CISCO安全PIX防火墙笔记
作者:不深的蓝(QQ:5600700)
第一章网络安全介绍
一、防火墙创建3个区域:内部区域、外部区域、停火区(DMZ)
堡垒主机:位于停火区中的主机或服务器,应打上最新的补丁,关闭不必要的服务。
二、网络攻击的3种类型
1、侦察攻击:ping扫描目标网络
2、访问攻击:
①非授权数据获取
②非授权系统访问
③非授权权限提升
3、 Dos攻击:禁止或破坏网络、系统或服务,使之拒绝向合法用户提供服务
第二章PIX软件和硬件
一、防火墙的类型
1、数据包过滤器:根据协议、源/目标IP、端口来允许或禁止数据包
缺点:①只要符合ACL的数据包都可通过
②可将数据包分片使其通过
③不容易实现复杂的ACL
④不能过滤某些服务
2、代理过滤器:在4到7层上检查数据包
缺点:①单点故障
②负载过重时,工作很慢
③一般建立在通用操作系统上
3、状态型数据包过滤器:为每个穿过防火墙建立的会话保持完整的会话状态信息
优点:①将数据包与已建立的连接比较
②性能高
③在列表中为每条连接或无连接会话记录数据
大家可以看出PIX应该是哪种类型了吧:)
二、PIX的优点
1、安全实时的嵌入式系统
2、自适应安全算法(ASA)
3、直通型代理
4、状态型故障切换/热备份
三、PIX的型号:506、515、525、535
第三章使用并升级OS
一、四种管理模式
1、非特权模式:firewall>
2、特权模式:firewall#
3、配置模式:firewall(config)#
4、监视模式:monitor>
二、PIX的命令
https://www.doczj.com/doc/af2145680.html,/univercd/cc/td/doc/product/iaabu/pix/pix_v53/config/commands.htm
三、升级PIX OS
步骤:1、copy tftp flash
2、输入TFTP服务器的IP地址
3、输入源文件名称(PIX OS.bin)
4、输入yes
四、口令恢复
https://www.doczj.com/doc/af2145680.html,/warp/public/110/34.shtml
第四章配置PIX
一、ASA安全级别:指定一个接口相对于另一个接口是内部的还是外部的。两个接口
比较,安全级别相对高的是内部,安全级别相对低的是外部。
1、数据从高安全级别接口流向低安全级别接口:需要进行翻译(静态或动态)
2、数据从低安全级别接口流向高安全级别接口:需要静态翻译和管道或ACL
可以但TAC不支持把两个接口配置成相同ASA安全级别。
二、基本命令
1、nameif配置防火墙接口的名字,并指定安全级别
nameif hardware_id if_name security_level
hardware_id指定一个边界接口,以及它的物理位置
if_name为边界接口指定一个名字
security_level为边界接口指定安全级别(1~99)
在缺省配置中,e0被命名为外部接口(outside),安全级别是0;e1被命名为
内部接口(inside),安全级别是100。
2、interface 配置以太口参数
interface hardware_id [hardware_speed] [shutdown]
hardware_id指定一个边界接口,以及它的物理位置
hardware_speed确定连接速度
shutdown管理性关闭接口
3、ip address配置接口的IP地址
ip address if_name ip_address [netmask]
if_name描述接口的名字
ip_address为接口分配的IP地址
netmask如果不指定掩码,将采用有类的掩码
4、nat 指定要进行转换的内部地址,与global命令一起使用
nat [(if_name)] nat_id local_ip [netmask]
if_name将使用全局地址的内部网络接口名字
nat_id标示全局地址池
local_ip在内部网络上分配给设备的IP地址
netmask本地IP地址的网络掩码
5、global定义源地址将要翻译成的地址或地址范围
global [(if_name)] nat_id {global_ip [-global_ip] [netmask global_mask]} | interface if_name将使用全局地址的外部网络接口名字
nat_id标示全局地址池
global_ip单个IP地址或一段范围的起始IP地址
-global_ip 一段范围的结束IP地址
global_mask全局IP地址的网络掩码
interface由nat指定的所有IP地址翻译到该接口
6、route为接口定义一条静态路由
route if_name ip_address netmask gateway_ip [metric]
if_name描述内部或外部网络接口的名字
ip_address描述目的地网络IP地址
netmask指定应用于ip_address的网络掩码
gateway_ip 指定网关路由器的IP地址
metric指定到gateway_ip的跳数
第五章PIX翻译
一、传输协议
PIX 允许通过的协议有TCP、UDP、GRE和ICMP。
1、 TCP:可以在一个给定的时间内,将未完成连接限制到一个最大的数量,还可
以限定未完成连接必须在一段给定的时间内完成,这样有助于减轻对网络的攻
击。
2、 UDP:所有UDP响应都从外部到达,而且必须是在UDP用户可配置的超时值
之内(默认是2分钟)。
二、翻译
1、静态地址翻译:同一台主机每次通过PIX建立一个向外的会话时都被翻译成相
同的地址
static [(internal_if_name, external_if_name)] global_ip local_ip [netmask
network_mask][max_conns [em_limit]] [norandomseq]
internal_if_name内部网络接口的名字
external_if_name外部网络接口的名字
global_ip全局IP地址
local_ip 本地IP地址
network_mask用于global_ip和local_ip的掩码
max_conns 每个IP地址的最大连接数量
em_limit 未完成连接限制数
norandomseq不对TCP/IP数据包序列号进行随机处理
2、动态地址翻译:将一段本地地址范围翻译成一个或一段全局地址范围
① NA T将一段本地地址范围翻译成一段全局地址范围
② PA T 将一段本地地址范围翻译成一个全局地址范围
对于H.323应用和高速缓存名字服务器以及多媒体应用来说,不能使用PA T。
3、修改配置后,应使用clear xlate清除翻译槽位
查看翻译槽位show xlate
显示所有的活动连接show conn
第六章配置通过PIX的访问
一、允许从低安全级别接口访问较高安全级别接口的方法
1、对合法请求的响应
2、配置一个管道
在较新OS版本中增加的新方法
3、 ACL
4、让PIX作为加密会话的源或终结点
二、管道命令
当与static命令一起使用时,conduit命令允许数据流源自一个具有较低安全级别
的接口,通过PIX流向一个具有较高安全级别的接口。
conduit permit | deny protocol global_ip global_mask [operator port [port]]
foreign_ip foreign_mask [operator port [port]]
permit如果条件匹配,则允许访问
deny如果条件匹配,则拒绝访问
protocol为连接指定传输协议,IP指定所有传输协议
global_ip 由static命令定义的全局IP地址
global_mask global_ip的掩码
foreign_ip 可以访问global_ip的外部IP地址
foreign_mask foreign_ip的掩码
operator 比较运算符,指定一个端口或端口范围
port 在访问global_ip或foreign_ip时,允许使用的服务查看配置的管道show conduit
有效的协议号https://www.doczj.com/doc/af2145680.html,/assignments/port-numbers
三、穿过PIX的其他方法
1、配置nat 0
nat 0命令使得内部IP地址不经过地址翻译,而对于外部时可见的。
nat [(if_name)] 0 local_ip [netmask [max_conns [em_limit]]] [norandomseq]
nat [(if_name)] 0access-list acl_name
2、配置fixup协议
fixup命令允许用户查看、改变、启用或禁止一个服务或协议通过PIX。
fixup protocol ftp [strict] [port]
fixup protocol http [port[-port]]
fixup protocol h323 [port[-port]]
fixup protocol rsh [514]
