PIXFirewall使用手册
添加时间: 2008-2-21 18:23:52 作者: Cisco指导 阅读次数:65 来源: http://www.d9soft.com
PIX Firewall上的另一种地址转换是静态转换。静态转换能够为内部地址指定一个固定的外部IP地址。对于需要固定IP地址以便接受公共互联网访问的服务器来讲,这个功能非常有用。
PIX Firewall身份认证特性可以关闭地址转换。如果现有内部系统拥有有效的全球唯一地址,Identity特性可以有选择地关闭这些系统的NAT和PAT。这个特性使外部网络能够看到内部网络的地址。
切入型代理(Cut-Through Proxy)
切入型代理是PIX Firewall的独特特性,能够基于用户对向内或外部连接进行验证。与在OSI模型的第七层对每个包进行分析(属于时间和处理密集型功能)的代理服务器不同,PIX Firewall首先查询认证服务器,当连接获得批准之后建立数据流。之后,所有流量都将在双方之间直接、快速地流动。
借助这个特性可以对每个用户ID实施安全政策。在连接建立之前,可以借助用户ID和密码进行认证。它支持认证和授权。用户ID和密码可以通过最初的HTTP、Telnet或FTP连接输入。
与 检查 源IP地址的方法相比,切入型代理能够对连接实施更详细的 管理 。在提供向内认证时,需要相应地控制外部用户使用的用户ID和密码(在这种情况下,建议使用一次性密码)。
访问控制(Access Control)
本节将介绍PIX Firewall用于对网络用户实行认证和授权的各种特性,内容包括:
AAA集成
访问列表
管线
AAA集成(AAA Integration)
PIX Firewall提供与AAA(认证、计费和授权)服务的集成。AAA服务由TACACS+或RADIUS服务器提供。
PIX Firewall允许定义独立的TACACS+或RADIUS服务器组,以便确定不同的流量类型,例如,TACACS+服务器用于处理向内流量,另一服务器用于处理向外流量。
AAA服务器组由标记名称定义,这个标记名称的作用是将不同的流量类型引导到各台认证服务器。如果需要计费,计费信息将被送入活跃的服务器。
PIX Firewall允许RADIUS服务器将用户组属性发送到RADIUS认证响应信息中的PIX Firewall。然后,PIX Firewall将把访问列表和属性匹配起来,从访问列表中确定RADIUS认证。PIX Firewall对用户进行认证之后,它将使用认证服务器返回的 Cisco Secure acl属性识别某用户组的访问列表。
访问列表(Access Lists)
从5.3版本开始,PIX Firewall使用访问列表控制内部网络与外部网络之间的连接。访问列表用access-list和access-group命令实施。这些命令取代了PIX Firewall以前版本中的conduit和outbound命令,但是,为实现向下兼容性,当前版本仍然支持conduit和outbound这两个命令。
用户可以按照源地址、目标地址或协议使用访问列表控制连接。为了减少所需的接入,应该认真配置访问列表。如果可能,应该用远程源地址、本地目标地址和协议对访问列表施加更多的限制。在配置中,access-list和access-group命令语句的优先级高于conduit和outbound命令。
管线(Conduits)
在5.3版本之前,PIX Firewall使用conduit和outbound命令控制外部网络和内部网络之间的连接。在PIX Firewall6.0及更高的版本中,为实现向下兼容,这些命令仍然可用,但是,我们建议大家最好使用access-list和access-group命令。
每条管线都是PIX Firewall的潜在威胁,因此,必须根据安全政策和业务的要求限制对它的使用。如果可能,可以用远程源地址、本地目标地址和协议加以限制。
防范攻击(Protecting Your Network from Attack)
本节将介绍PIX Firewall提供的防火墙特性。这些防火墙特性可以控制与某些袭击类型相关的网络行为。本节包含的内容如下:
单播反向路径发送
Flood Guard
FragGuard和虚拟重组
DNS控制
ActiveX阻挡
Java 过滤
URL 过滤
如果想了解允许在防火墙上使用特殊协议和应用的特性的详细情况,请参考“支持某些协议和应用”。
