防火墙技术（下）

11．防火墙的实现与配置

基于以上原因， Cisco PIX 作为一种硬件防火墙其优势有两点：第一，网络性能相当不错， Cisco PIX 可以提供 2 ～ 6 个 100Mbps 快速以太网接口，能够满足大部分的应用需求。与软件防火墙相比，它的包处理速度和转发速度要快得多。第二， Cisco PIX 中包含了丰富的基于 IPsec 的 ××× 服务软件， ××× 能够提供站点到站点之间和远程客户端到站点之间的安全访问，不过需要另外的一台认证服务器。 CISCO PIX 防火墙 直接把 IDS 、病毒检测部分直接 " 做 " 到防火墙中，使防火墙具有 IDS 和病毒检测设备的功能 ， 访问控制功能外，还集成了其它的安全技术，如 NAT 和 ××× 、病毒防护等。大部分人都认为 CISCO PIX 防火墙是一般大中型企业或要保护重要数据及文件系统的企业的首选。下面我们来看一下CISCO PIX防火墙的实验：实验拓扑：以下拓扑是一般企业常用的一般拓扑，它把整个网络分成三部分：内部网络，外部网络，DMZ区域。各自实现不同功能，而CISCO PIX防火墙就设置在内外网络之间，防止未授权外部用户直接访问。

 

实验步骤：

 

防火墙配置：

 

路由器配置：

 

 

 

交换机配置：

 

 

我们看到以上实验步骤：防火墙： 1. 它首先是用 enable 和 config terminal 命令进入特权模式进行设置，再用 nameif 设置内部网络和外部网络， DMZ 区域的优先级及其指定内外部网络， DMZ 接口； 2. 设置其双工模式及内部外部网络 ,DMZ 接口的各个 IP 地址； 3. 设置 NAT 表进行内外网络的 IP 的转换，节省了 IP 地址； 4 ，设置静态 IP 转换，及访问控制列表 permit 特定主机访问 ftp 服务器，并把控制列表应用于接口之上使其生效（在没有应用之前访问控制是不起任何作用的）。路由器：设置路由器 f0/1 端口分为两个子端口 f0/1.1 和 f0/1.2 分别设置其 IP 地址分别为 172.16.1.4 和 172.16.2.4 ，允许交换机 VLAN 间的通信。交换机：创建 VLAN2 把端口 4 划分到 VLAN2 中并把端口 1 设为 TRUNK 设置其封装方式允许全部 VLAN 的数据通过。

 

实验内容：通常我们会把防火墙的内外部网络设置成不同的安全优先级和内外部接口主要是为了防止外部网络对内部网络的直接访问，保护内部资源，防止未授权者或者***访问，控制内部用户对外部的无限制访问。通常我们都会把 ethernet0 命名为外部接口，安全级别是 0 ； ethernet1 被命名为内部接口，安全级别 100 ； ethernet2 被命名为 dmz ，安全级别 50 。当内部主机访问外部主机时，通过 nat 转换成公网 IP ，访问 internet 。企业内部网络或者是企业内部网络的一部分通常被称为内部网络。它是互连网络的信任区域受防火墙的保护；外部区域指的是 Internet 或者非企业内部网络。它被设为不被信任的区域，当外部 区域想要访问内部区域的主机和服务，通过防火墙可以对其实现限制；非军事区（ DMZ ）：是一个隔离的网络，或几个网络。一般在此可以放置一些比较安全性要求不高或者不限制外部网络用户访问的服务器如 FTP 服务器 ,WWW 服务器 ,EMAIL 服务器等等，但它并不包括数据库等重要数据。 DMZ 通常不限制外部网络用户访问企业的公开信息，却不允许他们访问企业内部网络，防止不必要的***。

    当内部主机访问外部主机时，通过 nat 转换成公网 IP ，访问 internet 。当内部主机访问中间区域 dmz 时，将自己映射成自己访问服务器，否则内部主机将会映射成地址池的 IP ，到外部去找。当外部主机访问中间区域 dmz 时，对 133.0.0.1 映射成 10.65.1.101 ， static 是双向的。 PIX 的所有端口默认是关闭的，进入 PIX 要经过 acl 入口过滤。静态路由指示内部的主机和 dmz 的数据包从 outside 口出去。 DMZ 区域 ( 停火区 ) ，放置对外开放的服务器。这样可以让外部网络访问到 WWW,FTP,EMAIL 等服务器，但不可以直接访问内部网络，减少外部网络对内部的***及威胁。

 

实验结果：

 

 

PCA 可以 PING 通 PCB 和 FTP 服务器，这样内部网络可以访问到它想访问而又不违背防火墙设置规则策略，让内部网络享受保护的同时又让其可以享有应有的权限；而外部网络只可以访问到其开放的服务如 FTP 服务 ,www 服务器，而不能访问内部网络如 PCA ，直接与内部网络通信 , 这样就实现了我们所设置的规则。

 

实验总结：运用 CISCO PIX 防火墙可以过滤掉它像过滤而不影响它不限制的数据流通过。通过它内置的部分 IDS 和 IPS ， ASA 功能，在有数据包通过或产生是就会对数据包进行设置查看管理员所设规则，如果违反了就给予拒绝，相反就给予允许极大的扩展了网络的安全管理级别。当内部主机访问外部网络时，通过防火墙，防火墙就会检测管理员是否设置 NAT ，本例中设置了 NAT 防火墙就会把其内部 IP 地址转换成公网 IP 133.0.0.1 ，访问 internet 。当内部主机访问中间区域 dmz 时，也同样会经过 NAT 把它转换成它所映射的 IP 地址池，让其可以访问到 DMZ 区域的特定服务器。当外部主机访问中间区域 dmz 时，就需要把外部网络反馈回来的 IP 地址经过 NAT 将公网 IP 133.0.0.1 映射成内部网络 IP 172.15.1.2 ， static 是双向的。进入 PIX 防火墙的数据都不可避免的要经过 acl 入口过滤，这样才可以最大限度保护访问数据限制***者及***窃取修改数据。静态路由指示内部的主机，让外部主机和 dmz 的数据包一对一的相互转换。一般情况下，我们都会禁止外部网络直接访问内部网络，防止外部及******，保护内部网络的安全。允许部分外部网络访问 DMZ 的服务器如 FTP 服务器， WWW 服务器等。进行 NAT 转换可进行节省 ip 地址，充分利用 ip ，提高其 IP 利用效率，降低公网 IP 节省费用。整个实验向我们展示了一般企业网络的配置与设置规则，它限制内外网络的直接通信，允许外网络访问 DMZ 区域的 FTP 或 WWW 等安全要求不高的服务器，提供公司向外发布的公开信息，却禁止与内网的直接通信从而保护内部网络免受***及重要数据受到破坏。防火墙主要应用于企业，及有重要数据需要保护隔离的情况，它最主要的缺点是它不能阻止绕过它而进行的***，我觉得防火墙会进一步综合更强大的功能，结合包过滤和状态检测，应用级代理服务器的功能，向深度检测及分布式防火墙发展。