防火墻在互聯(lián)網(wǎng)中起著非常重要的作用，它通過檢查和過濾進出網(wǎng)絡的每一個數(shù)據(jù)包，保護企業(yè)內(nèi)部網(wǎng)免受外來攻擊。防火墻產(chǎn)品一般分為硬件和軟件2種，硬件防火墻采用專用的硬件設備，然后集成生產(chǎn)廠商的專用防火墻軟件; 軟件防火墻一般基于某個操作系統(tǒng)平臺開發(fā)，直接在計算機上進行軟件的安裝和配置。相對于軟件防火墻而言，硬件防火墻往往能提供更優(yōu)越的網(wǎng)絡速度和性能，Cisco公司的PIX防火墻就是一種典型的企業(yè)級硬件防火墻產(chǎn)品。

一、Cisco PIX的特點

作為一種硬件防火墻，Cisco PIX的優(yōu)勢有兩點：第一，網(wǎng)絡性能相當不錯，Cisco PIX可以提供2～6個100Mbps快速以太網(wǎng)接口，能夠滿足大部分的應用需求。與軟件防火墻相比，它的包處理速度和轉(zhuǎn)發(fā)速度要快得多。第二，Cisco PIX中包含了豐富的基于IPsec的VPN服務軟件，VPN能夠提供站點到站點之間和遠程客戶端到站點之間的安全訪問，不過需要另外的一臺認證服務器。

Cisco PIX的不足之處是管理完全基于命令行方式，如果用戶需要圖形化的管理界面，就必須到Cisco網(wǎng)站上下載一個管理軟件；另外，Cisco PIX的監(jiān)視和日志功能有限，為了記錄日志，還必須下載一個基于Windows NT的PIX Firewall Syslog Server才行。Cisco PIX無法根據(jù)用戶名或工作組來進行安全策略管理，而只能通過IP地址進行管理，而且實施安全策略管理還需要購買另一個軟件包CSPM（Cisco Security Policy Manager）。

二、Cisco PIX的管理和配置

現(xiàn)在，我們通過一個相對簡單的示例說明如何使用Cisco PIX對企業(yè)內(nèi)部網(wǎng)絡進行管理。網(wǎng)絡拓撲圖如附圖所示。Cisco PIX安裝2個網(wǎng)絡接口，一個連接外部網(wǎng)段，另一個連接內(nèi)部網(wǎng)段，在外部網(wǎng)段上運行的主要是DNS服務器，在內(nèi)部網(wǎng)段上運行的有WWW服務器和電子郵件服務器，通過Cisco PIX，我們希望達到的效果是：對內(nèi)部網(wǎng)絡的所有機器進行保護，WWW服務器對外只開放80端口，電子郵件服務器對外只開放25端口。具體操作步驟如下。

1.      連接一臺控制終端
通常使用PIX上的CONSOLE端口對防火墻進行管理和配置。當防火墻配置好以后，也可以通過telnet方式管理防火墻，但出于安全性的考慮，還是盡量不要開放telnet功能。使用CONSOLE端口的具體方法如下。

使用串行電纜將PIX與PC機的串口進行連接，在Windows中打開“超級終端”，進入“新建連接”，并為新連接命名，比如“PIX”；選擇“使用COM1”，且在COM1屬性框中定義速度為9600bps，數(shù)據(jù)位為8，校驗為None，停止位為1，F(xiàn)low control為Hardware；然后單擊“OK”，接著打開PIX防火墻電源，在終端窗口中應當看到啟動信息。如果看不到啟動信息,說明電纜連接有問題。

2.      獲得最新PIX軟件
從Cisco公司的WWW或FTP站點上，我們可以獲得PIX的最新軟件,主要包括如下內(nèi)容。

pix44n.exe——PIX防火墻的軟件映像文件。
pfss44n.exe——PIX Firewall Syslog Server服務器軟件,能夠提供一個Windows NT服務,用來記錄PIX的運行日志。
pfm432b.exe——圖形化的PIX管理軟件。
rawrite.exe——用于生成PIX的啟動軟盤。

3.      配置網(wǎng)絡路由
在使用防火墻的內(nèi)部網(wǎng)段上，需要將每臺計算機的缺省網(wǎng)關指向防火墻，比如防火墻內(nèi)部IP地址為10.0.0.250，則內(nèi)部網(wǎng)段上的每臺計算機的缺省網(wǎng)關都要設置為10.0.0.250。具體設置在“控制面板”*“網(wǎng)絡”*“TCP/IP協(xié)議”中進行。

4.      配置PIX
在配置PIX之前，應該對網(wǎng)絡進行詳細的規(guī)劃和設計，搜集需要的網(wǎng)絡配置信息。要獲得的信息如下。

1.      每個PIX網(wǎng)絡接口的IP地址。

2.      如果要進行NAT,則要提供一個IP地址池供NAT使用。NAT是網(wǎng)絡地址轉(zhuǎn)換技術(shù)，它可以將使用保留地址的內(nèi)部網(wǎng)段上的機器映射到一個合法的IP地址上以便進行Internet訪問。

3.      外部網(wǎng)段的路由器地址。

進入PIX配置界面的方法是：連接好超級終端，打開電源，在出現(xiàn)啟動信息和出現(xiàn)提示符 pixfirewall>后輸入“enable”，并輸入密碼，進入特權(quán)模式；當提示符變?yōu)?pixfirewall#>后，輸入“configure terminal”，再進入配置界面。

