PIXFirewall使用手册

PIXFirewall使用手册内容与目录控制网络访问Firewall的工作原理适应性安全算法多个接口和安全等级数据在PIXFirewall中的移动方式内部地址的转换切入型代理访问控制AAA集成访问列表管线防范攻击向路径发送FloodGuardFloodDefenderFragGuard和虚拟重组DNS控制ActiveX阻挡Java过滤URL过滤启动专有协议和应用第2版本可配置的代理呼叫MailGuard多媒体支持支持的多媒体应用RAS第2版本RTSPCiscoIP电话H.323SIPNETBIOSoverIP创建VPNVPN？IPSec互联网密钥交换（IKE）认证机构使用站点到站点VPN使用远程接入VPN防火墙的系统管理DeviceManagerTelnet界面SSH第1版本使用SNMPTFTP配置服务器XDMCP使用系统日志服务器FTP和URL登录与IDS集成PIX热备份PIXFirewall的用途（UsingPIXFirewall）借助CiscoPIXFirewall，您只需用一台设备就能建立状态防火墙保护和安全的VPN接入。PIXFirewall不但提供了可扩展的安全解决方案，还为某些型号提供故障恢复支持，以便提供最高的可靠性。PIXFirewall使用专用操作系统，与使用通用操作系统，因而常常遇到威胁和袭击的软件防火墙相比，这种操作系统更安全、更容易维护。在本章中，我们将介绍使用PIXFirewall保护网络资产和建立安全VPN接入的方法。本章包括以下几节：控制网络访问防范攻击启动专有协议和应用建立虚拟专用网防火墙的系统管理防火墙的故障恢复控制网络访问（ControllingNetworkAccess）本节将介绍PIXFirewall提供的网络防火墙功能，包含以下内容：PIXFirewall的工作原理适应性安全算法多个接口和安全等级数据在PIXFirewall中的移动方式内部地址的转换切入型代理访问控制PIXFirewall的工作原理（HowthePIXFirewallWorks）PIXFirewall的作用是防止外部网络（例如公共互联网）上的非授权用户访问内部网络。多数PIXFirewall都可以有选择地保护一个或多个周边网络（也称为非军管区，DMZ）。对访问外部网络的限制最低，对访问周边网络的限制次之，对访问内部网络的限制最高。内部网络、外部网络和周边网络之间的连接由PIXFirewall控制。为有效利用机构内的防火墙，必须利用安全政策才能保证来自受保护网络的所有流量都只通过防火墙到达不受保护的网络。这样，用户就可以控制谁可以借助哪些服务访问网络，以及怎样借助PIXFirewall提供的特性实施安全政策等。PIXFirewall保护网络的方法如图1-1所示，这种方法允许实施带外连接并安全接入互联网。图1-1：网络中的PIXFirewall在这种体系结构中，PIXFirewall将形成受保护网络和不受保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。互联网可以访问不受保护的网络。PIXFirewall允许用户在受保护网络内确定服务器的位置，例如用于Web接入、SNMP、电子邮件（SMTP）的服务器，然后控制外部的哪些用户可以访问这些服务器。除PIX506和PIX501外，对于所有的PIXFirewall，服务器系统都可以如图1-1那样置于周边网络上，对服务器系统的访问可以由PIXFirewall控制和监视。PIX506和PIX501各有两个网络接口，因此，所有系统都必须属于内部接口或者外部接口。PIXFirewall还允许用户对来往于内部网络的连接实施安全政策。一般情况下，内部网络是机构自身的内部网络，或者内部网，外部网络是互联网，但是，PIXFirewall也可以用在内部网中，以便隔离或保护某组内部计算系统和用户。周边网络的安全性可以与内部网络等同，也可以配置为拥有各种安全等级。安全等级的数值从0（最不安全）到100（最安全）。外部接口的安全等级总为0，内部接口的安全等级总为100。周边接口的安全等级从1到99。内部网络和周边网络都可以用PIXFirewall的适应性安全算法（ASA）保护。内部接口、周边接口和外部接口都遵守RIP路由更新表的要求，如果需要，所有接口都可以广播RIP默认路径。适应性安全算法（AdaptiveSecurityAlgorithm）适应性安全算法（ASA）是一种状态安全方法。每个向内传输的包都将按照适应性安全算法和内存中的连接状态信息进行检查。业界人士都认为，这种默认安全方法要比无状态的包屏蔽方法更安全。ASA无需配置每个内部系统和应用就能实现单向（从内到外）连接。ASA一直处于操作状态，监控返回的包，目的是保证这些包的有效性。为减小TCP序列号袭击的风险，它总是主动对TCP序列号作随机处理。ASA适用于动态转换插槽和静态转换插槽。静态转换插槽用static命令产生，动态转换插槽用global命令产生。总之，两种转换插槽都可以称为“xlates”。ASA遵守以下规则：如果没有连接和状态，任何包都不能穿越PIXFirewall；如果没有访问控制表的特殊定义，向外连接或状态都是允许的。向外连接指产生者或客户机的安全接口等级高于接收者或服务器。最安全的接口总是内部接口，最不安全的接口总是外部接口。周边接口的安全等级处于内部接口和外部接口之间；如果没有特殊定义，向内连接或状态是不允许的。向内连接或状态指产生者或客户机的安全接口/网络等级低于接收者或服务器。用户可以为一个xlate（转换）应用多个例外。这样，就可以从互联网上的任意机器、网络或主机访问xlate定义的主机；如果没有特殊定义，所有ICMP包都将被拒绝；违反上述规则的所有企图都将失败，而且将把相应信息发送至系统日志。PIXFirewall处理UDP数据传输的方式与TCP相同。