第8章CiscoPIX防火墙
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
? 监控模式(Monitor mode ),此模式下可以通过网 络更新系统映像,通过输入命令,指定简易文件传输 协议(TFTP )服务器的位置,并下载二进制映像。
PIX 防火墙的基本使用
? PIX 防火墙访问模式
PIX 防火墙的基本使用
? 在使用PIX 防火墙时有许多通用的维护配 置命令,表中的命令用于配置、维护和测 试PIX 防火墙,通常在特权模式下使用。
? 此6 个命令通常在配置模式下使用。
PIX 防火墙的基本使用
? PIX 防火墙6 个配置命令使用
PIX 防火墙的口令恢复
? 恢复PIX 的口令是通过运行相应软件覆 盖当前运行的口令实现的。该软件可以 从Cisco 站点下载,当然购买防火墙设 备附带的光盘中也包含这两个文件。
? rawrite.exe (下载网址 http : //www.csico.com/warp/public/110/3 4.shtml )。
? pixfirewall#(config) global (outside) 1 191.1.1.1-191.1.1.10 netmask 255.255.255.0
PIX 防火墙的高级配置
? 安全级别1 ~99 ——这些是分配与PIX 防火墙相连的 边界接口的安全级别,通常边界接口连接的网络被用 作停火区(DMZ )。可以根据每台设备的访问情况 来给它们分配相应的安全级别。
PIX 防火墙的概述
? 注意:相同安全级别的接口之间没有数据流 即无法实现相互通信,因此不能将两个或多 个接口安全级别设成一样。
? 用address 命令配置IP 地址,例如monitor>address 192.168.1.1 。
? 用server 命令指定一远端服务器,例如monitor>server 192.168.1.2 。
? 用file 命令指定PIX 口令恢复文件的名称,例如monitor>file np53.bin 。
第8 章 Cisco PIX 防火墙
? PIX 防火墙的概述 ? PIX 防火墙系列产品介绍 ? PIX 防火墙的基本使用 ? PIX 防火墙的高级配置 ? PIX 防火墙攻击防护
PIX 防火墙的概述
? PIX 防火墙是Cisco 端到端安全解决方案中 的一个关键组件,它是基于专用的硬件和软 件的安全解决方案,在不影响网络性能的情 况下,提供了高级安全保障。PIX 防火墙使 用了包括数据包过滤、代理过滤以及状态检 测包过滤在内的混合技术,同时它也提高了 应用代理的功能,因此它被认为是一种混合 系统。
? FWSM 模块如图示:
PIX 防火墙的基本使用
? 在使用任何一种 Cisco 设备时,命令行接口 (CLI )都是用于配置、监视和维护设备的主要 方式。另外也可以通过图形化用户接口方式来配 置防火墙,例如 PIX 设备管理器 PDM (PIX Device Manager )
? PDM 具体可以实现下列功能。
PIX 防火墙的高级配置
? 对于采取NAT 的动态地址翻译,必须使用 nat 命令来定义本地地址,然后使用 global 命令定义全局地址,例如允许内部 网络192.168.1.0/24 这个子网可以访问外 部网络,其全局地址为191.1.1.1191.1.1.10/24 。具体语法如下所示。
? pixfirewall#(config) nat (inside) 1 192.168.1.0 255.255.255.0
? 按照上述网址,根据 PIX 的IOS 的不同选择 下列软件npxx.bin (xx 表示PIX 运行的 IOS 版本号)。
ห้องสมุดไป่ตู้
PIX 防火墙的口令恢复
? 在恢复PIX 口令之前应准备PC 一台,其上 安装TFTP 服务器,通过网卡与防火墙的 ETH1 口连接,如图8.4 所示。同时将下载 的密码恢复软件(根据PIX 的IOS 的版本选 择不同的恢复软件)放到TFTP 服务器的目 录下。
