返回
pix防火墙简介和快速配置方法

pix防火墙简介和快速配置方法

ID:39467275

大小:93.50 KB

页数:9页

时间:2019-07-04

pix防火墙简介和快速配置方法_第1页
pix防火墙简介和快速配置方法_第2页
pix防火墙简介和快速配置方法_第3页
pix防火墙简介和快速配置方法_第4页
pix防火墙简介和快速配置方法_第5页
资源描述:

《pix防火墙简介和快速配置方法》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、技术支持部pix防火墙简介和快速配置方法(总结)2008-01-16PIXFirewall的工作原理PIXFirewall的作用是防止外部网络(例如公共互联网)上的非授权用户访问内部网络。多数PIXFirewall都可以有选择地保护一个或多个周边网络(也称为非军管区,DMZ)。对访问外部网络的限制最低,对访问周边网络的限制次之,对访问内部网络的限制最高。内部网络、外部网络和周边网络之间的连接由PIXFirewall控制。为有效利用机构内的防火墙,必须利用安全政策才能保证来自受保护网络的所有流量都只通过防火墙到达不受保护的网络。这样,用户就可以控制谁可以借助哪些服务访问网络,以及怎样借

2、助PIXFirewall提供的特性实施安全政策等。PIXFirewall保护网络的方法如图1-1所示,这种方法允许实施带外连接并安全接入互联网。图1-1:网络中的PIXFirewall在这种体系结构中,PIXFirewall将形成受保护网络和不受保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。互联网可以访问不受保护的网络。PIXFirewall允许用户在受保护网络内确定服务器的位置,例如用于Web接入、SNMP、电子邮件(SMTP)的服务器,然后控制外部的哪些用户可以访问这些服务器。除PIX506和PIX501外,对于所有的PIXFirewall,服

3、务器系统都可以如图1-1那样置于周边网络上,对服务器系统的访问可以由PIXFirewall控制和监视。PIX506和PIX501各有两个网络接口,因此,所有系统都必须属于内部接口或者外部接口。PIXFirewall还允许用户对来往于内部网络的连接实施安全政策。一般情况下,内部网络是机构自身的内部网络,或者内部网,外部网络是互联网,但是,PIXFirewall也可以用在内部网中,以便隔离或保护某组内部计算系统和用户。周边网络的安全性可以与内部网络等同,也可以配置为拥有各种安全等级。安全等级的数值从0(最不安全)到100(最安全)。外部接口的安全等级总为0,内部接口的安全等级总为100。

4、周边接口的安全等级从1到99。内部网络和周边网络都可以用PIX技术支持部Firewall的适应性安全算法(ASA)保护。内部接口、周边接口和外部接口都遵守RIP路由更新表的要求,如果需要,所有接口都可以广播RIP默认路径。内部地址的转换网络地址转换(NAT)的作用是将内部接口上的主机地址转换为与外部接口相关的“全球地址”。这样能防止将主机地址暴露给其它网络接口。如果想了解是否要使用NAT,可以先决定是否想暴露与PIXFirewall连接的其它网络接口上的内部地址。如果选择使用NAT保护内部主机地址,应该先确定想用于转换的一组地址。如果想保护的地址只访问机构内的其它网络,可以针对转换地

5、址池使用任何一组“专用”地址。例如,当与销售部门的网络(与PIXFirewall的周边接口相连)连接时,如果想防止财务部门网络(与PIXFirewall上的外部接口相连)上的主机地址被暴露,可以借助销售部网络上的任何一组地址建立转换。这样,财务部网络上的主机就好象是销售部网络的本地地址一样。如果想保护的地址需要互联网接入,可以只为转换地址池使用NIC注册的地址(为贵机构向网络信息中心注册的官方互联网地址)。例如,与互联网(通过PIXFirewall的外部接口访问)建立连接时,如果想防止销售部网络(与PIXFirewall的周边接口相连)的主机地址暴露,可以使用外部接口上的注册地址池进

6、行转换。这样,互联网上的主机就只能看到销售部网络的互联网地址,而看不到周边接口的地址。如果您正在具有主机网络注册地址的原有网络上安装PIXFirewall,您可能不想为这些主机或网络进行转换,因为转换时还需要另外一个注册地址。考虑NAT时,必须要考虑是否有等量的外部主机地址。如果没有,在建立连接时,某些内部主机就无法获得网络访问。这种情况下,用户可以申请增加NIC注册地址,也可以使用端口地址转换(PAT),PAT能够用一个外部地址管理多达64,000个同时连接。对于内部系统,NAT能够转换向外传输的包的源IP地址(按照RFC1631定义)。它同时支持动态转换和静态转换。NAT允许为内

7、部系统分配专用地址(按照RFC1918)定义,或者保留现有的无效地址。NAT还能提高安全性,因为它能向外部网络隐藏内部系统的真实网络身份。PAT使用端口重映射,它允许一个有效的IP地址支持64,000个活跃xlate对象的源IP地址转换。PAT能够减少支持专用或无效内部地址方案所需的全球有效IP地址数量。对于向内数据流与向外控制路径不同的多媒体应用,PAT不能与之配合使用。由于能够向外部网络隐藏内部网络的真实网络身份,因此,PAT能够提高安全性。PIXFi

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。