fixup protocol rtsp [port]
fixup protocol sip [5060]
fixup protocol smtp [port[-port]]
fixup protocol sqlnet [port[-port]]
在大多数情况下,不需要改变端口号,但在一些特殊情况下,可能会有某项服
务正在侦听一个非标准的端口号,则需要通过fixup protocol命令增加端口。
查看show fixup [protocol protocol]
3、多媒体支持
PIX的优点:①为安全的多媒体连接动态的开放和关闭UDP端口
②在使用或不使用NA T时都能支持多媒体应用
第七章系统日志
一、系统日志消息
1、系统日志消息对下列事件进行存档:
①安全——被丢弃的UDP数据包和被拒绝的TCP连接
②资源——连接和翻译槽位耗尽的通知
③系统——控制台和Telnet登录与退出,以及何时重启
④审计——每条连接传送的字节数
2、日志级别决定了在日志中反映出什么级别的细节
日志级别日志级别描述系统状况
0 紧急emergencies系统不可用消息
1 告警alerts应立即采取行动
2 严重的critical严重的情况
3 错误errors错误消息
4 警告warnings警告消息
5 通知notifications正常但是重要的情况
6 信息informational信息消息
7 调试debugging调试消息并记录FTP命令和WWW的URL
二、系统日志配置
1、logging on 启用日志功能(缺省状态下日志功能是被禁用的)
2、logging host 指定系统日志服务器的IP地址,还可以选择指定的协议和端口 logging host [in_if_name] ip_address [protocol/port]
缺省的UDP端口是514。当使用PIX防火墙系统日志服务器(PFSS,PIX Firewall
Syslog Server)时,在TCP端口1468产生系统日志消息。
可以在CCO找到PFSS https://www.doczj.com/doc/af2145680.html,/cgi-bin/tablebuild.pl/pix
3、logging trap 决定什么级别的系统日志消息将被发送到系统日志服务器
logging trap level
4、logging buffered向PIX内部存储器缓冲区发送系统日志消息
logging buffered level
show logging 查看启用了哪些日志选项以及当前的消息缓冲区
clear logging 清除消息缓冲区
5、logging console 强制PIX将系统日志消息显示到控制台端口
logging console level
6、logging facility 设置被发送给系统日志服务器的系统日志消息的设备号
logging facility facility
7、logging monitor 将系统日志消息发送给到PIX的Telnet会话
logging monitor level
8、logging standby 让故障切换的备用单元也发送系统日志消息
9、logging timestamp 强制PIX用内部时钟为每条系统日志消息打上时间标记
10、no logging message指定将要被抑制的系统日志消息,关于消息号,可参考
https://www.doczj.com/doc/af2145680.html,/univercd/cc/td/doc/product/iaabu/pix/pix_v53/syslog/pixemsgs.htm no logging message syslog_id
三、PIX OS版本发布说明
https://www.doczj.com/doc/af2145680.html,/univercd/cc/td/doc/product/iaabu/pix/index.htm
第八章AAA配置
一、定义AAA
1、认证(authentication):确定用户的身份,并对信息进行验证
2、授权(authorization):定义了用户可以做什么
3、审计(accounting):跟踪记录用户在做什么的一种行为
二、支持的AAA协议:TACACS+和RADIUS
三、CSACS的安装和配置
四、配置认证
1、首先,必须创建一个AAA组,并指定一个认证协议;其次,创建一个AAA
服务器,并将它分配到AAA组中。
可以拥有最多16个标记组,每个组可以拥有最多16台AAA服务器。
创建AAA组:aaa-server group_tag protocol auth_protocol
创建AAA服务器:aaa-server group_tag (if_name) host server_ip key timeout seconds group_tag AAA服务器组的名称
auth_protocol AAA服务器的类型
if_name与服务器所在网络连接的接口名称
server_ip 服务器的IP地址
key与TACACS+服务器上相同的密钥
timeout seconds 重发定时器的等待时间
2、配置认证
aaa authentication include | exclude authen_service inbound | outbound | if_name
local_ip local_mask foreign_ip foreign_mask group_tag
include创建一条新规则来包括指定的服务
exclude将指定主机的指定服务排除在认证之外
authen_service一种应用,用户使用它来访问网络
inbound认证向内的连接
outbound认证向外的连接
if_name 被要求认证的用户来自的接口名称
local_ip 将被认证的主机或网络的IP地址
local_mask local_ip的掩码
foreign_ip 将要被允许访问local_ip的主机IP地址
foreign_mask foreign_ip的掩码
group_tag AAA服务器组的名称
3、 PIX可以通过Telnet、FTP、或HTTP对用户进行认证。对于Telnet、FTP、或
HTTP之外的服务,有三种方式进行认证:
①在访问其他服务之前,首先通过Telnet、FTP、或HTTP服务器来进行认证
②在访问其他服务之前,向PIX“虚拟Telnet”服务进行认证
virtual telnet ip_address
③在访问其他服务之前,向PIX“虚拟HTTP”服务进行认证
virtual http ip_address [warn]
4、控制台访问的认证
aaa authentication [serial | enable | telnet | ssh] console group_tag serial在串行连接上出现第一个命令行提示符之前,要求用户名和口令
enable对于串行或Telnet连接,访问特权模式之前,要求用户名和口令
telnet在Telnet连接的第一个命令行提示符之前,要求用户名和口令
ssh在ssh连接的第一个命令行提示符之前,要求用户名和口令
group_tag AAA服务器组的名称
5、改变认证超时时间
timeout uauth [hh:mm:ss] [absolute | inactivity]
hh:mm:ss在认证和授权缓存超时之前的持续时间
absolute连续运行uauth定时器
inactivity在连接变成空闲之后,启动uauth定时器
6、改变认证提示
auth-prompt [accept | reject | prompt] string
accept如果接受一个用户通过Telnet的认证,显示提示字符串
reject如果拒绝一个用户通过Telnet的认证,显示提示字符串
prompt显示AAA挑战字符串
string将要显示的字符串
五、配置授权
1、配置授权
aaa authorization include | exclude author_service inbound | outbound | if_name local_ip local_mask foreign_ip foreign_mask
include创建一条新规则来包括指定的服务
exclude将指定主机的指定服务排除在授权之外
author_service需要授权的服务,没有被指明的服务是被隐含授权的
inbound授权向内的连接
outbound授权向外的连接
if_name 被要求授权的用户来自的接口名称
local_ip 将被授权的主机或网络的IP地址
local_mask local_ip的掩码
foreign_ip 将要被允许访问local_ip的主机IP地址
foreign_mask foreign_ip的掩码
2、向CSACS增加授权规则
六、配置审计
1、配置审计
aaa accounting include | exclude acctg_service inbound | outbound | if_name
local_ip local_mask foreign_ip foreign_mask group_tag