PIX 防火墙的高级配置
? 在PIX 防火墙实现地址转换技术时,它将网 络地址按照应用语法分为如下3 种。
? 本地地址( local address )——定义分配给 内部主机的地址。
? 全局地址( global address )——定义在建 立通过PIX 会话时,本地地址被翻译的地址。
? 外部地址( foreign address )——定义一台 外部主机的 IP 地址。
? PIX 安全级别拓扑结构:
PIX 防火墙系列产品介绍
? 自1996 年以来,为了更好地满足小型和大 型客户对网络安全的需求,Cisco 将PIX 防 火墙系列产品扩展到5 种不同的型号。其中 包括500 系列以及应用在Cisco Catalyst 6500 系列交换机和Cisco 7600 系列路由 器上的基于PIX 防火墙技术的FWSM 模块。
? 自适应性安全算法(ASA )维护着防火墙控制下的网络的边 界安全。基于状态、面向连接的ASA 设计在进行数据包过滤 时,首先基于源地址和目的地址、端口号建立会话流;然后 在状态型数据表中登记数据并产生一个会话对象;接着将输 入和输出的数据包与连接表中的会话对象进行比较,只有存 在一条适当的连接来准许通行时才允许数据包通过防火墙。 而且它随机生成初始的TCP 序列号,在完成连接之前,跟踪 端口号和其他的TCP 标志。此功能始终处于运行状态,监视 着返回的数据包,确保它们是合法的;在没有明确配置的情 况下,允许内部系统和应用建立单向(从内到外)的连接。 随机生成初始的TCP 序列号,能够把TCP 序列号攻击的风险 降低到最小。因为采用ASA 的PIX 防火墙没有包过滤防火墙 复杂,但比它更健壮。
? PIX 525 防火墙——适用于企业和服务提供商 ? PIX 535 防火墙——它是500 系列中最强大的产品,
为企业级和服务提供商用户设计
PIX 防火墙系列产品介绍
? PIX 防火墙500 系列产品的规格
PIX 防火墙系列产品介绍
? 在Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列Internet 路由器上集成了一个增强吉比特 (Multi Gigabit )级防火墙模块,这个模块叫做 FWSM 。它是一个高性能平台,是针对高端企业客户 和服务提供商设计的。支持矩阵功能,可以和总线、 交换矩阵进行交互操作。FWSM 基于PIX 防火墙技术, 在交换机和路由器中提供基于状态的防火墙功能。
? 端口地址翻译(PAT )—所有本地地址都被翻译成同一个 IP 地址来访问外部网络。
? 静态地址翻译——在较安全的接口和不太安全的接 口之间提供一种永久的、一对一的IP 地址的映射。
? 除上述分类外,PIX 防火墙还有一种NAT 的特殊应 用“nat 0 ”,它可以禁止地址翻译,使内部地址不 经翻译就对外部网络可见。
PIX 防火墙的概述
? 安全级别的范围0 ~100 ,下面是针对这些安全级别 给出的更加具体的规则。
? 安全级别100 ——PIX 防火墙的最高安全级别,被用 于内部接口,是PIX 防火墙的默认设置,且不能改变。
? 安全级别0 ——PIX 防火墙的最低安全级别,被用于 外部接口,是PIX 防火墙的默认设置,且不能更改。
? 启动PIX 防火墙接口、为接口分配地址。 ? 配置主机名和密码。 ? 配置地址转换NAT 、PPPoE 、简单的VPN 、DHCP 。 ? 配置自动更新。
? PDM 的具体使用和安装可以通过实训十三来具体 掌握,这里主要介绍命令行接口的使用。
PIX 防火墙的基本使用
? PIX 防火墙支持基于 Cisco IOS 的命令集,但在 语法上不完全相同。当使用某一特定命令时,必 须处于适当的模式, PIX 提供了4 种管理访问模式。
? 用ping 命令检测PIX 设备与远端服务器的连通性,例如
monitor>ping 192.168.1.2
。
