摘要：本文介紹了Cisco PIX Firewall防火墻的一些功能和作用。說明了如何利用Cisco PIX Firewall方便快捷地構建一個較為安全的防火墻系統。

1． 引言

　　隨著Internet的進一普及和迅猛發展，針對入網主機的入侵的日益增多，應用防火墻技術勢在必行 。但各種各樣的防火墻產品種類繁多，功能不一，這就給防火墻系統的實現和維護帶來了許多難處。如何構建一個安全實用，容易實現的防火墻系統是值得研究的，一般來說，一個完整的防火墻系統既要防止外部入侵，又要防止內部人員的非法訪問。對于Cisco PIX Firewall防火墻來說，通過動態和靜態的地址映射，管道技術，我們可以方便容易地實現一個較為完整的防火墻系統。

2． Cisco PIX Firewall功能簡介

　　一般說來，一個防火系統就是在兩個網絡之間實施的若干的存取控制方法的集合。通常有兩種類型的防火墻；基于網絡層的包過濾防火墻和基于應用層的隔離網絡的代理服務器（proxy server）。前一種主要是在網絡層根據IP包的源和目的地址及源和目的端口來決定是轉發還是丟棄IP包，而后一種是在應用層為每一種服務提供一個代理，鑒于這兩種技術都有各自的特點和弊端，建設一個具有良好性能的防火墻應是基于拓撲結構的合理選用和防火墻技術的合理配置。

　　Ciso PIX Firewall是基于這兩種技術結合的防火墻。它應用安全算法（Adaptive Security Algorithm），將內部主機的地址映射為外部地址，拒絕未經允許的包入境，實現了動態，靜態地址映射，從而有效地屏蔽了內部網絡拓撲結構。通過管道技術，出境訪問列表，我們可以有效地控制內、外部各資源的訪問。

　　PIX Firewall可連接四個不同的網絡，每個網絡都可定義一個安全級別，級別低的相對于級別高的總是被視為外部網絡，但最低的必須是全球統一的IP地址。以下，我們僅以兩個網絡為例介紹Cisco PIX Firewall防火墻系統。

3．Cisco PIX Firewall 的配置過程

　　在配置之前，應先規劃好網絡拓撲結構，制定較為祥細的安全策略；以圖一拓撲結構網絡為例。設它有IP地址范圍204.31.17.128-204.31.17.191,有E-mail，WWW，FTP等服務器，PIX Firewall的內部虛IP地址范圍為：192.168.3.1-192.168.3.255,可以定義以下策略

　　3.1 屏蔽內部網絡拓撲結構

　　為了防止黑客的侵入，應采用動態地址映射隔離內部網絡，屏蔽內部網絡拓撲結構。我們對PIX Firewall做如下配置:

nat 1 0 0
global (outside) 1 204.31.17.131 – 204.31.17.165
global (outside) 1 204.31.17.130

　　上述配置阻擋全部入境訪問

　　3.2 對資源主機的訪問控制

　　E-mail，FTP，www等服務器是重要的資源，必須利用管道(conduit)使得外部對它們可訪問，但必須限制對它們的訪問，即禁止除E-mail，www，FTP以外的一切服務，以獲得最大的安全性，配置方法如下：

static (inside，outside) 204.31.17.129 192.168.3.1
conduit permit tcp host 204.31.17.129 eq www any
static (inside，outside) 204.31.17.128 192.168.3.2
conduit permit tcp host 204.31.17.128 eq smtp any
static (inside，outside) 204.31.17.166 192.168.3.3
conduit permit tcp host 204.31.17.128 eq ftp any

　3.3 對Internet上的敏感主機和資源的控制

　　對于Internet上的一些敏感資源，如一些不健康站點，我們可用(nslookup 域名)查到其IP地址，并對出境的訪問加以控制。在PIX Firewall上的配置如下：

outbound 10 deny 204.31.17.11 255.255.255.255 www tcp
apply (inside) 10 outgoing_dest

　　對內部主機，我們可以控制其能使用的服務，例如，對圖一主機192.168.3.4我們可以禁止它使用WWW服務訪問外部網絡。其配置如下：

outbound 20 deny 192.168.3.4 255.255.255.255 www tcp
apply(inside) 20 outgoing_src

　　這樣我們就可以對內部主機到外部的訪問進行完全的控制。

4．防范內部網絡的非法IP和MAC地址

　　由于IP地址可被設置更改，非法用戶常篡改，盜用他人的IP地址和MAC地址，來達到隱藏其非法訪問的目的。我們可以使用PIX Firewall的ARP命令將內部主機的IP和它的MAC地址綁定，來有效地樂勾鄹暮偷劣肐P地址現象。例如，我們要將主機的IP地址192.168.3.4與它的MAC地址00e0.1e40.2a7c綁定，可進行如下配置：

arp inside 192.168.3.4 00e0.1e40.2a7c alias
wr m

　　結合以上四種配置，Cisco PIX Firewall可以實現對IP包過濾，屏蔽內部網絡和對網絡資源加以的控制，并有效地防范IP地址的盜用和篡改。從而較好地實現了一個完整的防火墻系統。由此可見，由PIX來構筑一防火墻系統極其方便的。