《防火墙配置.ppt》由会员分享,可在线阅读,更多相关《防火墙配置.ppt(110页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防火墙使用及功能配置防火墙使用及功能配置提纲防火墙相关知识CiscoPIX515ENetscreen500防火墙介绍防火墙的概念防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。防火墙术语防火墙术语 网关网关网关网关:在两个设备之间提供转发服务的系统。网关是互联网应用程:在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。序在两台主机之间处理流量的防火墙。这个术语是非常常见的。DMZDMZ非军事化区非军事化区非军事化区非军事化区:为了配置管理方便,内部网中需要向外提供服务:为了配置管理方便
2、,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。防的服务器往往放在一个单独的网段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,火墙一般配备三块网卡,在配置时一般分别分别连接内部网,internetinternet和和DMZDMZ。吞吐量吞吐量吞吐量吞吐量:网络中的数据是由一个个数据包组成,防火墙对每个数据:网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。过防
3、火墙的数据包数量。这是测量防火墙性能的重要指标。最大连接数最大连接数最大连接数最大连接数:和吞吐量一样,数字越大越好。但是最大连接数更贴:和吞吐量一样,数字越大越好。但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。防火墙这方面能力的指标。数据包转发率数据包转发率数据包转发率数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对:是指在所有安全规则配置正确的情况下,防火
4、墙对数据流量的处理速度。数据流量的处理速度。并发连接数目并发连接数目并发连接数目并发连接数目:由于防火墙是针对连接进行处理报文的,并发连接数由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个个TCP/UDPTCP/UDP的访问。的访问。对防火墙的需求网络规模网络规模/流量增长的流量增长的需求需求可靠性的需求可靠性的需求DOSDOS攻击防范的需求攻击防范的需求蠕虫病毒防范的需求蠕虫病毒防范的需求日志性能需求日志性能需求FinanceBusiness PartnerRegional O
5、fficeTelecommuterDMZHRWireless NetworkInternal attacks,malicious usersIntrusion over WLAN,Hijacked remote sessionCompromised PC,U turn attacksWorms,Trojan attacks安全产品市场分析数据来源:CNCERT/CC 2004年全国网络安全状况调查报告各行业对网络安全技术最高使用率对比各行业对网络安全技术最高使用率对比数据来源:CNCERT/CC 2004年全国网络安全状况调查报告防火墙的发展软件软硬结合硬件NetscreenNetscreen
6、与一般硬件防火墙比较与一般硬件防火墙比较通用的处理进程通用的处理进程 数据必须通过几个非优化的接口数据必须通过几个非优化的接口每个每个“API”都会引入安全风险、解释和厂商独立都会引入安全风险、解释和厂商独立性性进程延迟可能造成进程延迟可能造成“不可预知的行为不可预知的行为”无法优化数据路径无法优化数据路径PC硬件系统硬件系统VPNCo-ProcessorCPURAMBusI/OInOut安全的特定处理进程安全的特定处理进程 新的线速包处理进程新的线速包处理进程 被优化的每个进程模块被优化的每个进程模块为安全进程和性能优化的应用和硬件为安全进程和性能优化的应用和硬件GigaScreenASIC
7、CPUHigh Speed BackplaneInOutRAMI/ONetScreen 先进的硬件结构先进的硬件结构 安全实时的操作系统安全实时的操作系统 集成的安全应用集成的安全应用 CiscoPIX520CiscoPIX520防火墙图片防火墙图片CPU,RAMIntelEtherExpressPro/100+Cisco PIX Firewall 515ECiscoPIX515E防火墙 为中小企业而设计为中小企业而设计 并发吞吐量并发吞吐量188Mbps188Mbps 168168位位3DESIPSecVPN3DESIPSecVPN吞吐量吞吐量63Mbps63Mbps IntelIntel赛
8、扬赛扬 433433MHzMHz处理器处理器 64MBRAM64MBRAM 支持支持 6interfaces6interfacesPIX:PrivatePIX:Private Internet Internet eXchangeeXchange PIX515基本配件PIX515PIX515主机主机接口转换头接口转换头链接线链接线固定角架固定角架电源线电源线资料资料Power LEDThePIXFirewall515前面版Network LEDActive Failover UnitPIXFirewall515模块Using the quad card requires the PIX Fire
9、wall 515-UR license.PIXFirewall515PIXFirewall515双单口连接器双单口连接器Using two single-port connectors requires the PIX Firewall 515-UR license.ThePIXFirewall515FailoverconnectorFDXLEDLINKLED100 MbpsLEDFDXLEDConsoleport(RJ-45)10/100BaseTXEthernet 1(RJ-45)Power switchLINKLED100 MbpsLED10/100BaseTXEthernet 0(RJ