? 用tftp 命令下载指定的文件,例如monitor>tftp 。
? 文件下载成功后操作终端显示器会提示:Do you wish to
erase the passwords? [y/n] y
PIX 防火墙的基本使用
? PIX 防火墙基本命令使用(续)
PIX 防火墙的基本使用
? 有6 个基本配置命令被认为是PIX 防火墙 的基础。
? 其中nameif 、interface 和ip address 是用于接口的设置,必不可少。
? nat 、global 和 route 命令提供地址翻译 和路由的作用,用于不同网络之间的通信。
? 防火墙口令清除设备连接图:
PIX 防火墙的口令恢复
? 具体步骤
? 重新启动PIX 设备,在设备加电后且在操作终端屏幕上重新启动 信息之前,迅速按操作终端的Break 键或Esc 键,进入监控状态。
? 用interface 命令选定一端口作为传输端口,例如 monitor>interface 1 。
PIX 防火墙的概述
? ASA 的特点和优势有:
? ASA 提供了“基于状态的”连接安全,包括可跟踪 源和目的端口、地址、TCP 序列号和其他的TCP 标 志,以及可随机生成初始的TCP 序列号。
? 默认情况下,ASA 允许来自内部(安全级别高)接 口的主机发出的到外部(或者其他安全级别低的接 口)主机的连接。
PIX 防火墙的高级配置
? PIX 防火墙支持以下两种类型的地址转换。
? 动态地址翻译——把在较安全接口上的主机地址转 换成不太安全接口上的一段IP 地址或一个地址池。 其中动态地址翻译又分为两类。
? 网络地址翻译NAT 通过定义地址池(由多个连续的IP 地址 组成)允许内部用户去共享这些地址访问外部网络。
? 默认情况下,ASA 拒绝来自外部(安全级别低)接 口的主机发出的到内部(安全级别高)主机的连接。
? ASA 支持认证、授权和记账(AAA )。
PIX 防火墙的概述
? PIX 防火墙通过采取安全级别方式,来表明 一个接口相对另一个接口是可信(较高的安 全级别)还是不可信(较低的安全级别)。
? 安全级别的基本规则是:具有较高安全级别 的接口可以访问具有较低安全级别的接口。 反过来,在没有设置管道(conduit )和 访问控制列表(ACL )的情况下,具有较 低安全级别的接口不能访问具有较高安全级 别的接口。
PIX 防火墙系列产品介绍
? Cisco PIX 防火墙500 系列产品能满足比 较广泛的需求和不同大小的网络规模目前包 括如下5 种型号。
? PIX 506 防火墙——它是为远程办公和小型办公室 /家庭办公而设计
? PIX 515 防火墙——它是为小型办公室和远程办公 设计
? PIX 520 防火墙——它是为中小型企业和远程办公 设计
(你是否希望清除口令选择
是“y”或否“n ”)Passwords have been erased
。
? 设置新的口令并保存新配置。
PIX 防火墙的高级配置
? 当防火墙的工作模式为NAT 时,当有数据 从内部经过防火墙外出时,防火墙此时翻译 所有的内部IP 地址,那么经过转换后的地 址(源地址)必须是在Internet 上注册过 的地址。当外部用户访问内部网络的某台服 务器时,除非配置PIX 允许从Internet 到 目标地址是私有地址的会话,否则这个会话 不能被建立。
PIX 防火墙的概述
? PIX 防火墙具有如下的技术特点和优势
? 非通用、安全、实时和嵌入式系统 ? 自适应性安全算法( ASA ) ? 直通型代理 ? 基于状态的包过滤 ? 高可靠性
PIX 防火墙的概述
? PIX 防火墙的核心是ASA (Adaptive Security Algorithm, 自适应性安全算法)
? 非特权模式(Unprivilege mode ),此模式是一种 非特权的访问方式,不能对配置进行修改,只能查看 防火墙有限的当前配置。
? 特权模式(Privilege mode ),此模式下可以改变 当前的设置,还可以使用各种在非特权模式下不能使 用的命令。
