页面打开中,请稍候...
www.Gzu521.com
| 贵 州 学 习 网 |
|
本节将介绍pix firewall提供的网络防火墙功能,包含以下内容: pix firewall的工作原理 适应性安全算法 多个接口和安全等级 数据在pix firewall中的移动方式 内部地址的转换 切入型代理 访问控制 pix firewall的工作原理(how the pix firewall works) pix firewall的作用是防止外部网络(例如公共互联网)上的非授权用户访问内部网络。多数pix firewall都可以有选择地保护一个或多个周边网络(也称为非军管区,dmz)。对访问外部网络的限制最低,对访问周边网络的限制次之,对访问内部网络的限制最高。内部网络、外部网络和周边网络之间的连接由pix firewall控制。 为有效利用机构内的防火墙,必须利用安全政策才能保证来自受保护网络的所有流量都只通过防火墙到达不受保护的网络。这样,用户就可以控制谁可以借助哪些服务访问网络,以及怎样借助pix firewall提供的特性实施安全政策等。 pix firewall保护网络的方法如图1-1所示,这种方法允许实施带外连接并安全接入互联网。 pix firewall形成受保护网络和不受保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。互联网可以访问不受保护的网络。pix firewall允许用户在受保护网络内确定服务器的位置,例如用于web接入、snmp、电子邮件(smtp)的服务器,然后控制外部的哪些用户可以访问这些服务器。 除pix 506和pix 501外,对于所有的pix firewall,对服务器系统的访问可以由pix firewall控制和监视。pix 506和pix 501各有两个网络接口,因此,所有系统都必须属于内部接口或者外部接口。 pix firewall还允许用户对来往于内部网络的连接实施安全政策。 一般情况下,内部网络是机构自身的内部网络,或者内部网,外部网络是互联网,但是,pix firewall也可以用在内部网中,以便隔离或保护某组内部计算系统和用户。 周边网络的安全性可以与内部网络等同,也可以配置为拥有各种安全等级。安全等级的数值从0(最不安全)到100(最安全)。外部接口的安全等级总为0,内部接口的安全等级总为100。周边接口的安全等级从1到99。 内部网络和周边网络都可以用pix firewall的适应性安全算法(asa)保护。内部接口、周边接口和外部接口都遵守rip路由更新表的要求,如果需要,所有接口都可以广播rip默认路径。 适应性安全算法(adaptive security algorithm) 适应性安全算法(asa)是一种状态安全方法。每个向内传输的包都将按照适应性安全算法和内存中的连接状态信息进行检查。业界人士都认为,这种默认安全方法要比无状态的包屏蔽方法更安全。 asa无需配置每个内部系统和应用就能实现单向(从内到外)连接。asa一直处于操作状态,监控返回的包,目的是保证这些包的有效性。为减小tcp序列号袭击的风险,它总是主动对tcp序列号作随机处理。 asa适用于动态转换插槽和静态转换插槽。静态转换插槽用static命令产生,动态转换插槽用global命令产生。总之,两种转换插槽都可以称为“xlates”。asa遵守以下规则: 如果没有连接和状态,任何包都不能穿越pix firewall; 如果没有访问控制表的特殊定义,向外连接或状态都是允许的。向外连接指产生者或客户机的安全接口等级高于接收者或服务器。最安全的接口总是内部接口,最不安全的接口总是外部接口。周边接口的安全等级处于内部接口和外部接口之间; 如果没有特殊定义,向内连接或状态是不允许的。向内连接或状态指产生者或客户机的安全接口/网络等级低于接收者或服务器。用户可以为一个xlate(转换)应用多个例外。这样,就可以从互联网上的任意机器、网络或主机访问xlate定义的主机; 如果没有特殊定义,所有icmp包都将被拒绝; 违反上述规则的所有企图都将失败,而且将把相应信息发送至系统日志。 pix firewall处理udp数据传输的方式与tcp相同。为使dsn、archie、streamworks、h.323和realaudio能安全操作,pix firewall执行了特殊处理。