include创建一条新规则来包括指定的服务
exclude将指定主机的指定服务排除在审计之外
acctg_service审计服务
inbound审计向内的连接
outbound审计向外的连接
if_name 被要求审计的用户来自的接口名称
local_ip 将被审计的主机或网络的IP地址
local_mask local_ip的掩码
foreign_ip 将要被允许访问local_ip的主机IP地址
foreign_mask foreign_ip的掩码
group_tag AAA服务器组的名称
2、用CSACS查看审计记录
七、检验配置
show aaa-server
show aaa
show auth-prompt
第九章高级协议处理和攻击防卫
一、高级协议处理
1、fixup protocol ftp [strict] [port]
①标准模式的FTP:客户端发起一条FTP连接时,它从它的一个高序列端
口(TCP源端口>1023)到服务器上的目标TCP端口21,打开一条标
准的TCP控制信道。当客户端从服务器请求数据时,服务器从它的20
端口到客户端指定的一个高序列端口发起一条称为数据信道的连接。
②被动模式的FTP:控制信道与标准模式的FTP相同。当向服务器请求数
据时,询问服务器是否接受PASV方式的连接。如果服务器接受,它就
向客户端发送一个用于数据信道的高位端口号。然后,客户端从它自己
的高位端口到服务器指定的端口,发起这条数据连接。
2、fixup protocol rsh [514]
rsh守护进程检查发出请求的客户端的源IP地址和源端口。源端口应该是
在512到1023的范围之内。然后,rsh端口监控程序将向客户端机器上的
指定端口创建第二条连接,用于“标准错误输出”。
3、fixup protocol sqlnet [port[-port]]
当客户端开始一条SQL*Net连接时,它从它的一个高位端口到服务器的端
口1521,打开一个标准的TCP信道。然后,服务器开始将客户端重新定
向到一个不同的端口或IP地址。这个客户端拆除初始的TCP连接,并使
用被重新定向的端口建立第二条连接。
二、多媒体支持
1、fixup protocol rtsp [port]
RTSP(实时流协议)使用一条默认端口554的TCP信道作为控制信道,
并根据在客户端上配置的传输模式,协商其他两条附加的UDP信道。
2、fixup protocol h323 [port[-port]]
H.323的呼叫使用两条TCP和几个UDP会话。其中一条TCP连接使用众
所周知的端口1720,其他端口是通过协商使用的。
三、攻击防卫
1、邮件防卫:fixup protocol smtp [port[-port]]
2、 DNS防卫:缺省启用,不可配置或禁止
3、碎片攻击防卫:sysopt security fragguard
4、 AAA风暴攻击防卫:floodguard enable | disable
5、 SYN风暴攻击防卫:可使用static命令对允许到服务器的未完成连接的数
量进行限制
显示当前的连接和未完成的连接数量show local-host [ip_address]
第十章故障切换
一、故障切换:当主PIX防火墙发生故障时,从PIX防火墙将变成活跃的,而主
PIX防火墙成为备份的。
二、故障切换操作
1、故障切换电缆:一端标识为“主(primary)”,另一端被标识为“从
(secondary)”,PIX防火墙的主从角色是通过故障切换电缆建立的。
2、配置复制:每台PIX防火墙都必须是相同的型号,运行相同的OS版本,
并具有相同数量的接口。
3、故障切换监视
设置故障切换查询时间间隔failover poll seconds
查看show failover
4、故障恢复(Fail back):描述将PIX防火墙的操作控制权由“从活跃”单元
恢复到“主失效”单元的动作。
要强制一个单元成为活跃单元,可以在“主备份”单元上使用failover
active,也可以在“从活跃”单元上使用no failover active。
三、配置故障切换
1、故障切换的类型
①故障切换:当活跃PIX防火墙失效,备份PIX防火墙变成活跃防火墙时,
所有连接都将被丢失,客户端应用必须初始化一条新的连接,以重新启
动通过PIX防火墙的通信。
②状态型故障切换:当活跃PIX防火墙失效,备份PIX防火墙变成活跃防
火墙时,在新的活跃PIX防火墙上,仍然存在可用的相同连接信息,不
需要终端用户的应用程序重新进行连接操作来保持相同的通信回话。
要求每台PIX上专门将一个100Mbit/s的以太网接口用于在两台PIX防
火墙之间传递状态信息。
2、配置命令
①failover 启用故障切换功能
②failover ip address if_name ip_address为备份PIX的接口设置故障切
换IP地址
③failover link [stateful_if_name] 指定一个可用于状态型故障切换的快
速LAN接口
④failover reset 强制两个PIX防火墙单元回到未失效的状态
第十一章配置IPSec
一、PIX防火墙支持VPN
PIX防火墙支持下列IPSec和相关标准:
·IP安全协议(IPSec)
·Internet密钥交换(IKE)
·数据加密标准(DES)
·三重数据加密标准(3DES)
·Diffie-Hellman(D-H)
·消息摘要5(MD5)
·安全散列算法-1(SHA-1)
·Ravist-Shamir-Adelman签名(RSA)
·证书授权(CA)
·安全关联(SA)
二、用预共享密钥配置IPSec
1、为IPSec做准备
定义IPSec对等体之间的IKE策略、IPSec策略,检查当前配置,确保网
络在没有加密的情况下可以正常工作,确保边界路由器和PIX防火墙现有
的访问控制列表允许IPSec数据流。
2、为预共享密钥配置IKE
步骤1:在用来终结IPSec隧道的接口上启用IKE
isakmp enable interface-name
步骤2:创建IKE策略
①指定预共享密钥或RSA签名作为认证手段
isakmp policy priority authentication pre-share| rsa-sig
②指定被用于IKE策略的加密算法,缺省值是des
isakmp policy priority encryption aes | aes-192 | aes-256 | des | 3des
③指定被用于IKE策略的Diffie-Hellman组,缺省值是group1
isakmp policy priority group1 | 2 |5
④指定被用于IKE策略的散列算法,缺省值是sha
isakmp policy priority hash md5| sha
⑤指定每个安全关联在到期之前应该存在多少秒,缺省值是86400
isakmp policy priority lifetime seconds
步骤3:配置预共享密钥
①设置身份模式,缺省值是IP地址
isakmp identity{address |hostname}
②配置预共享密钥
isakmp key keystring address peer-address [netmask mask]
3、配置IPSec
步骤1:创建加密用访问控制列表
在每个对等体上的加密用访问控制列表应该是对称的
步骤2:配置变换集
crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
PIX支持的IPSec变换
变换描述
ah-md5-hmac用于认证的AH-md5-hmac
ah-sha-hmac用于认证的AH-sha-hmac
esp-des使用DES加密(56位)的ESP变换
esp-3des使用3DES加密(168位)的ESP变换
esp-md5-hmac具有HMAC-MD5认证的ESP变换
esp-sha-hmac具有HMAC-SHA认证的ESP变换
步骤3:配置全局IPSec安全关联生存期
crypto ipsec security-association lifetime seconds seconds| kilobytes kilobytes
步骤4:创建加密图
①指示是否使用IKE来建立IPSec安全关联以保护由该加密图条目指定的数
据流
crypto map map-name seq-num ipsec-isakmp| ipsec-manual
[dynamic dynamic-map-name]
②为加密图条目指定一个加密用访问控制列表
crypto map map-name seq-num match address acl_name
③在一个加密图条目中指定一个IPSec对等体
crypto map map-name seq-num set peer{ip_address | hostname}
④指定IPSec应该请求完美转发秘密(Perfect Forward Secrecy)
crypto map map-name seq-num set pfs [group1 | group2]
