内容与目录
控制网络访问
Firewall的工作原理
适应性安全算法
多个接口和安全等级
数据在PIX Firewall中的移动方式
内部地址的转换
切入型代理
访问控制
AAA集成
访问列表
管线
防范攻击
向路径发送
Flood Guard
Flood Defender
FragGuard和虚拟重组
DNS控制
ActiveX阻挡
Java过滤
URL过滤
启动专有协议和应用
Firewall的工作原理
适应性安全算法
多个接口和安全等级
数据在PIX Firewall中的移动方式
内部地址的转换
切入型代理
访问控制
AAA集成
访问列表
管线
防范攻击
向路径发送
Flood Guard
Flood Defender
FragGuard和虚拟重组
DNS控制
ActiveX阻挡
Java过滤
URL过滤
启动专有协议和应用
第2版本
可配置的代理呼叫
Mail Guard
多媒体支持
支持的多媒体应用
RAS第2版本
RTSP
Cisco IP电话
H.323
SIP
NETBIOS over IP
创建×××
×××?
IPSec
互联网密钥交换(IKE)
认证机构
使用站点到站点×××
使用远程接入×××
防火墙的系统管理
Device Manager
Telnet界面
SSH第1版本
使用SNMP
TFTP配置服务器
XDMCP
使用系统日志服务器
FTP和URL登录
与IDS集成
PIX热备份
PIX Firewall的用途(Using PIX Firewall)
借助Cisco PIX Firewall,您只需用一台设备就能建立状态防火墙保护和安全的×××接入。PIX Firewall不但提供了可扩展的安全解决方案,还为某些型号提供故障恢复支持,以便提供最高的可靠性。PIX Firewall使用专用操作系统,与使用通用操作系统,因而常常遇到威胁和袭击的软件防火墙相比,这种操作系统更安全、更容易维护。在本章中,我们将介绍使用PIX Firewall保护网络资产和建立安全×××接入的方法。本章包括以下几节:
控制网络访问
防范攻击
启动专有协议和应用
建立虚拟专用网
防火墙的系统管理
防火墙的故障恢复
控制网络访问(Controlling Network Access)
本节将介绍PIX Firewall提供的网络防火墙功能,包含以下内容:
PIX Firewall的工作原理
适应性安全算法
多个接口和安全等级
数据在PIX Firewall中的移动方式
内部地址的转换
切入型代理
访问控制
PIX Firewall的工作原理(How the PIX Firewall Works)
PIX Firewall的作用是防止外部网络(例如公共互联网)上的非授权用户访问内部网络。多数PIX Firewall都可以有选择地保护一个或多个周边网络(也称为非军管区,DMZ)。对访问外部网络的限制最低,对访问周边网络的限制次之,对访问内部网络的限制最高。内部网络、外部网络和周边网络之间的连接由PIX Firewall控制。
为有效利用机构内的防火墙,必须利用安全政策才能保证来自受保护网络的所有流量都只通过防火墙到达不受保护的网络。这样,用户就可以控制谁可以借助哪些服务访问网络,以及怎样借助PIX Firewall提供的特性实施安全政策等。
PIX Firewall保护网络的方法如图1-1所示,这种方法允许实施带外连接并安全接入互联网。
PIX Firewall形成受保护网络和不受保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。互联网可以访问不受保护的网络。PIX Firewall允许用户在受保护网络内确定服务器的位置,例如用于Web接入、SNMP、电子邮件(SMTP)的服务器,然后控制外部的哪些用户可以访问这些服务器。
除PIX 506和PIX 501外,对于所有的PIX Firewall,对服务器系统的访问可以由PIX Firewall控制和监视。PIX 506和PIX 501各有两个网络接口,因此,所有系统都必须属于内部接口或者外部接口。
PIX Firewall还允许用户对来往于内部网络的连接实施安全政策。
一般情况下,内部网络是机构自身的内部网络,或者内部网,外部网络是互联网,但是,PIX Firewall也可以用在内部网中,以便隔离或保护某组内部计算系统和用户。
周边网络的安全性可以与内部网络等同,也可以配置为拥有各种安全等级。安全等级的数值从0(最不安全)到100(最安全)。外部接口的安全等级总为0,内部接口的安全等级总为100。周边接口的安全等级从1到99。
内部网络和周边网络都可以用PIX Firewall的适应性安全算法(ASA)保护。内部接口、周边接口和外部接口都遵守RIP路由更新表的要求,如果需要,所有接口都可以广播RIP默认路径。
适应性安全算法(Adaptive Security Algorithm)
适应性安全算法(ASA)是一种状态安全方法。每个向内传输的包都将按照适应性安全算法和内存中的连接状态信息进行检查。业界人士都认为,这种默认安全方法要比无状态的包屏蔽方法更安全。
ASA无需配置每个内部系统和应用就能实现单向(从内到外)连接。ASA一直处于操作状态,监控返回的包,目的是保证这些包的有效性。为减小TCP序列号袭击的风险,它总是主动对TCP序列号作随机处理。
ASA适用于动态转换插槽和静态转换插槽。静态转换插槽用static命令产生,动态转换插槽用global命令产生。总之,两种转换插槽都可以称为“xlates”。ASA遵守以下规则:
如果没有连接和状态,任何包都不能穿越PIX Firewall;
如果没有访问控制表的特殊定义,向外连接或状态都是允许的。向外连接指产生者或客户机的安全接口等级高于接收者或服务器。最安全的接口总是内部接口,最不安全的接口总是外部接口。周边接口的安全等级处于内部接口和外部接口之间;
如果没有特殊定义,向内连接或状态是不允许的。向内连接或状态指产生者或客户机的安全接口/网络等级低于接收者或服务器。用户可以为一个xlate(转换)应用多个例外。这样,就可以从互联网上的任意机器、网络或主机访问xlate定义的主机;
如果没有特殊定义,所有ICMP包都将被拒绝;
违反上述规则的所有企图都将失败,而且将把相应信息发送至系统日志。
PIX Firewall处理UDP数据传输的方式与TCP相同。为使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作,PIX Firewall执行了特殊处理。当UDP包从内部网络发出时,PIX Firewall将生成UDP“连接”状态信息。如果与连接状态信息相匹配,这些流量带来的答复包将被接受。经过一小段时间的静默之后,连接状态信息将被删除。
多个接口和安全等级(Multiple Interfaces and Security Levels)
所有PIX Firewall都至少有两个接口,默认状态下,它们被称为外部接口和内部接口,安全等级分别为0和100。较低的优先级说明接口受到的保护较少。一般情况下,外部接口与公共互联网相连,内部接口则与专用网相连,并且可以防止公共访问。
许多PIX Firewall都能提供八个接口,以便生成一个或多个周边网络,这些区域也称为堡垒网络或非军管区(DMZ)。DMZ的安全性高于外部接口,但低于内部接口。周边网络的安全等级从0到100。一般情况下,用户需要访问的邮件服务器或Web服务器都被置于DMZ中的公共互联网上,以便提供某种保护,但不致于破坏内部网络上的资源。
数据在PIX Firewall中的移动方式(How Data Moves Through the PIX Firewall)
