用PIX構筑銅墻鐵壁

---- 防火墻在互聯網中起著非常重要的作用，它通過檢查和過濾進出網絡的每一個數據包，保護企業內部網免受外來攻擊。防火墻產品一般分為硬件和軟件2種，硬件防火墻采用專用的硬件設備，然后集成生產廠商的專用防火墻軟件; 軟件防火墻一般基于某個操作系統平臺開發，直接在計算機上進行軟件的安裝和配置。相對于軟件防火墻而言，硬件防火墻往往能提供更優越的網絡速度和性能，Cisco公司的PIX防火墻就是一種典型的企業級硬件防火墻產品。

一、Cisco PIX的特點

---- 作為一種硬件防火墻，Cisco PIX的優勢有兩點：第一，網絡性能相當不錯，Cisco PIX可以提供2～6個100Mbps快速以太網接口，能夠滿足大部分的應用需求。與軟件防火墻相比，它的包處理速度和轉發速度要快得多。第二，Cisco PIX中包含了豐富的基于IPsec的VPN服務軟件，VPN能夠提供站點到站點之間和遠程客戶端到站點之間的安全訪問，不過需要另外的一臺認證服務器。

---- Cisco PIX的不足之處是管理完全基于命令行方式，如果用戶需要圖形化的管理界面，就必須到Cisco網站上下載一個管理軟件；另外，Cisco PIX的監視和日志功能有限，為了記錄日志，還必須下載一個基于Windows NT的PIX Firewall Syslog Server才行。Cisco PIX無法根據用戶名或工作組來進行安全策略管理，而只能通過IP地址進行管理，而且實施安全策略管理還需要購買另一個軟件包CSPM（Cisco Security Policy Manager）。

二、Cisco PIX的管理和配置

---- 現在，我們通過一個相對簡單的示例說明如何使用Cisco PIX對企業內部網絡進行管理。網絡拓撲圖如附圖所示。Cisco PIX安裝2個網絡接口，一個連接外部網段，另一個連接內部網段，在外部網段上運行的主要是DNS服務器，在內部網段上運行的有WWW服務器和電子郵件服務器，通過Cisco PIX，我們希望達到的效果是：對內部網絡的所有機器進行保護，WWW服務器對外只開放80端口，電子郵件服務器對外只開放25端口。具體操作步驟如下。

---- 1．連接一臺控制終端
---- 通常使用PIX上的CONSOLE端口對防火墻進行管理和配置。當防火墻配置好以后，也可以通過telnet方式管理防火墻，但出于安全性的考慮，還是盡量不要開放telnet功能。使用CONSOLE端口的具體方法如下。

---- 使用串行電纜將PIX與PC機的串口進行連接，在Windows中打開“超級終端”，進入“新建連接”，并為新連接命名，比如“PIX”；選擇“使用COM1”，且在COM1屬性框中定義速度為9600bps，數據位為8，校驗為None，停止位為1，Flow control為Hardware；然后單擊“OK”，接著打開PIX防火墻電源，在終端窗口中應當看到啟動信息。如果看不到啟動信息,說明電纜連接有問題。

---- 2．獲得最新PIX軟件
---- 從Cisco公司的WWW或FTP站點上，我們可以獲得PIX的最新軟件,主要包括如下內容。

1. pix44n.exe——PIX防火墻的軟件映像文件。
2. pfss44n.exe——PIX Firewall Syslog Server服務器軟件,能夠提供一個Windows NT服務,用來記錄PIX的運行日志。
3. pfm432b.exe——圖形化的PIX管理軟件。
4. rawrite.exe——用于生成PIX的啟動軟盤。

---- 3．配置網絡路由
---- 在使用防火墻的內部網段上，需要將每臺計算機的缺省網關指向防火墻，比如防火墻內部IP地址為10.0.0.250，則內部網段上的每臺計算機的缺省網關都要設置為10.0.0.250。具體設置在“控制面板”*“網絡”*“TCP/IP協議”中進行。

---- 4．配置PIX
---- 在配置PIX之前，應該對網絡進行詳細的規劃和設計，搜集需要的網絡配置信息。要獲得的信息如下。

---- （1）每個PIX網絡接口的IP地址。

---- （2） 如果要進行NAT,則要提供一個IP地址池供NAT使用。NAT是網絡地址轉換技術，它可以將使用保留地址的內部網段上的機器映射到一個合法的IP地址上以便進行Internet訪問。

---- （3） 外部網段的路由器地址。

---- 進入PIX配置界面的方法是：連接好超級終端，打開電源，在出現啟動信息和出現提示符 pixfirewall>后輸入“enable”，并輸入密碼，進入特權模式；當提示符變為 pixfirewall#>后，輸入“configure terminal”，再進入配置界面。

---- 在配置過程中，我們可以使用write terminal命令查看當前配置，使用write memory保存配置信息到Flash Memory。

---- 5．配置網絡接口
---- PIX使用nameif和ip address命令進行網絡接口配置。

---- 首先使用下面的語句定義內部網段和外部網段的網絡接口。
---- nameif ethernet0 outside security0
---- nameif ethernet1 inside security100

