防火墻在企業(yè)網(wǎng)絡(luò)中的應(yīng)用

1、防火墻在企業(yè)網(wǎng)絡(luò)中的應(yīng)用關(guān)鍵詞：Intranet；RIP(RouteInformationProtocol)；PIX(PrivateInternetExchange)；NAT(NetworkAddressTranslation)；PAT(PortAddressTranslation)1需求分析XXX計(jì)算機(jī)網(wǎng)絡(luò)是以3Com公司CoreBuilder9000為企業(yè)核心層交換機(jī)，以3ComCoreBuilder7000HD、CoreBulider3500和CiscoCatalyst4006為各二級(jí)單位分布層交換機(jī)，以3ComSSII1100/3300和CiscoCatalyst3500為訪問層交換機(jī)

2、的三層星型網(wǎng)絡(luò)結(jié)構(gòu)，采用先進(jìn)的千兆以太網(wǎng)技術(shù)，融合歷史的ATM網(wǎng)絡(luò)技術(shù)，結(jié)合Cisco2511、1601等提供的DDN鏈路進(jìn)行遠(yuǎn)程局域網(wǎng)絡(luò)連接和移動(dòng)用戶撥號(hào)訪問，利用Cisco3661的2MDDN串型鏈路連接Internet,隨著XXX應(yīng)用水平的不斷提高，利用Internet與外部交流信息的需求非常迫切，如何既要保證XXX網(wǎng)絡(luò)不受外部Internet的非法訪問和攻擊，又能安全快速的訪問Internet,是企業(yè)網(wǎng)絡(luò)安全建設(shè)的必要條件，而網(wǎng)絡(luò)防火墻是解決這一問題的最好方法。經(jīng)過分析和比較后，XXX計(jì)算機(jī)網(wǎng)絡(luò)采用了CiscoPIX525防火墻作為企業(yè)用戶Internet訪問時(shí)的安全保證。下面我們結(jié)合

3、PIX525防火墻的功能談?wù)劮阑饓υ谄髽I(yè)網(wǎng)絡(luò)安全中的應(yīng)用。2防火墻PIX防火墻能在兩個(gè)或多個(gè)網(wǎng)絡(luò)之間防止非授權(quán)的連接，即PIX防火墻能保護(hù)一個(gè)或多個(gè)網(wǎng)絡(luò)，與外部的、非保護(hù)的網(wǎng)絡(luò)隔離，防止非授權(quán)訪問。這些網(wǎng)絡(luò)間的所有連接都能被PIX防火墻控制。為了在你的組織中高效使用防火墻，你需要一個(gè)安全策略來確認(rèn)被保護(hù)網(wǎng)絡(luò)的所有數(shù)據(jù)包只能通過防火墻傳遞到非保護(hù)網(wǎng)絡(luò)。這樣，你就能控制誰能訪問網(wǎng)絡(luò)，訪問什么服務(wù)，及如何利用PIX防火墻的功能實(shí)現(xiàn)你的安全策略圖1顯示了PIX防火墻如何保護(hù)內(nèi)部網(wǎng)絡(luò)安全地訪問InternetNodirectRouterInternetBl-ProtectedServersProtect

4、edClientsOutboundInboundconnectionsOKPixconnectionPerimetersServer1routerInternetaccesibleserver在這個(gè)結(jié)構(gòu)中，PIX防火墻在被保護(hù)網(wǎng)絡(luò)和非保護(hù)網(wǎng)絡(luò)之間形成了一個(gè)邊界。被保護(hù)網(wǎng)絡(luò)和非保護(hù)網(wǎng)絡(luò)之間的所有數(shù)據(jù)包流量必須經(jīng)過防火墻以遵循一定的安全策略。被保護(hù)網(wǎng)絡(luò)通常能訪問InternetoPIX防火墻讓你將諸如Web、SNMP、E-mail等服務(wù)放置在被保護(hù)網(wǎng)絡(luò)中，以控制外部用戶的對(duì)這些服務(wù)的訪問。另一方面，服務(wù)系統(tǒng)也能放置在Perimeter網(wǎng)絡(luò)中，見圖一。PIX防火墻也能控制和監(jiān)視Inside網(wǎng)絡(luò)或Ou