10、-45)LINK LED通常的连接方案PIX防火墙通用维护命令访问模式PIXFirewallPIXFirewall有有4 4种访问模式种访问模式:非特权模式非特权模式:PIX:PIX防火墙开机自检后防火墙开机自检后,就处于该模式就处于该模式,系统系统提示为提示为:pixfirewallpixfirewall 特权模式特权模式:enable:enable进入特权模式进入特权模式,可改变当前配置可改变当前配置,显示显示为为:pixfirewallpixfirewall#配置模式配置模式:输入输入configureterminalconfigureterminal进入进入,绝大部分系统绝大部分系统配
11、置都在这里进行配置都在这里进行,显示为显示为:pixfirewall(configpixfirewall(config)#)#监视模式监视模式:PIX:PIX开机或重启过程中开机或重启过程中,按住按住escesc键或发送一键或发送一个个breakbreak字符进入监视模式字符进入监视模式,可以在此更新操作系统镜可以在此更新操作系统镜像和口令回复像和口令回复,显示为显示为:monitor:monitorPIX防火墙基本命令enableenable,enable passwordenable password,passwdpasswdwrite erasewrite erase,write mem
12、orywrite memory,write write termterminalinalshow interfaceshow interface,show ip addressshow ip address,show memoryshow memory,show versionshow version,show show xlatexlateexit exit reloadreloadhostnamehostname,pingping,telnettelnetenable 命令pixfirewallenablepassword:pixfirewall#configureterminalpixf
13、irewall(config)#pixfirewall(config)#exitpixfirewall#enablepixfirewallEnablesyoutoenterdifferentaccessmodesenablepasswordpasswordpasswdpasswordpixfirewall#enable password 和 passwd 命令 设置进入特权模式的访问密码设置进入特权模式的访问密码.passwd设置telnet访问控制台口令pixfirewall#write 命令Thefollowingarethewritecommands:write netwrite net
14、:将存储当前配置的文件写入到将存储当前配置的文件写入到TFTPTFTP服务器上服务器上write erasewrite erase:清除清除FlashFlash中的配置中的配置write floppywrite floppy:将配置文件写入软盘将配置文件写入软盘write memorywrite memory:将配置文件写入到将配置文件写入到FlashFlashwrite terminalwrite terminal:显示存储在显示存储在FlashFlash中的配置信息中的配置信息show 命令showhistoryshowmemory-显示系统内存的使用情况showmemory1677721
15、6bytestotal,5595136bytesfreeshowversion-浏览PIX防火墙操作信息showxlate-查看地址转换信息showcpuusagepixfirewall#showinterfaceinterfaceethernet0“outside”isup,lineprotocolisuphardwareisi82557ethernet,addressis0060.7380.2f16ipaddress192.168.0.2,subnetmask255.255.255.0MTU1500bytes,BW1000000Kbithalfduplex1184342packetsinp
16、ut,1222298001bytes,0nobufferreceived26broadcasts,27runts,0giants4inputerrors,0crc,4frame,0overrun,0ignored,0abort1310091packetsoutput,547097270bytes,0underruns0unicastrpfdrops0outputerrors,28075collisions,0interfaceresets0babbles,0latecollisions,117573deferred0lostcarrier,0nocarrierinputqueue(curr/m
17、axblocks):hardware(128/128)software(0/1)outputqueue(curr/maxblocks):hardware(0/2)software(0/1)show interface 命令pixfirewall#showipaddressBuildingconfigurationSystemIPAddresses:ipaddressoutside192.168.0.2255.255.255.0ipaddressinside10.0.0.1255.255.255.0ipaddressdmz172.16.0.1255.255.255.0CurrentIPAddre
18、sses:ipaddressoutside192.168.0.2255.255.255.0ipaddressinside10.0.0.1255.255.255.0ipaddressdmz172.16.0.1255.255.255.0show ip address 命令hostname and ping 命令pixfirewall(config)#hostnameproteusproteus(config)#hostnamepixfirewall hostnamehostname newnamepixfirewall(config)#pixfirewall(config)#ping10.0.0.