为使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作，PIXFirewall执行了特殊处理。当UDP包从内部网络发出时，PIXFirewall将生成UDP“连接”状态信息。如果与连接状态信息相匹配，这些流量带来的答复包将被接受。经过一小段时间的静默之后，连接状态信息将被删除。多个接口和安全等级（MultipleInterfacesandSecurityLevels）所有PIXFirewall都至少有两个接口，默认状态下，它们被称为外部接口和内部接口，安全等级分别为0和100。较低的优先级说明接口受到的保护较少。一般情况下，外部接口与公共互联网相连，内部接口则与专用网相连，并且可以防止公共访问。许多PIXFirewall都能提供八个接口，以便生成一个或多个周边网络，这些区域也称为堡垒网络或非军管区（DMZ）。DMZ的安全性高于外部接口，但低于内部接口。周边网络的安全等级从0到100。一般情况下，用户需要访问的邮件服务器或Web服务器都被置于DMZ中的公共互联网上，以便提供某种保护，但不致于破坏内部网络上的资源。数据在PIXFirewall中的移动方式（HowDataMovesThroughthePIXFirewall）当向外包到达PIXFirewall上安全等级较高的接口时（安全等级可以用shownameif命令查看），PIXFirewall将根据适应性安全算法检查包是否有效，以及前面的包是否来自于此台主机。如果不是，则包将被送往新的连接，同时，PIXFirewall将在状态表中为此连接产生一个转换插槽。PIXFirewall保存在转换插槽中的信息包括内部IP地址以及由网络地址转换（NAT）、端口地址转换（PAT）或者Identity（将内部地址作为外部地址使用）分配的全球唯一IP地址。然后，PIXFirewall将把包的源IP地址转换成全球唯一地址，根据需要修改总值和其它字段，然后将包发送到安全等级较低的接口。当向内传输的包到达外部接口时，首先接受PIXFirewall适应性安全条件的检查。如果包能够通过安全测试，则PIXFirewall删除目标IP地址，并将内部IP地址插入到这个位置。包将被发送到受保护的接口。内部地址的转换（TranslationofInternalAddresses）网络地址转换（NAT）的作用是将内部接口上的主机地址转换为与外部接口相关的“全球地址”。这样能防止将主机地址暴露给其它网络接口。如果想了解是否要使用NAT，可以先决定是否想暴露与PIXFirewall连接的其它网络接口上的内部地址。如果选择使用NAT保护内部主机地址，应该先确定想用于转换的一组地址。如果想保护的地址只访问机构内的其它网络，可以针对转换地址池使用任何一组“专用”地址。例如，当与销售部门的网络（与PIXFirewall的周边接口相连）连接时，如果想防止财务部门网络（与PIXFirewall上的外部接口相连）上的主机地址被暴露，可以借助销售部网络上的任何一组地址建立转换。这样，财务部网络上的主机就好象是销售部网络的本地地址一样。如果想保护的地址需要互联网接入，可以只为转换地址池使用NIC注册的地址（为贵机构向网络信息中心注册的官方互联网地址）。例如，与互联网（通过PIXFirewall的外部接口访问）建立连接时，如果想防止销售部网络（与PIXFirewall的周边接口相连）的主机地址暴露，可以使用外部接口上的注册地址池进行转换。这样，互联网上的主机就只能看到销售部网络的互联网地址，而看不到周边接口的地址。如果您正在具有主机网络注册地址的原有网络上安装PIXFirewall，您可能不想为这些主机或网络进行转换，因为转换时还需要另外一个注册地址。考虑NAT时，必须要考虑是否有等量的外部主机地址。如果没有，在建立连接时，某些内部主机就无法获得网络访问。这种情况下，用户可以申请增加NIC注册地址，也可以使用端口地址转换（PAT），PAT能够用一个外部地址管理多达64,000个同时连接。对于内部系统，NAT能够转换向外传输的包的源IP地址（按照RFC1631定义）。它同时支持动态转换和静态转换。NAT允许为内部系统分配专用地址（按照RFC1918）定义，或者保留现有的无效地址。NAT还能提高安全性，因为它能向外部网络隐藏内部系统的真实网络身份。PAT使用端口重映射，它允许一个有效的IP地址支持64,000个活跃xlate对象的源IP地址转换。PAT能够减少支持专用或无效内部地址方案所需的全球有效IP地址数量。对于向内数据流与向外控制路径不同的多媒体应用，PAT不能与之配合使用。由于能够向外部网络隐藏内部网络的真实网络身份，因此，PAT能够提高安全性。PIXFirewall上的另一种地址转换是静态转换。静态转换能够为内部地址指定一个固定的外部IP地址。对于需要固定IP地址以便接受公共互联网访问的服务器来讲，这个功能非常有用。PIXFirewall身份认证特性可以关闭地址转换。如果现有内部系统拥有有效的全球唯一地址，Identity特性可以有选择地关闭这些系统的NAT和PAT。这个特性使外部网络能够看到内部网络的地址。切入型代理（Cut-ThroughProxy）切入型代理是PIXFirewall的独特特性，能够基于用户对向内或外部连接进行验证。与在OSI模型的第七层对每个包进行分析（属于时间和处理密集型功能）的代理服务器不同，PIXFirewall首先查询认证服务器，当连接获得批准之后建立数据流。之后，所有流量都将在双方之间直接、快速地流动。借助这个特性可以对每个用户ID实施安全政策。在连接建立之前，可以借助用户ID和密码进行认证。它支持认证和授权。用户ID和密码可以通过最初的HTTP、Telnet或FTP连接输入。与检查源IP地址的方法相比，切入型代理能够对连接实施更详细的管理。在提供向内认证时，需要相应地控制外部用户使用的用户ID和密码（在这种情况下，建议使用一次性密码）。访问控制（AccessControl）本节将介绍PIXFirewall用于对网络用户实