打造企业坚固的城墙 Cisco PIX防火墙特殊配置.pdfVIP

成都互联神州网络技术培训中心 成都思科华为网络技术论坛 打造企业坚固的城墙 Cisco PIX 防火墙特殊配置 择高档完备的网络安全设备是每一个成功企业必不可少的组网设施，但是实际上 更多网络中存在的威胁来自于企业内部，因此仅仅保护网络组建的边界是远远不 够的，建立一个一体化、多层次的安全体系结构可以提供更为彻底和实际的保护， 提高企业内部安全防范意识才是解决企业网络安全的重中之中。 PIX防火墙简介 PIX （Private Internet Exchange ）防火墙是Cisco产品系列中称得上佼佼者的防火 墙产品。PIX 防火墙可以部署到各种各样的设计方案中。简单的情况如下，PIX 防火墙可能只有两个接口，一个接口连接至受保护的内部网络（内部接口），而 另一个接口则连接到公共网络（外部接口），一般来说就是指因特网。这里所谓 的内部和外部具有特别的意义，且各个接口在PIX 防火墙配置中分别被命名为 Inside接口（内部）和Outside接口（外部）。 为了让公司能够利用与因特网的连接，通常某些服务器必须对于外部世界是可访 问的，这些可访问的服务器包括DNS 、SMTP 以及企业能够拥有的任何公用Web 服务器。DNS服务器必须是可访问的，这样才能将主机名字转换成可用于数据报 寻址的IP地址。虽然这些服务器可以放在防火墙之后的内部网络中，但是强烈建 议不要这样做。因为这些主机中的任意一台受到侵害后，都会导致入侵者能够方 便的访问到内部网络。而如果这些服务器放置在DMZ 中，则PIX防火墙能够允许 内部用户不加限制的访问这些主机，而同时限制外部用户来访问这些主机。 从市场所占份额来说，状态数据报防火墙是主导类型的防火墙产品。大多数的市 场都显示，PIX防火墙或Chechpoint软件公司的Firewall经常占据市场中的第一位。 在PIX防火墙的具体配置中共有58 个PIX独有特性，这些特性中有些功能非常明 显，而有些却略显隐蔽；有些特性是默认启动的，而有些则需要手动进行配置。 下面我们就来看下一些在企业组网中需要特别“关注”特性的配置方法，以便充分 利用PIX防火墙，为企业网络提高安全系数。 手动配置TCP Intercept 思科从IOS 11.2 版本中首次在路由器产品中引用了TCP Intercept(TCP截获)特性， 在PIX5.2 以上版本中也引入了相同的特性，这个功能特性虽然是默认启用的， 但是仍需要一些手动设置。 该特性能够为隐藏在防火墙后的主机设备提供保护，抵御成为“SYN泛洪” 的特定 类型网络攻击。使用SYN泛洪，攻击者通过好像发自不存在或不可达主机的连接 请求，有效的使受害系统负荷过重，从而达到拒绝向目标主机提供服务的目的。 SYN防洪巧妙的利用了操作系统为每条新的TCP连接请求分配内存和其他资源 的原理。即使主机和服务器能够支持大量的连接，它们所能处理的未完成连接的 数目仍然是有限的。 成都互联神州网络技术培训中心 成都思科华为网络技术论坛 由于TCP是双向和全双工的，所以它在两个方向上都要建立连接。为了建立从服 务器到客户端的连接，服务器设置SYN位并包括他自己的顺序号以便请求建立从 服务器到客户端的连接，服务器设置SYN位置承载对来自客户端的初始连接请求 的确认（ACK位）的分段重并发送给客户端。此后，服务器等待第 3 步：从客 户端发来的对服务器到客户端的连接请求的确认。这个过程通常被成为TCP 的“3 次握手” 。 如果应答者服务器没有在特定的TCP时间间隔内接收到应答，那么服务器会重传 设置有SYN和ACK位的分段。根据具体的TCP实现，重传的次数一般是4 次，重 传的时间间隔开始是1 秒，然后一次加倍。如果服务持续的接受连接请求，那么 资源可能很快就会被这些半开放的请求耗尽，这样就不能再接受其他传入请求， 从而拒绝了那项服务。 TCP Intercept通过启用此特性实现保护的主机设备截获连接，以及对连接请求进 行应答来解决这个问题。它代表客户端建立了从PIX到受保护的主机的第二条连 接。如果客户端正常的完成连接，那么PIX防火墙透明地将这两条连接结合在一 起，最后的结果是建立了一条在客户端和服务器之间的直接连接。 PIX防火墙使用了更短的超时时间间隔，而且如果在这个时间间隔内连接没有完 成，那么PIX就会放弃与客户端的未完成连接，并且向受保护的服务器发送RST 位，结束PIX到服务器的连接，从而释放掉服务器资源。除了更短的