19、310.0.0.3responsereceived-0Ms10.0.0.3responsereceived-0Ms10.0.0.3responsereceived-0Ms pingpingif_name ip_addresspixfirewall(config)#pixfirewall(config)#name172.16.0.2bastionhostname命令e0e2e1DMZ.2.1.1.2172.16.0.0/2410.0.0.0/24192.168.0.0/24Bastionhost关联一个名称和一个IP地址name ip_address namepixfirewall(config
20、)#telnettelnet 命令命令指定可以telnet连接到控制台的主机地址telnetip_address netmaskif_namepixfirewall(config)#killtelnet_idpixfirewall(config)#中止一个Telnet会话当前通过telnet访问控制台的主机地址wholocal_ippixfirewall(config)#pixfirewall(config)#showwhoshowwho2:From10.10.54.02:From10.10.54.0pixfirewall(config)#kill2kill2 PIX防火墙的6个常用命令PIX
21、PIX防火墙常用命令防火墙常用命令nameifnameifinterfaceinterfaceip addressip addressnatnatglobalglobalrouteroutenameifhardware_id if_name security_levelpixfirewall(config)#pixfirewall(config)#nameifethernet2 dmzsec50nameifnameif 命令用来命名接口并分配安全等级interfacehardware_id hardware_speedpixfirewall(config)#interfaceInterface
22、命令用来标示网络接口的速度和双工属性pixfirewall(config)#interfaceethernet0100fullpixfirewall(config)#interfaceethernet1100full将outside 和 inside 接口 设置为100兆全双工ipaddressif_name ip_addressnetmaskpixfirewall(config)#ip addressip address 用来给每个物理接口分配地址pixfirewall(config)#ipaddressdmz172.16.0.1255.255.255.0nat(if_name)nat_id
23、 local_ip netmaskpixfirewall(config)#natnat命令用来联系一个网络和一个全局IP地址池pixfirewall(config)#nat(inside)1 0.0.0.0 0.0.0.023NATExample10.0.0.349090Source portDestination addrSource addrDestination port200.200.200.1049090Source portDestination addrSource addrDestination port192.168.0.20200.200.200.1023InsideOut
24、sideInside LocalIP AddressGlobalIP Pool10.0.0.310.0.0.4192.168.0.20192.168.0.21Internet10.0.0.310.0.0.4Translation table10.0.0.3192.168.0.20global建立一个全局地址池,与nat联合使用pixfirewall(config)#nat(inside)10.0.0.00.0.0.0pixfirewall(config)#global(outside)1192.168.0.20-192.168.0.254pixfirewall(config)#global(i
25、f_name)nat_idglobal_ip-global_ipnetmaskglobal_mask|interface当内部主机访问外部网络时,他们所分配的地址范围是:192.168.0.20192.168.0.254 网络地址转换(NAT)配置实例Backbone,web,FTP,and TFTP serverPod perimeter routerPIX Firewall192.168.0.0/24.110.0.0.0/24e0 outside.2security level 0172.26.26.50Internete1 inside.1security level 10010.1.0
26、.0/24pixfirewall(config)#nat(inside)110.0.0.0255.255.255.0pixfirewall(config)#nat(inside)210.1.0.0255.255.255.0pixfirewall(config)#global(outside)1192.168.0.1-192.168.0.14netmask255.255.255.240pixfirewall(config)#global(outside)2192.168.0.17-192.168.0.30netmask255.255.255.240routeif_name ip_address
27、netmask gateway_ip metricpixfirewall(config)#routeroute命令为指定的接口输入一条静态或缺省的路由pixfirewall(config)#routeoutside0.0.0.00.0.0.0192.168.0.11172.30.0.50192.168.0.15PAT Global端口地址转换(PAT)172.30.0.5010.0.0.2490902310.0.0.3172.30.0.50200023192.168.0.15172.30.0.50200123192.168.0.15Source portDestination addrSour
28、ce addrDestination portSource portDestinationaddrSource addrDestinationport10.0.0.349090Source portDestination addrSource addrDestination port23 10.0.0.2Source portDestination addrSource addrDestination portInternetPAT配置实例pixfirewall(config)#ipaddress(inside)10.0.0.1255.255.255.0pixfirewall(config)#
