通过Pix防火墙访问.pptVIP

连接和转换 传输协议 为了更深入理解Cisco PIX 防火墙如何处理入站和出站传输，我们简要回顾一下两个网络会话的重要传输协议。 TCP――传输控制协议 UDP――用户数据报协议 TCP TCP 是一个面向连接的协议。当位于PIX 防火墙内部一台比较安全的主机发起会话时，PIX 防火墙在会话状态过滤器上创建一个日志，并从网络流里提取出网络会话，实时地验证它们的合法性。PIX 防火墙记录下网络流，等待从对方获得一个确认。这样PIX 防火墙在三次握手之后允许连接之间进行数据传输。 如图演示的是当经过PIX 防火墙建立一个TCP 会话时PIX 是如何处理的。 UDP UDP 是无连接的。因此PIX 必须采用其它某种方法来确保它的安全性。因为UDP 没有握手和序列的机制，所以使用UDP 的应用程序很难保证其安全性。想要确定UDP 当前的传输状态是困难的。又由于它没有明确的开始、数据流状态和结束，所以想要维护其会话状态同样是困难的。尽管如此，当一个UDP 数据包从一个较安全的接口发送到一个不太安全的接口时，PIX 仍然要建立一个UDP 连接槽。因此，所有以后返回的UDP 数据包信息都要与连接槽内所存储的信息进行匹配，如果匹配成功的话将被转发到内部网络。 网络地址转换 当内部数据通过PIX时，可以使用PIX 转换所有的内部IP 地址。从一个网络安全的角度来看，如果一个特殊的安全策略指定只允许出站流量的话，那么转换内部地址是非常安全的行为。 当一个用户试图从外部建立一个到内部的连接时，这个外部用户将不会成功。除非配置PIX 允许从Internet 到目标地址是私有地址的会话，否则这个会话不能被建立。 私有地址范围： - 55 - 55 - 55 PIX 支持以下4 种类型的地址转换 动态内部NAT－－把在较安全接口上的主机地址转换成不太安全接口上的一段IP 地址或一个地址池。这个过程允许内部用户去共享已经注册的IP 地址,并且从公共Internet 的角度来看,隐藏了内部地址。 动态外部NAT－－把在不太安全接口上的主机地址转换成较安全的接口上一段IP 地址或一个地址池。 静态内部NAT－－在较安全的接口和不太安全的接口之间提供一种永久的，一对一的IP 地址的映射。这个过程允许主机从公共Internet 访问内部主机，并且不会暴露其真实的IP 地址。 静态外部NAT－－在不太安全接口和较安全的接口之间提供一种永久的，一对一的IP 地址映射。 动态内部NAT 转换 双接口的NAT 转换 三接口的NAT 转换 当DMZ 上用户访问外部主机时，它的源地址被转换成global(outside)命令定义的 0 到54 范围中的某一个地址。global (dmz)命令只在内部用户访问DMZ接口上的Web 服务器时起作用。 动态外部转换 如图示，通过配置外部NAT 使路由器C 无法知道去往/24 网络的路由。因为/24 网络进来的数据包源地址将被转换成0~54 范围内某个IP 地址。 该例中的ACLIN 访问列表与静态映射配合使用，来实现只由/24 网段上的主机来访问地址为 的FTP 服务器。 第一句命令最后一个关键字outside 启用外部NAT，从低安全级接口到高安全级接口连接中的源地址将进行转换，这个特性也被称为双向NAT. 端口地址转换 端口地址转换PAT 是一个IP 和一个源端口号的结合，它将创建一个唯一的对话。PAT 对所有的包使用相同的IP 地址，但是它可以通过源端口号的不同来区分，其端口号取值范围要大于1024。 PAT 的特性: PAT 和NAT 可以同时使用； PAT 地址可以与外部接口地址不同； 使用PAT 扩展IP 地址的使用范围； 在使用PAT 时，最多可以允许64000 台内部主机使用一个外部IP 地址； PAT 将端口号映射到单一的IP 地址； 在PIX 防火墙上可以通过PAT 使用一个IP 地址来将内部源地址隐藏，从而实现安全的转换。 普通PAT 示例 PAT 使用外部接口 将子网映射到PAT 地址上 使用多个PAT 来备份PAT 地址 使用PAT 扩大一个全局地址池 标识NAT 控制出站连接的另外一个特性是控制那些内部IP 地址在外部可见的能力。nat 0 命令可以关闭地址转换，因此没有经过地址转换的内部IP 地址对于外部来说是可见的。当在你的内部网络中拥有NIC 注册的IP 地址，并且这个地址是要被外部网络访问的时候，就要使用这个特性。使用nat 0 要看你的安全策略。如果你的策略允许内部客户端的IP 地址暴露于Internet，这时nat 0 就可执行这个策略。 Static命令 静态内部转换可以让一台内部主机固定地址使用PIX 防火墙全局网络中的一个地址。 使