第五章 防火墙的具体应用
远键实业公司是一个典型的中小企业。大概100 人左右。是一家科技企业,主要从事计算机 系统集成服务,大约有100 人左右,分为市场部、财务部、销售部、人力资源部、办公室、网络管理部、工程部,网络分成内网、外网。内网经常感染病毒,蠕虫,而且某些员工使用 工具进行大数据量下载也影响网络正常工作,有时也发现来自外网黑客攻击现象,同时公司 随着业务的发展也将扩大宣传,考虑建立一个Web 服务器用来对外发布信息。公司领导和 网络部经过仔细讨论,决定在公司现有网络基础上部署一台防火墙。防火墙有很多种,国外 和国内有很多防火墙。经过选型后公司选择一款Cisco PIX 515 防火墙。公司拓扑结构如下:
公司网络要求
一、配置公司PIX划分内网、外网及DMZ区域:
远键实业公司的规模并不是很大,网络拓扑结构如上图,分为内网、外网。在满足 内网用户快速访问INTERNET 的同时有效防止来自外网黑客攻击;此外,公司随着业务的 发展也需要扩大宣传,市场部考虑建立电子营销,所以希望建立一个Web 服务器用来对外 发布业务信息。公司网络管理部门决定在公司的防火墙上部署在内网和外网之 间配置PIX划分内网、外网及DMZ区域。 pixfirewall>ena pixfirewall# #进入全局配置模式 pixfirewall# conf t #配置防火墙接口的名字,并指定安全级别(nameif)。 pixfirewall(config)#int e0 pixfirewall(config-if)# nameif inside pixfirewall(config-if)# security-level 100 pixfirewall(config)#int e1 pixfirewall(config-if)# nameif dmz pixfirewall(config-if)# security-level 50 pixfirewall(config)#int e2 pixfirewall(config-if)# nameif outside pixfirewall(config-if)# security-level 0 security-leve 0 是外部端口outside 的安全级别(0 安全级别最高)
security-leve 100 是内部端口inside 的安全级别,如果中间还有以太口,则security-leve 10, security-leve 20 等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为dmz security-leve 50 是停火区dmz 的安全级别。 #配置内外网卡的IP 地址 pixfirewall(config)#int e0 pixfirewall(config-if)# ip addre 192.168.2.200 255.255.255.0 pixfirewall(config-if)# no shut pixfirewall(config)#int e1 pixfirewall(config-if)# ip addre 10.1.1.2 255.255.255.0 pixfirewall(config-if)# no shut pixfirewall(config)#int e1 pixfirewall(config-if)# ip addre 202.99.88.2 255.255.255.0 pixfirewall(config-if)# no shut 在配置内外网卡的IP 地址时注意别忘了用no shutdown 命令来激活端口。(no shut 是no shutdown 的简写)。
#允许内部网络服务器telnet pix(允许远程登录到防火墙) pixfirewall(config)# telnet 192.168.2.0 255.255.255.0 inside #同时你也可以允许外部网络服务器远程登录到防火墙命令如下 pix515(config)# telnet 202.99.88.0 255.255.255.0 outside 但为了安全最好是只允许内部网络服务器远程登录到防火墙,保证防火墙的安全。 #配置远程登录密码
Pix515(config)# paword 123456 以上表明远程登录密码为 123456 #保存配置 write memory 在配置完成后,要记住保存配置,以便以后进一步的配置及管理。、配置DMZ #设置DMZ 接口IP 地址,设置好后可以按拓扑结构图测试从PIX 上ping 10.1.1.2 检查连通性。
pixfirewall(config)#int e1 pixfirewall(config-if)# ip addre 10.1.1.2 255.255.255.0 #允许DMZ 主机访问外部网络icmp 协议
pixfirewall(config-if)# acce-list acl_dmz permit icmp any any #应用策略到DMZ 接口 把acl_dmz 规则邦定到dmz 端口上使之生效 pixfirewall(config-if)# acce-group acl_dmz in interface dmz #发布DMZ 服务器到因特网 设置静态的因特网、局域网、dmz 区的访问关系 static (dmz,outside) 202.99.88.2 10.1.1.2 netmask 255.255.255.255 #设置策略允许因特网访问DMZ 服务器80 端口
pixfirewall(config)# acce-list 100 permit tcp any host 202.99.88.2 eq 80 #将10.1.1.100 上的www 服务发布到公网202.99.88.2 static (inside,outside) tcp 202.99.88.2 www 10.1.1.100 www netmask 255.255.255.255 #允许DMZ 访问外部网络tcp 80 端口