29、ipaddress(outside)192.168.0.2255.255.255.0pixfirewall(config)#global(outside)1192.168.0.9netmask255.255.255.0pixfirewall(config)#nat(inside)110.0.0.0255.255.255.0分配一个分配一个 IPIP地址地址 (192.168.0.9)(192.168.0.9)到全局到全局地址池地址池源地址网络源地址网络10.0.0.0 被转换到被转换到 192.168.0.9SalesEngineering10.0.1.010.0.2.0 Informatio
30、n systems192.168.0.1192.168.0.2172.16.0.2Bastion hostPIX FirewallPerimeter router10.0.0.1多个网络的PAT转换pixfirewall(config)#ipaddress(inside)10.0.0.1255.255.255.0pixfirewall(config)#ipaddress(outside)192.168.0.2255.255.255.0pixfirewall(config)#global(outside)1192.168.0.8netmask255.255.255.0pixfirewall(co
31、nfig)#global(outside)2192.168.0.9netmask255.255.255.0pixfirewall(config)#nat(inside)110.0.1.0255.255.255.0pixfirewall(config)#nat(inside)210.0.2.0255.255.255.0SalesEngineering10.0.1.010.0.2.0 Information systems192.168.0.1192.168.0.2172.16.0.2Bastion hostPIX FirewallPerimeter router10.0.0.1将不同的内部网络转
32、换到不同的地址上将不同的内部网络转换到不同的地址上10.0.1.010.0.1.0 的网络被转换到的网络被转换到192.168.0.8192.168.0.8.10.0.10.0.2 2.0.0 的网络被转换到的网络被转换到192.168.0.192.168.0.9 9PIX防火墙的访问控制访问控制列表(ACL)ACLACL能够允许可靠的传输能够允许可靠的传输,拒绝非认可的传输拒绝非认可的传输.ACLACL 可针对每一个可针对每一个interfaceinterface进行配置进行配置ACLACL的配置命令的配置命令:access-list,access-list,access-groupacce
33、ss-groupaccess-listaccess-list acl_name deny|permit protocol src_addr|local_addr src_mask|local_mask operator port destination_addr|remote_addr destination_mask|remote_mask operator portpixfirewall(config)#创建一个ACLACL“dmz1”拒绝从192.168.1.0网络向主机192.168.0.1的小于1025端口的TCP连接pixfirewall(config)#access-listdm
34、z1denytcp192.168.1.0255.255.255.0host192.168.0.1lt1025附:比较运算符不指定运算符和端口就相当于指定了所有的端口Eq和一个端口号表示只对当前端口操作It(lessthan)和一个端口号表示对小于指定端口的所有端口操作Gt(greaterthan)和一个端口号表示对大于指定端口的所有端口进行操作Neq(non-eq)和一个端口号表示对除了指定端口之外的所有端口进行操作Range和一个端口范围表示只对在指定端口范围内的端口进行操作access-grouppixfirewall(config)#access-group acl_name in in
35、terface interface_name将访问列表名绑定到接口名以允许或拒绝IP信息包进入接口ACL“dmz1”绑定到interface“dmz”pixfirewall(config)#access-groupdmz1ininterfacedmzACL实例static(inside,outside)209.165.201.3 10.1.1.3access-list acl_out permit tcp any host 209.165.201.3 eq 80access-group acl_out in interface outside允许内网的所有主机访问209.165.201.3的8
36、0端口关于static和conduitstatic(local_ifc,global_ifc)global_ip|interfacelocal_ipnetmaskmask|access-listacl_namednsnorandomseqmax_connsemb_limitstatic的作用是:将局部地址映射为全局地址通常也与conduit合用 Conduitpermit|denyprotocol global_ip global_mask operator portport foreign_ip foreign_mask operator portportconduit:为向内连接添加、删除
37、或显示通过防火墙的管道Static(inside,outside)Static(inside,outside)tcptcp172.18.124.99telnet10.1.1.6172.18.124.99telnet10.1.1.6telnettelnetnetmasknetmask255.255.255.25500255.255.255.25500实例实例*外部用户向172.18.124.99的主机发出Telnet请求时,重定向到10.1.1.6。*外部用户向172.18.124.99的主机发出FTP请求时,重定向到10.1.1.3。*外部用户向172.18.124.208的端口发出Telne
38、t请求时,重定向到10.1.1.4。*外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时,重定向到10.1.1.5。*外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时,重定向到10.1.1.5。*外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时,重定向到10.1.1.7的80号端口。static(inside,outside)tcp172.18.124.99telnet10.1.1.6telnetnetmask255.255.255.25500static(inside,outside)tcp172.18.