⑤指示哪个变换集可以被用于加密图条目
crypto map map-name seq-num set transform-set transform-set-name1
[... transform-set-name6]
步骤5:将加密图应用到接口
crypto map map-name interface interface-name
4、测试并检验IPSec的配置
①测试并检验IKE配置show isakmp
②测试并检验IPSec配置show crypto map
show crypto ipsec transform-set
show crypto ipsec security-association lifetime
③监视并管理IKE和IPSec通信show crypto ipsec sa
show isakmp sa
debug crypto ipsec
debug crypto isakmp
三、PIX防火墙的CA注册
https://www.doczj.com/doc/af2145680.html,/univercd/cc/td/doc/product/iaabu/pix/pix_v53/ipsec/index.htm
第十二章为入侵检测配置PIX
一、配置
1、创建全局性的审计策略
ip audit attack [action [alarm] [drop] [reset]]
ip audit info [action [alarm] [drop] [reset]]
attack为攻击特征定义的策略
info为报告性特征定义的策略
action可以采取的动作是报警、丢弃、复位
alarm向指定的日志记录主机产生系统日志消息
drop在特征被触发的接口上丢弃那些违反规则的数据包
reset PIX向目标IP和攻击者的IP各发送一个TCP连接复位信号
2、以接口为单位配置审计策略
要开始进行审计,必须以每个接口为单位来配置审计策略,每个接口可以让最
多两个审计策略绑定到它上面,一个用于报告性的特征,另一个用于攻击特征。
ip audit name audit_name attack [action [alarm] [drop] [reset]]
ip audit name audit_name info [action [alarm] [drop] [reset]]
ip audit interface if_name audit_name
audit_name 用户定义的审计策略名称
if_name 被ip audit name命令保护的接口
3、选择性地禁用IDS特征
ip audit signature signature_number disable
二、PIX IDS特征所产生的系统日志消息
https://www.doczj.com/doc/af2145680.html,/univercd/cc/td/doc/product/iaabu/pix/pix_v53/syslog/index.htm
第十三章配置SNMP
一、PIX对SNMP的支持
SNMP事件可以被读取,但是不可以用它来远程地改变PIX上的任何值。SNMP
陷阱被发送到目的UDP端口162。
二、从PIX上检索SNMP数据
1、得到来自PIX的SNMP数据的方法:
①使用一个SNMP MIB浏览器
② PIX将SNMP陷阱发送到一个指定的陷阱接收器
2、配置PIX
①启用日志记录logging on
②根据需要为snmp-server设置位置、联系人和共同体口令选项
snmp-server location text
snmp-server contact text
snmp-server community key
如果只想在PIX上发送SNMP请求,就不再需要其他配置了。
③通知PIX将SNMP消息发送到SNMP管理器
snmp-server host [if_name] ip_addr
snmp-server enable traps
④为SNMP系统日志消息设置严重级别
logging history level
第十四章配置DHCP
一、DHCP服务器配置
1、dhcpd address ip1[-ip2] [if_name] 创建一个地址池
2、dhcpd dns dns1 [dns2] 指定DNS服务器
3、dhcpd wins wins1 [wins2] 指定WINS服务器
4、dhcpd lease lease_length 设置DHCP租用期,缺省为3600秒
5、dhcpd domain domain_name 配置客户端的域名
6、dhcpd enable [if_name] 在接口启用DHCP服务器
二、DHCP客户端配置
ip address if_name dhcp [setroute]
if_name 在此接口上启用DHCP客户端特性
setroute使用DHCP服务器返回的缺省网关参数设置缺省的路由
第十五章配置SSH(参考深蓝原创的如何用TELNET登录CISCO PIX防火墙)
一、SSH简介:SSH是一个应用程序,使用它可以通过网络登录到另一台计算机,在
一台远端机器上执行命令,把文件从一台机器移动到另一台机器。它可以在不安
全的网络上提供强壮的认证和安全的通信。
SSHv1和IPSec是仅被支持的两种从外部接口连接到PIX防火墙进行管理的方法。
二、为SSH访问配置PIX
1、创立远程登录帐户
username username password password
2、配置PIX的主机名和域名,可任意配置,这两个参数只是供产生SSH KEY时
使用
hostname newname
domain-name name
3、产生1024位的RSA密钥,并把密钥存储到Flash存储器中
ca generate rsa key 1024
ca save all
show ca mypubkey rsa
4、指定哪些主机被允许使用SSH连接到PIX防火墙,并设置SSH空闲超时值
ssh ip_address [netmask] [interface_name]
ssh timeout mm
5、设置SSH口令,如果曾经配置过Telnet口令,不需要改变它们就可以让SSH
工作
passwd password
6、认证采用的方式
aaa authentication ssh console group_tag
三、配置SSH客户端
Windows平台下有很多种SSH客户端可供选择,这里选择putty,它是一个免费的SSH 客户端,特点是简单易用。
putty最新版本可以到这里下载https://www.doczj.com/doc/af2145680.html,/~sgtatham/putty/
1、设定主机和端口
2、设定参数后点击Open按钮
3、在弹出的登录窗口输入用户名和口令
第十六章Cisco IOS防火墙基于上下文的访问控制
一、Cisco IOS防火墙简介:Cisco IOS防火墙是Cisco IOS软件的一个特定的安全选项。
它集成了强壮的防火墙功能(CBAC)、认证代理和用于每个网络边界的入侵检测,
并丰富了现有的Cisco IOS安全能力。
二、基于上下文的访问控制(CBAC)的操作运行
1、配置审计跟踪和报警
启用审计跟踪ip inspect audit-trail
启用报警功能ip inspect alert-off
2、设置全局的超时和门限值
①ip inspect tcp synwait-time seconds在丢弃会话之前,需要为一个TCP会
话达到已建立状态等待的时间,缺省为30秒
②ip inspect tcp finwait-time seconds 在防火墙检测到一个FIN交换之后,
一个TCP会话还可以被管理的时间,缺省为5秒
③ip inspect {tcp | udp} idle-time seconds TCP或UDP的空闲超时值,对于
TCP会话,缺省为3600秒,对于UDP会话,缺省为30秒
④ip inspect tcp finwait-time seconds DNS空闲超时值,缺省为5秒
⑤ip inspect max-incomplete {high | low}number当半开会话数量达到high
number(缺省是500个半开会话)时,IOS开始删除半开会话,直到开会
话数量达到low number(缺省是400个半开会话)后停止
⑥ip inspect one-minute {high | low}number 当新的未建立会话的速率达
到high number(缺省是500个半开会话)时,IOS开始删除半开会话,
直到开会话数量达到low number(缺省是400个半开会话)后停止
⑦ip inspect tcp max-incomplete host number block-time seconds当具有相
同目标主机地址的半开会话数量超过指定的门限值(缺省是50个半开会
话)之后,IOS开始删除会话。如果block-time超时秒是0(缺省值),对
于到主机的新连接请求,IOS会删除到该主机的最老的现存半开会话;如
果block-time超时秒大于0,IOS将删除所有现存的半开会话,并阻塞到
