Cisco：四種類型的防火墻技術匯總

我們知道防火墻有四種類型：集成防火墻功能的路由器，集成防火墻功能的代理服務器，專用的軟件防火墻和專用的軟硬件結合的防火墻。Cisco的防火墻解決方案中包含了四種類型中的第一種和第四種，即：集成防火墻功能的路由器和專用的軟硬件結合的防火墻。
     一、 集成在路由器中的防火墻技術
     1、 路由器IOS標準設備中的ACL技術
     ACL即Access Control Lis t（訪問控制列表），簡稱Access List（訪問列表），它是后續(xù)所述的IOS Firewall Feature Set的基礎，也是Cisco全線路由器統(tǒng)一界面的操作系統(tǒng)IOS（Internet Operation System，網(wǎng)間操作系統(tǒng)）標準配置的一部分。這就是說在購買了路由器后，ACL功能已經(jīng)具備，不需要額外花錢去買。
     2、 IOS Firewall Feature Set（IOS防火墻軟件包）
     IOS Firewall Feature Set是在ACL的基礎上對安全控制的進一步提升，由名稱可知，它是一套專門針對防火墻功能的附加軟件包，可通過IOS升級獲得，并且可以加載到多個Cisco路由器平臺上。
     目前防火墻軟件包適用的路由器平臺包括Cisco 1600、1700、2500、2600和3600，均屬中、低端系列。對很多傾向與使用"all-in-one solution"（一體化解決方案），力求簡單化管理的中小企業(yè)用戶來說，它能很大程度上滿足需求。之所以不在高端設備上實施集成防火墻功能，這是為了避免影響大型網(wǎng)絡的主干路由器的核心工作--數(shù)據(jù)轉發(fā)。在這樣的網(wǎng)絡中，應當使用專用的防火墻設備。
     Cisco IOS防火墻特征：
     基于上下文的訪問控制（CBAC）為先進應用程序提供基于應用程序的安全篩選并支持最新協(xié)議
     Java能防止下載動機不純的小應用程序
     在現(xiàn)有功能基礎上又添加了拒絕服務探測和預防功能，從而增加了保護
     在探測到可疑行為后可向中央管理控制臺實時發(fā)送警報和系統(tǒng)記錄錯誤信息
     TCP/UDP事務處理記錄按源/目的地址和端口對跟蹤用戶訪問
     配置和管理特性與現(xiàn)有管理應用程序密切配合
     訂購信息
     Cisco 1600系列Cisco IOS防火墻特性
     IP/Firewall CD16-BW/EW/CH-11.3=
     IP/Firewall CD16-BY/EY/CH-11.3=
     IP/IPX/Firewall Plus CD16-C/BHP-11.3=
     Cisco 2500系列Cisco IOS防火墻特性
     IP/Firewall CD25CH-11.2=
     IP/IPX/AT/DEC/Firewall Plus CD25-BHP-11.2=
     二、 專用防火墻--PIX
     PIX（Private Internet eXchange）屬于四類防火墻中的第四種--軟硬件結合的防火墻，它的設計是為了滿足高級別的安全需求，以較好的性能價格比提供嚴密的、強有力的安全防范。除了具備第四類防火墻的共同特性，并囊括了IOS Firewall Feature Set的應有功能。
     PIX成為Cisco在網(wǎng)絡安全領域的旗艦產(chǎn)品已有一段歷史了，它的軟硬件結構也經(jīng)歷了較大的發(fā)展?，F(xiàn)在的PIX有515和520兩種型號（520系列容量大于515系列），從原來的僅支持兩個10M以太網(wǎng)接口，到10/100M以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI的多介質、多端口（最多4個）應用；其專用操作系統(tǒng)從v5.0開始提供對IPSec這一標準隧道技術的支持，使PIX能與更多的其它設備一起共同構筑起基于標準VPN連接。
     Cisco的PIX Firewall能同時支持16，000多路TCP對話，并支持數(shù)萬用戶而不影響用戶性能，在額定載荷下，PIX Firewall的運行速度為45Mbps，支持T3速度，這種速度比基于UNIX的防火墻快十倍。
     主要特性：
     保護方案基于適應性安全算法（ASA），能提供任何其它防火墻都不能提供的安全保護
     將獲專利的"切入代理"特性能提供傳統(tǒng)代理服務器無法匹敵的高性能
     安裝簡單，維護方便，因而降低了購置成本
     支持64路同時連接，企業(yè)發(fā)展后可擴充到16000路
     透明支持所有通用TCP/IP Internet服務，如萬維網(wǎng)（WWW）文件傳輸協(xié)議（FTP）、Telnet、Archie、Gopher和rlogin
     支持多媒體數(shù)據(jù)類型，包括Progressive網(wǎng)絡公司的Real Audio，Xing技術公司的Steamworks，White Pines公司腃USeeMe，Vocal Te公司的Internet Phone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的Web Theater 2
