首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 软硬件防火墙 > CISCO PIX 防火墙及网络安全配置 > 正文

CISCO PIX 防火墙及网络安全配置

出处:www.5dmail.net 作者:5dmail 时间:2003-11-3 20:06:00
随着国际互连网的发展,一些企业建立了自己的INTRANET,并通过专线与INTERNET连通。为了保证企业内部网的安全,防止非法入侵,需要使用专用的防火墙计算机。路由器防火墙只能作为过滤器,并不能把内部网络结构从入侵者眼前隐藏起来。只要允许外部网络上的计算机直接访问内部网络上的计算机,就存在着攻击者可以损害内部局域网上机器的安全性,并从那里攻击其他计算机的可能性。

  大多数提供代理服务的专用防火墙机器是基于UNIX系统的,这些操作系统本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange,私有Internet交换)防火墙,它运行自己定制的操作系统,事实证明,它可以有效地防止非法攻击。PIX防火墙要求有一个路由器连接到外部网络,如附图所示。PIX有两个ETHERNET接口,一个用于连接内部局域网,另一个用于连接外部路由器。外部接口有一组外部地址,使用他们来与外部网络通信。内部网络则配置有一个适合内部网络号方案的IP地址。PIX的主要工作是在内部计算机需要与外部网络进行通信时,完成内部和外部地址之间的映射。

  配置好PIX防火墙后,从外部世界看来,内部计算机好象就是直接连接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口,所以,向主机传送信息包需要用到MAC地址。为了使内部主机在数据链路层和网络层上看起来都好象是连接在外部接口上的,PIX运行了代理ARP,代理ARP给外部网络层IP地址指定数据链路MAC地址,这就使得内部计算机看起来像是在数据链路层协议的外部接口上似的。大多数情况下,与外部网络的通信是从内部网络中发出的。由于PIX是对信息包进行操作,而不是在应用过程级(代理服务器则采用这种方法),PIX既可以跟踪UDP会话,也可以跟踪TCP连接。当一个计算机希望同外部计算机进行通信时,PIX记录下内部来源地址,然后从外部地址库分配一个地址,并记录下所进行的转换。这就是人们常说的有界NAT(stateful NAT),这样,PIX就能记住它在同谁进行交谈,以及是哪个计算机首先发起的对话。只有已被确认的来自外部网络的信息包才会运行,并进入内部网络。

  不过,有时也需要允许外部计算机发起同指定的内部计算机的通信。典型的服务包括电子邮件、WWW服务、以及FTP服务。PIX给一个内部地址硬编码一个外部地址,这个地址是不会过期的。在这种情况下,用到对目标地址和端口号的普通过滤。除非侵入PIX本身,外部用户仍然是无法了解内部网络结构的。在不了解内部网络结构的情况下,恶意用户就无法从内部主机向内部网络实施攻击。

  PIX另一个关键性的安全特性是对TCP信息包的序列编号进行随机化处理。由于IP地址电子欺骗的方法早已公布,所以,入侵者已经有可能通过这种方法,控制住一个现成的TCP连接,然后向内部局域网上的计算机发送它们自己的信息。要想做到这一点,入侵者必须猜出正确的序列编号。在通常的TCP/IP中实现是很容易的,因为每次初始化连接时,大都采用一个相同的编号来启动会话。而PIX则使用了一种数学算法来随机化产生序列编号,这实际上使得攻击者已经不可能猜出连接所使用的序列编号了。

  配置PIX防火墙是一个比较直接的工作,在提供相同级别的安全服务情况下,PIX的配置相比设置代理服务器要简单的多。从理论上讲,所需做的就是指定一个IP地址和一个用来对外部进行访问的地址库,一个针对内部连接的IP地址和网络掩吗、RIP、超时以及其他附属安全信息。下面介绍一个PIX防火墙实际配置案例,供大家参考。因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。

一.PIX 防火墙

ip address outside 131.1.23.2  //设置PIX防火墙的外部地址
ip address inside 10.10.254.1  //设置PIX防火墙的内部地址
global 1 131.1.23.10-131.1.23.254  //设置一个内部计算机与INTERNET上计算机进行通信时所需的全局地址池
nat 1 10.0.0.0  //允许网络地址为10.0.0.0 的网段地址被PIX翻译成外部地址
static 131.1.23.11 10.14.8.50  //网管工作站固定使用的外部地址为131.1.23.11
conduit 131.1.23.11 514 udp
131.1.23.1 255.255.255.255  //允许从RTRA发送到到网管工作站的系统日志包通过PIX防火墙
mailhost 131.1.23.10 10.10.254.3   //允许从外部发起的对邮件服务器的连接(131.1.23.10)
telnet 10.14.8.50  //允许网络管理员通过远程登录管理IPX防火墙
syslog facility 20.7
syslog host 10.14.8.50  //在位于网管工作站上的日志服务器上记录所有事件日志

二.路由器RTRA
   RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通知。

no service tcp small-servers  //阻止一些对路由器本身的攻击
logging trap debugging   //强制路由器向系统日志服务器发送在此路由器发生的每一个事件,包括被存取列表拒绝的包和路由器配置的改变; 这个动作可以作为对系统管理员的早期预警,预示有人在试图攻击路由器,或者已经攻入路由器,正在试图攻击防火墙
logging 131.1.23.11   //此地址是网管工作站的外部地址,路由器将记录所有事件到此 主机上enable secret xxxxxxxxxxx

interface Ethernet 0
ip address 131.1.23.1 255.255.255.0

interface Serial 0
ip unnumbered ethernet 0
ip access-group 110 in
//保护PIX防火墙和HTTP/FTP 服务器以及防卫欺骗攻击(见存取列表)

access-list 110 deny ip 131.1.23.0 0.0.0.255 any log
// 禁止任何显示为来源于路由器RTRA 和PIX防火墙之间的信息包,这可以防止欺骗攻击
access-list 110 deny ip any host 131.1.23.2 log
//防止对PIX防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接 PIX防火墙外部接口的事件
access-list 110 permit tcp any
131.1.23.0 0.0.0.255 established  //允许已经建立的TCP会话的信息包通过
access-list 110 permit tcp any host 131.1.23.3 eq ftp  //允许和FTP/HTTP服务器的FTP连接
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data  //允许和FTP/HTTP服务器的FTP数据连接
access-list 110 permit tcp any host 131.1.23.2 eq www  //允许和FTP/HTTP服务器的HTTP连接
access-list 110 deny ip any host 131.1.23.2 log  //禁止和FTP/HTTP服务器的别的连接
并记录到系统日志服务器任何
企图连接FTP/HTTP的事件
access-list 110 permit ip any 131.1.23.0 0.0.0.255  //允许其他预定在PIX防火墙和路由器RTRA之间的流量

line vty 0 4
login
password xxxxxxxxxx
access-class 10 in  //限制可以远程登录到此路由器的IP地址
access-list 10 permit ip 131.1.23.11  //只允许网管工作站远程登录到此路由器, 当你想从INTERNET管理此路由器时,
应对此存取控制列表进行修改

三. 路由器RTRB

  RTRB是内部网防护路由器,它是你的防火墙的最后一道防线,是进入内部网的入口.

logging trap debugging
logging 10.14.8.50
//记录此路由器上的所有活动到网管工作站上的日志服务器,包括配置的修改

interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in

access-list 110 permit udp host 10.10.254.0 0.0.0.255  //允许通向网管工作站的系统日志信息
access-list 110 deny ip any host 10.10.254.2 log  //禁止所有别的从PIX防火墙发来的信息包
access-list permit tcp host 10.10.254.3
10.0.0.0 0.255.255.255 eq smtp  //允许邮件主机和内部邮件服务器的SMTP邮件连接
access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255  //禁止别的来源与邮件服务器的流量
access-list deny ip any 10.10.254.0 0.0.0.255  //防止内部网络的信任地址欺骗
access-list permit ip 10.10.254.0
0.0.0.255 10.0.0.0 0.255.255.255  //允许所有别的来源于PIX防火墙和路由器RTRB之间的流量

line vty 0 4
login
password xxxxxxxxxx
access-class 10 in  //限制可以远程登录到此路由器上的IP地址

access-list 10 permit ip 10.14.8.50  //只允许网管工作站远程登录到此路由器,
当你想从INTERNET管理此路由器时, 应对此存取控制列表进行修改

  按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口,也不可能判断出内部任何一台主机的IP地址,即使告诉了内部主机的IP地址,要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效的保护,防止外部的非法攻击。

相关文章 热门文章
  • Exchange部署吐血故障连载三:被CiscoPIX剥离了的ESMTP导致外部smtp请求无法正确连接服务器
  • 一个思科PIX防火墙的实际应用配置
  • Cisco Secure PIX Firewall上的alias命令
  • 巧配PIX思科防火墙 加固企业网络
  • 思科PIX防火墙命令集解释说明
  • 打造企业坚固的城墙 Cisco PIX防火墙特殊配置
  • Cisco PIX防火墙PPTP VPN相关配置
  • 打造企业坚固的城墙 PIX防火墙特殊配置
  • cisco pix防火墙接管smtp的问题
  • 在PIX防火墙上实现VPN的配置步骤
  • 思科PIX防火墙设置详解
  • 零起点配置PIX防火墙 高级配置
  • [图解]如何设置代理服务器?
  • Kerio Winroute Firewall 6.01 VPN使用详解
  • Kerio WinRoute Firewall安装全攻略
  • Kerio Network Monitor完全使用教程
  • CISCO PIX 防火墙及网络安全配置
  • 路由器典型防火墙设置
  • 惊爆!腾讯QQ2003Ⅲ正式版安全出现漏洞(图)
  • PIX防火墙系统管理
  • 邮件服务器与代理服务器软件配合方案
  • 完整的pix525配置
  • 用PIX构筑铜墙铁壁
  • CISCO PIX515E 防火墙的设置
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号