主机的所有新连接请求,直到block-time值超时
3、定义端口到应用的映射(PAM)
ip port-map appl_name port port_num [list acl_num]
appl_name 指定应用的名称,将对这个应用采用端口映射
port_num 在1到65535范围内,指定一个端口号
acl_num 指定用于PAM的标准ACL号
4、定义检查规则
ip inspect name inspection-name protocol [alert {on | off}][audit-trail {on | off}]
[timeout seconds]
inspection-name 命名检查规则集
protocol 要检查的协议
alert {on | off}对于每种协议,是否打开报警消息的产生
audit-trail {on | off}对于每种协议,是否打开审计跟踪
timeout seconds为指定协议替换全局TCP或UDP空闲超时值
5、应用Java过滤
ip inspect name inspection-name http java-list acl-num [alert {on | off}]
[audit-trail {on | off}] [timeout seconds]
http为Java小程序过滤指定HTTP协议
acl-num 指定用来确定“友好”站点的标准访问控制列表
6、远程过程调用(RPC)
ip inspect name inspection-name rpc program-number number [wait-time
minutes] [alert {on | off}][audit-trail {on | off}] [timeout seconds]
number 指定要允许的程序号码
minutes 指定在防火墙中保持连接被打开的分钟数,默认0分钟
7、邮件防卫
ip inspect name inspection-name smtp [alert {on | off}][audit-trail {on | off}]
[timeout seconds]
8、碎片防卫
ip inspect name inspection-name fragment max number timeout seconds fragment指定碎片检查
number 指定未组合的数据包的最大数量,缺省是256个状态条目
seconds 配置一个数据包状态结构保持活跃的秒数,缺省是1秒
9、将检查规则和ACL应用到接口上(在接口配置模式中)
ip inspect inspection-name {in | out}
在内部接口向内的IP访问控制列表或外部接口向外的IP访问控制列表,可以
是标准的或扩展的;在内部接口向外的IP访问控制列表或外部接口向内的IP
访问控制列表,必须是扩展访问控制列表
10、测试、检验并监视CABC
show ip inspect name inspection-name | config| interfaces | session [detail]| all inspection-name 显示为inspection-name配置的检查规则
config显示完整的CBAC检查配置
interfaces显示关于应用了检查规则和ACL的接口配置
session 显示当前正在被CBAC跟踪和检查的现存会话
detail 显示关于现存会话更详细的细节
all 显示完整的CBAC配置和所有正在被CBAC跟踪和检查的现存会话debug ip inspect {function-trace | object-creation | object-deletion | events |
timers | protocol | detail}
function-trace显示关于被CBAC所调用的软件功能的消息
object-creation显示关于被CBAC所创建软件对象的消息
object-deletion显示关于被CBAC所删除软件对象的消息
events 显示关于CBAC软件事件的消息
timers 显示关于CBAC定时器事件的消息
protoco显示关于CBAC所检查协议事件的消息
detail可以与其他选项结合使用,显示详细信息
第十七章Cisco IOS防火墙认证代理配置
一、AAA服务器配置
二、AAA配置
1、aaa new-model 启用AAA访问控制系统
2、aaa authentication login default group method1 [method2] 定义AAA认证方
法,method1和method2参数代表了想要使用的认证协议
3、aaa authorization auth-proxy default group method1 [method2] 为代理认证
启用AAA授权
4、tacacs-server host ip_addr 指定TACACS+服务器的IP地址
tacacs-server key string设置TACACS+认证和加密的密钥
radius-server host ip_addr 指定RADIUS服务器的IP地址
radius-server key string设置RADIUS认证和加密的密钥
5、配置并应用一个ACL来允许AAA服务器到防火墙的TACACS+和RADIUS数
据流。
6、ip http server启用路由器上的HTTP服务器
ip http authentication aaa让HTTP服务器使用AAA进行认证
7、ip auth-proxy auth-cache-time min在一段休止状态之后,认证缓存条目以及
与它相关的动态用户ACL一同被管理的时间长度,缺省是60分钟
8、ip auth-proxy name auth-prxoy-name http [auth-cache-time min] 创建一条认
证代理规则
9、ip auth-proxy name auth-prxoy-name http list std-acl-num 将一条认证代理规
则与一个ACL建立关联,从而可以控制哪些主机能够使用认证代理
10、ip auth-proxy auth-prxoy-name 在接口配置模式中,将一条认证代理规则应
用到一个防火墙接口
11、show ip auth-proxy {cache | configuration | statistics}
cache列出主机IP地址、源端口号、认证代理超时值以及连接状态
configuration显示在路由器上配置的所有认证代理规则
statistics显示与认证代理相关的所有路由器统计信息
12、debug ip auth-proxy ftp | function-trace | http | object-creation|
object-deletion | tcp | telnet | timer
ftp 显示与认证代理相关的FTP事件
function-trace显示认证代理功能
http 显示与认证代理相关的HTTP事件
object-creation显示向认证代理增加的缓存条目
object-deletion显示向认证代理删除的缓存条目
tcp 显示与认证代理相关的TCP事件
telnet 显示与认证代理相关的Telnet事件
timer 显示与认证代理定时器相关的事件13、clear ip auth-proxy cache * | ip_addr
*清除全部的认证代理条目
ip_addr 为指定的IP地址清除认证代理条目
防火墙的主要类型 按照防火墙实现技术的不同可以将防火墙为以下几种主要的类型。 1.包过滤防火墙 数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的数据是系统内设置的访问控制表(又叫规则表),规则表制定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤防火墙一般可以直接集成在路由器上,在进行路由选择的同时完成数据包的选择与过滤,也可以由一台单独的计算机来完成数据包的过滤。 数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能和通明度好,广泛地用于Cisco 和Sonic System等公司的路由器上。缺点是配置困难,容易出现漏洞,而且为特定服务开放的端口存在着潜在的危险。 例如:“天网个人防火墙”就属于包过滤类型防火墙,根据系统预先设定的过滤规则以及用户自己设置的过滤规则来对网络数据的流动情况进行分析、监控和管理,有效地提高了计算机的抗攻击能力。 2、应用代理防火墙