单播反向路径发送(Unicast Reverse Path Forwarding)
单播反向路径发送(单播RPF)也称为“反向路径查询”,它提供向内和向外过滤,以便预防IP欺诈。这个特性能够检查向内传输的包的IP源地址完整性,保证去往受控区域以外的主机的包拥有可以在实施实体本地路由表时由路径验证的IP源地址。
单播RPF仅限于实施实体本地路由表的网络。如果进入的包没有路径代表的源地址,就无法知道包是否能通过最佳路径返回到起点。
Flood Guard
Flood Guard能控制AAA服务对无应答登录企图的容忍度。这个功能尤其适合防止AAA服务上的拒绝服务(DoS)袭击,并能改善AAA系统使用情况。默认状态下,这个命令是打开的,可以用floodguard 1命令控制。
Flood Defender
Flood Defender能够防止内部系统受到拒绝服务袭击,即用TCP SYN包冲击接口。要使用这个特性,可以将最大初始连接选项设置为nat和static命令。
TCP Intercept特性能够保护可通过静态和TCP管线访问到的系统。这个特性能够保证,一旦到达任选的初始连接极限,那么,去往受影响的服务器的每个SYN都将被截获,直到初始连接数量低于此阈值为止。对于每个SYN,PIX Firewall还能以服务器的名义用空SYN/ACK进行响应。PIX Firewall能够保留永久性状态信息,丢弃包,并等待客户机的认可。
FragGuard和虚拟重组(FragGuard and 虚拟重组)
FragGuard和虚拟重组能够提供IP网段保护。这个特性能够提供所有ICMP错误信息的全面重组以及通过PIX Firewall路由的其余IP网段的虚拟重组。虚拟重组属于默认功能。这个特性使用系统日志记录网段重叠,并用小网段补偿异常情况,尤其是由teardrop.c袭击引起的异常情况。
DNS控制(DNS Control)
PIX Firewall能够识别每个向外的DNS(域名服务)分解请求,而且只允许有一个DNS响应。为获得答复,主机可以查询几台服务器(以防第一台服务器答复过慢),但是,只有第一个请求答复有效。其它请求答复将被防火墙丢弃。这个特性一直处于打开状态。
ActiveX阻挡(ActiveX Blocking)
AcitveX控制以前称为OLE或者OCX控制,这种组件可以插入到Web页面或者其它应用。PIX Firewall ActiveX阻挡特性能够阻挡HTML 命令,并在HTML Web页面以外予以说明。作为一种技术,ActiveX可能会给网络客户机带来许多潜在问题,包括致使工作站发生故障,引发网络安全问题,被用于袭击服务器,或者被主机用于袭击服务器等。
Java 过滤
Java过滤特性可用于防止受保护网络上的系统下载Java小应用程序。Java小应用程序指可执行的程序,它可能会受到某些安全政策的禁止,因为它们存在漏洞,可能会使受保护网络遭到袭击。
URL过滤
PIX Firewall URL过滤与NetPartners Websense产品一起提供。PIX Firewall用Websense服务器上制定的政策检查外出的URL请求,这些政策在Windows NT或UNIX上运行。PIX Firewall 5.3版本及更高版本中支持Websensen第4版本。
根据NetPartners Websense服务器的答复,PIX Firewall接受或拒绝连接。这台服务器检查请求,保证这些请求不具备不适合商业用途的17种Web站点特征。由于URL过滤在独立平台上处理,因此,不会给PIX Firewall带来其它性能负担。
启动专有协议和应用(Enabling Specific Protocols and Applications)
本节将介绍PIX Firewall提供的能有效控制和安全使用特殊协议和应用的各种特性。本节的内容包括:
RIP 第2版本
可配置的代理呼叫
Mail Guard
多媒体支持
Cisco IP电话
NETBIOS over IP
RIP第2版本(RIP Version 2)
路由信息协议(RIP)第2版本提供加密密钥的MD5认证。PIX Firewall只在被动模式中倾听和/或广播默认路径。PIX Firewall支持Cisco IOS软件标准,遵守RIPv2(带文字和加密的MD5认证)的RFC 1058、RFC 1388和RFC 2082。PIX Firewall的每个接口支持一个密钥和密钥ID。虽然密钥有无限长的寿命,但是,为安全起见,最好每隔两周或更短时间就更换一次密钥。