5、tside網(wǎng)絡(luò)對(duì)這些服務(wù)系統(tǒng)的訪問。典型的，Inside網(wǎng)絡(luò)就是一個(gè)組織自己的內(nèi)部Intranet網(wǎng)絡(luò)，Outside網(wǎng)絡(luò)就是Interneto但是，PIX防火墻也能在Intranet網(wǎng)絡(luò)中使用以隔離或保護(hù)一組內(nèi)部的計(jì)算機(jī)系統(tǒng)。Perimeter網(wǎng)絡(luò)能和Inside網(wǎng)絡(luò)一樣進(jìn)行安全配置。PIX防火墻的Inside、Perimeter和Outside接口能監(jiān)聽RIP路由更新消息，如果需要，所有的接口能廣播一個(gè)缺省的RIP路由。PIX防火墻的工作原理如下：數(shù)據(jù)包如何通過防火墻當(dāng)向外連接的數(shù)據(jù)包(OutboundPackets)到達(dá)PIX防火墻的被保護(hù)接口時(shí)(InsideInterface),PIX

6、防火墻檢查先前的數(shù)據(jù)包是否是來自此主機(jī)。如果沒有，PIX防火墻就在它的狀態(tài)表為新的連接建立一個(gè)轉(zhuǎn)換槽(translationslot)。通過網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)或端口地址轉(zhuǎn)換(PAT)的分配，這個(gè)槽包搦內(nèi)部IP地址和一個(gè)唯一的全局IP地址。PIX防火墻這時(shí)轉(zhuǎn)換這個(gè)數(shù)據(jù)包的源IP地址(sourceIP)為這個(gè)唯一的全局IP地址，并按需修改其他字段，然后轉(zhuǎn)發(fā)這個(gè)數(shù)據(jù)包到合適的非保護(hù)接口。當(dāng)向內(nèi)連接的數(shù)據(jù)包(InboundPackets)到達(dá)PIX防火墻的非保護(hù)接口時(shí)(outsideInterface),它必須先經(jīng)過PIX防火墻的安全檢查。如果數(shù)據(jù)包檢查通過，則PIX防火墻移走這個(gè)數(shù)據(jù)包的目的IP

7、地址(destinationIP),插入內(nèi)部的IP地址。這樣，這個(gè)數(shù)據(jù)包被轉(zhuǎn)發(fā)到被保護(hù)接口。轉(zhuǎn)換內(nèi)部地址動(dòng)態(tài)轉(zhuǎn)換對(duì)在Internet上不需要固定地址的桌面計(jì)算機(jī)是非常有用的。使用非NIC(NetworkInformationCenter)注冊(cè)的IP地址的內(nèi)部網(wǎng)絡(luò)主機(jī)通過在PIX防火墻中的地址轉(zhuǎn)換能直接訪問Internet上的標(biāo)準(zhǔn)TCP/IP程序，而不需要特定的客戶程序。PIX防火墻支持能為每個(gè)內(nèi)部主機(jī)提供一個(gè)全局唯一網(wǎng)絡(luò)地址的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),和為許多內(nèi)部主機(jī)提供一個(gè)共享的全局唯一網(wǎng)絡(luò)地址的端口地址轉(zhuǎn)換(PAT)。NAT和PAT能轉(zhuǎn)換為多達(dá)64K主機(jī)地址。PIX防火墻中的另一個(gè)地址轉(zhuǎn)換是

8、靜態(tài)轉(zhuǎn)換。靜態(tài)轉(zhuǎn)換能有效地移動(dòng)一個(gè)內(nèi)部的、非注冊(cè)主機(jī)到防火墻中的虛網(wǎng)。這對(duì)一個(gè)需要映射到外部Internet網(wǎng)關(guān)的內(nèi)部主機(jī)是非常用用的；如，SMTP服務(wù)器。3安全策略PIX防火墻能對(duì)諸如WebFTP、Telnet、和SMTP等網(wǎng)絡(luò)服務(wù)分別提供安全策略，使企業(yè)網(wǎng)絡(luò)安全配置具有靈活性和高性能。為了有效地在企業(yè)網(wǎng)絡(luò)中使用防火墻，需要規(guī)劃網(wǎng)絡(luò)安全策略以保護(hù)重要的數(shù)據(jù)資源，通過建立和改進(jìn)企業(yè)網(wǎng)絡(luò)安全策略，能防止企業(yè)外部網(wǎng)絡(luò)的非法惡意攻擊，控制企業(yè)網(wǎng)絡(luò)失效的概率。網(wǎng)絡(luò)安全策略必須確保用戶只能執(zhí)行被授權(quán)的任務(wù)和獲取被授權(quán)的信息，不能具有對(duì)關(guān)鍵數(shù)據(jù)、應(yīng)用程序和系統(tǒng)操作環(huán)境破壞的能力。為了建立全面的網(wǎng)絡(luò)安全策略

