隨著國際互連網的發展,一些企業建立了自己的INTRANET,并通過專線與INTERNET連通。為了保證企業內部網的安全,防止非法入侵,需要使用專用的防火墻計算機。路由器防火墻只能作為過濾器,并不能把內部網絡結構從入侵者眼前隱藏起來。只要允許外部網絡上的計算機直接訪問內部網絡上的計算機,就存在著攻擊者可以損害內部局域網上機器的安全性,并從那里攻擊其他計算機的可能性。
大多數提供代理服務的專用防火墻機器是基于UNIX系統的,這些操作系統本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange,私有Internet交換)防火墻,它運行自己定制的操作系統,事實證明,它可以有效地防止非法攻擊。PIX防火墻要求有一個路由器連接到外部網絡,如附圖所示。PIX有兩個ETHERNET接口,一個用于連接內部局域網,另一個用于連接外部路由器。外部接口有一組外部地址,使用他們來與外部網絡通信。內部網絡則配置有一個適合內部網絡號方案的IP地址。PIX的主要工作是在內部計算機需要與外部網絡進行通信時,完成內部和外部地址之間的映射。
配置好PIX防火墻后,從外部世界看來,內部計算機好象就是直接連接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口,所以,向主機傳送信息包需要用到MAC地址。為了使內部主機在數據鏈路層和網絡層上看起來都好象是連接在外部接口上的,PIX運行了代理ARP,代理ARP給外部網絡層IP地址指定數據鏈路MAC地址,這就使得內部計算機看起來像是在數據鏈路層協議的外部接口上似的。大多數情況下,與外部網絡的通信是從內部網絡中發出的。由于PIX是對信息包進行操作,而不是在應用過程級(代理服務器則采用這種方法),PIX既可以跟蹤UDP會話,也可以跟蹤TCP連接。當一個計算機希望同外部計算機進行通信時,PIX記錄下內部來源地址,然后從外部地址庫分配一個地址,并記錄下所進行的轉換。這就是人們常說的有界NAT(stateful NAT),這樣,PIX就能記住它在同誰進行交談,以及是哪個計算機首先發起的對話。只有已被確認的來自外部網絡的信息包才會運行,并進入內部網絡。
不過,有時也需要允許外部計算機發起同指定的內部計算機的通信。典型的服務包括電子郵件、WWW服務、以及FTP服務。PIX給一個內部地址硬編碼一個外部地址,這個地址是不會過期的。在這種情況下,用到對目標地址和端口號的普通過濾。除非侵入PIX本身,外部用戶仍然是無法了解內部網絡結構的。在不了解內部網絡結構的情況下,惡意用戶就無法從內部主機向內部網絡實施攻擊。
PIX另一個關鍵性的安全特性是對TCP信息包的序列編號進行隨機化處理。由于IP地址電子欺騙的方法早已公布,所以,入侵者已經有可能通過這種方法,控制住一個現成的TCP連接,然后向內部局域網上的計算機發送它們自己的信息。要想做到這一點,入侵者必須猜出正確的序列編號。在通常的TCP/IP中實現是很容易的,因為每次初始化連接時,大都采用一個相同的編號來啟動會話。而PIX則使用了一種數學算法來隨機化產生序列編號,這實際上使得攻擊者已經不可能猜出連接所使用的序列編號了。
配置PIX防火墻是一個比較直接的工作,在提供相同級別的安全服務情況下,PIX的配置相比設置代理服務器要簡單的多。從理論上講,所需做的就是指定一個IP地址和一個用來對外部進行訪問的地址庫,一個針對內部連接的IP地址和網絡掩嗎、RIP、超時以及其他附屬安全信息。下面介紹一個PIX防火墻實際配置案例,供大家參考。因為路由器的配置在安全性方面和PIX防火墻是相輔相成的,所以路由器的配置實例也一并列出。
一.PIX 防火墻設置
ip address outside 131.1.23.2 //設置PIX防火墻的外部地址 ip address inside 10.10.254.1 //設置PIX防火墻的內部地址 global 1 131.1.23.10-131.1.23.254 //設置一個內部計算機與INTERNET 上計算機進行通信時所需的全局地址池 nat 1 10.0.0.0 //允許網絡地址為10.0.0.0 的網段地址被PIX翻譯成外部地址 static 131.1.23.11 10.14.8.50 //網管工作站固定使用的外部地址為131.1.23.11 conduit 131.1.23.11 514 udp 131.1.23.1 255.255.255.255 //允許從RTRA發送到到 網管工作站的系統日志包通過PIX防火墻 mailhost 131.1.23.10 10.10.254.3 //允許從外部發起的對 郵件服務器的連接(131.1.23.10) telnet 10.14.8.50 //允許網絡管理員通過 遠程登錄管理IPX防火墻 syslog facility 20.7 syslog host 10.14.8.50 //在位于網管工作站上的 日志服務器上記錄所有事件日志 |
二.路由器RTRA設置
RTRA是外部防護路由器,它必須保護PIX防火墻免受直接攻擊,保護FTP/HTTP服務器,同時作為一個警報系統,如果有人攻入此路由器,管理可以立即被通知。