? 配置模式(Configuration mode ),此模式下可以 改变系统的配置。所有的特权、非特权和配置命令在 此模式下都能使用。
PIX 防火墙的基本使用
? PIX 防火墙访问模式
PIX 防火墙的基本使用
? 在使用PIX 防火墙时有许多通用的维护配 置命令,表中的命令用于配置、维护和测 试PIX 防火墙,通常在特权模式下使用。
? 此6 个命令通常在配置模式下使用。
PIX 防火墙的基本使用
? PIX 防火墙6 个配置命令使用
PIX 防火墙的口令恢复
? 恢复PIX 的口令是通过运行相应软件覆 盖当前运行的口令实现的。该软件可以 从Cisco 站点下载,当然购买防火墙设 备附带的光盘中也包含这两个文件。
? rawrite.exe (下载网址 http : //www.csico.com/warp/public/110/3 4.shtml )。
? pixfirewall#(config) global (outside) 1 191.1.1.1-191.1.1.10 netmask 255.255.255.0
PIX 防火墙的高级配置
? 安全级别1 ~99 ——这些是分配与PIX 防火墙相连的 边界接口的安全级别,通常边界接口连接的网络被用 作停火区(DMZ )。可以根据每台设备的访问情况 来给它们分配相应的安全级别。
PIX 防火墙的概述
? 注意:相同安全级别的接口之间没有数据流 即无法实现相互通信,因此不能将两个或多 个接口安全级别设成一样。
? 用address 命令配置IP 地址,例如monitor>address 192.168.1.1 。
? 用server 命令指定一远端服务器,例如monitor>server 192.168.1.2 。
? 用file 命令指定PIX 口令恢复文件的名称,例如monitor>file np53.bin 。
第8 章 Cisco PIX 防火墙
? PIX 防火墙的概述 ? PIX 防火墙系列产品介绍 ? PIX 防火墙的基本使用 ? PIX 防火墙的高级配置 ? PIX 防火墙攻击防护
PIX 防火墙的概述
? PIX 防火墙是Cisco 端到端安全解决方案中 的一个关键组件,它是基于专用的硬件和软 件的安全解决方案,在不影响网络性能的情 况下,提供了高级安全保障。PIX 防火墙使 用了包括数据包过滤、代理过滤以及状态检 测包过滤在内的混合技术,同时它也提高了 应用代理的功能,因此它被认为是一种混合 系统。
? FWSM 模块如图示:
PIX 防火墙的基本使用
? 在使用任何一种 Cisco 设备时,命令行接口 (CLI )都是用于配置、监视和维护设备的主要 方式。另外也可以通过图形化用户接口方式来配 置防火墙,例如 PIX 设备管理器 PDM (PIX Device Manager )
? PDM 具体可以实现下列功能。
PIX 防火墙的高级配置
? 对于采取NAT 的动态地址翻译,必须使用 nat 命令来定义本地地址,然后使用 global 命令定义全局地址,例如允许内部 网络192.168.1.0/24 这个子网可以访问外 部网络,其全局地址为191.1.1.1191.1.1.10/24 。具体语法如下所示。
? pixfirewall#(config) nat (inside) 1 192.168.1.0 255.255.255.0
? 按照上述网址,根据 PIX 的IOS 的不同选择 下列软件npxx.bin (xx 表示PIX 运行的 IOS 版本号)。
ห้องสมุดไป่ตู้
PIX 防火墙的口令恢复
? 在恢复PIX 口令之前应准备PC 一台,其上 安装TFTP 服务器,通过网卡与防火墙的 ETH1 口连接,如图8.4 所示。同时将下载 的密码恢复软件(根据PIX 的IOS 的版本选 择不同的恢复软件)放到TFTP 服务器的目 录下。
PIX 防火墙的高级配置
? 在PIX 防火墙实现地址转换技术时,它将网 络地址按照应用语法分为如下3 种。