当向外包到达PIX Firewall上安全等级较高的接口时(安全等级可以用show nameif命令查看),PIX Firewall将根据适应性安全算法检查包是否有效,以及前面的包是否来自于此台主机。如果不是,则包将被送往新的连接,同时,PIX Firewall将在状态表中为此连接产生一个转换插槽。PIX Firewall保存在转换插槽中的信息包括内部IP地址以及由网络地址转换(NAT)、端口地址转换(PAT)或者Identity(将内部地址作为外部地址使用)分配的全球唯一IP地址。然后,PIX Firewall将把包的源IP地址转换成全球唯一地址,根据需要修改总值和其它字段,然后将包发送到安全等级较低的接口。
当向内传输的包到达外部接口时,首先接受PIX Firewall适应性安全条件的检查。如果包能够通过安全测试,则PIX Firewall删除目标IP地址,并将内部IP地址插入到这个位置。包将被发送到受保护的接口。
内部地址的转换(Translation of Internal Addresses)
网络地址转换(NAT)的作用是将内部接口上的主机地址转换为与外部接口相关的“全球地址”。这样能防止将主机地址暴露给其它网络接口。如果想了解是否要使用NAT,可以先决定是否想暴露与PIX Firewall连接的其它网络接口上的内部地址。如果选择使用NAT保护内部主机地址,应该先确定想用于转换的一组地址。
如果想保护的地址只访问机构内的其它网络,可以针对转换地址池使用任何一组“专用”地址。例如,当与销售部门的网络(与PIX Firewall的周边接口相连)连接时,如果想防止财务部门网络(与PIX Firewall上的外部接口相连)上的主机地址被暴露,可以借助销售部网络上的任何一组地址建立转换。这样,财务部网络上的主机就好象是销售部网络的本地地址一样。
如果想保护的地址需要互联网接入,可以只为转换地址池使用NIC注册的地址(为贵机构向网络信息中心注册的官方互联网地址)。例如,与互联网(通过PIX Firewall的外部接口访问)建立连接时,如果想防止销售部网络(与PIX Firewall的周边接口相连)的主机地址暴露,可以使用外部接口上的注册地址池进行转换。这样,互联网上的主机就只能看到销售部网络的互联网地址,而看不到周边接口的地址。
如果您正在具有主机网络注册地址的原有网络上安装PIX Firewall,您可能不想为这些主机或网络进行转换,因为转换时还需要另外一个注册地址。
考虑NAT时,必须要考虑是否有等量的外部主机地址。如果没有,在建立连接时,某些内部主机就无法获得网络访问。这种情况下,用户可以申请增加NIC注册地址,也可以使用端口地址转换(PAT),PAT能够用一个外部地址管理多达64,000个同时连接。
对于内部系统,NAT能够转换向外传输的包的源IP地址(按照RFC 1631定义)。它同时支持动态转换和静态转换。NAT允许为内部系统分配专用地址(按照RFC 1918)定义,或者保留现有的无效地址。NAT还能提高安全性,因为它能向外部网络隐藏内部系统的真实网络身份。
PAT使用端口重映射,它允许一个有效的IP地址支持64,000个活跃xlate对象的源IP地址转换。PAT能够减少支持专用或无效内部地址方案所需的全球有效IP地址数量。对于向内数据流与向外控制路径不同的多媒体应用,PAT不能与之配合使用。由于能够向外部网络隐藏内部网络的真实网络身份,因此,PAT能够提高安全性。
PIX Firewall上的另一种地址转换是静态转换。静态转换能够为内部地址指定一个固定的外部IP地址。对于需要固定IP地址以便接受公共互联网访问的服务器来讲,这个功能非常有用。
PIX Firewall身份认证特性可以关闭地址转换。如果现有内部系统拥有有效的全球唯一地址,Identity特性可以有选择地关闭这些系统的NAT和PAT。这个特性使外部网络能够看到内部网络的地址。
切入型代理(Cut-Through Proxy)
切入型代理是PIX Firewall的独特特性,能够基于用户对向内或外部连接进行验证。与在OSI模型的第七层对每个包进行分析(属于时间和处理密集型功能)的代理服务器不同,PIX Firewall首先查询认证服务器,当连接获得批准之后建立数据流。之后,所有流量都将在双方之间直接、快速地流动。
借助这个特性可以对每个用户ID实施安全政策。在连接建立之前,可以借助用户ID和密码进行认证。它支持认证和授权。用户ID和密码可以通过最初的HTTP、Telnet或FTP连接输入。
与检查源IP地址的方法相比,切入型代理能够对连接实施更详细的管理。在提供向内认证时,需要相应地控制外部用户使用的用户ID和密码(在这种情况下,建议使用一次性密码)。
访问控制(Access Control)
本节将介绍PIX Firewall用于对网络用户实行认证和授权的各种特性,内容包括:
AAA集成
访问列表
管线
AAA集成(AAA Integration)
PIX Firewall提供与AAA(认证、计费和授权)服务的集成。AAA服务由TACACS+或RADIUS服务器提供。
PIX Firewall允许定义独立的TACACS+或RADIUS服务器组,以便确定不同的流量类型,例如,TACACS+服务器用于处理向内流量,另一服务器用于处理向外流量。
AAA服务器组由标记名称定义,这个标记名称的作用是将不同的流量类型引导到各台认证服务器。如果需要计费,计费信息将被送入活跃的服务器。
PIX Firewall允许RADIUS服务器将用户组属性发送到RADIUS认证响应信息中的PIX Firewall。然后,PIX Firewall将把访问列表和属性匹配起来,从访问列表中确定RADIUS认证。PIX Firewall对用户进行认证之后,它将使用认证服务器返回的CiscoSecure acl属性识别某用户组的访问列表。
访问列表(Access Lists)
从5.3版本开始,PIX Firewall使用访问列表控制内部网络与外部网络之间的连接。访问列表用access-list和access-group命令实施。这些命令取代了PIX Firewall以前版本中的conduit和outbound命令,但是,为实现向下兼容性,当前版本仍然支持conduit和outbound这两个命令。
用户可以按照源地址、目标地址或协议使用访问列表控制连接。为了减少所需的接入,应该认真配置访问列表。如果可能,应该用远程源地址、本地目标地址和协议对访问列表施加更多的限制。在配置中,access-list和access-group命令语句的优先级高于conduit和outbound命令。
管线(Conduits)
在5.3版本之前,PIX Firewall使用conduit和outbound命令控制外部网络和内部网络之间的连接。在PIX Firewall6.0及更高的版本中,为实现向下兼容,这些命令仍然可用,但是,我们建议大家最好使用access-list和access-group命令。
每条管线都是PIX Firewall的潜在威胁,因此,必须根据安全政策和业务的要求限制对它的使用。如果可能,可以用远程源地址、本地目标地址和协议加以限制。
防范攻击(Protecting Your Network from Attack)
本节将介绍PIX Firewall提供的防火墙特性。这些防火墙特性可以控制与某些袭击类型相关的网络行为。本节包含的内容如下:
单播反向路径发送
Flood Guard
FragGuard和虚拟重组
DNS控制
ActiveX阻挡
Java 过滤
URL 过滤
如果想了解允许在防火墙上使用特殊协议和应用的特性的详细情况,请参考“支持某些协议和应用”。
单播反向路径发送(Unicast Reverse Path Forwarding)
单播反向路径发送(单播RPF)也称为“反向路径查询”,它提供向内和向外过滤,以便预防IP欺诈。这个特性能够检查向内传输的包的IP源地址完整性,保证去往受控区域以外的主机的包拥有可以在实施实体本地路由表时由路径验证的IP源地址。
单播RPF仅限于实施实体本地路由表的网络。如果进入的包没有路径代表的源地址,就无法知道包是否能通过最佳路径返回到起点。
Flood Guard
Flood Guard能控制AAA服务对无应答登录企图的容忍度。这个功能尤其适合防止AAA服务上的拒绝服务(DoS)袭击,并能改善AAA系统使用情况。默认状态下,这个命令是打开的,可以用floodguard 1命令控制。