pixfirewall(config)# acce-list acl_dmz permit tcp 10.1.1.0 255.255.255.0 any eq 80 #允许DMZ 访问外部网络tcp,udp 53 端口
pixfirewall(config)# acce-list acl_dmz permit tcp 10.1.1.0 255.255.255.0 any eq 53 pixfirewall(config)# acce-list acl_dmz permit udp 10.1.1.0 255.255.255.0 any eq 53 #保存配置 write memory
二、配置PIX静态路由
Cisco PIX 防火墙可以支持动态路由模式、静态路由模式、透明模式和混合模
式,远键实业公司的规模并不是很大,但内网、外网和DMZ 区域都需要进行频繁通信,尤其是 网站管理员需要经常从内网上传一些网页信息到Web 服务器,网络部希望 防火墙能够支持公司网络能够在保障安全的同时,网络通信稳定。 #增加一条静态路由,把DMZ 区域写入静态路由。
pixfirewall(config)# route inside 10.1.1.0 255.255.255.0 192.168.2.200 #发布DMZ 服务器到因特网 设置静态的因特网、局域网、dmz 区的访问关系 pixfirewall(config)#static (dmz,outside) 202.99.88.2 10.1.1.2 netmask255.255.255.255 #设置策略允许内网访问DMZ 服务器80 端口
pixfirewall(config)# acce-list 100 permit tcp any host 10.1.1.2 eq 80 #保存配置 write memory
三、配置PIX防火墙实现NAT 公司网络部希望架设防火墙后,公司要求跟外部Internet 进行通信时,内
网使用私有IP 地址,这样可以隐藏公司网络内部拓扑结构,另外,也能提供一定程度的网 络安全。另外,公司网络部也希望在防火墙上进行设置后在内网中多个公司员工可以同 时公用一个合法IP 与外部Internet 进行通信。
#用NAT 的方式允许内网用户用公网ip202.99.88.2 访问INTERNET nat (inside) 1 0 0 (0 0 表示内网所有主机) global (outside) 1 interface #保存配置 write memory
四、配置PIX防火墙实现反向NAT 公司市场部建立了一个Web 服务器,对外发布,要求外部人员可以通过Internet 来访问公司网站服务器。
#允许DMZ 主机访问外部网络icmp 协议 acce-list acl_dmz permit icmp any any #应用策略到DMZ 接口 把acl_dmz 规则邦定到dmz 端口上使之生效 acce-group acl_dmz in interface dmz #发布DMZ 服务器到因特网 设置静态的因特网、局域网、dmz 区的访问关系 static (dmz,outside) 202.99.88.10.1.1.2 netmask 255.255.255.255 0 0 #将10.1.1.100 上的www 服务发布到公网202.99.88.2 static (inside,outside) tcp 202.99.88.2 80 10.1.1.100 www netmask 255.255.255.255 0 0 #设置策略允许因特网访问DMZ 服务器80 端口 acce-list 100 permit tcp any host 202.99.88.2 eq 80 #允许DMZ 访问外部网络tcp 80 端口
acce-list acl_dmz permit tcp 10.1.1.0 255.255.255.0 any eq 80 #允许DMZ 访问外部网络tcp,udp 53 端口
acce-list acl_dmz permit tcp 10.1.1.0 255.255.255.0 any eq 53 acce-list acl_dmz permit udp 10.1.1.0 255.255.255.0 any eq 53 #保存配置 write memory
五、防止洪水攻击
远键实业公司的规模并不是很大,网络拓扑结构如上图,分为内网、外网。在满足 内网用户快速访问INTERNET 的同时有效防止来自外网黑客攻击; Pixfirewall> Pixfirewall>en Paword: Pixfirewall>conf t Pixfirewall(config)#acce-list 101 deny icmp any any Pixfirewall(config)#exit
六、配置防火墙入侵检测技术。 Pixfirewall> Pixfirewall>en Paword: Pixfirewall>conf t Pixfirewall(config)#ipaduit attack action alarm Pixfirewall(config)#ip audit info action alarm Pixfirewall(config)#exit 当有数据包具有攻击或报告型特征码时,pix 将采取报警动作(缺省动作),向指定的 日志记录主机产生系统日志消息
七、防火墙的启动和性能监控 启动防火墙:
插上电源,打开开关。 关闭防火墙:
闭合开关,断开电源。
Show blocks/clear blocks显示系统缓冲区利用情况 Show checksum显示配置校验和 Show conn列出所有的活跃连接 Show history显示前面输入的行
Show interface显示接口配置 显示接口的配置的接口信息,如接口的IP,子网掩码,接口速率等。 Show memory显示系统内存的使用情况 Show procees显示进程
Show tech-support查看帮助技术支持分析员诊断问题的信息 Show traffic显示接口的发送和接收活动 Show version浏览PIX防火墙操作信息 Show xlate查看地址转换信息