当udp包从内部网络发出时,pix firewall将生成udp“连接”状态信息。如果与连接状态信息相匹配,这些流量带来的答复包将被接受。经过一小段时间的静默之后,连接状态信息将被删除。 多个接口和安全等级(multiple interfaces and security levels) 所有pix firewall都至少有两个接口,默认状态下,它们被称为外部接口和内部接口,安全等级分别为0和100。较低的优先级说明接口受到的保护较少。一般情况下,外部接口与公共互联网相连,内部接口则与专用网相连,并且可以防止公共访问。 许多pix firewall都能提供八个接口,以便生成一个或多个周边网络,这些区域也称为堡垒网络或非军管区(dmz)。dmz的安全性高于外部接口,但低于内部接口。周边网络的安全等级从0到100。一般情况下,用户需要访问的邮件服务器或web服务器都被置于dmz中的公共互联网上,以便提供某种保护,但不致于破坏内部网络上的资源。 数据在pix firewall中的移动方式(how data moves through the pix firewall) 当向外包到达pix firewall上安全等级较高的接口时(安全等级可以用show nameif命令查看),pix firewall将根据适应性安全算法检查包是否有效,以及前面的包是否来自于此台主机。如果不是,则包将被送往新的连接,同时,pix firewall将在状态表中为此连接产生一个转换插槽。pix firewall保存在转换插槽中的信息包括内部ip地址以及由网络地址转换(nat)、端口地址转换(pat)或者identity(将内部地址作为外部地址使用)分配的全球唯一ip地址。然后,pix firewall将把包的源ip地址转换成全球唯一地址,根据需要修改总值和其它字段,然后将包发送到安全等级较低的接口。 当向内传输的包到达外部接口时,首先接受pix firewall适应性安全条件的检查。如果包能够通过安全测试,则pix firewall删除目标ip地址,并将内部ip地址插入到这个位置。包将被发送到受保护的接口。 内部地址的转换(translation of internal addresses) 网络地址转换(nat)的作用是将内部接口上的主机地址转换为与外部接口相关的“全球地址”。这样能防止将主机地址暴露给其它网络接口。如果想了解是否要使用nat,可以先决定是否想暴露与pix firewall连接的其它网络接口上的内部地址。如果选择使用nat保护内部主机地址,应该先确定想用于转换的一组地址。 如果想保护的地址只访问机构内的其它网络,可以针对转换地址池使用任何一组“专用”地址。例如,当与销售部门的网络(与pix firewall的周边接口相连)连接时,如果想防止财务部门网络(与pix firewall上的外部接口相连)上的主机地址被暴露,可以借助销售部网络上的任何一组地址建立转换。这样,财务部网络上的主机就好象是销售部网络的本地地址一样。 如果想保护的地址需要互联网接入,可以只为转换地址池使用nic注册的地址(为贵机构向网络信息中心注册的官方互联网地址)。例如,与互联网(通过pix firewall的外部接口访问)建立连接时,如果想防止销售部网络(与pix firewall的周边接口相连)的主机地址暴露,可以使用外部接口上的注册地址池进行转换。这样,互联网上的主机就只能看到销售部网络的互联网地址,而看不到周边接口的地址。 如果您正在具有主机网络注册地址的原有网络上安装pix firewall,您可能不想为这些主机或网络进行转换,因为转换时还需要另外一个注册地址。 考虑nat时,必须要考虑是否有等量的外部主机地址。如果没有,在建立连接时,某些内部主机就无法获得网络访问。这种情况下,用户可以申请增加nic注册地址,也可以使用端口地址转换(pat),pat能够用一个外部地址管理多达64,000个同时连接。 对于内部系统,nat能够转换向外传输的包的源ip地址(按照rfc 1631定义)。它同时支持动态转换和静态转换。nat允许为内部系统分配专用地址(按照rfc 1918)定义,或者保留现有的无效地址。nat还能提高安全性,因为它能向外部网络隐藏内部系统的真实网络身份。   |
责任编辑:gzu521
当前位置:
