，二是可以使熟悉思科IOS的用户更加容易使用。PIX防火墙的高级配置通过表可以进一步了解它们之间的特性PIX防火墙的高级配置PIX防火墙为系统事件产生系统日志（syslog）消息，例如告警和资源的消耗。可以使用系统日志消息创建E-mail告警和日志文件，或者将它们显示在指定的系统日志主机的控制台上。PIX防火墙能够发送系统日志消息到任何一台系统日志服务器。在所有的系统日志服务器或主机处于离线状态时，PIX防火墙最多能够存储100条消息到它的内存中。后续到达的消息将从缓存的第一行开始覆盖。PIX防火墙的高级配置PIX防火墙发送的系统日志消息将记录以下事件。安全——丢弃的UDP数据包和拒绝的TCP连接。资料——连接通告和转换槽消耗。系统——通过Console和Telnet的登录和退出，以及重启PIX防火墙。统计——每个连接传输的字节数。在默认情况下，PIX防火墙的日志功能是被禁用的，需要使用loggingon命令来开启。PIX防火墙的高级配置PIX使用日志级别（logginglevel）来反映不同级别的事件细节，详细划分如表所示：级别号越低，系统日志消息越严重。默认的日志级别为3（错误），当设置了一个日志级别，任何更高级别的日志消息都将无法生成。PIX防火墙的高级配置PIX防火墙中的系统日志功能是观察对消息的疑难解析和观察诸如攻击和拒绝服务等网络事件的一个有效的方法。指定日志消息被发送到系统日志服务器可用。logginghost[if_name]ip_address[protocol/port]命令。其命令中的“if_name”参数表示日志服务器所连接的接连；“ip_address”参数表示日志服务器的IP地址；“protocol”参数表示发送日志消息所使用的协议是TCP还是UDP；一个日志服务器只能选择一种协议；“port”参数表示发送日志消息所使用的端口号，注意默认端口号TCP：1470、UDP：为514。在任何一个logging命令前加上no即可关闭该项功能用showlogging来查看启用了哪些日志选项。PIX防火墙的高级配置PIX防火墙的防护策略会干预FTP、多媒体等应用或协议的正常工作，需要对PIX防火墙进行特殊的处理，通过一种称为“协议处理”（fixupprotocol）的机制来实现。它通过监视一个应用的控制管道来防止出现违背协议的事件，并让防火墙动态地响应协议的合法需要，通过在ASA中产生一个临时的例外事例来安全地打开一条向内的连接。当不需要例外事例时，“协议处理”(fixupprotocol)功能会将它自动关闭。PIX防火墙的高级配置fixupprotocol命令可以修改、启动或禁止穿过PIX防火墙的服务或协议，指定防火墙监听的服务使用的端口号。除了远处shell服务外，可以修改任何服务所对应的端口号，其命令配置语法：fixupprotocolprotocol_name[port[-port]fixupprotocol命令描述PIX防火墙的高级配置PIX防火墙的标准动作会干预像FTP、SQL*NET这些应用或协议的正常的工作，需要对PIX防火墙进行特殊的处理。需要进行特殊处理的应用或协议通常具有如下特点：通过协商动态分配建立连接需要源、目的端口或者IP地址。在网络层之上的层中嵌入源、目的端口或者IP地址。PIX防火墙的高级配置标准模式的FTP处于内部接口（较高安全级别）上的客户端访问处于外部接口（较低安全级别）上的FTP服务器，外部服务器就会建立一条从自身端口20到内部客户端的高位端口的数据信道连接。但是除非永远打开向内的端口为20的管道，否则就无法建立正常的FTP连接，如图所示:PIX防火墙的高级配置此时需要使用fixupprotocol命令产生一个例外事例，具体如下：pixfirewall#(config)fixupprotocolftp20对于处于外部接口（较低安全级别）上的客户端访问处于内部接口（较高安全级别）上的FTP服务器，防火墙需要配置静态地址转换对外发布FTP服务器，并建立向内的管道以允许向内的连接，因此不会需要例外事例。被动模式的FTP对于处于外部接口（较低安全级别）上的客户端访问处于内部接口（较高安全级别）上的FTP服务器，防火墙需要配置静态地址转换对外发布FTP服务器，并建立向内的管道以允许向内的连接。首先客户端询问服务器是否接收被动模式，如果服务器接收的话，它会向客户端发送一个用于数据信道的高位端口号，然后客户端从自己的高位端口发起一条到服务器指定高位端口的连接，如图所示。