防火墙在企业网络中应用.docVIP

防火墙在企业网络中的应用 任俊峰 武警兵团指挥部网络管理中心，乌鲁木齐 830000 关键词：Intranet；RIP (Route Information Protocol) ；PIX (Private Internet Exchange)；NAT (Network Address Translation)；PAT (Port Address Translation) 1 需求分析 XXX计算机网络是以3Com公司CoreBuilder 9000为企业核心层交换机，以3Com CoreBuilder 7000HD、CoreBulider 3500和Cisco Catalyst 4006为各二级单位分布层交换机，以3Com SSII 1100/3300和Cisco Catalyst 3500为访问层交换机的三层星型网络结构，采用先进的千兆以太网技术，融合历史的ATM网络技术，结合Cisco 2511、1601等提供的DDN链路进行远程局域网络连接和移动用户拨号访问，利用Cisco 3661 的2M DDN 串型链路连接Internet。 随着XXX应用水平的不断提高，利用Internet与外部交流信息的需求非常迫切，如何既要保证XXX网络不受外部Internet的非法访问和攻击，又能安全快速的访问Internet，是企业网络安全建设的必要条件，而网络防火墙是解决这一问题的最好方法。 经过分析和比较后，XXX计算机网络采用了Cisco PIX 525防火墙作为企业用户Internet访问时的安全保证。下面我们结合PIX 525防火墙的功能谈谈防火墙在企业网络安全中的应用。 2 防火墙 PIX 防火墙能在两个或多个网络之间防止非授权的连接，即PIX 防火墙能保护一个或多个网络，与外部的、非保护的网络隔离，防止非授权访问。这些网络间的所有连接都能被PIX 防火墙控制。 为了在你的组织中高效使用防火墙，你需要一个安全策略来确认被保护网络的所有数据包只能通过防火墙传递到非保护网络。这样，你就能控制谁能访问网络，访问什么服务，及如何利用PIX 防火墙的功能实现你的安全策略。 图1显示了PIX 防火墙如何保护内部网络安全地访问Internet。 No No direct Inbound connections Outside Internet Internet atttached router Internet accesible server Perimeter Pix Firewall Server1 Server2 Outbound connections OK Inside Protected Servers Protected Clients Router Internet Internet 图1 在这个结构中，PIX 防火墙在被保护网络和非保护网络之间形成了一个边界。被保护网络和非保护网络之间的所有数据包流量必须经过防火墙以遵循一定的安全策略。被保护网络通常能访问Internet。PIX 防火墙让你将诸如Web、SNMP、E-mail等服务放置在被保护网络中，以控制外部用户的对这些服务的访问。 另一方面，服务系统也能放置在Perimeter 网络中，见图一。PIX 防火墙也能控制和监视Inside 网络或Outside网络对这些服务系统的访问。 典型的，Inside网络就是一个组织自己的内部Intranet网络，Outside网络就是Internet。但是，PIX 防火墙也能在Intranet网络中使用以隔离或保护一组内部的计算机系统。Perimeter 网络能和Inside网络一样进行安全配置。PIX 防火墙的Inside、Perimeter 和Outside接口能监听RIP路由更新消息，如果需要，所有的接口能广播一个缺省的RIP路由。 PIX 防火墙的工作原理如下： 2.1 数据包如何通过防火墙 当向外连接的数据包 (Outbound Packets) 到达PIX 防火墙的被保护接口时(Inside Interface)，PIX 防火墙检查先前的数据包是否是来自此主机。如果没有，PIX 防火墙就在它的状态表为新的连接建立一个转换槽 (translation slot)。通过网络地址转换（NAT）或端口地址转换 (PAT) 的分配，这个槽包括内部IP地址和一个唯一的全局IP地址。PIX 防火墙这时转换这个数据包的源IP地址(source IP)为这个唯一的全局IP地址，并按需修改其他字段，然后转发这个数据包到合适的非保护接口。 当向内连接的数据包（Inbound