在配置過程中，我們可以使用write terminal命令查看當前配置，使用write memory保存配置信息到Flash Memory。

5.      配置網(wǎng)絡接口
PIX使用nameif和ip address命令進行網(wǎng)絡接口配置。
首先使用下面的語句定義內(nèi)部網(wǎng)段和外部網(wǎng)段的網(wǎng)絡接口。
nameif ethernet0 outside security0
nameif ethernet1 inside security100
PIX防火墻使用Intel的10/100Mbps網(wǎng)卡，使用下面的命令定義接口配置為自適應。
interface ethernet0 auto
interface ethernet1 auto
最后，我們定義接口的IP地址和掩碼。
ip address inside 10.0.0.250 255.255.255.0
ip address outside 202.12.29.205 255.255.255.248

6.      允許內(nèi)部用戶訪問外部網(wǎng)段
在前面，我們定義了內(nèi)部網(wǎng)段安全值為100，外部網(wǎng)段安全值為0。用戶在安全值高的區(qū)域訪問安全值低的區(qū)域，需要使用nat和global命令；相反地，如果允許安全值低的區(qū)域的用戶訪問安全值高的區(qū)域的用戶，則需要使用static和conduit命令。
nat (inside) 1 0 0
global (outside) 1 202.12.29.206 netmask 255.255.255.248
其中1為NAT ID，兩個語句中的NAT ID應一樣。前一句表示允許所有機器對外訪問，第二句定義NAT使用的地址池，由于大部分情況下，合法的IP地址并不多，因此在此例中只設置了一個合法IP地址202.12.29.206用來做地址轉(zhuǎn)換。

7.      定義外部路由
對于外部網(wǎng)段，還需要定義外部路由，它是防火墻外部網(wǎng)段的缺省路由：route outside 0 0 202.12.29.202 1。其中0 0表示外部網(wǎng)段的缺省路由，1表示從防火墻到路由器只有一個hop。

8.      允許使用ping命令
conduit permit icmp any any 此命令允許在內(nèi)部網(wǎng)段和外部網(wǎng)段使用ping命令進行網(wǎng)絡測試。因為ping命令使用的是ICMP協(xié)議，在設置和調(diào)試期間，一般開放此功能，當防火墻工作正常后，也可以關閉此項功能。

9.      保存設置和重新啟動
使用write memory命令將配置信息寫入flash memory。使用reload命令重新啟動防火墻。

10.  增加telnet訪問控制
在PIX中，我們可以定義只允許某些機器通過telnet訪問防火墻。需要注意的是，這里進行telnet訪問的機器必須在內(nèi)部網(wǎng)段上，以增強安全性。

telnet 10.0.0.204 255.255.255.255// 即允許10.0.0.204這臺機器使用telnet訪問防火墻。

telnet timeout 15 // 即將空閑時間設置為15分鐘，當訪問防火墻的機器15分鐘內(nèi)沒有任何操作時，將自動斷開連接。

telnet訪問的缺省口令是cisco，可以通過passwd命令來修改口令。

測試telnet時，我們可以使用命令debug icmp trace來獲得更多的信息。

11.  增加服務器訪問控制
缺省情況下，PIX拒絕所有來自外部網(wǎng)段的訪問請求。當WWW服務器等設備放在防火墻的內(nèi)部網(wǎng)段上時，為了使外部網(wǎng)絡上的用戶可以訪問到，必須使用static和conduit命令來進行配置。

下面，我們給出允許外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡上的WWW服務器的命令。
static (inside,outside) 202.12.29.204 10.0.0.204 netmask 255.255.255.255
conduit permit tcp host 202.12.29.204 eq www any

其中，第一個命令將在內(nèi)部網(wǎng)段的WWW服務器10.0.0.204映射一個外部合法地址202.12.29.204；第二個命令允許所有外部主機通過tcp port 80訪問202.12.29.204這臺服務器。

接著，我們再給出一個允許外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡上的郵件服務器10.0.0.203的命令。
static (inside,outside) 202.12.29.203 10.0.0.203 netmask 255.255.255.255
conduit permit tcp host 202.12.29.203 eq smtp any

12.  控制內(nèi)部網(wǎng)段對外的訪問
使用outbound和apply命令進行組合，可以控制內(nèi)部網(wǎng)段的機器能否對外進行訪問，舉例說明如下。
outbound 10 deny 10.0.0.0 255.255.255.0 irc tcp
outbound 10 permit 10.0.0.204 255.255.255.255 irc tcp

apply (inside) 10 outgoing_src 如果不想讓內(nèi)部用戶使用CHAT功能，可以采用第一條命令，禁止10.0.0.1～10.0.0.255的所有機器使用CHAT功能訪問外部站點；第二條命令允許10.0.0.204這臺機器通過irc協(xié)議訪問外部站點;第三條命令將前面的命令應用在inside，也就是內(nèi)部網(wǎng)段上。
outbound 20 deny 202.102.224.25 255.255.255.255 www tcp
apply (inside) 20 outgoing_dest

通過對以上2條命令的組合使用，我們可以禁止內(nèi)部網(wǎng)段上的所有機器訪問外部網(wǎng)絡的WWW服務器202.102.224.25。

到此為止，我們已經(jīng)介紹了在網(wǎng)絡管理中通常會使用到的一些設置命令，其實還有一些其他相關的設置命令，大家可以查閱PIX的文檔或者訪問Cisco公司的網(wǎng)站以獲取最新的資料。

總的來說，如果用戶希望得到一臺網(wǎng)絡性能較高但不需要廣泛的監(jiān)視功能或應用程序過濾功能的企業(yè)級防火墻，Cisco PIX將會是一個不錯的選擇。