应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。有点是外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用;缺点是执行速度慢,操作系统容易遭到攻击。 代理服务在实际应用中比较普遍,如学校校园网的代理服务器一端接入Internet,另一端介入内部网,在代理服务器上安装一个实现代理服务的软件,如WinGate Pro、Microsoft Proxy Server等,就能起到防火墙的作用。 3、状态检测防火墙 状态检测防火墙又叫动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用状态有关的信息。一次作为数据来决定该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现任何连接的参数有意外变化,该连接就被终止。 状态检测防火墙克服了包过滤防火墙和应用代理防火墙的局限性,能够根据协议、端口及IP数据包的源地址、目的地址的具体情况来决定数据包是否可以通过。 在实际使用中,一般综合采用以上几种技术,使防火墙产品能够满足对安全性、高效性、
思科Cisco路由器access-list访问控制列表命令详解 Post by mrchen, 2010-07-25, Views: 原创文章如转载,请注明:转载自冠威博客 [ https://www.doczj.com/doc/af2145680.html,/ ] 本文链接地址: https://www.doczj.com/doc/af2145680.html,/post/Cisconetwork/07/Cisco-access-list.html CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。 标准型IP访问列表的格式 ---- 标准型IP访问列表的格式如下: ---- access-list[list number][permit|deny][source address][address][wildcard mask][log] ---- 下面解释一下标准型IP访问列表的关键字和参数。首先,在access和list 这2个关键字之间必须有一个连字符"-"; 一、list nubmer参数 list number的范围在0~99之间,这表明该access-list语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS,在0~99之间的数字指示出该访问列表和IP协议有关,所以list number参数具有双重功能: (1)定义访问列表的操作协议; (2)通知IOS在处理access-list语句时,把相同的list number参数作为同一实体对待。正如本文在后面所讨论的,扩展型IP访问列表也是通过list number(范围是100~199之间的数字)而表现其特点的。因此,当运用访问列表时,还需要补充如下重要的规则: 在需要创建访问列表的时候,需要选择适当的list number参数。 二、permit|deny 允许/拒绝数据包通过 ---- 在标准型IP访问列表中,使用permit语句可以使得和访问列表项目匹配的数据包通过接口,而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。
一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理,就是规则。比如:甲想到A城市B地点。由这个行为就可以制定一些规则进行约束,例如: 1)用户身份识别,是不是甲用户(说明:在实际应用中,甲用户可能是一群人或所有的人)。2)用户当前的目标是不是A城市,是不是B地点。 3)用户当前状态中是否符合规定,比如,是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻: 用户-->访问者 城市-->主机 地点-->端口 为了安全,我们就可以制定一个规则:如果用户甲或所有的人到达A城市B地点,并且没有携带任何危险品,就允许他或他们通过,否则就禁止通行。翻译成防火墙的规则就是:如果访问者访问目标区域中的开放主机中的允许访问的端口,并且访问的过程中没有防火墙禁止的恶意行为,就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走,相当于引路。比如:甲要到美国洛杉矶,甲城市的路由器就告诉甲,你应该先到上海,然后上海的路由器再告诉甲,该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的,相当于在互联网上的用户身份,没有IP地址是无法进行网络访问的。互联网中的主机中(包括访问者与被访问者)是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如:我们姜堰教育城域网的IP是58.222.239.1到 58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机,所以发展到现在,IP 地址是非常紧缺的。目前,已不可能为世界上的所有的计算机都分配一个IP地址,这就产生了源地址转换又称为源地址伪装技术(SNAT)。比如A学校有100台计算机,但是只有一个互联网IP,上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。实际的网络访问都是基于IP和端口的访问,比如计算机A访问计算机B,那么,计算机B 相当于服务器,计算机A相当于客户机。如果是访问网页,一般就是客户机访问服务器的80端口。在访问的过程中,浏览器会主动开放一个端口(就是客户端端口)与服务器的80端口进行连接访问。一般客户端端口号都比较大。现在的BT、迅雷等P2P软件就是利用了客户端端口作为服务端口来运行的,就是你进行下载的同时也同时提供了被下载的服务,你的客户端端口也是一个服务端口。 在防火墙中应用较多的是源转换(SNAT)和目标转换(DNAT)。DNAT相当于路由功能。一般都是把服务器和上网区域放在防火墙后面,如下面的图例。
防火墙FIREWALL类型 目前市场的防火墙产品非常之多,划分的标准也比较杂。主要分类如下: 1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。 (1):软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。 防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint、天网防火墙Sky Net FireWall。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。 (2):硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC 架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。 传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。 (3):芯片级防火墙 芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。 2. 从防火墙技术分为 “包过滤型”和“应用代理型”两大类。 防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。“包过滤型”以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,“应用代理型”以美国NAI公司的Gauntlet防火墙为代表。 (1). 包过滤(Packet filtering)型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务 采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能, 所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要 求。
思科交换机基本配置实例讲解
目录 1、基本概念介绍............................................... 2、密码、登陆等基本配置....................................... 3、CISCO设备端口配置详解...................................... 4、VLAN的规划及配置........................................... 4.1核心交换机的相关配置..................................... 4.2接入交换机的相关配置..................................... 5、配置交换机的路由功能....................................... 6、配置交换机的DHCP功能...................................... 7、常用排错命令...............................................
1、基本概念介绍 IOS: 互联网操作系统,也就是交换机和路由器中用的操作系统VLAN: 虚拟lan VTP: VLAN TRUNK PROTOCOL DHCP: 动态主机配置协议 ACL:访问控制列表 三层交换机:具有三层路由转发能力的交换机 本教程中“#”后的蓝色文字为注释内容。 2、密码、登陆等基本配置 本节介绍的内容为cisco路由器或者交换机的基本配置,在目前版本的cisco交换机或路由器上的这些命令是通用的。本教程用的是cisco的模拟器做的介绍,一些具体的端口显示或许与你们实际的设备不符,但这并不影响基本配置命令的执行。 Cisco 3640 (R4700) processor (revision 0xFF) with 124928K/6144K bytes of memory. Processor board ID 00000000 R4700 CPU at 100MHz, Implementation 33, Rev 1.2
Network Object NAT配置介绍 1.Dynamic NAT(动态NAT,动态一对一) 实例一: 传统配置方法: nat (Inside) 1 10.1.1.0 255.255.255.0 global (Outside) 1 202.100.1.100-202.100.1.200 新配置方法(Network Object NAT) object network Outside-Nat-Pool range 202.100.1.100 202.100.1.200 object network Inside-Network subnet 10.1.1.0 255.255.255.0 object network Inside-Network nat (Inside,Outside) dynamic Outside-Nat-Pool 实例二: object network Outside-Nat-Pool range 202.100.1.100 202.100.1.200 object network Outside-PAT-Address host 202.100.1.201 object-group network Outside-Address network-object object Outside-Nat-Pool network-object object Outside-PAT-Address object network Inside-Network (先100-200动态一对一,然后202.100.1.201动态PAT,最后使用接口地址动态PAT) nat (Inside,Outside) dynamic Outside-Address interface 教主认为这种配置方式的好处是,新的NAT命令绑定了源接口和目的接口,所以不会出现传统配置影响DMZ的问题(当时需要nat0 + acl来旁路)2.Dynamic PAT (Hide)(动态PAT,动态多对一) 传统配置方式: nat (Inside) 1 10.1.1.0 255.255.255.0 global(outside) 1 202.100.1.101 新配置方法(Network Object NAT) object network Inside-Network subnet 10.1.1.0 255.255.255.0 object network Outside-PAT-Address host 202.100.1.101 object network Inside-Network nat (Inside,Outside) dynamic Outside-PAT-Address
天融信防火墙NGFW4000快速配置手册
目录 一、防火墙的几种管理方式 (3) 1.串口管理 (3) 2.TELNET管理 (4) 3.SSH管理 (5) 4.WEB管理 (6) 5.GUI管理 (6) 二、命令行常用配置 (12) 1.系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2.网络配置命令(NETWORK) (13)
4.定义对象命令(DEFINE) (13) 5.包过滤命令(PF) (13) 6.显示运行配置命令(SHOW_RUNNING) (13) 7.保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1.系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2.网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3.对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4.访问策略配置 (23) 5.高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构: (28) 1.用串口管理方式进入命令行 (28) 2.配置接口属性 (28) 3.配置VLAN (28) 4.配置区域属性 (28) 5.定义对象 (28) 6.添加系统权限 (29) 7.配置访问策略 (29) 8.配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构: (30) 1.用串口管理方式进入命令行 (30) 2.配置接口属性 (30) 3.配置路由 (30) 4.配置区域属性 (30) 5.配置主机对象 (30) 6.配置访问策略 (30)
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。 1.数据包过滤型防火墙 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。 分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP包头。 包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。 2.应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 3.代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。 代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信
思科PIX防火墙简单配置实例 在本期应用指南中,管理员可以学到如何设置一个新的PIX防火墙。你将设置口令、IP地址、网络地址解析和基本的防火墙规则。 假如你的老板交给你一个新的PIX防火墙。这个防火墙是从来没有设置过的。他说,这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。你以前从来没有使用过PIX防火墙。你如何进行这种设置?在阅读完这篇文章之后,这个设置就很容易了。下面,让我们看看如何进行设置。 基础 思科PIX防火墙可以保护各种网络。有用于小型家庭网络的PIX防火墙,也有用于大型园区或者企业网络的PIX防火墙。在本文的例子中,我们将设置一种PIX 501型防火墙。PIX 501是用于小型家庭网络或者小企业的防火墙。 PIX防火墙有内部和外部接口的概念。内部接口是内部的,通常是专用的网络。外部接口是外部的,通常是公共的网络。你要设法保护内部网络不受外部网络的影响。 PIX防火墙还使用自适应性安全算法(ASA)。这种算法为接口分配安全等级,并且声称如果没有规则许可,任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。这个外部接口的安全等级是“0”,这个内部接口的安全等级是“100”。 下面是显示“nameif”命令的输出情况: pixfirewall# show nameif nameif ethernet0 outside security0 nameif ethernet1 inside security100 pixfirewall# 请注意,ethernet0(以太网0)接口是外部接口(它的默认名字),安全等级是0。另一方面,ethernet1(以太网1)接口是内部接口的名字(默认的),安全等级是100。 指南 在开始设置之前,你的老板已经给了你一些需要遵守的指南。这些指南是: ·所有的口令应该设置为“思科”(实际上,除了思科之外,你可设置为任意的口令)。 ·内部网络是10.0.0.0,拥有一个255.0.0.0的子网掩码。这个PIX防火墙的内部IP地址应该是10.1.1.1。
AAA详解收藏 Authentication:用于验证用户的访问,如login access,ppp network access等。Authorization:在Autentication成功验证后,Authorization用于限制用户可以执行什么操作,可以访问什么服务。 Accouting:记录Authentication及Authorization的行为。 Part I. 安全协议 1>Terminal Access Controller Access Control System Plus (TACACS+) Cisco私有的协议。加密整个发给tacacs+ server的消息,用户的keys。 支持模块化AAA,可以将不同的AAA功能分布于不同的AAA Server甚至不同的安全协议,从而可以实现不同的AAA Server/安全协议实现不同的AAA功能。 配置命令: Router(config)# tacacs-server host IP_address [single-connection] [port {port_#}] [timeout {seconds}] [key {encryption_key}] Router(config)# tacacs-server key {encryption_key} 注: (1)single-connection:为Router与AAA Server的会话始终保留一条TCP链接,而不是默认的每次会话都打开/关闭TCP链接。 (2)配置两个tacacs-server host命令可以实现tacacs+的冗余,如果第一个server fail了,第二个server可以接管相应的服务。第一个tacacs-server host命令指定的server为主,其它为备份。 (3)配置inbound acl时需要permit tacacs+的TCP port 49。 (4) 如果两个tacacs-server使用不同的key,则需要在tacacs-server host命令中指定不同的encryption_key,否则可以使用tacacs-server key统一定制。但tacacs-server host命令中的key 定义优先于tacacs-server key命令。 Troubleshooting: 命令: #show tacacs #debug tacacs 关于TACACS+的操作信息。 #debug tacacs events 比debug tacacs更详细的信息,包括router上运行的TACACS+ processes 消息。 Router# show tacacs Tacacs+ Server : 10.0.0.10/49 Socket opens: 3 Socket closes: 3 Socket aborts: 0 Socket errors: 0 Socket Timeouts: 0 Failed Connect Attempts: 0 Total Packets Sent: 42 Total Packets Recv: 41 Expected Replies: 0
近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为,“防火墙”是一种软件的名称…… 到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(Fire Wall)。时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。 防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。 一.防火墙的分类 世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在
负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在 Ring0 级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。 在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(Network Driver Interface Specification,NDIS)把网络上传来的各种报文都忠实的交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文, NDIS 直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管 NDIS 接收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不会把信息泄漏出去了。 软件防火墙工作于系统接口与 NDIS 之间,用于检查过滤由 NDIS 发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免的需要占用一部分CPU 资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使用看得见摸得着的硬件防火墙。 硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的
1 引言 本文以防火墙功能分类为框架,逐个探讨了每项功能的详细技术及实现,其中具体实现均取自linux系统. 之所以采用linux系统作技术分析,主要是因为其本身已基本实现了防火墙系统的各类功能且经受了足够考验,因此具有极大的参考价值. 本文所描述的功能如下: 1. NAT; 2. 负载均衡(load balance,又称virtual server);; 3. 包过滤; 4. 日志; 5.流量统计 6. VPN; 7. 内容安全; 8. 身份验证; 9. 入侵监测. 防火墙的核心功能(包过滤,伪装,负载均衡)在IP层实现,其余大部分功能属于应用层实现(VPN除外,因为利用了封装机制,很难说究竟在那一层).尽管我们说核心功能在IP层实现, 但实际上只是这些功能函数 (call_in_firewall(),call_fw_firewall(),call_out_firewall(), ip_fw_masquerade(),及ip_fw_demasquerade()等)在网络层被调用,真正在完成这些功能时也用到了上层协议(TCP/UDP/ICMP)的头信息(如根据端口,flag标志,ICMP类型进行过滤等). 2 linux网络部分代码分析 (注:加入这一部分主要是因为目前没有一篇文章结合最新的2.2内核讲述了linux的网络原理,在此介绍一下其流程会有助于整体的理解.) Linux网络层采用统一的缓冲区结构skbuff(include/skbuff.h)。底层从网络设备接收到数据帧后,分配一块内存,然后将数据整理成skbuff的结构.在网络协议处理的时候,数据均以skbuff的形式在各层之间传递、处理. 一个个单独的skbuff被组织成双向链表的形式. Skbuff的强大功能在于它提供了众多指针,可以快速的定位协议头位置;它也同时保留了许多数据包信息(如使用的网络设备等),以便协议层根据需要灵活应用. 整个网络层的流程如下(以两个进程通过TCP/IP进行通信为例):
Cisco ASA 5505配置详解 (2011-06-10 09:46:21) 分类:IT 标签: it 在配ASA 5505时用到的命令 2009-11-22 22:49 nat-control命令 在6.3的时候只要是穿越防火墙都需要创建转换项,比如:nat;static等等,没有转换项是不能穿越防火墙的,但是到了7.0这个规则有了变化,不需要任何转换项也能正常的像路由器一样穿越防火墙。但是一个新的命令出现了!当你打上nat-control这个命令的时候,这个规则就改变得和6.3时代一样必须要有转换项才能穿越防火墙了。7.0以后开始nat-control 是默认关闭的,关闭的时候允许没有配置NAT规则的前提下和外部主机通信,相当于路由器一样,启用NAT开关后内外网就必须通过NAT转换才能通信 1、定义外口 interface Ethernet0/0 进入端口 nameif outside 定义端口为外口 security-level 0 定义安全等级为0 no shut 激活端口 ip address ×.×.×.× 255.255.255.248 设置IP 2、定义内口 interface Ethernet0/1 nameif inside 定义端口为内 security-level 100 定义端口安去昂等级为100 no shut ip address 192.168.1.1 255.255.255.0 3、定义内部NAT范围。 nat (inside) 1 0.0.0.0 0.0.0.0 任何IP都可以NAT,可以自由设置范围。 4、定义外网地址池 global (outside) 1 10.21.67.10-10.21.67.14 netmask 255.255.255.240 或 global (outside) 1 interface 当ISP只分配给一个IP是,直接使用分配给外口的IP地址。5、设置默认路由 route outside 0 0 218.17.148.14 指定下一条为IPS指定的网关地址 查看NAT转换情况 show xlate --------------------------------------------------- 一:6个基本命令:nameif、interface、ip address 、nat、global、route。 二:基本配置步骤:
天融信防火墙日常维护及常见问题 综述: 防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。 一、 防火墙的连接方式 5 硬件一台 ?外形:19寸1U 标准机箱 产品外形 接COM 口 管理机 直通线交叉线 串口线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式
产品提供的附件及线缆使用方式 ?CONSOLE线缆 ?UTP5双绞线 -直通(1条,颜色:灰色) -交叉(1条,颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 防火墙连接) ?软件光盘 ?上架附件 6 二、防火墙的工作状态 网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中, 具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态, 体请见下表: 2-1防火墙安装前的准备 在安装防火墙之前必须弄清楚的几个问题: 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)
<<计算机新技术专题>>课程论文 1.论文题目:信息安全技术之防火墙技术 姓名:颜晓云学号: 120083501076 专业:计算机科学与技术班级: 08.2班 评阅成绩: 论文提交时间:2011 年 11 月 14 日
题目 信息安全技术之防火墙技术 摘要 近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。与此同时,数以万计的商业公司、政府机构在多年的犹豫、观望之后,意识到采用Internet技术并使企业数据通信网络成为Internet的延伸已成为发展趋势。这使得企业数据网络正迅速地从以封闭型的专线、专网为特征的第二代技术转向以Internet互联技术为基础的第三代企业信息网络。所有这些,都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。这以要求我们与Internet互连所带来的安全性问题予以足够重视。 关键词:网络防火墙技术安全 (以下为中文摘要对应的英文) 【Abstract】 Title The Document Of Computer Network Security Abstract With the computer network development. Internet has already turned from the first generation the second. Meanwhile, thousands of company and governments realize the importance of Internet and take measures to build their own Network , so that extend the development of the Internet . This makes the Internet transfer from the secon d generation to the third which feature’s basis of Inter connecting. All of this above contributes to the large scale use of Interconnecting. As it is known to us all, Internet has the largest information net ,It is the openness of the protocol that convinent the link of variety nets and extend the sharing resources. However, because of the neglecting of Network security and the government management seriously threats the safety of Internet. The dangers appears:
Cisco 交换机SHOW 命令详解! show cdp entry * 同show cdpneighbordetail命令一样,但不能用于1900交换机show cdp interface 显示启用了CDP的特定接口 show cdp neighbor 显示直连的相邻设备及其详细信息 show cdp neighbor detail 显示IP地址和IOS版本和类型,并且包括show cdp neighbor命令显示的所有信息 show cdp traffic 显示设备发送和接收的CDP分组数以及任何出错信息 Show controllers s 0 显示接口的DTE或DCE状态 show dialer 显示拨号串到达的次数、B信道的空闲超时时间值、呼叫长度以及接口所连接的路由器的名称 show flash 显示闪存中的文件 show frame-relay Imi 在串行接口上设置LMI类型 show frame-relay map 显示静态的和动态的网络层到PVC的映射 show frame-relay pvc 显示路由器上己配置的PVC和DLCI号 show history 默认时显示最近输人的10个命令 show hosts 显示主机表中的内容
show int fO/26 显示抑/26的统汁 show inter e0/l 显示接口e0/l的统计 show interface So 显示接口serial上的统计信息 show ip 显示该交换机的IP配置 show ip access-list 只显示IP访问列表 show ip interface 显示哪些接口应用了IP访问列表 show ip interface 显示在路由器上配置的路由选择协议及与每个路由选择协议相关的定时器 show ip route 显示IP路由表 show ipx access-list 显示路由器上配置的IPX访问列表 trunk on 将一个端口设为永久中继模式 usemame name password 为了Cisco路由器的身份验证创建用户名和口令password variance 控制最佳度量和最坏可接受度量之间的负载均衡 vlan 2 name Sales 创建一个名为Sales的VLAN2 lan-membership static 2 给端口分配一个静态VLAN
天融信防火墙NGFW4000快速配置手册 一、防火墙的几种管理方式 1.串口管理 第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。 通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙: 1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。 2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。 3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。 4)设置 com1 口的属性,按照以下参数进行设置。
5)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。 6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火 墙。登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2.TELNET管理 TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置: 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令 添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图: 3.SSH管理