PIX防火墙的高级配置此时就需要使用fixupprotocol命令产生一个例外事例，具体如下：pixfirewall#(config)fixupprotocolftp21如果服务器对外发布时，采取的是21端口以外的端口号，例如2101。那么需要重新配置：pixfirewall#(config)fixupprotocolftp2101pixfirewall#(config)nofixupprotocolftp21PIX防火墙的高级配置对于处于内部接口（较高安全级别）上的客户端访问处于外部接口（较低安全级别）上的FTP服务器，由于所有连接都是由客户端发起的，因此不会需要例外事例。PIX防火墙的高级配置rshrsh通过两个信道进行通信。当处于内部接口（较高安全级别）上的客户端访问处于外部接口（较低安全级别）上的服务器，外部服务器会建立一个到客户端通道用于错误输出，如图所示。PIX防火墙的高级配置此时需要使用fixupprotocol命令产生一个例外事例，具体如下：pixfirewall#(config)fixupprotocolrsh514当处于外部接口（较低安全级别）上的客户端访问处于内部接口（较高安全级别）上的服务器，按照相应的配置，不会需要例外事例。PIX防火墙的高级配置SQL*Net对于处于外部接口（较低安全级别）上的客户端使用SQL*Net查询处于内部接口（较高安全级别）上的SQL服务器的数据库时，防火墙需要配置静态地址转换对外发布FTP服务器，并建立向内的管道以允许向内的连接。首先客户端从它的高位端口建立到服务器1512端口的连接，然后服务器将客户端重新定位到不同的端口或地址。最后客户端使用重新定位的端口建立第二条连接，如图所示。PIX防火墙的高级配置此时需要使用fixupprotocol命令产生一个例外事例，具体如下：pixfirewall#(config)fixupprotocolsqlnet1512对于处于内部接口（较高安全级别）上的客户端使用SQL*Net查询处于外部接口（较低安全级别）上的SQL服务器的数据库时，按照相应的配置，不会需要例外事例。PIX防火墙的高级配置PIX防火墙的高级配置多媒体应用标准RTP模式客户端访问服务器时，服务器会产生一条UDP的数据通道。因此对由内向外访问服务器的标准RTP模式，需要使用fixupprotocol命令产生一个例外事例，具体如下：pixfirewall#(config)fixupprotocolrstp554PIX防火墙的高级配置RealNetworks公司的RDT模式客户端访问服务器时，服务器会产生一条UDP的数据通道，而且客户端需要建立一条UDP信道用于错误重传。因此不论由内向外或者由外向内访问服务器的RDT模式，都需要使用fixerprotocol命令产生一个例外事例，具体如下：pixfirewall#(config)fixupprotocolrstp554pixfirewall#(config)fixupprotocolrstp8554－8574PIX防火墙的高级配置PIX防火墙的高级配置H.323H.323相对于其他协议更加复杂，它使用两条TCP连接建立一个“呼叫”，同时使用几个UDP建立会话，因此需要使用fixupprotocol命令产生一个例外事例，具体如下：pixfirewall#(config)fixupprotocolH3231720pixfirewall#(config)fixupprotocolrstp7720－7740第8章CiscoPIX防火墙02PREFACEPIX防火墙攻击防护RelatedmattersneedingattentionPIX防火墙的攻击防护特性，可以大大降低电子邮件、域名系统、碎片、AAA以及SYN风暴攻击。它不但具有常用服务的安全保护功能，而且具备简单的入侵检测功能。PIX防火墙攻击防护具体防护配置如表所示。PIX防火墙攻击防护PIX防火墙使用入侵检测特征码来实现入侵检测的功能，特征码是指典型的入侵行为具有的一套规则，PIX防火墙将其分为两类。PIX防火墙攻击类特征码信息类特征码PIX防火墙攻击防护信息类特征码，由正常网络行为触发，本身不被认为是一种恶意攻击，例如ID：2000名称为ICMP回声应答。攻击类特征码，由已知的攻击行为或网络入侵触发，例如ID：110