Flood Defender
Flood Defender能够防止内部系统受到拒绝服务袭击,即用TCP SYN包冲击接口。要使用这个特性,可以将最大初始连接选项设置为nat和static命令。
TCP Intercept特性能够保护可通过静态和TCP管线访问到的系统。这个特性能够保证,一旦到达任选的初始连接极限,那么,去往受影响的服务器的每个SYN都将被截获,直到初始连接数量低于此阈值为止。对于每个SYN,PIX Firewall还能以服务器的名义用空SYN/ACK进行响应。PIX Firewall能够保留永久性状态信息,丢弃包,并等待客户机的认可。
FragGuard和虚拟重组(FragGuard and 虚拟重组)
FragGuard和虚拟重组能够提供IP网段保护。这个特性能够提供所有ICMP错误信息的全面重组以及通过PIX Firewall路由的其余IP网段的虚拟重组。虚拟重组属于默认功能。这个特性使用系统日志记录网段重叠,并用小网段补偿异常情况,尤其是由teardrop.c袭击引起的异常情况。
DNS控制(DNS Control)
PIX Firewall能够识别每个向外的DNS(域名服务)分解请求,而且只允许有一个DNS响应。为获得答复,主机可以查询几台服务器(以防第一台服务器答复过慢),但是,只有第一个请求答复有效。其它请求答复将被防火墙丢弃。这个特性一直处于打开状态。
ActiveX阻挡(ActiveX Blocking)
AcitveX控制以前称为OLE或者OCX控制,这种组件可以插入到Web页面或者其它应用。PIX Firewall ActiveX阻挡特性能够阻挡HTML 命令,并在HTML Web页面以外予以说明。作为一种技术,ActiveX可能会给网络客户机带来许多潜在问题,包括致使工作站发生故障,引发网络安全问题,被用于袭击服务器,或者被主机用于袭击服务器等。
Java 过滤
Java过滤特性可用于防止受保护网络上的系统下载Java小应用程序。Java小应用程序指可执行的程序,它可能会受到某些安全政策的禁止,因为它们存在漏洞,可能会使受保护网络遭到袭击。
URL过滤
PIX Firewall URL过滤与NetPartners Websense产品一起提供。PIX Firewall用Websense服务器上制定的政策检查外出的URL请求,这些政策在Windows NT或UNIX上运行。PIX Firewall 5.3版本及更高版本中支持Websensen第4版本。
根据NetPartners Websense服务器的答复,PIX Firewall接受或拒绝连接。这台服务器检查请求,保证这些请求不具备不适合商业用途的17种Web站点特征。由于URL过滤在独立平台上处理,因此,不会给PIX Firewall带来其它性能负担。
启动专有协议和应用(Enabling Specific Protocols and Applications)
本节将介绍PIX Firewall提供的能有效控制和安全使用特殊协议和应用的各种特性。本节的内容包括:
RIP 第2版本
可配置的代理呼叫
Mail Guard
多媒体支持
Cisco IP电话
NETBIOS over IP
RIP第2版本(RIP Version 2)
路由信息协议(RIP)第2版本提供加密密钥的MD5认证。PIX Firewall只在被动模式中倾听和/或广播默认路径。PIX Firewall支持Cisco IOS软件标准,遵守RIPv2(带文字和加密的MD5认证)的RFC 1058、RFC 1388和RFC 2082。PIX Firewall的每个接口支持一个密钥和密钥ID。虽然密钥有无限长的寿命,但是,为安全起见,最好每隔两周或更短时间就更换一次密钥。
注意 使用Telnet修改配置可能会将密钥和密钥ID暴露在网络上。
可配置的代理呼叫(Configurable Proxy Pinging)
可配置的代理呼叫功能可以控制对PIX Firewall接口的ICMP访问。这个特性能够将PIX Firewall接口隐藏起来,以防被外部网络上的用户删除。
注意 我们建议您批准使用ICMP不可到达消息类型(类型3)。如果拒绝使用ICMP不可到达消息,就会关闭ICMP路径MTU识别功能,从而阻碍IPSec和PPTP流量通过。
Mail Guard
Mail Guard能够为从外部到内部消息服务器的简单邮件传输协议(SMTP)连接提供安全接入。借助这个特性,可以在内部网络中部署一台邮件服务器,而且这台邮件服务器不会出现某些SMTP服务器实施方案常见的安全问题。这个方法的好处之一是无需使用邮件中继(或堡垒主机)系统。为避免损害SMTP服务器系统,Mail Guard只使用了少量SMTP命令。这个特性还能记录所有SMTP连接。
多媒体支持(Multimedia Support)
下面,我们将介绍PIX Firewall提供的支持多媒体应用的特性:
支持的多媒体应用
RAS第2版本
RTSP
支持的多媒体应用(Supported Multimedia Applications)
目前,使用各种多媒体应用的用户越来越多,其中许多多媒体应用都需要在防火墙环境中进行特殊处理。PIX Firewall无需对客户机进行重新配置就能解决这个问题,因而不会变成性能瓶颈。PIX Firewall支持的特殊多媒体应用包括:
RealAudio
Streamworks
CU-SeeMe
互联网 Phone
IRC
Vxtreme
VDO Live
注意 如果需要,可以通过访问列表终止对专有协议的支持。
RAS第2版本(RAS Version 2)
多媒体应用需要注册、承认和状态(RAS)协议,例如需要视频和音频编码的视频会议和IP语音。RAS通道携带着端点和关守之间的带宽变化以及注册、承认和状态信息(按照H.225中的规定)。多媒体应用使用大量动态协商的数据和控制通道处理各种可视和审计流。
RTSP
PIX Firewall可以安全发送实时流协议(RTSP)包。RTSP广泛用于RealAudio、RealNetworks、Apple QuickTime 4、RealPlayer和Cisco IP/TV连接。借助这个特性,防火墙能够处理多媒体应用,包括Cisco IP/TV连接。
注意 RTSP消息隐藏在HTTP消息中,但PIX Firewall不能识别HTTP覆盖层。NAT也不支持RTSP。
Cisco IP电话(Cisco IP Telephony)
Cisco IP电话可以将VoIP(IP语音)网络和公共交换电话网(PSTN)集成在一起。要在内部语音网和外部语音网之间传输语音,需要支持以下协议:
H.323
SIP
H.323
借助PIX Firewall,可以安全地使用H.323第2版本。H.323是国际电信组织(ITU)为LAN多媒体会议制定的一套协议。其特性包括:
提供快速连接和快速启动程序,以便加快呼叫;
为资源保留提供H.245通道,可实现呼叫同步,并能缩短设置时间;
能执行呼叫重定向;
召开会议——只有端点同意参加才会建立会议连接。
SIP
通话初始协议(SIP)能建立呼叫处理通话过程——尤其是双方音频会议,或称“呼叫”。 PIX Firewall不但支持SIP VoIP网关和VoIP代理服务器,还可以使用SDP为动态分配的UDP端口进行定义。
NETBIOS over IP
PIX Firewall支持从内部网络到外部网络的NETBIOS over IP连接。这样,内部网络上的Microsoft客户机系统就可以利用NAT访问外部网络上的各类服务器,例如Windows NT。这种方式不但允许将安全政策用于互联网上及内部网内的Microsoft环境,还允许使用Microsoft环境中的访问控制。
创建虚拟专用网(Creating a Virtual Private Network)
本节将介绍虚拟专用网(×××)技术,以及怎样在PIX Firewall中实施这种技术。本节包含的内容如下:
什么是×××?
