如何快速的配置Cisco PIX Firewall (如何快速配置险种)

1．引言　　随着Internet的进一普及和迅猛发展，针对入网主机的入侵的日益增多，应用防火墙技术势在必行。但各种各样的防火墙产品种类繁多，功能不一，这就给防火墙*的实现和维护带来了许多难处。如何构建一个安全实用，容易实现的防火墙*是值得研究的，一般来说，一个完整的防火墙*既要防止外部入侵，又要防止内部人员的非法访问。对于CiscoPIXFirewall防火墙来说，通过动态和静态的*映射，管道技术，我们可以方便容易地实现一个较为完整的防火墙*。　　2．CiscoPIXFirewall功能简介　　一般说来，一个防火*就是在两个网络之间实施的若干的存取控制方法的*。通常有两种类型的防火墙；基于网络层的*滤防火墙和基于应用层的隔离网络的代理服务器（proxyserver）。前一种主要是在网络层根据IP包的源和目的*及源和目的端口来决定是转发还是丢弃IP包，而后一种是在应用层为每一种服务提供一个代理，鉴于这两种技术都有各自的特点和弊端，建设一个具有良好性能的防火墙应是基于拓扑结构的合理选用和防火墙技术的合理配置。　　CiscoPIXFirewall是基于这两种技术结合的防火墙。它应用安全算法（AdaptiveSecurityAlgorithm），将内部主机的*映射为外部*，拒绝未经允许的包入境，实现了动态，静态*映射，从而有效地*了内部网络拓扑结构。通过管道技术，出境访问列表，我们可以有效地控制内、外部各资源的访问。　　PIXFirewall可连接四个不同的网络，每个网络都可定义一个安全级别，级别低的相对于级别高的总是被视为外部网络，但最低的必须是全球统一的IP*。以下，我们仅以两个网络为例介绍CiscoPIXFirewall防火墙*。　　3．CiscoPIXFirewall的配置过程　　在配置之前，应先规划好网络拓扑结构，制定较为祥细的安全策略；　　以图一拓扑结构网络为例。设它有IP*范围...-...,有E-mail，WWW，FTP等服务器，PIXFirewall的内部虚IP*范围为：..3.1-..3.,可以定义以下策略　　3.1*内部网络拓扑结构　　为了防止黑客的侵入，应采用动态*映射隔离内部网络，*内部网络拓扑结构。我们对PIXFirewall做如下配置:natglobal(outside)...?C...global(outside)...　　上述配置阻挡全部入境访问　　3.2对资源主机的访问控制　　E-mail，FTP，www等服务器是重要的资源，必须利用管道(conduit)使得外部对它们可访问，但必须*对它们的访问，即禁止除E-mail，www，FTP以外的一切服务，以获得最大的安全性，配置方法如下：static(inside，outside).....3.1conduitpermittcphost...eqwwwanystatic(inside，outside).....3.2conduitpermittcphost...eq*tpanystatic(inside，outside).....3.3conduitpermittcphost...eqftpany　　3.3对Internet上的敏感主机和资源的控制　　对于Internet上的一些敏感资源，如一些不健康站点，我们可用(nslookup域名)查到其IP*，并对出境的访问加以控制。在PIXFirewall上的配置如下：outbounddeny......wwwtcpapply(inside)outgoing_dest　　对内部主机，我们可以控制其能使用的服务，例如，对图一主机..3.4我们可以禁止它使用WWW服务访问外部网络。其配置如下：outbounddeny..3....wwwtcpapply(inside)outgoing_src　　这样我们就可以对内部主机到外部的访问进行完全的控制。　　４．防范内部网络的非法IP和MAC*　　由于IP*可被设置更改，非法用户常篡改，盗用他人的IP*和MAC*，来达到隐藏其非法访问的目的。我们可以使用PIXFirewall的ARP命令将内部主机的IP和它的MAC*绑定，来有效地防止篡改和盗用IP*现象。例如，我们要将主机的IP*..3.4与它的MAC*e0.1e.2a7c绑定，可进行如下配置：arpinside..3.e0.1e.2a7caliaswrm　　结合以上四种配置，CiscoPIXFirewall可以实现对IP*滤，*内部网络和对网络资源加以的控制，并有效地防范IP*的盗用和篡改。从而较好地实现了一个完整的防火墙*。由此可见，由PIX来构筑一防火墙*极其方便的。