     支持H323兼容的視頻會議應用，包括Intel的Internet Video Phone和Microsoft的NetMeeting
     無需因安裝而停止運行
     無需升級主機或路由器
     完全可以從未注冊的內部主機訪問外部Internet
     能與基于Cisco IOS的路由器互操作
     訂購信息
     帶2個10/100BaseT NIC的64路PIX PIX-64-A-CH
     帶2個10/100BaseT NIC的1024路PIX PIX1K-A-CH
     帶2個10/100BaseT NIC的16K路（不限）PIX PIXUR-A-CH
     帶2個10/100BaseT NIC的64路200MHZ PIX PIX64-B-CH
     帶2個10/100BaseT NIC的1024路200MHZ PIX PIX1K-B-CH
     帶2個10/100BaseT NIC的16K路200MHZ PIX PIXUR-B-CH
     10/100M bps以太網(wǎng)接口，RJ45 PIX-1FE=
     4/16Mbps令牌環(huán)網(wǎng)接口 PIX-1TR=
     PIX軟件版本升級 SWPIX-VER=
     三、 兩種防火墻技術的比較
     IOS FIREWALL FEATURE SET PIX FIREWALL
     網(wǎng)絡規(guī)模 中小型網(wǎng)絡，小于250節(jié)點的應用。 大型網(wǎng)絡，可支持多于500用戶的應用
     工作平臺 路由器IOS操作系統(tǒng) 專用PIX工作平臺
     性能 支持T1/E1（2M）線路 可支持多條T3/E3（45M）線路
     工作原理 基于數(shù)據(jù)濾，核心控制為CBAC 基于數(shù)據(jù)濾，核心控制為ASA
     配置方式 命令行或圖形方式（通過ConfigMaker） 命令行方式或圖形方式（通過Firewall Manager）
     應用的過濾 支持Java小程序過濾 支持Java小程序過濾
     身份認證 通過IOS命令，支持TACACS+、RADIUS服務器認證。 支持TACACS+、RADIUS集中認證
     虛擬專網(wǎng)（VPN） 通過IOS軟件升級可支持IPSec、L2F和GRE隧道技術，支持40或56位DES加密。 支持Pri vate Link或IPSec隧道和加密技術
     網(wǎng)絡地址翻譯（NAT） 集成IOS Plus實現(xiàn) 支持
     冗余特性 通過路由器的冗余協(xié)議HSRP實現(xiàn) 支持熱冗余
     自身安全 支持Denial-of-Service 支持Denial-of-Service
     代理服務 無，通過路由器的路由功能實現(xiàn)應用 切入的代理服務功能
     管理 通過路由器的管理工具，如Cisco Works 通過Firewall Manager實現(xiàn)管理
     審計功能 一定的跟蹤和報警功能 狀態(tài)化數(shù)據(jù)過濾，可通過Firewall Manager實現(xiàn)較好的額監(jiān)控、報告功能
     四、 Centri防火墻
     主要特性：
     核心代理體系結構
     針對Windows NT定制TCP/IP棧
     圖形用戶結構可制訂安全政策
     可將安全政策拖放到網(wǎng)絡、網(wǎng)絡組、用戶和用戶組
     ActiveX、Java小應用程序、Java和Vb模塊
     通用資源定位器（URL）模塊
     端口地址轉換
     網(wǎng)絡地址轉換
     透明支持所有通用TCP/IP應用程序，包括WWW、文件傳輸協(xié)議（FTP）Telnet和郵件
     為Web、Telnet和FTP提供代理安全服務
     根據(jù)IP地址、IP子網(wǎng)和IP子網(wǎng)組進行認證
     使用sl口令和可重復使用口令Telnet、Web和ftp提供聯(lián)機用戶認證
     使用Windows NT對所有網(wǎng)絡服務進行帶外認證
     防止拒絕服務型攻擊，包括SYN Flood、IP地址哄騙和Ping-of-Death
     訂購信息
     Cisco Centri產(chǎn)品
     Centri Firewall v4.0 for Windows NT,50個用戶 Centri-50
     Centri Firewall v4.0 for Windows NT,100個用戶 Centri-100
     Centri Firewall v4.0 for Windows NT,250個用戶 Centri-250
     Centri Firewall v4.0 for Windows NT,用戶不限 Centri-UNR
     Centri Firewall v4.0 for Windows NT,從100個用戶升級到250個 Centri-UDP-100-250
     Centri Firewall v4.0 for Windows NT,從250個用戶升級到無窮多 Centri-250-UNR
    五、Cisco PIX防火墻的安裝流程
     1. 將PIX安放至機架，經(jīng)檢測電源系統(tǒng)后接上電源，并加電主機。
