网络安全与实训-7.5-思科PIX防火墙概述-杨文虎

思科PIX防火墙概述PIX防火墙的概述01思科防火墙系列产品介绍02PIX防火墙的基本使用0301PREFACEPIX防火墙的概述RelatedmattersneedingattentionPIX防火墙的概述PIX防火墙是Cisco端到端安全解决方案中的一个关键组件，它是基于专用的硬件和软件的安全解决方案，在不影响网络性能的情况下，提供了高级安全保障。PIX防火墙使用了包括数据包过滤、代理过滤以及状态检测包过滤在内的混合技术，同时它也提高了应用代理的功能，因此它被认为是一种混合系统。PIX防火墙的概述PIX防火墙具有如下的技术特点和优势非通用、安全、实时和嵌入式系统01自适应性安全算法（ASA）02直通型代理03PIX防火墙的概述基于状态的包过滤04高可靠性05PIX防火墙的概述PIX防火墙的核心是ASA（AdaptiveSecurityAlgorithm,自适应性安全算法）。自适应性安全算法（ASA）维护着防火墙控制下的网络的边界安全。PIX防火墙的概述ASA提供了“基于状态的”连接安全，包括可跟踪源和目的端口、地址、TCP序列号和其他的TCP标志，以及可随机生成初始的TCP序列号。默认情况下，ASA允许来自内部（安全级别高）接口的主机发出的到外部（或者其他安全级别低的接口）主机的连接。默认情况下，ASA拒绝来自外部（安全级别低）接口的主机发出的到内部（安全级别高）主机的连接。ASA支持认证、授权和记账（AAA）。ASA的特点和优势有：PIX防火墙的概述PIX防火墙通过采取安全级别方式，来表明一个接口相对另一个接口是可信（较高的安全级别）还是不可信（较低的安全级别）。安全级别的基本规则是：具有较高安全级别的接口可以访问具有较低安全级别的接口。反过来，在没有设置管道（conduit）和访问控制列表（ACL）的情况下，具有较低安全级别的接口不能访问具有较高安全级别的接口。PIX防火墙的概述安全级别的范围0～100，下面是针对这些安全级别给出的更加具体的规则。安全级别100——PIX防火墙的最高安全级别，被用于内部接口，是PIX防火墙的默认设置，且不能改变。安全级别0——PIX防火墙的最低安全级别，被用于外部接口，是PIX防火墙的默认设置，且不能更改。安全级别1～99——这些是分配与PIX防火墙相连的边界接口的安全级别，通常边界接口连接的网络被用作停火区（DMZ）。可以根据每台设备的访问情况来给它们分配相应的安全级别。PIX防火墙的概述PIX安全级别拓扑结构：注意：相同安全级别的接口之间没有数据流即无法实现相互通信，因此不能将两个或多个接口安全级别设成一样。02PREFACE思科防火墙系列产品介绍RelatedmattersneedingattentionPIX防火墙系列产品介绍自1996年以来，为了更好地满足小型和大型客户对网络安全的需求，Cisco将PIX防火墙系列产品扩展到5种不同的型号。其中包括500系列以及应用在CiscoCatalyst6500系列交换机和Cisco7600系列路由器上的基于PIX防火墙技术的FWSM模块。PIX防火墙系列产品介绍CiscoPIX防火墙500系列产品能满足比较广泛的需求和不同大小的网络规模目前包括如下5种型号：PIX506防火墙——它是为远程办公和小型办公室/家庭办公而设计PIX515防火墙——它是为小型办公室和远程办公设计PIX520防火墙——它是为中小型企业和远程办公设计PIX525防火墙——适用于企业和服务提供商PIX535防火墙——它是500系列中最强大的产品，为企业级和服务提供商用户设计PIX防火墙系列产品介绍PIX防火墙500系列产品的规格PIX防火墙系列产品介绍在CiscoCatalyst6500系列交换机和Cisco7600系列Internet路由器上集成了一个增强吉比特（MultiGigabit）级防火墙模块，这个模块叫做FWSM。它是一个高性能平台，是针对高端企业客户和服务提供商设计的。支持矩阵功能，可以和总线、交换矩阵进行交互操作。FWSM基于PIX防火墙技术，在交换机和路由器中提供基于状态的防火墙功能。FWSM模块如图示：ASA功能和特点CiscoPIX一直都是Cisco确定的防火墙，但是在2005年5月，Cisco推出了一个新的产品——适应性安全产品（ASA，AdaptiveSecurityAppliance）ASA系列产品都是5500系列.企业版包括4种：Firewall，IPS，Anti-X，以及VPN.而对小型和中型公司来说，还有商业版本；总体来说，Cisco一共有5种型号.所有型号均使用ASA7.2.2版本的软件，接口也非常近似CiscoPIX.CiscoPIX和ASA在性能方面有很大的差异，但是，即使是ASA最低的型号，其所提供的性能也比基础的PIX高得多；和PIX类似，ASA也提供诸如入侵防护系统（IPS，intrusionpreventionsystem），以及VPN集中器.实际上，ASA可以取代三种独立设备——CiscoPIX防火墙，CiscoVPN3000系列集中器，以及CiscoIPS4000系列传感器.ASA功能和特点ASA恰好针对这些不同类型的攻击提供了防护，它甚至比一台UTM设备更厉害——不过，要成为一台真正的UTM，它还需要装一个CSC-SSM模块（CSC-SSM，内容安全以及控制安全服务，ContentSecurityandControlSecurityService）才行，该模块在ASA中提供anti-X功能，如果没有CSC-SSM，那ASA的功能看起来会更像一台PIXASA功能和特点基础防火墙功能入侵防御（IPS）功能防病毒功能高可用性（HA）动态路由功能扩展的VPN功能内容过滤反垃圾邮件负载分担功能ASA功能和特点ASA的优点1、整合所带来的成本降低2、降低信息安全工作强度3、降低技术复杂度ASA的缺点1、存在网关防御的弊端2、存在过度集成带来的风险3、性能和稳定性需要进一步加强NGFW功能和特点。对思科来讲，思科的NGFW提供多种接口，实行协同联防，包括安全情报共享，帮助用户一起发现威胁，全球联防;安全事件共享，多个安全平台事件的关联分析，更准确地判断威胁;安全策略共享，实行策略联动，更快阻止威胁;情景感知信息共享，将防火墙的策略变得更加的精细化、动态化为了帮助客户有效解决相关需求，思科在2017年2月推出了思科Firepower2100系列新一代防火墙(NGFW)，帮助企业实现最长正常运行时间，并为关键业务功能和数据提供可靠保护，有力解决性能与防护难以兼得这一行业难题，并且凭借全新的可扩展架构、以及使吞吐量增长200%的性能提升，全面消除从互联网边界到数据中心的瓶颈。NGFW功能和特点基于用户防护面向应用安全高效转发平台多层级冗余架构全方位可视化安全技术融合03PREFACEPIX防火墙的基本使用RelatedmattersneedingattentionPIX防火墙的基本使用在使用任何一种Cisco设备时，命令行接口（CLI）都是用于配置、监视和维护设备的主要方式。另外也可以通过图形化用户接口方式来配置防火墙，例如PIX设备管理器PDM（PIXDeviceManager）PDM具体可以实现下列功能：启动PIX防火墙接口、为接口分配地址。配置主机名和密码。配置地址转换NAT、PPPoE、简单的VPN、DHCP。配置自动更新。PIX防火墙的基本使用PIX防火墙支持基于CiscoIOS的命令集，但在语法上不完全相同。当使用某一特定命令时，必须处于适当的模式，PIX提供了4种管理访问模式。非特权模式（Unprivilegemode），此模式是一种非特权的访问方式，不能对配置进行修改，只能查看防火墙有限的当前配置。特权模式（Privilegemode），此模式下可以改变当前的设置，还可以使用各种在非特权模式下不能使用的命令。配置模式（Configurationmode），此模式下可以改变系统的配置。所有的特权、非特权和配置命令在此模式下都能使用。监控模式（Monitormode），此模式下可以通过网络更新系统映像，通过输入命令，指定简易文件传输协议（TFTP）服务器的位置，并下载二进制映像。PIX防火墙的基本使用PIX防火墙访问模式PIX防火墙的基本使用

在使用PIX防火墙时有许多通用的维护配置命令，表中的命令用于配置、维护和测试PIX防火墙，通常在特权模式下使用。PIX防火墙的基本使用PIX防火墙基本命令使用（续）PIX防火墙的基本使用有6个基本配置命令被认为是PIX防火墙的基础。其中nameif、interface和ipaddress是用于接口的设置，必不可少。nat、global和route命令提供地址翻译和路由的作用，用于不同网络之间的通信。

此6个命令通常在配置模式下使用。PIX防火墙的基本使用PIX防火墙6个配置命令使用PIX防火墙的口令恢复恢复PIX的口令是通过运行相应软件覆盖当前运行的口令实现的。该软件可以从Cisco站点下载，当然购买防火墙设备附带的光盘中也包含这两个文件。rawrite.exe（下载网址http：///warp/public/110/34.shtml）。按照上述网址，根据PIX的IOS的不同选择下列软件npxx.bin（xx表示PIX运行的IOS版本号）。PIX防火墙的口令恢复在恢复PIX口令之前应准备PC一台，其上安装TFTP服务器，通过网卡与防火墙的ETH1口连接，如图8.4所示。同时将下载的密码恢复软件（根据PIX的IOS的版本选择不同的恢复软件）放到TFTP服务器的目录下。防火墙口令清除设备连接图：PIX防火墙的口令恢复

具体步骤重新启动PIX设备，在设备加电后且在操作终端屏幕上重新启动信息之前，迅速按操作终端的Break键或Esc键，进入监控状态。用interface命令选定一端口作为传输端口，例如monitor>interface1。用address命令配置IP地址，例如monitor>address。用server命令指定一远端服务器，例如monitor>server。用file命令指定PIX口令恢复文件的名称，例如monitor>f