注意 使用Telnet修改配置可能会将密钥和密钥ID暴露在网络上。
可配置的代理呼叫(Configurable Proxy Pinging)
可配置的代理呼叫功能可以控制对PIX Firewall接口的ICMP访问。这个特性能够将PIX Firewall接口隐藏起来,以防被外部网络上的用户删除。
注意 我们建议您批准使用ICMP不可到达消息类型(类型3)。如果拒绝使用ICMP不可到达消息,就会关闭ICMP路径MTU识别功能,从而阻碍IPSec和PPTP流量通过。
Mail Guard
Mail Guard能够为从外部到内部消息服务器的简单邮件传输协议(SMTP)连接提供安全接入。借助这个特性,可以在内部网络中部署一台邮件服务器,而且这台邮件服务器不会出现某些SMTP服务器实施方案常见的安全问题。这个方法的好处之一是无需使用邮件中继(或堡垒主机)系统。为避免损害SMTP服务器系统,Mail Guard只使用了少量SMTP命令。这个特性还能记录所有SMTP连接。
多媒体支持(Multimedia Support)
下面,我们将介绍PIX Firewall提供的支持多媒体应用的特性:
支持的多媒体应用
RAS第2版本
RTSP
支持的多媒体应用(Supported Multimedia Applications)
目前,使用各种多媒体应用的用户越来越多,其中许多多媒体应用都需要在防火墙环境中进行特殊处理。PIX Firewall无需对客户机进行重新配置就能解决这个问题,因而不会变成性能瓶颈。PIX Firewall支持的特殊多媒体应用包括:
RealAudio
Streamworks
CU-SeeMe
互联网 Phone
IRC
Vxtreme
VDO Live
注意 如果需要,可以通过访问列表终止对专有协议的支持。
RAS第2版本(RAS Version 2)
多媒体应用需要注册、承认和状态(RAS)协议,例如需要视频和音频编码的视频会议和IP语音。RAS通道携带着端点和关守之间的带宽变化以及注册、承认和状态信息(按照H.225中的规定)。多媒体应用使用大量动态协商的数据和控制通道处理各种可视和审计流。
RTSP
PIX Firewall可以 安全 发送实时流协议(RTSP)包。RTSP广泛用于RealAudio、RealNetworks、Apple QuickTime 4、RealPlayer和 Cisco IP/TV连接。借助这个特性,防火墙能够处理多媒体应用,包括Cisco IP/TV连接。
注意 RTSP消息隐藏在HTTP消息中,但PIX Firewall不能识别HTTP覆盖层。NAT也不支持RTSP。
Cisco IP电话(Cisco IP Telephony)
Cisco IP电话可以将VoIP(IP语音) 网络 和公共交换电话网(PSTN)集成在一起。要在内部语音网和外部语音网之间传输语音,需要支持以下协议:
H.323
SIP
H.323
借助PIX Firewall,可以安全地使用H.323第2版本。H.323是国际电信组织(ITU)为LAN多媒体会议制定的一套协议。其特性包括:
提供快速连接和快速启动程序,以便加快呼叫;
为资源保留提供H.245通道,可实现呼叫同步,并能缩短设置时间;
能执行呼叫重定向;
召开会议——只有端点同意参加才会建立会议连接。
SIP
通话初始协议(SIP)能建立呼叫处理通话过程——尤其是双方音频会议,或称“呼叫”。 PIX Firewall不但支持SIP VoIP网关和VoIP代理服务器,还可以使用SDP为动态分配的UDP端口进行定义。
NETBIOS over IP
PIX Firewall支持从内部网络到外部网络的NETBIOS over IP连接。这样,内部网络上的Microsoft客户机系统就可以利用NAT访问外部网络上的各类服务器,例如Windows NT。这种方式不但允许将安全政策用于互联网上及内部网内的Microsoft环境,还允许使用Microsoft环境中的访问控制。
创建虚拟专用网(Creating a Virtual Private Network)
本节将介绍虚拟专用网(VPN)技术,以及怎样在PIX Firewall中实施这种技术。本节包含的内容如下:
什么是VPN?
IPSec
互联网密钥交换(IKE)
认证机构
使用站点到站点VPN
使用远程接入VPN
什么是VPN?(What is a VPN?)
借助VPN,您可以将分布在世界各地的用户以及公共互联网上的站点安全地互连在一起。与基于传统广域网的帧中继或拨号连接相比,VPN不但能降低成本,提高可靠性,还能简化 管理 。VPN的安全性和管理政策与专用网络相同。借助VPN,客户、商业合作伙伴以及远程工作者等远程用户可以安全地访问 企业 的计算资源。
IPSec是一种标准,它规定了建立VPN的独立于厂商方法。作为安全功能的一部分,PIX Firewall提供基于IPSec标准的VPN功能。借助IPSec,当数据在公共网上传输时,用户无需担心数据会被查看、篡改或欺诈。
站点到站点VPN和远程接入VPN是VPN的两个类型,PIX Firewall同时支持这两种VPN。
IPSec
借助IPSec,用户可以通过互联网等不受保护的网络传输敏感信息。IPSec在网络层操作,能保护和鉴别所涉及的IPSec设备(对等物)之间的IP包,例如PIX Firewall单元。
IPSec提供的网络安全服务如下:
数据保密性——在通过网络传输之前,IPSec发送者可以对包进行加密;
数据完整性——IPSec接收者可以对IPSec发送者发出的包进行鉴别,以保证数据在传输过程中未被篡改;
数据来源鉴别——IPSec接收者可以识别所发送的IPSec包的来源,这种服务与数据完整性服务相关;
反重播——IPSec接收者可以删除和拒绝重播的包。
注意 数据认证主要是指数据完整性和数据来源鉴别。在本章中,如果没有其它规定,它还包括反重播服务。
IPSec提供了两台对等设备之间的安全通道,例如两个PIX Firewall单元之间的安全通道。用户可以自己确定哪些包属于敏感信息,应该通过这些安全通道发送。通过确定这些通道的特性,用户还可以确定应该使用哪些参数保护这些敏感包。当IPSec对等设备看到敏感包时,它将建立相应的安全通道,并通过通道将包发送给远程用户。用于传输信息的安全通道基于加密密钥以及安全协会(SA)规定的其它安全参数。
互联网密钥交换(互联网 Key Exchange ,IKE)
IPSec自动建立安全通道的过程分为两个阶段:
第一阶段:这个阶段通过互联网密钥交换(IKE)协议实施,能建立一对IKE SA。IKE SA用于协商一个或多种IPSec SA,以便实际传输应用数据。
第二阶段:这个阶段使用IKE SA提供的安全通道协商IPSec SA。当这个阶段结束时,两台对等设备均已建立了一对IPSec SA,以便提供传输应用数据所需的安全通道。SA参数之一是寿命,可配置的寿命期结束之后,SA将自动终止,因此,这个参数能提高IPSec的安全性。
IKE协议为协商IPSec SA建立了安全通道。借助IKE,无需人工配置每台IPSec对等设备就能实施IPSec。随着对等设备的增加,人工配置IPSec对等设备将变得异常复杂,因为每台对等设备都需要一对SA才能与借助IPSec通信的另一台对等设备通信。
与IPSec相似,IKE也使用一对SA在两台对等设备之间建立安全通信通道。IKE使用SA为IPSec通道安全协商SA,而不是传输用户信息。
用户可以人工配置SA,以便在两台对等设备之间建立IPSec通道。但是,这种方法并不安全,因为人工配置的SA不会自动过期。另外,随着对等设备的增加将出现严重的扩展问题。无论何时在网络中添加使用IPSec的对等设备都必须在每台现有对等设备上增加一对SA。基于此种原因,只有当远程对等设备不支持IKE时才使用人工配置。
与IPSec SA的人工配置相似,IKE SA可以通过预共享密钥建立。但是,这种方法也存在人工配置IPSec SA的扩展问题。认证机构(CA)提供了一种可扩展的方法,能够共享密钥以建立IKE SA。
认证机构(Certification Authorities)
要想了解CA帮助配置IKE的方式,应该先了解公用/专用密钥加密。公用/专有密钥也称为非对称密钥,它是一对密钥,用一个密钥加密的数据可以用另一个密钥解密。这个属性可用于解决通过非安全网络共享秘密时遇到的扩展问题。
产生公用/专用密钥对之后,一个密钥保密(专用密钥),另一个密钥公开(公用密钥)。当任何对等设备需要与专用密钥的所有者共享秘密时,只需使用公用密钥对信息加密即可。对原始信息解密的唯一方式是使用专用密钥。使用这种方法,无需传送对加密信息解密的秘密口令就能通过非安全网络共享加密信息。
公用/专用密钥对的这个独特属性还提供了一种出色的认证方法。公用密钥只能对用相应专用密钥加密的信息进行解密。如果消息可以借助某个公用密钥阅读,就可以肯定,信息的发送者拥有相应的专用密钥。
这就是使用CA的原因。这种公共密钥证书,或称数字证书,用于将公用/专用密钥对与某个IP地址或主机名称联系在一起。认证机构(CA)在某段时间发行公用密钥证书。CA可以是自己内部机构运作的专用(内部)CA,也可以是公共CA。VeriGign等公共CA由客户信任的第三方运作,它将负责核实获取证书的每台客户机和服务器的身份。
IKE协议使用数字证书生成第一对SA,为协商IPSec SA提供安全通道。为使用证书协商IKE SA,两台IPSec对等设备都必须产生公用/专用密钥对,请求和接收公用密钥证书,并确保信任发行证书的CA。
默认状态下,多数浏览器都信任来自著名CA的证书,例如VeriSign,并提供用于增加CA的选项,以便产生和请求数字证书。用户还可以在将浏览器分布给用户之前为浏览器软件预先配置CA和必要的证书。
如果想了解配置PIX Firewall以便使用IKE和数字证书的步骤,请参见“基本VPN配置”中的“使用认证机构”。
使用站点到站点VPN(Using a Site-to-Site VPN)
站点到站点VPN是一种WAN基础设施,能够代替和增强使用租用线路、帧中继或ATM连接远程和分支办公室和中央站点的现有专用网络。对于站点到站点VPN,PIX Firewall可以与任何Cisco VPN型网络设备互操作,例如Cisco VPN路由器。
站点到站点VPN在PIX Firewall与远程IPSec安全网关之间建立。远程IPSec安全网关可以是PIX Firewall、Cisco VPN集中器或者VPN型路由器,也可以是符合IPSec的任何第三方设备。要想了解配置指令,请参考“基本VPN配置”;要想了解配置实例,请参考“站点到站点VPN配置实例”。
使用远程接入VPN(Using a Remote Access VPN)
PIX Firewall支持混合型VPN部署,包括站点到站点流量和远程接入流量。远程接入VPN使用模拟、数字、ISDN、DSL、移动IP和有线技术将移动用户、远程员工及其他独立系统与PIX Firewall保护的网络安全地连接在一起。借助以下Cisco远程接入VPN应用,可以接入到受PIX Firewall保护的网络中:
Secure VPN Client,第1.1版本或更高
Cisco VPN 3000 Client,第2.5版本或更高
Cisco VPN Client,第3.0版本
注意 建议您使用Cisco VPN Client第3.0版本。
PIXFirewall使用手册(2) 第 [1] [2] [3] 下一页
上一篇文章: 思科推出新型光传输解决方案 下一篇文章: CISCO扫盲:基础命令