9、，網(wǎng)絡(luò)管理員需確定以下作：(1)出企業(yè)網(wǎng)絡(luò)完全示意圖，說明系統(tǒng)連接至Internet細(xì)節(jié)，服務(wù)器細(xì)節(jié)及相應(yīng)的IP地址。(2)識(shí)出應(yīng)被保護(hù)的系統(tǒng)，能被外部網(wǎng)絡(luò)訪問的系統(tǒng)等。PIX防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)能實(shí)現(xiàn)這些功能。(3)識(shí)出內(nèi)部網(wǎng)絡(luò)的么服務(wù)能被外部網(wǎng)絡(luò)訪問，并說明外部用戶訪問這些服務(wù)所需的驗(yàn)證和授權(quán)方法、類型。(4)標(biāo)識(shí)出與防火墻協(xié)調(diào)工作的路由器。需要說明的是，PIX防火墻不能防止來自網(wǎng)絡(luò)內(nèi)部的惡意攻擊，為了防止這些內(nèi)部威脅，所有的內(nèi)部網(wǎng)絡(luò)用戶只需分配與其工作相適應(yīng)的最小權(quán)限。我們以XXX計(jì)算機(jī)網(wǎng)絡(luò)為例，根據(jù)PIX防火墻的功能，說明企業(yè)網(wǎng)絡(luò)安全策略的規(guī)劃和實(shí)施。根據(jù)XXX計(jì)算機(jī)網(wǎng)絡(luò)

10、Internet訪問的系統(tǒng)配置，畫出系統(tǒng)示意圖：r=L53Outside3Internet在此網(wǎng)絡(luò)中，PIX防火墻安裝了兩個(gè)接口，一個(gè)內(nèi)部接口Inside（53）和一個(gè)外部接口Outside（3）,Inside接口連接企業(yè)內(nèi)部網(wǎng)絡(luò),Outside接口連接外部Internet。Inside接口連接的企業(yè)內(nèi)部網(wǎng)絡(luò)使用私有IP地址，Outside接口連接的外部的網(wǎng)絡(luò)連接設(shè)備使用Internet合法的IP地址。此網(wǎng)絡(luò)的Internet的訪問使用一臺(tái)Cisco3600路由器，通過2MDDN數(shù)據(jù)專線

11、連接至Internet,防火墻外設(shè)置的一臺(tái)服務(wù)器主要作為DNS服務(wù)，進(jìn)行Web和電子郵件的域名解析。基本的Internet訪問安全策略是內(nèi)部網(wǎng)絡(luò)授權(quán)用戶可以訪問外部Internet,而外部Internet用戶不能訪問內(nèi)部網(wǎng)絡(luò)；E-mail服務(wù)實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)電子郵件的相互訪問，允許外部Internet電子郵件進(jìn)入內(nèi)部網(wǎng)絡(luò)，即內(nèi)部網(wǎng)絡(luò)用戶只需設(shè)置一個(gè)郵件賬號(hào)，即可實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和外部Internet網(wǎng)絡(luò)電子郵件的收發(fā)；實(shí)現(xiàn)企業(yè)信息的對(duì)外發(fā)布。根據(jù)上述安全策略的要求，內(nèi)部網(wǎng)絡(luò)需設(shè)置一臺(tái)使用CiscoACS2.3軟件的AAA驗(yàn)證服務(wù)器以適合PIX525防火墻實(shí)現(xiàn)Internet訪問的授權(quán)，只有授權(quán)用戶才