IPSec
互联网密钥交换(IKE)
认证机构
使用站点到站点×××
使用远程接入×××
什么是×××?(What is a ×××?)
借助×××,您可以将分布在世界各地的用户以及公共互联网上的站点安全地互连在一起。与基于传统广域网的帧中继或拨号连接相比,×××不但能降低成本,提高可靠性,还能简化管理。×××的安全性和管理政策与专用网络相同。借助×××,客户、商业合作伙伴以及远程工作者等远程用户可以安全地访问企业的计算资源。
IPSec是一种标准,它规定了建立×××的独立于厂商方法。作为安全功能的一部分,PIX Firewall提供基于IPSec标准的×××功能。借助IPSec,当数据在公共网上传输时,用户无需担心数据会被查看、篡改或欺诈。
站点到站点×××和远程接入×××是×××的两个类型,PIX Firewall同时支持这两种×××。
IPSec
借助IPSec,用户可以通过互联网等不受保护的网络传输敏感信息。IPSec在网络层操作,能保护和鉴别所涉及的IPSec设备(对等物)之间的IP包,例如PIX Firewall单元。
IPSec提供的网络安全服务如下:
数据保密性——在通过网络传输之前,IPSec发送者可以对包进行加密;
数据完整性——IPSec接收者可以对IPSec发送者发出的包进行鉴别,以保证数据在传输过程中未被篡改;
数据来源鉴别——IPSec接收者可以识别所发送的IPSec包的来源,这种服务与数据完整性服务相关;
反重播——IPSec接收者可以删除和拒绝重播的包。
注意 数据认证主要是指数据完整性和数据来源鉴别。在本章中,如果没有其它规定,它还包括反重播服务。
IPSec提供了两台对等设备之间的安全通道,例如两个PIX Firewall单元之间的安全通道。用户可以自己确定哪些包属于敏感信息,应该通过这些安全通道发送。通过确定这些通道的特性,用户还可以确定应该使用哪些参数保护这些敏感包。当IPSec对等设备看到敏感包时,它将建立相应的安全通道,并通过通道将包发送给远程用户。用于传输信息的安全通道基于加密密钥以及安全协会(SA)规定的其它安全参数。
互联网密钥交换(互联网 Key Exchange ,IKE)
IPSec自动建立安全通道的过程分为两个阶段:
第一阶段:这个阶段通过互联网密钥交换(IKE)协议实施,能建立一对IKE SA。IKE SA用于协商一个或多种IPSec SA,以便实际传输应用数据。
第二阶段:这个阶段使用IKE SA提供的安全通道协商IPSec SA。当这个阶段结束时,两台对等设备均已建立了一对IPSec SA,以便提供传输应用数据所需的安全通道。SA参数之一是寿命,可配置的寿命期结束之后,SA将自动终止,因此,这个参数能提高IPSec的安全性。
IKE协议为协商IPSec SA建立了安全通道。借助IKE,无需人工配置每台IPSec对等设备就能实施IPSec。随着对等设备的增加,人工配置IPSec对等设备将变得异常复杂,因为每台对等设备都需要一对SA才能与借助IPSec通信的另一台对等设备通信。
与IPSec相似,IKE也使用一对SA在两台对等设备之间建立安全通信通道。IKE使用SA为IPSec通道安全协商SA,而不是传输用户信息。
用户可以人工配置SA,以便在两台对等设备之间建立IPSec通道。但是,这种方法并不安全,因为人工配置的SA不会自动过期。另外,随着对等设备的增加将出现严重的扩展问题。无论何时在网络中添加使用IPSec的对等设备都必须在每台现有对等设备上增加一对SA。基于此种原因,只有当远程对等设备不支持IKE时才使用人工配置。
与IPSec SA的人工配置相似,IKE SA可以通过预共享密钥建立。但是,这种方法也存在人工配置IPSec SA的扩展问题。认证机构(CA)提供了一种可扩展的方法,能够共享密钥以建立IKE SA。
认证机构(Certification Authorities)
要想了解CA帮助配置IKE的方式,应该先了解公用/专用密钥加密。公用/专有密钥也称为非对称密钥,它是一对密钥,用一个密钥加密的数据可以用另一个密钥解密。这个属性可用于解决通过非安全网络共享秘密时遇到的扩展问题。
产生公用/专用密钥对之后,一个密钥保密(专用密钥),另一个密钥公开(公用密钥)。当任何对等设备需要与专用密钥的所有者共享秘密时,只需使用公用密钥对信息加密即可。对原始信息解密的唯一方式是使用专用密钥。使用这种方法,无需传送对加密信息解密的秘密口令就能通过非安全网络共享加密信息。
公用/专用密钥对的这个独特属性还提供了一种出色的认证方法。公用密钥只能对用相应专用密钥加密的信息进行解密。如果消息可以借助某个公用密钥阅读,就可以肯定,信息的发送者拥有相应的专用密钥。
这就是使用CA的原因。这种公共密钥证书,或称数字证书,用于将公用/专用密钥对与某个IP地址或主机名称联系在一起。认证机构(CA)在某段时间发行公用密钥证书。CA可以是自己内部机构运作的专用(内部)CA,也可以是公共CA。VeriGign等公共CA由客户信任的第三方运作,它将负责核实获取证书的每台客户机和服务器的身份。
IKE协议使用数字证书生成第一对SA,为协商IPSec SA提供安全通道。为使用证书协商IKE SA,两台IPSec对等设备都必须产生公用/专用密钥对,请求和接收公用密钥证书,并确保信任发行证书的CA。
默认状态下,多数浏览器都信任来自著名CA的证书,例如VeriSign,并提供用于增加CA的选项,以便产生和请求数字证书。用户还可以在将浏览器分布给用户之前为浏览器软件预先配置CA和必要的证书。
如果想了解配置PIX Firewall以便使用IKE和数字证书的步骤,请参见“基本×××配置”中的“使用认证机构”。
使用站点到站点×××(Using a Site-to-Site ×××)
站点到站点×××是一种WAN基础设施,能够代替和增强使用租用线路、帧中继或ATM连接远程和分支办公室和中央站点的现有专用网络。对于站点到站点×××,PIX Firewall可以与任何Cisco ×××型网络设备互操作,例如Cisco ×××路由器。
站点到站点×××在PIX Firewall与远程IPSec安全网关之间建立。远程IPSec安全网关可以是PIX Firewall、Cisco ×××集中器或者×××型路由器,也可以是符合IPSec的任何第三方设备。要想了解配置指令,请参考“基本×××配置”;要想了解配置实例,请参考“站点到站点×××配置实例”。
使用远程接入×××(Using a Remote Access ×××)
PIX Firewall支持混合型×××部署,包括站点到站点流量和远程接入流量。远程接入×××使用模拟、数字、ISDN、DSL、移动IP和有线技术将移动用户、远程员工及其他独立系统与PIX Firewall保护的网络安全地连接在一起。借助以下Cisco远程接入×××应用,可以接入到受PIX Firewall保护的网络中:
Secure ××× Client,第1.1版本或更高
Cisco ××× 3000 Client,第2.5版本或更高
Cisco ××× Client,第3.0版本
注意 建议您使用Cisco ××× Client第3.0版本。
要了解常用的配置指令,请参考“基本×××配置”;要了解具体步骤和配置实例,请参考“配置×××客户机远程接入”。
PIX Firewall的系统管理(PIX Firewall System Management)
本节将介绍用于管理PIX Firewall的特性和工具,包含以下内容:
ice Manager
Telnet界面
SSH第1版本
使用SNMP
TFTP配置服务器
XDMCP
使用系统日志服务器
FTP和URL登录
与IDS集成
PIX Device Manager
Cisco PIX Device Manager(PDM)是基于浏览器的配置工具,用户无需深入了解PIX Firewall命令行界面(CLI)就能从图形用户界面(GUI)建立、设置和监控PIX Firewall。PDM从Windows NT、Windows 95、Windows 2000或Solaris web浏览器提供管理界面。PDM只允许内部网络内的某些客户机系统访问HTML接口(根据源地址),其密码受到保护。
Telnet界面(Telnet Interface)
PIX Firewall Telnet界面提供与Cisco IOS软件类似的命令行界面。借助Telnet界面,可以通过控制台界面远程管理PIX Firewall。Telnet界面只允许内部网络内的某些客户机系统访问Telnet界面(根据源地址),而且密码能受到保护。如果内部网络不安全,且LAN上的通话可以被窃听,就应该限制使用Telnet界面。如果配置了IPSec,还可以从外部界面访问PIX Firewall控制台。
SSH第1版(SSH Version 1)
PIX Firewall支持SSH第1版中提供的SSH远程壳功能。SSH可以安全地远程配置PIX Firewall,因而能提供加密和认证功能。
使用SNMP(Using SNMP)
PIX Firewall通过简单网络管理协议(SNMP)支持网络监控。SNMP界面允许通过传统网络管理系统监控PIX Firewall。PIX Firewall只支持SNMP GET命令,此命令只允许执行只读接入。
SNMP Firewall和Memeory Pool MIB增加了用于识别PIX Firewall状态的其它信息的陷阱数量,包括以下事件:
lock命令的缓冲区使用情况
ow conn命令的连接数量
状态
memory命令的内存使用情况
TFTP配置服务器(TFTP Configuration Server)
用户可以使用复杂文件传输协议(TFTP)配置服务器从一个地点获得多个PIX Firewall的配置。但是,TFTP是不安全的,如果网络安全政策不允许通过网络传输未加密的信息,就不能使用TFTP。
用户还可以使用TFTP将.bin图像从CCO下载到PIX Firewall,以便升级或者更换PIX Firewall上的软件图像。传输文件时,TFTP不执行任何认证,因此不需要远程主机的用户名和密码。
XDMCP
PIX Firewall通过established命令支持使用XDMCP(X显示管理器控制协议)的连接。这个特性使用Xwindows TCP向后连接修复,即协商Xwindows对话,并在目标端口6000上建立初始连接。与其它UDP修复相同,在默认状态下,将打开XDMCP处理功能。
使用系统日志服务器(Using a 系统日志 Server)
PIX Firewall将TCP和UDP 系统日志消息中的消息发送到任何现有系统日志服务器,并提供系统日志服务器,供Windows NT系统使用。Windows NT 系统日志服务器可以提供有时间标记的系统日志消息,接收替代端口上的消息,还可以在不能收到消息时挡住PIX Firewall流量。当Windows NT记录磁盘已满,或者服务器出现故障时,用户还可以让Windows NT 系统日志服务器终止PIX Firewall连接。
FTP和URL登录(FTP and URL Logging)
借助FTP和URL登录特性,用户可以查看用户输入的向内和向外FTP命令,以及用于访问其站点的URL。用户可以利用这个功能监控用户对内部和外部站点的访问。借助它提供的数据,用户可以阻挡对有问题的站点的访问。这个特性可以用logging trap debugging命令打开。注意,这个特性可能会产生关于高流量PIX Firewall的大量系统日志数据。
与IDS集成(Integration with IDS)
PIX Firewall可以与Cisco入侵检测系统互操作。PIX Firewall将检查IDS签名并将其作为系统日志信息发送给系统日志服务器。这个特性只支持单包IDS签名。
PIX Firewall故障恢复(PIX Firewall Failover)
借助PIX故障恢复特性,用户可以用一条专用故障恢复线缆连接两个相同的PIX Firewall设备,以便实现完全冗余的防火墙解决方案。各种PIX Firewall提供的故障恢复特性如表1-1所示。
Mail Guard
多媒体支持
支持的多媒体应用
RAS第2版本
RTSP
Cisco IP电话
H.323
SIP
NETBIOS over IP
创建×××
×××?
IPSec
互联网密钥交换(IKE)
认证机构
使用站点到站点×××
使用远程接入×××
防火墙的系统管理
Device Manager
Telnet界面
SSH第1版本
使用SNMP
TFTP配置服务器
XDMCP
使用系统日志服务器
FTP和URL登录
与IDS集成
PIX热备份
PIX Firewall的用途(Using PIX Firewall)
借助Cisco PIX Firewall,您只需用一台设备就能建立状态防火墙保护和安全的×××接入。PIX Firewall不但提供了可扩展的安全解决方案,还为某些型号提供故障恢复支持,以便提供最高的可靠性。PIX Firewall使用专用操作系统,与使用通用操作系统,因而常常遇到威胁和袭击的软件防火墙相比,这种操作系统更安全、更容易维护。在本章中,我们将介绍使用PIX Firewall保护网络资产和建立安全×××接入的方法。本章包括以下几节:
控制网络访问
防范攻击
启动专有协议和应用
建立虚拟专用网
防火墙的系统管理
防火墙的故障恢复
控制网络访问(Controlling Network Access)
本节将介绍PIX Firewall提供的网络防火墙功能,包含以下内容:
PIX Firewall的工作原理
适应性安全算法
多个接口和安全等级
数据在PIX Firewall中的移动方式
内部地址的转换
切入型代理
访问控制
PIX Firewall的工作原理(How the PIX Firewall Works)
PIX Firewall的作用是防止外部网络(例如公共互联网)上的非授权用户访问内部网络。多数PIX Firewall都可以有选择地保护一个或多个周边网络(也称为非军管区,DMZ)。对访问外部网络的限制最低,对访问周边网络的限制次之,对访问内部网络的限制最高。内部网络、外部网络和周边网络之间的连接由PIX Firewall控制。
为有效利用机构内的防火墙,必须利用安全政策才能保证来自受保护网络的所有流量都只通过防火墙到达不受保护的网络。这样,用户就可以控制谁可以借助哪些服务访问网络,以及怎样借助PIX Firewall提供的特性实施安全政策等。
PIX Firewall保护网络的方法如图1-1所示,这种方法允许实施带外连接并安全接入互联网。
PIX Firewall形成受保护网络和不受保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。互联网可以访问不受保护的网络。PIX Firewall允许用户在受保护网络内确定服务器的位置,例如用于Web接入、SNMP、电子邮件(SMTP)的服务器,然后控制外部的哪些用户可以访问这些服务器。
除PIX 506和PIX 501外,对于所有的PIX Firewall,对服务器系统的访问可以由PIX Firewall控制和监视。PIX 506和PIX 501各有两个网络接口,因此,所有系统都必须属于内部接口或者外部接口。
PIX Firewall还允许用户对来往于内部网络的连接实施安全政策。
一般情况下,内部网络是机构自身的内部网络,或者内部网,外部网络是互联网,但是,PIX Firewall也可以用在内部网中,以便隔离或保护某组内部计算系统和用户。
周边网络的安全性可以与内部网络等同,也可以配置为拥有各种安全等级。安全等级的数值从0(最不安全)到100(最安全)。外部接口的安全等级总为0,内部接口的安全等级总为100。周边接口的安全等级从1到99。
内部网络和周边网络都可以用PIX Firewall的适应性安全算法(ASA)保护。内部接口、周边接口和外部接口都遵守RIP路由更新表的要求,如果需要,所有接口都可以广播RIP默认路径。
适应性安全算法(Adaptive Security Algorithm)
适应性安全算法(ASA)是一种状态安全方法。每个向内传输的包都将按照适应性安全算法和内存中的连接状态信息进行检查。业界人士都认为,这种默认安全方法要比无状态的包屏蔽方法更安全。
ASA无需配置每个内部系统和应用就能实现单向(从内到外)连接。ASA一直处于操作状态,监控返回的包,目的是保证这些包的有效性。为减小TCP序列号袭击的风险,它总是主动对TCP序列号作随机处理。
ASA适用于动态转换插槽和静态转换插槽。静态转换插槽用static命令产生,动态转换插槽用global命令产生。总之,两种转换插槽都可以称为“xlates”。ASA遵守以下规则:
如果没有连接和状态,任何包都不能穿越PIX Firewall;
如果没有访问控制表的特殊定义,向外连接或状态都是允许的。向外连接指产生者或客户机的安全接口等级高于接收者或服务器。最安全的接口总是内部接口,最不安全的接口总是外部接口。周边接口的安全等级处于内部接口和外部接口之间;
如果没有特殊定义,向内连接或状态是不允许的。向内连接或状态指产生者或客户机的安全接口/网络等级低于接收者或服务器。用户可以为一个xlate(转换)应用多个例外。这样,就可以从互联网上的任意机器、网络或主机访问xlate定义的主机;
如果没有特殊定义,所有ICMP包都将被拒绝;
违反上述规则的所有企图都将失败,而且将把相应信息发送至系统日志。
PIX Firewall处理UDP数据传输的方式与TCP相同。为使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作,PIX Firewall执行了特殊处理。当UDP包从内部网络发出时,PIX Firewall将生成UDP“连接”状态信息。如果与连接状态信息相匹配,这些流量带来的答复包将被接受。经过一小段时间的静默之后,连接状态信息将被删除。
多个接口和安全等级(Multiple Interfaces and Security Levels)
所有PIX Firewall都至少有两个接口,默认状态下,它们被称为外部接口和内部接口,安全等级分别为0和100。较低的优先级说明接口受到的保护较少。一般情况下,外部接口与公共互联网相连,内部接口则与专用网相连,并且可以防止公共访问。
许多PIX Firewall都能提供八个接口,以便生成一个或多个周边网络,这些区域也称为堡垒网络或非军管区(DMZ)。DMZ的安全性高于外部接口,但低于内部接口。周边网络的安全等级从0到100。一般情况下,用户需要访问的邮件服务器或Web服务器都被置于DMZ中的公共互联网上,以便提供某种保护,但不致于破坏内部网络上的资源。
数据在PIX Firewall中的移动方式(How Data Moves Through the PIX Firewall)
当向外包到达PIX Firewall上安全等级较高的接口时(安全等级可以用show nameif命令查看),PIX Firewall将根据适应性安全算法检查包是否有效,以及前面的包是否来自于此台主机。如果不是,则包将被送往新的连接,同时,PIX Firewall将在状态表中为此连接产生一个转换插槽。PIX Firewall保存在转换插槽中的信息包括内部IP地址以及由网络地址转换(NAT)、端口地址转换(PAT)或者Identity(将内部地址作为外部地址使用)分配的全球唯一IP地址。然后,PIX Firewall将把包的源IP地址转换成全球唯一地址,根据需要修改总值和其它字段,然后将包发送到安全等级较低的接口。
当向内传输的包到达外部接口时,首先接受PIX Firewall适应性安全条件的检查。如果包能够通过安全测试,则PIX Firewall删除目标IP地址,并将内部IP地址插入到这个位置。包将被发送到受保护的接口。
内部地址的转换(Translation of Internal Addresses)
网络地址转换(NAT)的作用是将内部接口上的主机地址转换为与外部接口相关的“全球地址”。这样能防止将主机地址暴露给其它网络接口。如果想了解是否要使用NAT,可以先决定是否想暴露与PIX Firewall连接的其它网络接口上的内部地址。如果选择使用NAT保护内部主机地址,应该先确定想用于转换的一组地址。
如果想保护的地址只访问机构内的其它网络,可以针对转换地址池使用任何一组“专用”地址。例如,当与销售部门的网络(与PIX Firewall的周边接口相连)连接时,如果想防止财务部门网络(与PIX Firewall上的外部接口相连)上的主机地址被暴露,可以借助销售部网络上的任何一组地址建立转换。这样,财务部网络上的主机就好象是销售部网络的本地地址一样。
如果想保护的地址需要互联网接入,可以只为转换地址池使用NIC注册的地址(为贵机构向网络信息中心注册的官方互联网地址)。例如,与互联网(通过PIX Firewall的外部接口访问)建立连接时,如果想防止销售部网络(与PIX Firewall的周边接口相连)的主机地址暴露,可以使用外部接口上的注册地址池进行转换。这样,互联网上的主机就只能看到销售部网络的互联网地址,而看不到周边接口的地址。
如果您正在具有主机网络注册地址的原有网络上安装PIX Firewall,您可能不想为这些主机或网络进行转换,因为转换时还需要另外一个注册地址。
考虑NAT时,必须要考虑是否有等量的外部主机地址。如果没有,在建立连接时,某些内部主机就无法获得网络访问。这种情况下,用户可以申请增加NIC注册地址,也可以使用端口地址转换(PAT),PAT能够用一个外部地址管理多达64,000个同时连接。
对于内部系统,NAT能够转换向外传输的包的源IP地址(按照RFC 1631定义)。它同时支持动态转换和静态转换。NAT允许为内部系统分配专用地址(按照RFC 1918)定义,或者保留现有的无效地址。NAT还能提高安全性,因为它能向外部网络隐藏内部系统的真实网络身份。
PAT使用端口重映射,它允许一个有效的IP地址支持64,000个活跃xlate对象的源IP地址转换。PAT能够减少支持专用或无效内部地址方案所需的全球有效IP地址数量。对于向内数据流与向外控制路径不同的多媒体应用,PAT不能与之配合使用。由于能够向外部网络隐藏内部网络的真实网络身份,因此,PAT能够提高安全性。
PIX Firewall上的另一种地址转换是静态转换。静态转换能够为内部地址指定一个固定的外部IP地址。对于需要固定IP地址以便接受公共互联网访问的服务器来讲,这个功能非常有用。
PIX Firewall身份认证特性可以关闭地址转换。如果现有内部系统拥有有效的全球唯一地址,Identity特性可以有选择地关闭这些系统的NAT和PAT。这个特性使外部网络能够看到内部网络的地址。
切入型代理(Cut-Through Proxy)
切入型代理是PIX Firewall的独特特性,能够基于用户对向内或外部连接进行验证。与在OSI模型的第七层对每个包进行分析(属于时间和处理密集型功能)的代理服务器不同,PIX Firewall首先查询认证服务器,当连接获得批准之后建立数据流。之后,所有流量都将在双方之间直接、快速地流动。
借助这个特性可以对每个用户ID实施安全政策。在连接建立之前,可以借助用户ID和密码进行认证。它支持认证和授权。用户ID和密码可以通过最初的HTTP、Telnet或FTP连接输入。
与检查源IP地址的方法相比,切入型代理能够对连接实施更详细的管理。在提供向内认证时,需要相应地控制外部用户使用的用户ID和密码(在这种情况下,建议使用一次性密码)。
访问控制(Access Control)
本节将介绍PIX Firewall用于对网络用户实行认证和授权的各种特性,内容包括:
AAA集成
访问列表
管线
AAA集成(AAA Integration)
PIX Firewall提供与AAA(认证、计费和授权)服务的集成。AAA服务由TACACS+或RADIUS服务器提供。
PIX Firewall允许定义独立的TACACS+或RADIUS服务器组,以便确定不同的流量类型,例如,TACACS+服务器用于处理向内流量,另一服务器用于处理向外流量。
AAA服务器组由标记名称定义,这个标记名称的作用是将不同的流量类型引导到各台认证服务器。如果需要计费,计费信息将被送入活跃的服务器。
PIX Firewall允许RADIUS服务器将用户组属性发送到RADIUS认证响应信息中的PIX Firewall。然后,PIX Firewall将把访问列表和属性匹配起来,从访问列表中确定RADIUS认证。PIX Firewall对用户进行认证之后,它将使用认证服务器返回的CiscoSecure acl属性识别某用户组的访问列表。
访问列表(Access Lists)
从5.3版本开始,PIX Firewall使用访问列表控制内部网络与外部网络之间的连接。访问列表用access-list和access-group命令实施。这些命令取代了PIX Firewall以前版本中的conduit和outbound命令,但是,为实现向下兼容性,当前版本仍然支持conduit和outbound这两个命令。
用户可以按照源地址、目标地址或协议使用访问列表控制连接。为了减少所需的接入,应该认真配置访问列表。如果可能,应该用远程源地址、本地目标地址和协议对访问列表施加更多的限制。在配置中,access-list和access-group命令语句的优先级高于conduit和outbound命令。
管线(Conduits)
在5.3版本之前,PIX Firewall使用conduit和outbound命令控制外部网络和内部网络之间的连接。在PIX Firewall6.0及更高的版本中,为实现向下兼容,这些命令仍然可用,但是,我们建议大家最好使用access-list和access-group命令。
每条管线都是PIX Firewall的潜在威胁,因此,必须根据安全政策和业务的要求限制对它的使用。如果可能,可以用远程源地址、本地目标地址和协议加以限制。
防范攻击(Protecting Your Network from Attack)
本节将介绍PIX Firewall提供的防火墙特性。这些防火墙特性可以控制与某些袭击类型相关的网络行为。本节包含的内容如下:
单播反向路径发送
Flood Guard
FragGuard和虚拟重组
DNS控制
ActiveX阻挡
Java 过滤
URL 过滤
如果想了解允许在防火墙上使用特殊协议和应用的特性的详细情况,请参考“支持某些协议和应用”。
单播反向路径发送(Unicast Reverse Path Forwarding)
单播反向路径发送(单播RPF)也称为“反向路径查询”,它提供向内和向外过滤,以便预防IP欺诈。这个特性能够检查向内传输的包的IP源地址完整性,保证去往受控区域以外的主机的包拥有可以在实施实体本地路由表时由路径验证的IP源地址。
单播RPF仅限于实施实体本地路由表的网络。如果进入的包没有路径代表的源地址,就无法知道包是否能通过最佳路径返回到起点。
Flood Guard
Flood Guard能控制AAA服务对无应答登录企图的容忍度。这个功能尤其适合防止AAA服务上的拒绝服务(DoS)袭击,并能改善AAA系统使用情况。默认状态下,这个命令是打开的,可以用floodguard 1命令控制。
Flood Defender
Flood Defender能够防止内部系统受到拒绝服务袭击,即用TCP SYN包冲击接口。要使用这个特性,可以将最大初始连接选项设置为nat和static命令。
TCP Intercept特性能够保护可通过静态和TCP管线访问到的系统。这个特性能够保证,一旦到达任选的初始连接极限,那么,去往受影响的服务器的每个SYN都将被截获,直到初始连接数量低于此阈值为止。对于每个SYN,PIX Firewall还能以服务器的名义用空SYN/ACK进行响应。PIX Firewall能够保留永久性状态信息,丢弃包,并等待客户机的认可。
FragGuard和虚拟重组(FragGuard and 虚拟重组)
FragGuard和虚拟重组能够提供IP网段保护。这个特性能够提供所有ICMP错误信息的全面重组以及通过PIX Firewall路由的其余IP网段的虚拟重组。虚拟重组属于默认功能。这个特性使用系统日志记录网段重叠,并用小网段补偿异常情况,尤其是由teardrop.c袭击引起的异常情况。
DNS控制(DNS Control)
PIX Firewall能够识别每个向外的DNS(域名服务)分解请求,而且只允许有一个DNS响应。为获得答复,主机可以查询几台服务器(以防第一台服务器答复过慢),但是,只有第一个请求答复有效。其它请求答复将被防火墙丢弃。这个特性一直处于打开状态。