熟练的对防火墙实现自身管理,以应对防火墙自身出现问题能够快速响应而不影响公 司通过网络的业务运营。
八、配置PIX流量控制
公司网络经常出现员工上网速度缓慢,网络管理员查明后发现有人经常上
网打网络游戏,或者从网络上在线看电影,网络管理员也很头疼,因此公司网络部为此 要求通过防火墙能够根据部门分配Internet 带宽,并设定如果公司某员工违反公司策略打网 络游戏,或者从网络上在线看电影,占用公司网络带宽,防火墙能够自动设别是哪一个员工, 而且自动切断该员工与外网的连接。通过配置防火墙对流量进行限制。 #进入流量管理
pixfirewall(config)# priority-queue outside #流量的最高限制为256KB/S pixfirewall(priority-queue)# queue-limit 256 #以字节来算的,为了保证10ms的间隔,一般来说设置为128 pixfirewall(config-priority-queue)# tx-ring-limit 128 #查看流量信息
pixfirewall# sh priority-queue statistics Priority-Queue Statistics interface outside Queue Type = BE Packets Dropped = 0 Packets Transmit = 0 Packets Enqueued = 0 Current Q Length = 0 Max Q Length = 0 Queue Type = LLQ Packets Dropped = 0 Packets Transmit = 0 Packets Enqueued = 0 Current Q Length = 0 Max Q Length = 0 流量限制作用:
当前公司内的网络状况非常混乱,有人经常上网打网络游戏,或者从网络上在线 看电影,所以决定进行流量限制。
流量限制可以限制公司内每个员工的带宽,发现某个员工的流量异常时可以切断 该员工与外网的连接。
进行流量限制后,公司局域网的速度会明显提高,员工的工作效率也会提高。
九、PIX防火墙口令恢复
公司网络设备渐渐增加,服务器、路由器、交换机、防火墙等网络设备从物理安 全考虑,都要设置安全口令,口令多了,会容易混淆或者忘记口令,网络管理员为了应 对这样情况,也要求自己及时掌握防火墙口令丢失进行口令恢复的方法。 PIX 防火墙密码恢复方法,步骤分解。
在能够通过console 口连通的情况下,重新启动PIX,在出现启动消息后,根据屏幕 提示在9 秒内按键盘BREAK 或ESC 键进入monitor 模式。 #进入e0 口 (inside 口) monitor> interface e0 #设置本端口地址(PIXIP) monitor> addre 192.168.2.200 #设置服务器地址 (本机IP) monitor> server 192.168.2.100 在本机安装tftp 软件并找到PIX 对应的BIN 包,如7.0 的np5.bin pixfill#copy tftp flash Addre or name of remote host []? 192.168.2.100 (TFTP 服务器地址) Source filename []? np5.bin Destination filename [np5.bin]? Do you want to over write? [confirm] Acceing tftp://192.168.2.100/np5.bin...Erase flash: before copying? [confirm] Erasing the flash filesystem will remove all files! Continue? [confirm] Erasing device...eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erasedee Erase of flash: complete Loading np5.bin from 192.168.2.100(via Ethernet0/0): !!!!!!!!!!!!!! 文件下载成功后操作终端显示器会提示: Do you wish to erase the pawords? [y/n] y Pawords have been erased.因为设备众多,口令也就多了,非常容易混淆和忘记口令。忘记口令后,恢复口令就相 当重要了。掌握了恢复口令,会对工作有很大的帮助。
十、PIX防火墙VPN的实现
公司员工经常需要通过Internet 与客户进行通信,由于Internet 是一个不安全的网 络,其中公司有一些商业文档需要机密,公司网络部希望公司员工防火墙能够保障通过 Internet 与公司重要客户进行通信时实现信息传输保密。对PIX 防火墙进行配置,实现VPN。
一、基础知识: PPTP:点对点隧道协议
点对点隧道协议(PPTP: Point to Point Tunneling Protocol)是一种支持多协议虚 拟专用网络的网络技术。通过该协议,远程用户能够通过 Microsoft Windows NT 工作站、Windows XP 操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本 地 ISP,通过 Internet 安全链接到公司网络。
PPTP 可以用于在 IP 网络上建立 PPP 会话隧道。在这种配置下,PPTP 隧道和
PPP 会话运行在两个相同的机器上,呼叫方充当 PNS.PPTP 使用客户机-服务器结构来分 离当前网络访问服务器具备的一些功能并支持虚拟专用网络。PPTP 作为一个呼叫控制和管 理协议,
它允许服务器控制来自 PSTN 或 ISDN 的拨入电路交换呼叫访问并初始化外部电路交换连 接。