12、能進(jìn)行相應(yīng)服務(wù)類型的Internet訪問。為了實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)用戶訪問Internet,利用PIX防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能，將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為外部合法IP地址。為了允許外部網(wǎng)絡(luò)訪問內(nèi)部E-mail服務(wù)資源，利用PIX防火墻的靜態(tài)地址映射（Static）功能，將外部虛擬郵件服務(wù)器地址5和內(nèi)部網(wǎng)絡(luò)郵件服務(wù)器地址2映射捆綁而實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)電子郵件的收發(fā)。例如，當(dāng)內(nèi)部用戶向外部網(wǎng)絡(luò)發(fā)送E-mail時(shí)，PIX防火墻將2地址轉(zhuǎn)換為5;當(dāng)外部用戶向內(nèi)部網(wǎng)絡(luò)發(fā)送E-mail時(shí),PIX防火墻將

13、5地址轉(zhuǎn)換為2,從而實(shí)現(xiàn)內(nèi)外部郵件的收發(fā)。為了實(shí)現(xiàn)企業(yè)信息的對(duì)外發(fā)布，即可使外部用戶訪問內(nèi)部WWW服務(wù)器，也可在防火墻外部Outside網(wǎng)絡(luò)端或Perimeter網(wǎng)絡(luò)端設(shè)置WWW服務(wù)器，我們?cè)诖诉x擇了在防火墻外部Outside網(wǎng)絡(luò)端設(shè)置了一臺(tái)WWW服務(wù)器用于企業(yè)信息的對(duì)外發(fā)布，此服務(wù)器也可進(jìn)行外部合法IP地址的解析。通過對(duì)網(wǎng)絡(luò)安全策略的分析，總結(jié)具體的實(shí)現(xiàn)方法，就可利用防火墻相應(yīng)的功能進(jìn)行適當(dāng)?shù)呐渲靡詫?shí)現(xiàn)Internet訪問的安全。4配置防火墻可以針對(duì)不同的企業(yè)網(wǎng)絡(luò)安全策略需求，進(jìn)行相應(yīng)的配置以實(shí)現(xiàn)網(wǎng)絡(luò)安全。各種類型防火墻的主要功能基本一致，只是系統(tǒng)軟件的操作環(huán)境不一致。我

14、們現(xiàn)以CiscoPIX525防火墻為例，依據(jù)上述XXX計(jì)算機(jī)網(wǎng)絡(luò)安全策略，簡(jiǎn)述利用防火墻的一般功能實(shí)現(xiàn)網(wǎng)絡(luò)安全，對(duì)其他類型防火墻的配置有一定的參考。PIX防火墻缺省的安全策略是允許從被保護(hù)網(wǎng)絡(luò)（Inside）到非保護(hù)網(wǎng)絡(luò)（Outside）的向外連接，拒絕任何從非保護(hù)網(wǎng)絡(luò)（Outside）到被保護(hù)網(wǎng)絡(luò)（Inside）的向內(nèi)連接?？梢詫?duì)缺省策略進(jìn)行修改以適合企業(yè)自身網(wǎng)絡(luò)安全策略的需求。防火墻端口設(shè)置nameifethernet0outsidesecurity。；命名ethernet0端口為外部端口outside,且安全級(jí)別最低nameifethernet1insidesecurity100;命名e

15、thernet1端口為內(nèi)部端口inside,且安全級(jí)別最高ipaddressoutside348;指定外部端口地址為外部合法IP地址ipaddressinside53;指定內(nèi)部端口地址為內(nèi)部保留IP地址全局地址指定global(outside)16-7netmask轉(zhuǎn)換內(nèi)部地址為全局地址池中合法IP地址nat(inside)00內(nèi)外部地址靜態(tài)映射static(inside,outside)1

16、52netmask552550允許指定外部主機(jī)訪問內(nèi)部smtp郵件服務(wù)，拒絕其他所有主機(jī)訪問內(nèi)部所有服務(wù)。conduitpermittcphost5eqsmtpanyconduitdenytcpanyany設(shè)置路由協(xié)議ripoutsidepassive；夕卜部端口不進(jìn)行rip協(xié)議廣播ripinsidedefault；內(nèi)部端口網(wǎng)絡(luò)協(xié)議缺省為riprouteoutside81;指定外部網(wǎng)絡(luò)缺省路由網(wǎng)關(guān)routeinside10.1