? 本地地址( local address )——定义分配给 内部主机的地址。
? 全局地址( global address )——定义在建 立通过PIX 会话时,本地地址被翻译的地址。
? 外部地址( foreign address )——定义一台 外部主机的 IP 地址。
? PIX 安全级别拓扑结构:
PIX 防火墙系列产品介绍
? 自1996 年以来,为了更好地满足小型和大 型客户对网络安全的需求,Cisco 将PIX 防 火墙系列产品扩展到5 种不同的型号。其中 包括500 系列以及应用在Cisco Catalyst 6500 系列交换机和Cisco 7600 系列路由 器上的基于PIX 防火墙技术的FWSM 模块。
? 自适应性安全算法(ASA )维护着防火墙控制下的网络的边 界安全。基于状态、面向连接的ASA 设计在进行数据包过滤 时,首先基于源地址和目的地址、端口号建立会话流;然后 在状态型数据表中登记数据并产生一个会话对象;接着将输 入和输出的数据包与连接表中的会话对象进行比较,只有存 在一条适当的连接来准许通行时才允许数据包通过防火墙。 而且它随机生成初始的TCP 序列号,在完成连接之前,跟踪 端口号和其他的TCP 标志。此功能始终处于运行状态,监视 着返回的数据包,确保它们是合法的;在没有明确配置的情 况下,允许内部系统和应用建立单向(从内到外)的连接。 随机生成初始的TCP 序列号,能够把TCP 序列号攻击的风险 降低到最小。因为采用ASA 的PIX 防火墙没有包过滤防火墙 复杂,但比它更健壮。
? PIX 525 防火墙——适用于企业和服务提供商 ? PIX 535 防火墙——它是500 系列中最强大的产品,
为企业级和服务提供商用户设计
PIX 防火墙系列产品介绍
? PIX 防火墙500 系列产品的规格
PIX 防火墙系列产品介绍
? 在Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列Internet 路由器上集成了一个增强吉比特 (Multi Gigabit )级防火墙模块,这个模块叫做 FWSM 。它是一个高性能平台,是针对高端企业客户 和服务提供商设计的。支持矩阵功能,可以和总线、 交换矩阵进行交互操作。FWSM 基于PIX 防火墙技术, 在交换机和路由器中提供基于状态的防火墙功能。
? 端口地址翻译(PAT )—所有本地地址都被翻译成同一个 IP 地址来访问外部网络。
? 静态地址翻译——在较安全的接口和不太安全的接 口之间提供一种永久的、一对一的IP 地址的映射。
? 除上述分类外,PIX 防火墙还有一种NAT 的特殊应 用“nat 0 ”,它可以禁止地址翻译,使内部地址不 经翻译就对外部网络可见。
PIX 防火墙的概述
? 安全级别的范围0 ~100 ,下面是针对这些安全级别 给出的更加具体的规则。
? 安全级别100 ——PIX 防火墙的最高安全级别,被用 于内部接口,是PIX 防火墙的默认设置,且不能改变。
? 安全级别0 ——PIX 防火墙的最低安全级别,被用于 外部接口,是PIX 防火墙的默认设置,且不能更改。
? 启动PIX 防火墙接口、为接口分配地址。 ? 配置主机名和密码。 ? 配置地址转换NAT 、PPPoE 、简单的VPN 、DHCP 。 ? 配置自动更新。
? PDM 的具体使用和安装可以通过实训十三来具体 掌握,这里主要介绍命令行接口的使用。
PIX 防火墙的基本使用
? PIX 防火墙支持基于 Cisco IOS 的命令集,但在 语法上不完全相同。当使用某一特定命令时,必 须处于适当的模式, PIX 提供了4 种管理访问模式。
? 用ping 命令检测PIX 设备与远端服务器的连通性,例如
monitor>ping 192.168.1.2
。
? 用tftp 命令下载指定的文件,例如monitor>tftp 。
? 文件下载成功后操作终端显示器会提示:Do you wish to
erase the passwords? [y/n] y
