第8章 Cisco PIX防火墙.pptVIP

第8章 Cisco PIX防火墙 PIX防火墙的概述 PIX防火墙系列产品介绍 PIX防火墙的基本使用 PIX防火墙的高级配置 PIX防火墙攻击防护 PIX防火墙的概述 PIX防火墙是Cisco端到端安全解决方案中的一个关键组件，它是基于专用的硬件和软件的安全解决方案，在不影响网络性能的情况下，提供了高级安全保障。PIX防火墙使用了包括数据包过滤、代理过滤以及状态检测包过滤在内的混合技术，同时它也提高了应用代理的功能，因此它被认为是一种混合系统。 PIX防火墙的概述 PIX防火墙具有如下的技术特点和优势 非通用、安全、实时和嵌入式系统 自适应性安全算法（ASA） 直通型代理 基于状态的包过滤 高可靠性 PIX防火墙的概述 PIX防火墙的核心是ASA（Adaptive Security Algorithm,自适应性安全算法） 自适应性安全算法（ASA）维护着防火墙控制下的网络的边界安全。基于状态、面向连接的ASA设计在进行数据包过滤时，首先基于源地址和目的地址、端口号建立会话流；然后在状态型数据表中登记数据并产生一个会话对象；接着将输入和输出的数据包与连接表中的会话对象进行比较，只有存在一条适当的连接来准许通行时才允许数据包通过防火墙。而且它随机生成初始的TCP序列号，在完成连接之前，跟踪端口号和其他的TCP标志。此功能始终处于运行状态，监视着返回的数据包，确保它们是合法的；在没有明确配置的情况下，允许内部系统和应用建立单向（从内到外）的连接。随机生成初始的TCP序列号，能够把TCP序列号攻击的风险降低到最小。因为采用ASA的PIX防火墙没有包过滤防火墙复杂，但比它更健壮。 PIX防火墙的概述 ASA的特点和优势有： ASA提供了“基于状态的”连接安全，包括可跟踪源和目的端口、地址、TCP序列号和其他的TCP标志，以及可随机生成初始的TCP序列号。 默认情况下，ASA允许来自内部（安全级别高）接口的主机发出的到外部（或者其他安全级别低的接口）主机的连接。 默认情况下，ASA拒绝来自外部（安全级别低）接口的主机发出的到内部（安全级别高）主机的连接。 ASA支持认证、授权和记账（AAA）。 PIX防火墙的概述 PIX防火墙通过采取安全级别方式，来表明一个接口相对另一个接口是可信（较高的安全级别）还是不可信（较低的安全级别）。 安全级别的基本规则是：具有较高安全级别的接口可以访问具有较低安全级别的接口。反过来，在没有设置管道（conduit）和访问控制列表（ACL）的情况下，具有较低安全级别的接口不能访问具有较高安全级别的接口。 PIX防火墙的概述 安全级别的范围0～100，下面是针对这些安全级别给出的更加具体的规则。 安全级别100——PIX防火墙的最高安全级别，被用于内部接口，是PIX防火墙的默认设置，且不能改变。 安全级别0——PIX防火墙的最低安全级别，被用于外部接口，是PIX防火墙的默认设置，且不能更改。 安全级别1～99——这些是分配与PIX防火墙相连的边界接口的安全级别，通常边界接口连接的网络被用作停火区（DMZ）。可以根据每台设备的访问情况来给它们分配相应的安全级别。 PIX防火墙的概述 注意：相同安全级别的接口之间没有数据流即无法实现相互通信，因此不能将两个或多个接口安全级别设成一样。 PIX安全级别拓扑结构： PIX防火墙系列产品介绍 自1996年以来，为了更好地满足小型和大型客户对网络安全的需求，Cisco将PIX防火墙系列产品扩展到5种不同的型号。其中包括500系列以及应用在Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器上的基于PIX防火墙技术的FWSM模块。 PIX防火墙系列产品介绍 Cisco PIX防火墙500系列产品能满足比较广泛的需求和不同大小的网络规模目前包括如下5种型号。 PIX 506防火墙——它是为远程办公和小型办公室/家庭办公而设计 PIX 515防火墙——它是为小型办公室和远程办公设计 PIX 520防火墙——它是为中小型企业和远程办公设计 PIX 525防火墙——适用于企业和服务提供商 PIX 535防火墙——它是500系列中最强大的产品，为企业级和服务提供商用户设计 PIX防火墙系列产品介绍 PIX防火墙500系列产品的规格 PIX防火墙系列产品介绍 在Cisco Catalyst 6500系列交换机和 Cisco 7600系列Internet路由器上集成了一个增强吉比特（Multi Gigabit）级防火墙模块，这个模块叫做FWSM。它是一个高性能平台，是针对高端企业客户和服务提供商设计的。支持矩阵功能，可以和总线、交换矩阵进行交互操作。FWSM基于PIX防火墙技术，在交换机和路由器中提供基于状态的防火墙功能。 FWSM