內(nèi)容與目錄 控制網(wǎng)絡(luò)訪問 Firewall的工作原理 防范攻擊 向路徑發(fā)送 啟動專有協(xié)議和應(yīng)用 第2版本 創(chuàng)建VPN VPN? 防火墻的系統(tǒng)管理 Device Manager PIX熱備份 PIX Firewall的用途(Using PIX Firewall)
借助Cisco PIX Firewall,您只需用一臺設(shè)備就能建立狀態(tài)防火墻保護和安全的VPN接入。PIX Firewall不但提供了可擴展的安全解決方案,還為某些型號提供故障恢復(fù)支持,以便提供最高的可靠性。PIX Firewall使用專用操作系統(tǒng),與使用通用操作系統(tǒng),因而常常遇到威脅和襲擊的軟件防火墻相比,這種操作系統(tǒng)更安全、更容易維護。在本章中,我們將介紹使用PIX Firewall保護網(wǎng)絡(luò)資產(chǎn)和建立安全VPN接入的方法。本章包括以下幾節(jié): 控制網(wǎng)絡(luò)訪問(Controlling Network Access) 本節(jié)將介紹PIX Firewall提供的網(wǎng)絡(luò)防火墻功能,包含以下內(nèi)容: PIX Firewall的工作原理(How the PIX Firewall Works) PIX Firewall的作用是防止外部網(wǎng)絡(luò)(例如公共互聯(lián)網(wǎng))上的非授權(quán)用戶訪問內(nèi)部網(wǎng)絡(luò)。多數(shù)PIX Firewall都可以有選擇地保護一個或多個周邊網(wǎng)絡(luò)(也稱為非軍管區(qū),DMZ)。對訪問外部網(wǎng)絡(luò)的限制最低,對訪問周邊網(wǎng)絡(luò)的限制次之,對訪問內(nèi)部網(wǎng)絡(luò)的限制最高。內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)之間的連接由PIX Firewall控制。 為有效利用機構(gòu)內(nèi)的防火墻,必須利用安全政策才能保證來自受保護網(wǎng)絡(luò)的所有流量都只通過防火墻到達不受保護的網(wǎng)絡(luò)。這樣,用戶就可以控制誰可以借助哪些服務(wù)訪問網(wǎng)絡(luò),以及怎樣借助PIX Firewall提供的特性實施安全政策等。 PIX Firewall保護網(wǎng)絡(luò)的方法如圖1-1所示,這種方法允許實施帶外連接并安全接入互聯(lián)網(wǎng)。 圖1-1: 網(wǎng)絡(luò)中的PIX Firewall
適應(yīng)性安全算法
多個接口和安全等級
數(shù)據(jù)在PIX Firewall中的移動方式
內(nèi)部地址的轉(zhuǎn)換
切入型代理
訪問控制
AAA集成
訪問列表
管線
Flood Guard
Flood Defender
FragGuard和虛擬重組
DNS控制
ActiveX阻擋
Java過濾
URL過濾
可配置的代理呼叫
Mail Guard
多媒體支持
支持的多媒體應(yīng)用
RAS第2版本
RTSP
Cisco IP電話
H.323
SIP
NETBIOS over IP
IPSec
互聯(lián)網(wǎng)密鑰交換(IKE)
認證機構(gòu)
使用站點到站點VPN
使用遠程接入VPN
Telnet界面
SSH第1版本
使用SNMP
TFTP配置服務(wù)器
XDMCP
使用系統(tǒng)日志服務(wù)器
FTP和URL登錄
與IDS集成
在這種體系結(jié)構(gòu)中,PIX Firewall將形成受保護網(wǎng)絡(luò)和不受保護網(wǎng)絡(luò)之間的邊界。受保護網(wǎng)絡(luò)和不受保護網(wǎng)絡(luò)之間的所有流量都通過防火墻實現(xiàn)安全性。互聯(lián)網(wǎng)可以訪問不受保護的網(wǎng)絡(luò)。PIX Firewall允許用戶在受保護網(wǎng)絡(luò)內(nèi)確定服務(wù)器的位置,例如用于Web接入、SNMP、電子郵件(SMTP)的服務(wù)器,然后控制外部的哪些用戶可以訪問這些服務(wù)器。
除PIX 506和PIX 501外,對于所有的PIX Firewall,服務(wù)器系統(tǒng)都可以如圖1-1那樣置于周邊網(wǎng)絡(luò)上,對服務(wù)器系統(tǒng)的訪問可以由PIX Firewall控制和監(jiān)視。PIX 506和PIX 501各有兩個網(wǎng)絡(luò)接口,因此,所有系統(tǒng)都必須屬于內(nèi)部接口或者外部接口。