PIX 防火墙的基本使用
? PIX 防火墙基本命令使用(续)
PIX 防火墙的基本使用
? 有6 个基本配置命令被认为是PIX 防火墙 的基础。
? 其中nameif 、interface 和ip address 是用于接口的设置,必不可少。
? nat 、global 和 route 命令提供地址翻译 和路由的作用,用于不同网络之间的通信。
? 防火墙口令清除设备连接图:
PIX 防火墙的口令恢复
? 具体步骤
? 重新启动PIX 设备,在设备加电后且在操作终端屏幕上重新启动 信息之前,迅速按操作终端的Break 键或Esc 键,进入监控状态。
? 用interface 命令选定一端口作为传输端口,例如 monitor>interface 1 。
PIX 防火墙的概述
? ASA 的特点和优势有:
? ASA 提供了“基于状态的”连接安全,包括可跟踪 源和目的端口、地址、TCP 序列号和其他的TCP 标 志,以及可随机生成初始的TCP 序列号。
? 默认情况下,ASA 允许来自内部(安全级别高)接 口的主机发出的到外部(或者其他安全级别低的接 口)主机的连接。
PIX 防火墙的高级配置
? PIX 防火墙支持以下两种类型的地址转换。
? 动态地址翻译——把在较安全接口上的主机地址转 换成不太安全接口上的一段IP 地址或一个地址池。 其中动态地址翻译又分为两类。
? 网络地址翻译NAT 通过定义地址池(由多个连续的IP 地址 组成)允许内部用户去共享这些地址访问外部网络。
? 默认情况下,ASA 拒绝来自外部(安全级别低)接 口的主机发出的到内部(安全级别高)主机的连接。
? ASA 支持认证、授权和记账(AAA )。
PIX 防火墙的概述
? PIX 防火墙通过采取安全级别方式,来表明 一个接口相对另一个接口是可信(较高的安 全级别)还是不可信(较低的安全级别)。
? 安全级别的基本规则是:具有较高安全级别 的接口可以访问具有较低安全级别的接口。 反过来,在没有设置管道(conduit )和 访问控制列表(ACL )的情况下,具有较 低安全级别的接口不能访问具有较高安全级 别的接口。
PIX 防火墙系列产品介绍
? Cisco PIX 防火墙500 系列产品能满足比 较广泛的需求和不同大小的网络规模目前包 括如下5 种型号。
? PIX 506 防火墙——它是为远程办公和小型办公室 /家庭办公而设计
? PIX 515 防火墙——它是为小型办公室和远程办公 设计
? PIX 520 防火墙——它是为中小型企业和远程办公 设计
(你是否希望清除口令选择
是“y”或否“n ”)Passwords have been erased
。
? 设置新的口令并保存新配置。
PIX 防火墙的高级配置
? 当防火墙的工作模式为NAT 时,当有数据 从内部经过防火墙外出时,防火墙此时翻译 所有的内部IP 地址,那么经过转换后的地 址(源地址)必须是在Internet 上注册过 的地址。当外部用户访问内部网络的某台服 务器时,除非配置PIX 允许从Internet 到 目标地址是私有地址的会话,否则这个会话 不能被建立。
PIX 防火墙的概述
? PIX 防火墙具有如下的技术特点和优势
? 非通用、安全、实时和嵌入式系统 ? 自适应性安全算法( ASA ) ? 直通型代理 ? 基于状态的包过滤 ? 高可靠性
PIX 防火墙的概述
? PIX 防火墙的核心是ASA (Adaptive Security Algorithm, 自适应性安全算法)
? 非特权模式(Unprivilege mode ),此模式是一种 非特权的访问方式,不能对配置进行修改,只能查看 防火墙有限的当前配置。
? 特权模式(Privilege mode ),此模式下可以改变 当前的设置,还可以使用各种在非特权模式下不能使 用的命令。
? 配置模式(Configuration mode ),此模式下可以 改变系统的配置。所有的特权、非特权和配置命令在 此模式下都能使用。