---- PIX防火墻使用Intel的10/100Mbps網卡，使用下面的命令定義接口配置為自適應。
---- interface ethernet0 auto
---- interface ethernet1 auto

---- 最后，我們定義接口的IP地址和掩碼。
---- ip address inside 10.0.0.250 255.255.255.0
---- ip address outside 202.12.29.205 255.255.255.248

---- 6．允許內部用戶訪問外部網段
---- 在前面，我們定義了內部網段安全值為100，外部網段安全值為0。用戶在安全值高的區域訪問安全值低的區域，需要使用nat和global命令；相反地，如果允許安全值低的區域的用戶訪問安全值高的區域的用戶，則需要使用static和conduit命令。
---- nat (inside) 1 0 0
---- global (outside) 1 202.12.29.206 netmask 255.255.255.248

---- 其中1為NAT ID，兩個語句中的NAT ID應一樣。前一句表示允許所有機器對外訪問，第二句定義NAT使用的地址池，由于大部分情況下，合法的IP地址并不多，因此在此例中只設置了一個合法IP地址202.12.29.206用來做地址轉換。

---- 7．定義外部路由
---- 對于外部網段，還需要定義外部路由，它是防火墻外部網段的缺省路由：route outside 0 0 202.12.29.202 1。其中0 0表示外部網段的缺省路由，1表示從防火墻到路由器只有一個hop。

---- 8．允許使用ping命令
---- conduit permit icmp any any 此命令允許在內部網段和外部網段使用ping命令進行網絡測試。因為ping命令使用的是ICMP協議，在設置和調試期間，一般開放此功能，當防火墻工作正常后，也可以關閉此項功能。

---- 9．保存設置和重新啟動
---- 使用write memory命令將配置信息寫入flash memory。使用reload命令重新啟動防火墻。

---- 10．增加telnet訪問控制
---- 在PIX中，我們可以定義只允許某些機器通過telnet訪問防火墻。需要注意的是，這里進行telnet訪問的機器必須在內部網段上，以增強安全性。

---- telnet 10.0.0.204 255.255.255.255

---- 即允許10.0.0.204這臺機器使用telnet訪問防火墻。

---- telnet timeout 15

---- 即將空閑時間設置為15分鐘，當訪問防火墻的機器15分鐘內沒有任何操作時，將自動斷開連接。

---- telnet訪問的缺省口令是cisco，可以通過passwd命令來修改口令。

---- 測試telnet時，我們可以使用命令debug icmp trace來獲得更多的信息。

---- 11．增加服務器訪問控制
---- 缺省情況下，PIX拒絕所有來自外部網段的訪問請求。當WWW服務器等設備放在防火墻的內部網段上時，為了使外部網絡上的用戶可以訪問到，必須使用static和conduit命令來進行配置。

---- 下面，我們給出允許外部網絡訪問內部網絡上的WWW服務器的命令。
---- static (inside,outside) 202.12.29.204 10.0.0.204 netmask 255.255.255.255
---- conduit permit tcp host 202.12.29.204 eq www any

---- 其中，第一個命令將在內部網段的WWW服務器10.0.0.204映射一個外部合法地址202.12.29.204；第二個命令允許所有外部主機通過tcp port 80訪問202.12.29.204這臺服務器。

---- 接著，我們再給出一個允許外部網絡訪問內部網絡上的郵件服務器10.0.0.203的命令。
---- static (inside,outside) 202.12.29.203 10.0.0.203 netmask 255.255.255.255
---- conduit permit tcp host 202.12.29.203 eq smtp any

---- 12．控制內部網段對外的訪問
---- 使用outbound和apply命令進行組合，可以控制內部網段的機器能否對外進行訪問，舉例說明如下。
---- outbound 10 deny 10.0.0.0 255.255.255.0 irc tcp
---- outbound 10 permit 10.0.0.204 255.255.255.255 irc tcp

---- apply (inside) 10 outgoing_src 如果不想讓內部用戶使用CHAT功能，可以采用第一條命令，禁止10.0.0.1～10.0.0.255的所有機器使用CHAT功能訪問外部站點；第二條命令允許10.0.0.204這臺機器通過irc協議訪問外部站點;第三條命令將前面的命令應用在inside，也就是內部網段上。
---- outbound 20 deny 202.102.224.25 255.255.255.255 www tcp
---- apply (inside) 20 outgoing_dest

---- 通過對以上2條命令的組合使用，我們可以禁止內部網段上的所有機器訪問外部網絡的WWW服務器202.102.224.25。

---- 到此為止，我們已經介紹了在網絡管理中通常會使用到的一些設置命令，其實還有一些其他相關的設置命令，大家可以查閱PIX的文檔或者訪問Cisco公司的網站以獲取最新的資料。

---- 總的來說，如果用戶希望得到一臺網絡性能較高但不需要廣泛的監視功能或應用程序過濾功能的企業級防火墻，Cisco PIX將會是一個不錯的選擇。

原文轉自：http://www.kjueaiud.com