PIX Firewall還允許用戶對來往于內(nèi)部網(wǎng)絡(luò)的連接實施安全政策。
一般情況下,內(nèi)部網(wǎng)絡(luò)是機構(gòu)自身的內(nèi)部網(wǎng)絡(luò),或者內(nèi)部網(wǎng),外部網(wǎng)絡(luò)是互聯(lián)網(wǎng),但是,PIX Firewall也可以用在內(nèi)部網(wǎng)中,以便隔離或保護某組內(nèi)部計算系統(tǒng)和用戶。
周邊網(wǎng)絡(luò)的安全性可以與內(nèi)部網(wǎng)絡(luò)等同,也可以配置為擁有各種安全等級。安全等級的數(shù)值從0(最不安全)到100(最安全)。外部接口的安全等級總為0,內(nèi)部接口的安全等級總為100。周邊接口的安全等級從1到99。
內(nèi)部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)都可以用PIX Firewall的適應(yīng)性安全算法(ASA)保護。內(nèi)部接口、周邊接口和外部接口都遵守RIP路由更新表的要求,如果需要,所有接口都可以廣播RIP默認路徑。
適應(yīng)性安全算法(Adaptive Security Algorithm)
適應(yīng)性安全算法(ASA)是一種狀態(tài)安全方法。每個向內(nèi)傳輸?shù)陌紝凑者m應(yīng)性安全算法和內(nèi)存中的連接狀態(tài)信息進行檢查。業(yè)界人士都認為,這種默認安全方法要比無狀態(tài)的包屏蔽方法更安全。
ASA無需配置每個內(nèi)部系統(tǒng)和應(yīng)用就能實現(xiàn)單向(從內(nèi)到外)連接。ASA一直處于操作狀態(tài),監(jiān)控返回的包,目的是保證這些包的有效性。為減小TCP序列號襲擊的風(fēng)險,它總是主動對TCP序列號作隨機處理。
ASA適用于動態(tài)轉(zhuǎn)換插槽和靜態(tài)轉(zhuǎn)換插槽。靜態(tài)轉(zhuǎn)換插槽用static命令產(chǎn)生,動態(tài)轉(zhuǎn)換插槽用global命令產(chǎn)生。總之,兩種轉(zhuǎn)換插槽都可以稱為“xlates”。ASA遵守以下規(guī)則:
PIX Firewall處理UDP數(shù)據(jù)傳輸?shù)姆绞脚cTCP相同。為使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作,PIX Firewall執(zhí)行了特殊處理。當(dāng)UDP包從內(nèi)部網(wǎng)絡(luò)發(fā)出時,PIX Firewall將生成UDP“連接”狀態(tài)信息。如果與連接狀態(tài)信息相匹配,這些流量帶來的答復(fù)包將被接受。經(jīng)過一小段時間的靜默之后,連接狀態(tài)信息將被刪除。
多個接口和安全等級(Multiple Interfaces and Security Levels)
所有PIX Firewall都至少有兩個接口,默認狀態(tài)下,它們被稱為外部接口和內(nèi)部接口,安全等級分別為0和100。較低的優(yōu)先級說明接口受到的保護較少。一般情況下,外部接口與公共互聯(lián)網(wǎng)相連,內(nèi)部接口則與專用網(wǎng)相連,并且可以防止公共訪問。
許多PIX Firewall都能提供八個接口,以便生成一個或多個周邊網(wǎng)絡(luò),這些區(qū)域也稱為堡壘網(wǎng)絡(luò)或非軍管區(qū)(DMZ)。DMZ的安全性高于外部接口,但低于內(nèi)部接口。周邊網(wǎng)絡(luò)的安全等級從0到100。一般情況下,用戶需要訪問的郵件服務(wù)器或Web服務(wù)器都被置于DMZ中的公共互聯(lián)網(wǎng)上,以便提供某種保護,但不致于破壞內(nèi)部網(wǎng)絡(luò)上的資源。
數(shù)據(jù)在PIX Firewall中的移動方式(How Data Moves Through the PIX Firewall)