PPTP 只能通过 PAC 和 PNS 来实施,其它系统没有必要知道 PPTP.拨号网络可与 PAC 相连接而无需知道 PPTP.标准的 PPP 客户机软件可继续在隧道 PPP 链接上操作。 PPTP 使用 GRE 的扩展版本来传输用户 PPP 包。这些增强允许为在 PAC 和 PNS 之间 传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且 避免了不必要的重发和缓冲区溢出。PPTP 没有规定特定的算法用于低层控制,但它确实定 义了一些通信参数来支持这样的算法工作。
二、配置
1、命令行方式直接在PIX上配置PPTP的VPN,即PIX作为PPTP方式VPDN的服务器 ip local pool pptp 10.0.0.1-10.0.0.50 //定义一个pptp 方式的vpdn拨入后获得的IP地址池,名字叫做pptp。此处地址段的定义 范围不要和拨入后内网其他计算机的IP冲突,并且要根据拨入用户的数量来定义地址池的 大小
pixfirewall(config)# crypto ipsec transform-set xp esp-des esp-md5-hmac 创建与加密相关的全局值
pixfirewall(config)# crypto dynamic-map dymap 10 set transform-set xp 创建一个动态加密映射项
pixfirewall(config)# crypto map mymap 10 ipsec-isakmp dynamic dymap 定义名字为mymap编号为10静态加密map, 将名字为dymap的动态加密map 映射到静 态加密map mymap 上.pixfirewall(config)# crypto map mymap interface outside 将静态加密map应用在外部接口上 pixfirewall(config)# pixfirewall(config)# isakmp enable outside 在外部接口上启用ISAKMP策略。
pixfirewall(config)# isakmp key 123456 addre 0.0.0.0 netmask 0.0.0.0 针对分支机构的动态公有IP,配置ISAKMP预共享密钥,如123456,0.0.0.0表示适合 于所有的公有IP地址。
pixfirewall(config)# isakmp policy 9 authentication pre-share 定义编号为9的ISAKMP策略,认证方式使用预共享密钥:Pre-Share Key pixfirewall(config)# isakmp policy 9 encryption des 对于编号为9的ISAKMP策略的加密算法使用des pixfirewall(config)# isakmp policy 9 hash sha 对于编号为9的ISAKMP策略的hash完整性算法使用sha pixfirewall(config)# isakmp policy 9 group 2 对于编号为9的ISAKMP策略,密钥交换组DH(Diffie-Hellman)长度为group 2 pixfirewall(config)# isakmp policy 9 lifetime 86400 对于编号为9的ISAKMP策略生存时期为86400秒。 pptp使用1723端口,而通常pix里面的服务器对外都是做的静态NAT转换,但是光双 向开放1723端口仍旧无法建立pptp的vpn连接,那么对于pix 6.3以上版本的pptp穿透 可以用一条命令fixup protocol pptp 1723 来解决这个问题。
通过对PIX 防火墙的设置,实现了VPN。公司内的一些商业机密能有了保障。通过 Internet 与公司重要客户进行通信时实现信息传输保密。
十一、建立Pix 防火墙日志重定向
黑客攻击进来后,有时间会把防火墙的日志进行擦除以逃避责任,公司网络部希望网络管理员能够有效地保存防火墙日志。建立Pix 防火墙日志重定向。 linux 配置:
1、vi/etc/sysconfig/syslog(按i 进入vi 的编辑状态。) : SYSLOGD_OPTIONS=\"-m 0\"修改为
SYSLOGD_OPTIONS=\"-r-m 0\"//-r 允许从远端主机写入meages (编辑完成后按ESC 回到命令行状态,然后输入:wq,存盘退出,如果不存盘输入:q)
2、vi/etc/syslog.conf 加入下列内容
把设备号为local4(pix的默认设备号,对应pix端的facility为20)的所有的日志记录到 /var/log/pix.log中
#Savepixmeagesalltopix.log local4.* /var/log/pix.log
3、为了避免日志过大,配置日志轮循(manlogrotate查看详细的帮助信息) vi/etc/logrotate.conf 增加下列内容: #system-specific logs may be also be configured here./var/log/pix.log{ weekly rotate4&
4、重起syslog 服务:
[root@localhost&etc]# service syslog restart pix 配置:
Pix#logging on Pix#logging host 192.168.2.235//记录日志的主机IP Pix#logging trap 7 //指定日志消息的级别(0:紧急(Emergencies)1:告警 (Alerts)2:严重的(Critical)3:错误(Errors)4:警告(Warnings)5:通知(Notifications)6: 信息(Informational)7:调试(Debugging)) Pix#logging facility 20//更改设备号,Pix默认为local20 Pix#exit Pix#sh logging//可以看到当前日志记录是否启动 Pix#wr mem //保存配置
完成以上配置后就可以在linux 下运用cat /var/log/pix.log 查看 Pix的日志文件:
黑客攻击进来后,有时间会把防火墙的日志进行擦除以逃避责任,通过把linux配置成PIX 的 日志主机,能够有效地保存防火墙日志,进一步提高安全性。