     2. 將CONSOLE口連接到PC的串口上，運行HyperTerminal程序從CONSOLE口進入PIX系統(tǒng)；此時系統(tǒng)提示pixfirewall>。
     3. 輸入命令：enable,進入特權模式，此時系統(tǒng)提示為pixfirewall#。
     4. 輸入命令： configure terminal,對系統(tǒng)進行初始化設置。
     5. 配置以太口參數(shù):
     interface ethernet0 auto （auto選項表明系統(tǒng)自適應網(wǎng)卡類型 ）interface ethernet1 auto
     6. 配置內外網(wǎng)卡的IP地址：
     ip address inside ip_address netmask
     ip address outside ip_address netmask
     7. 指定外部地址范圍：
     global 1 ip_address-ip_address
     8. 指定要進行要轉換的內部地址：
     nat 1 ip_address netmask
     9. 設置指向內部網(wǎng)和外部網(wǎng)的缺省路由
     route inside 0 0 inside_default_router_ip_address
     route outside 0 0 outside_default_router_ip_address
     10. 配置靜態(tài)IP地址對映:
     static outside ip_address inside ip_address
     11. 設置某些控制選項：
     conduit global_ip port<-port> protocol foreign_ip global_ip 指的是要控制的地址
     port 指的是所作用的端口，其中0代表所有端口
     protocol 指的是連接協(xié)議，比如：TCP、UDP等
     foreign_ip 表示可訪問global_ip的外部ip，其中表示所有的ip。
     12. 設置telnet選項：
     telnet local_ip
     local_ip 表示被允許通過telnet訪問到pix的ip地址（如果不設此項， PIX的配置只能由consle方式進行）。
     13. 將配置保存：
     wr mem
     14. 幾個常用的網(wǎng)絡測試命令：
     #ping
     #show interface 查看端口狀態(tài)
     #show static 查看靜態(tài)地址映射
     六、PIX與路由器的結合配置
     （一）、PIX防火墻
     1、設置PIX防火墻的外部地址：
     ip address outside 131.1.23.2
     2、設置PIX防火墻的內部地址：
     ip address inside 10.10.254.1
     3、設置一個內部計算機與Internet上計算機進行通信時所需的全局地址池：
     global1 131.1.23.10-131.1.23.254
     4、允許網(wǎng)絡地址為10.0.0.0的網(wǎng)段地址被PIX翻譯成外部地址：
     nat 110.0.0.0
     5、網(wǎng)管工作站固定使用的外部地址為131.1.23.11：
     static 131.1.23.11 10.14.8.50
     6、允許從RTRA發(fā)送到到網(wǎng)管工作站的系統(tǒng)日志包通過PIX防火墻：
     conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255
     7、允許從外部發(fā)起的對郵件服務器的連接（131.1.23.10）：
     mailhost 131.1.23.10 10.10.254.3
     8、允許網(wǎng)絡管理員通過遠程登錄管理IPX防火墻：
     telnet 10.14.8.50
     9、在位于網(wǎng)管工作站上的日志服務器上記錄所有事件日志：
     syslog facility 20.7
     syslog host 10.14.8.50
     （二）、路由器RTRA
     RTRA是外部防護路由器，它必須保護PIX防火墻免受直接攻擊，保護FTP/HTTP服務器，同時作為一個警報系統(tǒng)，如果有人攻入此路由器，管理可以立即被通知。
     1、阻止一些對路由器本身的攻擊：
     no service tcps mall-servers
     2、強制路由器向系統(tǒng)日志服務器發(fā)送在此路由器發(fā)生的每一個事件 :
     3、此地址是網(wǎng)管工作站的外部地址，路由器將記錄所有事件到此主機上：
     logging 131.1.23.11
     4、保護PIX防火墻和HTTP/FTP服務器以及防衛(wèi)欺騙攻擊（見存取列表）：
     enable secret xxxxxxxxxxx
     interface Ethernet 0
     ipaddress 131.1.23.1 255.255.255.0