當(dāng)向外包到達PIX Firewall上安全等級較高的接口時(安全等級可以用show nameif命令查看),PIX Firewall將根據(jù)適應(yīng)性安全算法檢查包是否有效,以及前面的包是否來自于此臺主機。如果不是,則包將被送往新的連接,同時,PIX Firewall將在狀態(tài)表中為此連接產(chǎn)生一個轉(zhuǎn)換插槽。PIX Firewall保存在轉(zhuǎn)換插槽中的信息包括內(nèi)部IP地址以及由網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、端口地址轉(zhuǎn)換(PAT)或者Identity(將內(nèi)部地址作為外部地址使用)分配的全球唯一IP地址。然后,PIX Firewall將把包的源IP地址轉(zhuǎn)換成全球唯一地址,根據(jù)需要修改總值和其它字段,然后將包發(fā)送到安全等級較低的接口。
當(dāng)向內(nèi)傳輸?shù)陌竭_外部接口時,首先接受PIX Firewall適應(yīng)性安全條件的檢查。如果包能夠通過安全測試,則PIX Firewall刪除目標IP地址,并將內(nèi)部IP地址插入到這個位置。包將被發(fā)送到受保護的接口。
內(nèi)部地址的轉(zhuǎn)換(Translation of Internal Addresses)
網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的作用是將內(nèi)部接口上的主機地址轉(zhuǎn)換為與外部接口相關(guān)的“全球地址”。這樣能防止將主機地址暴露給其它網(wǎng)絡(luò)接口。如果想了解是否要使用NAT,可以先決定是否想暴露與PIX Firewall連接的其它網(wǎng)絡(luò)接口上的內(nèi)部地址。如果選擇使用NAT保護內(nèi)部主機地址,應(yīng)該先確定想用于轉(zhuǎn)換的一組地址。
如果想保護的地址只訪問機構(gòu)內(nèi)的其它網(wǎng)絡(luò),可以針對轉(zhuǎn)換地址池使用任何一組“專用”地址。例如,當(dāng)與銷售部門的網(wǎng)絡(luò)(與PIX Firewall的周邊接口相連)連接時,如果想防止財務(wù)部門網(wǎng)絡(luò)(與PIX Firewall上的外部接口相連)上的主機地址被暴露,可以借助銷售部網(wǎng)絡(luò)上的任何一組地址建立轉(zhuǎn)換。這樣,財務(wù)部網(wǎng)絡(luò)上的主機就好象是銷售部網(wǎng)絡(luò)的本地地址一樣。
如果想保護的地址需要互聯(lián)網(wǎng)接入,可以只為轉(zhuǎn)換地址池使用NIC注冊的地址(為貴機構(gòu)向網(wǎng)絡(luò)信息中心注冊的官方互聯(lián)網(wǎng)地址)。例如,與互聯(lián)網(wǎng)(通過PIX Firewall的外部接口訪問)建立連接時,如果想防止銷售部網(wǎng)絡(luò)(與PIX Firewall的周邊接口相連)的主機地址暴露,可以使用外部接口上的注冊地址池進行轉(zhuǎn)換。這樣,互聯(lián)網(wǎng)上的主機就只能看到銷售部網(wǎng)絡(luò)的互聯(lián)網(wǎng)地址,而看不到周邊接口的地址。
如果您正在具有主機網(wǎng)絡(luò)注冊地址的原有網(wǎng)絡(luò)上安裝PIX Firewall,您可能不想為這些主機或網(wǎng)絡(luò)進行轉(zhuǎn)換,因為轉(zhuǎn)換時還需要另外一個注冊地址。
考慮NAT時,必須要考慮是否有等量的外部主機地址。如果沒有,在建立連接時,某些內(nèi)部主機就無法獲得網(wǎng)絡(luò)訪問。這種情況下,用戶可以申請增加NIC注冊地址,也可以使用端口地址轉(zhuǎn)換(PAT),PAT能夠用一個外部地址管理多達64,000個同時連接。
對于內(nèi)部系統(tǒng),NAT能夠轉(zhuǎn)換向外傳輸?shù)陌脑碔P地址(按照RFC 1631定義)。它同時支持動態(tài)轉(zhuǎn)換和靜態(tài)轉(zhuǎn)換。NAT允許為內(nèi)部系統(tǒng)分配專用地址(按照RFC 1918)定義,或者保留現(xiàn)有的無效地址。NAT還能提高安全性,因為它能向外部網(wǎng)絡(luò)隱藏內(nèi)部系統(tǒng)的真實網(wǎng)絡(luò)身份。
PAT使用端口重映射,它允許一個有效的IP地址支持64,000個活躍xlate對象的源IP地址轉(zhuǎn)換。PAT能夠減少支持專用或無效內(nèi)部地址方案所需的全球有效IP地址數(shù)量。對于向內(nèi)數(shù)據(jù)流與向外控制路徑不同的多媒體應(yīng)用,PAT不能與之配合使用。由于能夠向外部網(wǎng)絡(luò)隱藏內(nèi)部網(wǎng)絡(luò)的真實網(wǎng)絡(luò)身份,因此,PAT能夠提高安全性。