no service tcp small-servers //阻止一些對路由器本身的攻擊 logging trap debugging //強制路由器向系統日志服務器 發送在此路由器發生的每一個事件, 包括被存取列表拒絕的包和路由器配置的改變; 這個動作可以作為對系統管理員的早期預警, 預示有人在試圖攻擊路由器,或者已經攻入路由器, 正在試圖攻擊防火墻 logging 131.1.23.11 //此地址是網管工作站的外部地址, 路由器將記錄所有事件到此 主機上enable secret xxxxxxxxxxx interface Ethernet 0 ip address 131.1.23.1 255.255.255.0 interface Serial 0 ip unnumbered ethernet 0 ip access-group 110 in //保護PIX防火墻和HTTP/FTP 服務器以及防衛欺騙攻擊(見存取列表) access-list 110 deny ip 131.1.23.0 0.0.0.255 any log // 禁止任何顯示為來源于路由器RTRA 和PIX防火墻之間的信息包,這可以防止欺騙攻擊 access-list 110 deny ip any host 131.1.23.2 log //防止對PIX防火墻外部接口的直接 攻擊并記錄到系統日志服務器任何企圖連接 PIX防火墻外部接口的事件r access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established //允許已經建立的TCP會話的信息包通過 access-list 110 permit tcp any host 131.1.23.3 eq ftp //允許和FTP/HTTP服務器的FTP連接 access-list 110 permit tcp any host 131.1.23.2 eq ftp-data //允許和FTP/HTTP服務器的FTP數據連接 access-list 110 permit tcp any host 131.1.23.2 eq www //允許和FTP/HTTP服務器的HTTP連接 access-list 110 deny ip any host 131.1.23.2 log //禁止和FTP/HTTP服務器的別的連接 并記錄到系統日志服務器任何 企圖連接FTP/HTTP的事件 access-list 110 permit ip any 131.1.23.0 0.0.0.255 //允許其他預定在PIX防火墻 和路由器RTRA之間的流量 line vty 0 4 login password xxxxxxxxxx access-class 10 in //限制可以遠程登錄到此路由器的IP地址 access-list 10 permit ip 131.1.23.11 //只允許網管工作站遠程登錄到此路由器, 當你想從INTERNET管理此路由器時, 應對此存取控制列表進行修改 |
三. 路由器RTRB設置
RTRB是內部網防護路由器,它是你的防火墻的最后一道防線,是進入內部網的入口.
logging trap debugging logging 10.14.8.50 //記錄此路由器上的所有活動到 網管工作站上的日志服務器,包括配置的修改 interface Ethernet 0 ip address 10.10.254.2 255.255.255.0 no ip proxy-arp ip access-group 110 in access-list 110 permit udp host 10.10.254.0 0.0.0.255 //允許通向網管工作站的系統日志信息 access-list 110 deny ip any host 10.10.254.2 log //禁止所有別的從PIX防火墻發來的信息包 access-list permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp //允許郵件主機和內部郵件服務器的SMTP郵件連接 access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255 //禁止別的來源與郵件服務器的流量 access-list deny ip any 10.10.254.0 0.0.0.255 //防止內部網絡的信任地址欺騙 access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255 //允許所有別的來源于PIX防火墻 和路由器RTRB之間的流量 line vty 0 4 login password xxxxxxxxxx access-class 10 in //限制可以遠程登錄到此路由器上的IP地址 access-list 10 permit ip 10.14.8.50 //只允許網管工作站遠程登錄到此路由器, 當你想從INTERNET管理此路由器時, 應對此存取控制列表進行修改 |
按以上設置配置好PIX防火墻和路由器后,PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口,也不可能判斷出內部任何一臺主機的IP地址,即使告訴了內部主機的IP地址,要想直接對它們進行Ping和連接也是不可能的。
這樣就可以對整個內部網進行有效的保護,防止外部的非法攻擊。
