绿盟安全月刊->第22期->安全文摘 基于Cisco PIX Firewall的防火墙系统

日期：2001-06-15

（西安通信学院 710106） 申普兵 罗达强

摘要：本文介绍了Cisco PIX Firewall防火墙的一些功能和作用。说明了如何利用Cisco PIX Firewall方便快捷地构建一个较为安全的防火墙系统。

关键词：防火墙 IP地址 IP包过滤

1． 引言

　　随着Internet的进一普及和迅猛发展，针对入网主机的入侵的日益增多，应用防火墙技术势在必行 。但各种各样的防火墙产品种类繁多，功能不一，这就给防火墙系统的实现和维护带来了许多难处。如何构建一个安全实用，容易实现的防火墙系统是值得研究的，一般来说，一个完整的防火墙系统既要防止外部入侵，又要防止内部人员的非法访问。对于Cisco PIX Firewall防火墙来说，通过动态和静态的地址映射，管道技术，我们可以方便容易地实现一个较为完整的防火墙系统。

2． Cisco PIX Firewall功能简介

　　一般说来，一个防火系统就是在两个网络之间实施的若干的存取控制方法的集合。通常有两种类型的防火墙；基于网络层的包过滤防火墙和基于应用层的隔离网络的代理服务器（proxy server）。前一种主要是在网络层根据IP包的源和目的地址及源和目的端口来决定是转发还是丢弃IP包，而后一种是在应用层为每一种服务提供一个代理，鉴于这两种技术都有各自的特点和弊端，建设一个具有良好性能的防火墙应是基于拓扑结构的合理选用和防火墙技术的合理配置。
　　Cisco PIX Firewall是基于这两种技术结合的防火墙。它应用安全算法（Adaptive Security Algorithm），将内部主机的地址映射为外部地址，拒绝未经允许的包入境，实现了动态，静态地址映射，从而有效地屏蔽了内部网络拓扑结构。通过管道技术，出境访问列表，我们可以有效地控制内、外部各资源的访问。
　　PIX Firewall可连接四个不同的网络，每个网络都可定义一个安全级别，级别低的相对于级别高的总是被视为外部网络，但最低的必须是全球统一的IP地址。以下，我们仅以两个网络为例介绍Cisco PIX Firewall防火墙系统。

3．Cisco PIX Firewall 的配置过程

　　在配置之前，应先规划好网络拓扑结构，制定较为祥细的安全策略；
以图一拓扑结构网络为例。设它有IP地址范围204.31.17.128-204.31.17.191,有E-mail，WWW，FTP等服务器，PIX Firewall的内部虚IP地址范围为：192.168.3.1-192.168.3.255,可以定义以下策略



3.1 屏蔽内部网络拓扑结构

　　为了防止黑客的侵入，应采用动态地址映射隔离内部网络，屏蔽内部网络拓扑结构。我们对PIX Firewall做如下配置:

nat 1 0 0
global (outside) 1 204.31.17.131 – 204.31.17.165
global (outside) 1 204.31.17.130

上述配置阻挡全部入境访问

3.2 对资源主机的访问控制

　　E-mail，FTP，www等服务器是重要的资源，必须利用管道(conduit)使得外部对它们可访问，但必须限制对它们的访问，即禁止除E-mail，www，FTP以外的一切服务，以获得最大的安全性，配置方法如下：

static (inside，outside) 204.31.17.129 192.168.3.1
conduit permit tcp host 204.31.17.129 eq www any
static (inside，outside) 204.31.17.128 192.168.3.2
conduit permit tcp host 204.31.17.128 eq smtp any
static (inside，outside) 204.31.17.166 192.168.3.3
conduit permit tcp host 204.31.17.128 eq ftp any

3.3 对Internet上的敏感主机和资源的控制

　　对于Internet上的一些敏感资源，如一些不健康站点，我们可用(nslookup 域名)查到其IP地址，并对出境的访问加以控制。在PIX Firewall上的配置如下：

outbound 10 deny 204.31.17.11 255.255.255.255 www tcp
apply (inside) 10 outgoing_dest

　　对内部主机，我们可以控制其能使用的服务，例如，对图一主机192.168.3.4我们可以禁止它使用WWW服务访问外部网络。其配置如下：

outbound 20 deny 192.168.3.4 255.255.255.255 www tcp
apply(inside) 20 outgoing_src

　　这样我们就可以对内部主机到外部的访问进行完全的控制。

４．防范内部网络的非法IP和MAC地址

　　由于IP地址可被设置更改，非法用户常篡改，盗用他人的IP地址和MAC地址，来达到隐藏其非法访问的目的。我们可以使用PIX Firewall的ARP命令将内部主机的IP和它的MAC地址绑定，来有效地防止篡改和盗用IP地址现象。例如，我们要将主机的IP地址192.168.3.4与它的MAC地址00e0.1e40.2a7c绑定，可进行如下配置：

arp inside 192.168.3.4 00e0.1e40.2a7c alias
wr m

　　结合以上四种配置，Cisco PIX Firewall可以实现对IP包过滤，屏蔽内部网络和对网络资源加以的控制，并有效地防范IP地址的盗用和篡改。从而较好地实现了一个完整的防火墙系统。由此可见，由PIX来构筑一防火墙系统极其方便的。


参考文献

（1）、 Cisco system资料 configuration guide for the PIX Firewall
（2）、 Cisco system资料 Introduction to Cisco Router configuration
（3）、 CERNET的研究与发展，第二卷

通信地址：西安市长安县西安通信学院网络工程教研室
邮编：710106 电话：029-5431441（O），029-5431639（H）
spb71@sina.com