PIX Firewall上的另一種地址轉(zhuǎn)換是靜態(tài)轉(zhuǎn)換。靜態(tài)轉(zhuǎn)換能夠為內(nèi)部地址指定一個固定的外部IP地址。對于需要固定IP地址以便接受公共互聯(lián)網(wǎng)訪問的服務(wù)器來講,這個功能非常有用。
PIX Firewall身份認證特性可以關(guān)閉地址轉(zhuǎn)換。如果現(xiàn)有內(nèi)部系統(tǒng)擁有有效的全球唯一地址,Identity特性可以有選擇地關(guān)閉這些系統(tǒng)的NAT和PAT。這個特性使外部網(wǎng)絡(luò)能夠看到內(nèi)部網(wǎng)絡(luò)的地址。
切入型代理(Cut-Through Proxy)
切入型代理是PIX Firewall的獨特特性,能夠基于用戶對向內(nèi)或外部連接進行驗證。與在OSI模型的第七層對每個包進行分析(屬于時間和處理密集型功能)的代理服務(wù)器不同,PIX Firewall首先查詢認證服務(wù)器,當(dāng)連接獲得批準之后建立數(shù)據(jù)流。之后,所有流量都將在雙方之間直接、快速地流動。
借助這個特性可以對每個用戶ID實施安全政策。在連接建立之前,可以借助用戶ID和密碼進行認證。它支持認證和授權(quán)。用戶ID和密碼可以通過最初的HTTP、Telnet或FTP連接輸入。
與檢查源IP地址的方法相比,切入型代理能夠?qū)B接實施更詳細的管理。在提供向內(nèi)認證時,需要相應(yīng)地控制外部用戶使用的用戶ID和密碼(在這種情況下,建議使用一次性密碼)。
訪問控制(Access Control)
本節(jié)將介紹PIX Firewall用于對網(wǎng)絡(luò)用戶實行認證和授權(quán)的各種特性,內(nèi)容包括:AAA集成(AAA Integration)
PIX Firewall提供與AAA(認證、計費和授權(quán))服務(wù)的集成。AAA服務(wù)由TACACS+或RADIUS服務(wù)器提供。
PIX Firewall允許定義獨立的TACACS+或RADIUS服務(wù)器組,以便確定不同的流量類型,例如,TACACS+服務(wù)器用于處理向內(nèi)流量,另一服務(wù)器用于處理向外流量。
AAA服務(wù)器組由標記名稱定義,這個標記名稱的作用是將不同的流量類型引導(dǎo)到各臺認證服務(wù)器。如果需要計費,計費信息將被送入活躍的服務(wù)器。
PIX Firewall允許RADIUS服務(wù)器將用戶組屬性發(fā)送到RADIUS認證響應(yīng)信息中的PIX Firewall。然后,PIX Firewall將把訪問列表和屬性匹配起來,從訪問列表中確定RADIUS認證。PIX Firewall對用戶進行認證之后,它將使用認證服務(wù)器返回的CiscoSecure acl屬性識別某用戶組的訪問列表。
訪問列表(Access Lists)
從5.3版本開始,PIX Firewall使用訪問列表控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的連接。訪問列表用access-list和access-group命令實施。這些命令取代了PIX Firewall以前版本中的conduit和outbound命令,但是,為實現(xiàn)向下兼容性,當(dāng)前版本仍然支持conduit和outbound這兩個命令。
用戶可以按照源地址、目標地址或協(xié)議使用訪問列表控制連接。為了減少所需的接入,應(yīng)該認真配置訪問列表。如果可能,應(yīng)該用遠程源地址、本地目標地址和協(xié)議對訪問列表施加更多的限制。在配置中,access-list和access-group命令語句的優(yōu)先級高于conduit和outbound命令。
管線(Conduits)
在5.3版本之前,PIX Firewall使用conduit和outbound命令控制外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的連接。在PIX Firewall6.0及更高的版本中,為實現(xiàn)向下兼容,這些命令仍然可用,但是,我們建議大家最好使用access-list和access-group命令。
每條管線都是PIX Firewall的潛在威脅,因此,必須根據(jù)安全政策和業(yè)務(wù)的要求限制對它的使用。如果可能,可以用遠程源地址、本地目標地址和協(xié)議加以限制。
防范攻擊(Protecting Your Network from Attack)
