CISCO PIX防火墻及網絡安全配置指南

隨著國際互連網的發展，一些企業建立了自己的INTRANET，并通過專線與INTERNET連通。為了保證企業內部網的安全，防止非法入侵，需要使用專用的防火墻計算機。路由器防火墻只能作為過濾器，并不能把內部網絡結構從入侵者眼前隱藏起來。只要允許外部網絡上的計算機直接訪問內部網絡上的計算機，就存在著攻擊者可以損害內部局域網上機器的安全性，并從那里攻擊其他計算機的可能性。 

大多數提供代理服務的專用防火墻機器是基于UNIX系統的，這些操作系統本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange，私有Internet交換)防火墻，它運行自己定制的操作系統，事實證明，它可以有效地防止非法攻擊。PIX防火墻要求有一個路由器連接到外部網絡，如附圖所示。PIX有兩個ETHERNET接口，一個用于連接內部局域網，另一個用于連接外部路由器。外部接口有一組外部地址，使用他們來與外部網絡通信。內部網絡則配置有一個適合內部網絡號方案的IP地址。PIX的主要工作是在內部計算機需要與外部網絡進行通信時，完成內部和外部地址之間的映射。 

配置好PIX防火墻后，從外部世界看來，內部計算機好象就是直接連接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口，所以，向主機傳送信息包需要用到MAC地址。為了使內部主機在數據鏈路層和網絡層上看起來都好象是連接在外部接口上的，PIX運行了代理ARP，代理ARP給外部網絡層IP地址指定數據鏈路MAC地址，這就使得內部計算機看起來像是在數據鏈路層協議的外部接口上似的。大多數情況下，與外部網絡的通信是從內部網絡中發出的。由于PIX是對信息包進行操作，而不是在應用過程級（代理服務器則采用這種方法），PIX既可以跟蹤UDP會話，也可以跟蹤TCP連接。當一個計算機希望同外部計算機進行通信時，PIX記錄下內部來源地址，然后從外部地址庫分配一個地址，并記錄下所進行的轉換。這就是人們常說的有界NAT（stateful NAT），這樣，PIX就能記住它在同誰進行交談，以及是哪個計算機首先發起的對話。只有已被確認的來自外部網絡的信息包才會運行，并進入內部網絡。 

不過，有時也需要允許外部計算機發起同指定的內部計算機的通信。典型的服務包括電子郵件、WWW服務、以及FTP服務。PIX給一個內部地址硬編碼一個外部地址，這個地址是不會過期的。在這種情況下，用到對目標地址和端口號的普通過濾。除非侵入PIX本身，外部用戶仍然是無法了解內部網絡結構的。在不了解內部網絡結構的情況下，惡意用戶就無法從內部主機向內部網絡實施攻擊。 

PIX另一個關鍵性的安全特性是對TCP信息包的序列編號進行隨機化處理。由于IP地址電子欺騙的方法早已公布，所以，入侵者已經有可能通過這種方法，控制住一個現成的TCP連接，然后向內部局域網上的計算機發送它們自己的信息。要想做到這一點，入侵者必須猜出正確的序列編號。在通常的TCP/IP中實現是很容易的，因為每次初始化連接時，大都采用一個相同的編號來啟動會話。而PIX則使用了一種數學算法來隨機化產生序列編號，這實際上使得攻擊者已經不可能猜出連接所使用的序列編號了。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]