摘要：本文介紹了Cisco PIX Firewall防火墻的一些功能和作用。說明了如何利用Cisco PIX Firewall方便快捷地構(gòu)建一個(gè)較為安全的防火墻系統(tǒng)。

1． 引言

　　隨著Internet的進(jìn)一普及和迅猛發(fā)展，針對(duì)入網(wǎng)主機(jī)的入侵的日益增多，應(yīng)用防火墻技術(shù)勢(shì)在必行 。但各種各樣的防火墻產(chǎn)品種類繁多，功能不一，這就給防火墻系統(tǒng)的實(shí)現(xiàn)和維護(hù)帶來了許多難處。如何構(gòu)建一個(gè)安全實(shí)用，容易實(shí)現(xiàn)的防火墻系統(tǒng)是值得研究的，一般來說，一個(gè)完整的防火墻系統(tǒng)既要防止外部入侵，又要防止內(nèi)部人員的非法訪問。對(duì)于Cisco PIX Firewall防火墻來說，通過動(dòng)態(tài)和靜態(tài)的地址映射，管道技術(shù)，我們可以方便容易地實(shí)現(xiàn)一個(gè)較為完整的防火墻系統(tǒng)。

2． Cisco PIX Firewall功能簡介

　　一般說來，一個(gè)防火系統(tǒng)就是在兩個(gè)網(wǎng)絡(luò)之間實(shí)施的若干的存取控制方法的集合。通常有兩種類型的防火墻；基于網(wǎng)絡(luò)層的包過濾防火墻和基于應(yīng)用層的隔離網(wǎng)絡(luò)的代理服務(wù)器（proxy server）。前一種主要是在網(wǎng)絡(luò)層根據(jù)IP包的源和目的地址及源和目的端口來決定是轉(zhuǎn)發(fā)還是丟棄IP包，而后一種是在應(yīng)用層為每一種服務(wù)提供一個(gè)代理，鑒于這兩種技術(shù)都有各自的特點(diǎn)和弊端，建設(shè)一個(gè)具有良好性能的防火墻應(yīng)是基于拓?fù)浣Y(jié)構(gòu)的合理選用和防火墻技術(shù)的合理配置。

　　Ciso PIX Firewall是基于這兩種技術(shù)結(jié)合的防火墻。它應(yīng)用安全算法（Adaptive Security Algorithm），將內(nèi)部主機(jī)的地址映射為外部地址，拒絕未經(jīng)允許的包入境，實(shí)現(xiàn)了動(dòng)態(tài)，靜態(tài)地址映射，從而有效地屏蔽了內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。通過管道技術(shù)，出境訪問列表，我們可以有效地控制內(nèi)、外部各資源的訪問。

　　PIX Firewall可連接四個(gè)不同的網(wǎng)絡(luò)，每個(gè)網(wǎng)絡(luò)都可定義一個(gè)安全級(jí)別，級(jí)別低的相對(duì)于級(jí)別高的總是被視為外部網(wǎng)絡(luò)，但最低的必須是全球統(tǒng)一的IP地址。以下，我們僅以兩個(gè)網(wǎng)絡(luò)為例介紹Cisco PIX Firewall防火墻系統(tǒng)。

3．Cisco PIX Firewall 的配置過程

　　在配置之前，應(yīng)先規(guī)劃好網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，制定較為祥細(xì)的安全策略；以圖一拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)為例。設(shè)它有IP地址范圍204.31.17.128-204.31.17.191,有E-mail，WWW，F(xiàn)TP等服務(wù)器，PIX Firewall的內(nèi)部虛IP地址范圍為：192.168.3.1-192.168.3.255,可以定義以下策略

　　3.1 屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

　　為了防止黑客的侵入，應(yīng)采用動(dòng)態(tài)地址映射隔離內(nèi)部網(wǎng)絡(luò)，屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。我們對(duì)PIX Firewall做如下配置:

nat 1 0 0
global (outside) 1 204.31.17.131 – 204.31.17.165
global (outside) 1 204.31.17.130

　　上述配置阻擋全部入境訪問

　　3.2 對(duì)資源主機(jī)的訪問控制

　　E-mail，F(xiàn)TP，www等服務(wù)器是重要的資源，必須利用管道(conduit)使得外部對(duì)它們可訪問，但必須限制對(duì)它們的訪問，即禁止除E-mail，www，F(xiàn)TP以外的一切服務(wù)，以獲得最大的安全性，配置方法如下：

static (inside，outside) 204.31.17.129 192.168.3.1
conduit permit tcp host 204.31.17.129 eq www any
static (inside，outside) 204.31.17.128 192.168.3.2
conduit permit tcp host 204.31.17.128 eq smtp any
static (inside，outside) 204.31.17.166 192.168.3.3
conduit permit tcp host 204.31.17.128 eq ftp any

　3.3 對(duì)Internet上的敏感主機(jī)和資源的控制

　　對(duì)于Internet上的一些敏感資源，如一些不健康站點(diǎn)，我們可用(nslookup 域名)查到其IP地址，并對(duì)出境的訪問加以控制。在PIX Firewall上的配置如下：

outbound 10 deny 204.31.17.11 255.255.255.255 www tcp
apply (inside) 10 outgoing_dest

　　對(duì)內(nèi)部主機(jī)，我們可以控制其能使用的服務(wù)，例如，對(duì)圖一主機(jī)192.168.3.4我們可以禁止它使用WWW服務(wù)訪問外部網(wǎng)絡(luò)。其配置如下：

outbound 20 deny 192.168.3.4 255.255.255.255 www tcp
apply(inside) 20 outgoing_src

　　這樣我們就可以對(duì)內(nèi)部主機(jī)到外部的訪問進(jìn)行完全的控制。

4．防范內(nèi)部網(wǎng)絡(luò)的非法IP和MAC地址

　　由于IP地址可被設(shè)置更改，非法用戶常篡改，盜用他人的IP地址和MAC地址，來達(dá)到隱藏其非法訪問的目的。我們可以使用PIX Firewall的ARP命令將內(nèi)部主機(jī)的IP和它的MAC地址綁定，來有效地樂勾鄹暮偷劣肐P地址現(xiàn)象。例如，我們要將主機(jī)的IP地址192.168.3.4與它的MAC地址00e0.1e40.2a7c綁定，可進(jìn)行如下配置：

arp inside 192.168.3.4 00e0.1e40.2a7c alias
wr m

　　結(jié)合以上四種配置，Cisco PIX Firewall可以實(shí)現(xiàn)對(duì)IP包過濾，屏蔽內(nèi)部網(wǎng)絡(luò)和對(duì)網(wǎng)絡(luò)資源加以的控制，并有效地防范IP地址的盜用和篡改。從而較好地實(shí)現(xiàn)了一個(gè)完整的防火墻系統(tǒng)。由此可見，由PIX來構(gòu)筑一防火墻系統(tǒng)極其方便的。