本節(jié)將介紹PIX Firewall提供的防火墻特性。這些防火墻特性可以控制與某些襲擊類型相關(guān)的網(wǎng)絡(luò)行為。本節(jié)包含的內(nèi)容如下:
如果想了解允許在防火墻上使用特殊協(xié)議和應(yīng)用的特性的詳細情況,請參考“支持某些協(xié)議和應(yīng)用”。
單播反向路徑發(fā)送(Unicast Reverse Path Forwarding)
單播反向路徑發(fā)送(單播RPF)也稱為“反向路徑查詢”,它提供向內(nèi)和向外過濾,以便預(yù)防IP欺詐。這個特性能夠檢查向內(nèi)傳輸?shù)陌腎P源地址完整性,保證去往受控區(qū)域以外的主機的包擁有可以在實施實體本地路由表時由路徑驗證的IP源地址。
單播RPF僅限于實施實體本地路由表的網(wǎng)絡(luò)。如果進入的包沒有路徑代表的源地址,就無法知道包是否能通過最佳路徑返回到起點。
Flood Guard
Flood Guard能控制AAA服務(wù)對無應(yīng)答登錄企圖的容忍度。這個功能尤其適合防止AAA服務(wù)上的拒絕服務(wù)(DoS)襲擊,并能改善AAA系統(tǒng)使用情況。默認狀態(tài)下,這個命令是打開的,可以用floodguard 1命令控制。
Flood Defender
Flood Defender能夠防止內(nèi)部系統(tǒng)受到拒絕服務(wù)襲擊,即用TCP SYN包沖擊接口。要使用這個特性,可以將最大初始連接選項設(shè)置為nat和static命令。
TCP Intercept特性能夠保護可通過靜態(tài)和TCP管線訪問到的系統(tǒng)。這個特性能夠保證,一旦到達任選的初始連接極限,那么,去往受影響的服務(wù)器的每個SYN都將被截獲,直到初始連接數(shù)量低于此閾值為止。對于每個SYN,PIX Firewall還能以服務(wù)器的名義用空SYN/ACK進行響應(yīng)。PIX Firewall能夠保留永久性狀態(tài)信息,丟棄包,并等待客戶機的認可。
FragGuard和虛擬重組(FragGuard and 虛擬重組)
FragGuard和虛擬重組能夠提供IP網(wǎng)段保護。這個特性能夠提供所有ICMP錯誤信息的全面重組以及通過PIX Firewall路由的其余IP網(wǎng)段的虛擬重組。虛擬重組屬于默認功能。這個特性使用系統(tǒng)日志記錄網(wǎng)段重疊,并用小網(wǎng)段補償異常情況,尤其是由teardrop.c襲擊引起的異常情況。
DNS控制(DNS Control)
PIX Firewall能夠識別每個向外的DNS(域名服務(wù))分解請求,而且只允許有一個DNS響應(yīng)。為獲得答復(fù),主機可以查詢幾臺服務(wù)器(以防第一臺服務(wù)器答復(fù)過慢),但是,只有第一個請求答復(fù)有效。其它請求答復(fù)將被防火墻丟棄。這個特性一直處于打開狀態(tài)。
ActiveX阻擋(ActiveX Blocking)
AcitveX控制以前稱為OLE或者OCX控制,這種組件可以插入到Web頁面或者其它應(yīng)用。PIX Firewall ActiveX阻擋特性能夠阻擋HTML 命令,并在HTML Web頁面以外予以說明。作為一種技術(shù),ActiveX可能會給網(wǎng)絡(luò)客戶機帶來許多潛在問題,包括致使工作站發(fā)生故障,引發(fā)網(wǎng)絡(luò)安全問題,被用于襲擊服務(wù)器,或者被主機用于襲擊服務(wù)器等。
Java 過濾
Java過濾特性可用于防止受保護網(wǎng)絡(luò)上的系統(tǒng)下載Java小應(yīng)用程序。Java小應(yīng)用程序指可執(zhí)行的程序,它可能會受到某些安全政策的禁止,因為它們存在漏洞,可能會使受保護網(wǎng)絡(luò)遭到襲擊。
URL過濾
PIX Firewall URL過濾與NetPartners Websense產(chǎn)品一起提供。PIX Firewall用Websense服務(wù)器上制定的政策檢查外出的URL請求,這些政策在Windows NT或UNIX上運行。PIX Firewall 5.3版本及更高版本中支持Websensen第4版本。
根據(jù)NetPartners Websense服務(wù)器的答復(fù),PIX Firewall接受或拒絕連接。這臺服務(wù)器檢查請求,保證這些請求不具備不適合商業(yè)用途的17種Web站點特征。由于URL過濾在獨立平臺上處理,因此,不會給PIX Firewall帶來其它性能負擔(dān)。欲知詳情,請訪問以下Web站點:
| 共2頁: 1 [2] 下一頁 | ||
|