     interfaceSerial 0
     ip unnumbered ethernet 0
     ip access-group 110 in
     5、禁止任何顯示為來源于路由器RTRA和PIX防火墻之間的信息包，這可以防止欺騙攻擊：
     access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog
     6、防止對PIX防火墻外部接口的直接攻擊并記錄到系統(tǒng)日志服務器任何企圖連接PIX防火墻外部接口的事件：
     access-list 110 deny ip any host 131.1.23.2 log
     7、允許已經(jīng)建立的TCP會話的信息包通過：
     access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established
     8、允許和FTP/HTTP服務器的FTP連接：
     access-list 110 permit tcp any host 131.1.23.3 eq ftp
     9、允許和FTP/HTTP服務器的FTP數(shù)據(jù)連接：
     access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
     10、允許和FTP/HTTP服務器的HTTP連接：
     access-list 110 permit tcp any host 131.1.23.2 eq www
     11、禁止和FTP/HTTP服務器的別的連接并記錄到系統(tǒng)日志服務器任何企圖連接FTP/HTTP的事件：
     access-list 110 deny ip any host 131.1.23.2 log
     12、允許其他預定在PIX防火墻和路由器RTRA之間的流量：
     access-list 110 permit ip any 131.1.23.0 0.0.0.255
     13、限制可以遠程登錄到此路由器的IP地址：
     line vty 0 4
     login
     password xxxxxxxxxx
     access-class 10 in
     14、只允許網(wǎng)管工作站遠程登錄到此路由器，當你想從Internet管理此路由器時，應對此存取控制列表進行修改：
     access-list 10 permit ip 131.1.23.11
     （三）、路由器RTRB
     RTRB是內部網(wǎng)防護路由器，它是你的防火墻的最后一道防線，是進入內部網(wǎng)的入口。
     1、記錄此路由器上的所有活動到網(wǎng)管工作站上的日志服務器，包括配置的修改：
     logging trap debugging
     logging 10.14.8.50
     2、允許通向網(wǎng)管工作站的系統(tǒng)日志信息：
     interface Ethernet 0
     ip address 10.10.254.2 255.255.255.0
     no ip proxy-arp
     ip access-group 110 in
     access-list 110 permit udp host 10.10.254.0 0.0.0.255
     3、禁止所有別的從PIX防火墻發(fā)來的信息包：
     access-list 110 deny ip any host 10.10.254.2 log
     4、允許郵件主機和內部郵件服務器的SMTP郵件連接：
     access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp
     5、禁止別的來源與郵件服務器的流量：
     access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255
     6、防止內部網(wǎng)絡的信任地址欺騙：
     access-list deny ip any 10.10.254.0 0.0.0.255
     7、允許所有別的來源于PIX防火墻和路由器RTRB之間的流量：
     access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255
     8、限制可以遠程登錄到此路由器上的IP地址：
     line vty 0 4
     login
     password xxxxxxxxxx
     access-class 10 in
     9、只允許網(wǎng)管工作站遠程登錄到此路由器，當你想從Internet管理此路由器時，應對此存取控制列表進行修改：
     access-list 10 permit ip 10.14.8.50
     按以上設置配置好PIX防火墻和路由器后，PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口，也不可能判斷出內部任何一臺主機的IP地址，即使告訴了內部主機的IP地址，要想直接對它們進行Ping和連接也是不可能的。這樣就可以對整個內部網(wǎng)進行有效的保護。