39、124.99ftp10.1.1.3ftpnetmask255.255.255.25500static(inside,outside)tcp172.18.124.208telnet10.1.1.4telnetnetmask255.255.255.25500static(inside,outside)tcpinterfacetelnet10.1.1.5telnetnetmask255.255.255.25500static(inside,outside)tcpinterfacewww10.1.1.5wwwnetmask255.255.255.25500static(inside,outside)t
40、cp172.18.124.208808010.1.1.7wwwnetmask255.255.255.25500conduitpermittcphost172.18.124.99eqtelnetanyconduitpermittcphost172.18.124.99eqftpanyconduitpermittcphost172.18.124.208telnetanyconduitpermittcpinterfacetelnetanyconduitpermittcpinterfacewwwanyconduitpermittcphost172.18.124.208eq8080anypixfirewa
41、ll(config)#writeterminal.nameifethernet0outsidesec0nameifethernet1insidesec100access-listacl_outdenytcpanyanyeqwwwaccess-listacl_outpermitipanyanyaccess-groupacl_outininterfaceinsidenat(inside)110.0.0.0255.255.255.0global(outside)1192.168.0.20-192.168.0.254netmask255.255.255.0.拒绝Web访问拒绝内部网络对外部网络的80端
42、口访问允许其他IP协议的数据传送www InternetIPInternet允许DMZ中的web主机访问pixfirewall(config)#writeterminal.nameifethernet0outsidesec0nameifethernet1insidesec100nameifethernet2dmzsec50ipaddressoutside192.168.0.2255.255.255.0ipaddressinside10.0.0.1255.255.255.0ipaddressdmz172.16.0.1255.255.255.0static(dmz,outside)192.168.
43、0.11172.16.0.2access-listacl_in_dmzpermittcpanyhost192.168.0.11eqwwwaccess-listacl_in_dmzdenyipanyanyaccess-groupacl_in_dmzininterfaceoutside.Web server.2.1.1.2172.16.0.0/2410.0.0.0/24192.168.0.0/24InternetACLacl_in_dmz允许internet主机访问非军事区的web主机ACLacl_in_dmz禁止该web主机与外部主机间其他任何协议的通信注意:access-list和condui
44、t的区别,前者是主机间直接的通信,后者是通过防火墙做中间的代理PIX防火墙的其他配置filter进行URL,FTP,HTTPS,JAVA,ActiveX的过滤操作nofilteractivexport|except local_ip mask foreign_ip mask nofilterftpdest-port|exceptlocal_ip local_mask foreign_ip foreign_mask allowinteract-blocknofilterjavaport-port|except local_ip mask foreign_ip mask nofilterhttps
45、dest-port|exceptlocal_ip local_mask foreign_ip foreign_mask allownofilterurlhttp|port-portexceptlocal_ip local_mask foreign_ip foreign_mask allowproxy-block longurl-truncate|longurl-denycgi-truncatenofilterurlexceptlocal_ip local_mask foreign_ip foreign_mask nofilterurlport|exceptlocal_ipmaskforeign
46、_ipmask allowproxy-blocklongurl-truncate|longurl-denycgi-truncateFilter的例子过滤过滤activeXfilter activex 80 0 0 0 0过滤过滤javaappletsfilter java 80 0 0 0 0过滤过滤urlurl-server(perimeter)host 10.0.1.1 filter url 80 0 0 0 0 filter url except 10.0.2.54 255.255.255.255 0 0 过滤所有过滤所有8080端口代理服务的流量端口代理服务的流量filter url
47、8080 0 0 0 0 proxy-blockfixup protocol改变、允许、禁止或列出一个改变、允许、禁止或列出一个PIXPIX防火墙应用的特性防火墙应用的特性 打开防火墙的邮件保护打开防火墙的邮件保护fixupprotocolsmtpport-port关闭邮件保护关闭邮件保护nofixupprotocolsmtpport-portfixupfixupprotocolprotocolctiqbectiqbe27482748nonofixupfixupprotocolprotocoldnsdnsmaximum-lengthmaximum-lengthlengthlengthfixup
48、fixupprotocolprotocolesp-ikeesp-ike fixupfixupprotocolftpstrictprotocolftpstrictportportfixupfixupprotocolh323h225|protocolh323h225|rasrasportport-portportfixupfixupprotocolhttpprotocolhttpportport-portportfixupfixupprotocolprotocolicmpicmperrorerrorfixupfixupprotocolprotocolilsilsportport-portportn
49、onofixupfixupprotocolprotocolmgcpmgcp portport-portport fixupfixupprotocolprotocolpptppptp17231723fixupfixupprotocolprotocolrshrsh514514fixupfixupprotocolprotocolrtsprtspportportfixupfixupprotocolsipprotocolsipportport-portportnonofixupfixupprotocolsipprotocolsipudpudp50605060fixupfixupprotocolskinn
50、yprotocolskinnyportport-portportfixupfixupprotocolprotocolsmtpsmtpportport-portportfixupfixupprotocolprotocolsnmpsnmp 161-162161-162fixupfixupprotocolprotocolsqlnetsqlnetportport-portportfixupfixupprotocolprotocoltftptftp portport-portport nonofixupfixupprotocolprotocol protocol_nameprotocol_name po