ActiveX阻挡(ActiveX Blocking)
AcitveX控制以前称为OLE或者OCX控制,这种组件可以插入到Web页面或者其它应用。PIX Firewall ActiveX阻挡特性能够阻挡HTML 命令,并在HTML Web页面以外予以说明。作为一种技术,ActiveX可能会给网络客户机带来许多潜在问题,包括致使工作站发生故障,引发网络安全问题,被用于袭击服务器,或者被主机用于袭击服务器等。
Java 过滤
Java过滤特性可用于防止受保护网络上的系统下载Java小应用程序。Java小应用程序指可执行的程序,它可能会受到某些安全政策的禁止,因为它们存在漏洞,可能会使受保护网络遭到袭击。
URL过滤
PIX Firewall URL过滤与NetPartners Websense产品一起提供。PIX Firewall用Websense服务器上制定的政策检查外出的URL请求,这些政策在Windows NT或UNIX上运行。PIX Firewall 5.3版本及更高版本中支持Websensen第4版本。
根据NetPartners Websense服务器的答复,PIX Firewall接受或拒绝连接。这台服务器检查请求,保证这些请求不具备不适合商业用途的17种Web站点特征。由于URL过滤在独立平台上处理,因此,不会给PIX Firewall带来其它性能负担。
启动专有协议和应用(Enabling Specific Protocols and Applications)
本节将介绍PIX Firewall提供的能有效控制和安全使用特殊协议和应用的各种特性。本节的内容包括:
RIP 第2版本
可配置的代理呼叫
Mail Guard
多媒体支持
Cisco IP电话
NETBIOS over IP
RIP第2版本(RIP Version 2)
路由信息协议(RIP)第2版本提供加密密钥的MD5认证。PIX Firewall只在被动模式中倾听和/或广播默认路径。PIX Firewall支持Cisco IOS软件标准,遵守RIPv2(带文字和加密的MD5认证)的RFC 1058、RFC 1388和RFC 2082。PIX Firewall的每个接口支持一个密钥和密钥ID。虽然密钥有无限长的寿命,但是,为安全起见,最好每隔两周或更短时间就更换一次密钥。
注意 使用Telnet修改配置可能会将密钥和密钥ID暴露在网络上。
可配置的代理呼叫(Configurable Proxy Pinging)
可配置的代理呼叫功能可以控制对PIX Firewall接口的ICMP访问。这个特性能够将PIX Firewall接口隐藏起来,以防被外部网络上的用户删除。
注意 我们建议您批准使用ICMP不可到达消息类型(类型3)。如果拒绝使用ICMP不可到达消息,就会关闭ICMP路径MTU识别功能,从而阻碍IPSec和PPTP流量通过。
Mail Guard
Mail Guard能够为从外部到内部消息服务器的简单邮件传输协议(SMTP)连接提供安全接入。借助这个特性,可以在内部网络中部署一台邮件服务器,而且这台邮件服务器不会出现某些SMTP服务器实施方案常见的安全问题。这个方法的好处之一是无需使用邮件中继(或堡垒主机)系统。为避免损害SMTP服务器系统,Mail Guard只使用了少量SMTP命令。这个特性还能记录所有SMTP连接。
多媒体支持(Multimedia Support)
下面,我们将介绍PIX Firewall提供的支持多媒体应用的特性:
支持的多媒体应用
RAS第2版本
RTSP
支持的多媒体应用(Supported Multimedia Applications)
目前,使用各种多媒体应用的用户越来越多,其中许多多媒体应用都需要在防火墙环境中进行特殊处理。PIX Firewall无需对客户机进行重新配置就能解决这个问题,因而不会变成性能瓶颈。PIX Firewall支持的特殊多媒体应用包括:
RealAudio
Streamworks
CU-SeeMe
互联网 Phone
IRC
Vxtreme
VDO Live
注意 如果需要,可以通过访问列表终止对专有协议的支持。
RAS第2版本(RAS Version 2)
多媒体应用需要注册、承认和状态(RAS)协议,例如需要视频和音频编码的视频会议和IP语音。RAS通道携带着端点和关守之间的带宽变化以及注册、承认和状态信息(按照H.225中的规定)。多媒体应用使用大量动态协商的数据和控制通道处理各种可视和审计流。
RTSP
PIX Firewall可以安全发送实时流协议(RTSP)包。RTSP广泛用于RealAudio、RealNetworks、Apple QuickTime 4、RealPlayer和Cisco IP/TV连接。借助这个特性,防火墙能够处理多媒体应用,包括Cisco IP/TV连接。
注意 RTSP消息隐藏在HTTP消息中,但PIX Firewall不能识别HTTP覆盖层。NAT也不支持RTSP。
Cisco IP电话(Cisco IP Telephony)
Cisco IP电话可以将VoIP(IP语音)网络和公共交换电话网(PSTN)集成在一起。要在内部语音网和外部语音网之间传输语音,需要支持以下协议:
H.323
SIP
H.323
借助PIX Firewall,可以安全地使用H.323第2版本。H.323是国际电信组织(ITU)为LAN多媒体会议制定的一套协议。其特性包括:
提供快速连接和快速启动程序,以便加快呼叫;
为资源保留提供H.245通道,可实现呼叫同步,并能缩短设置时间;
能执行呼叫重定向;
召开会议——只有端点同意参加才会建立会议连接。
SIP
通话初始协议(SIP)能建立呼叫处理通话过程——尤其是双方音频会议,或称“呼叫”。 PIX Firewall不但支持SIP VoIP网关和VoIP代理服务器,还可以使用SDP为动态分配的UDP端口进行定义。
NETBIOS over IP
PIX Firewall支持从内部网络到外部网络的NETBIOS over IP连接。这样,内部网络上的Microsoft客户机系统就可以利用NAT访问外部网络上的各类服务器,例如Windows NT。这种方式不但允许将安全政策用于互联网上及内部网内的Microsoft环境,还允许使用Microsoft环境中的访问控制。
创建虚拟专用网(Creating a Virtual Private Network)
本节将介绍虚拟专用网(×××)技术,以及怎样在PIX Firewall中实施这种技术。本节包含的内容如下:
什么是×××?
IPSec
互联网密钥交换(IKE)
认证机构
使用站点到站点×××
使用远程接入×××
什么是×××?(What is a ×××?)
借助×××,您可以将分布在世界各地的用户以及公共互联网上的站点安全地互连在一起。与基于传统广域网的帧中继或拨号连接相比,×××不但能降低成本,提高可靠性,还能简化管理。×××的安全性和管理政策与专用网络相同。借助×××,客户、商业合作伙伴以及远程工作者等远程用户可以安全地访问企业的计算资源。
IPSec是一种标准,它规定了建立×××的独立于厂商方法。作为安全功能的一部分,PIX Firewall提供基于IPSec标准的×××功能。借助IPSec,当数据在公共网上传输时,用户无需担心数据会被查看、篡改或欺诈。
站点到站点×××和远程接入×××是×××的两个类型,PIX Firewall同时支持这两种×××。
IPSec
借助IPSec,用户可以通过互联网等不受保护的网络传输敏感信息。IPSec在网络层操作,能保护和鉴别所涉及的IPSec设备(对等物)之间的IP包,例如PIX Firewall单元。
IPSec提供的网络安全服务如下:
数据保密性——在通过网络传输之前,IPSec发送者可以对包进行加密;
数据完整性——IPSec接收者可以对IPSec发送者发出的包进行鉴别,以保证数据在传输过程中未被篡改;
数据来源鉴别——IPSec接收者可以识别所发送的IPSec包的来源,这种服务与数据完整性服务相关;
反重播——IPSec接收者可以删除和拒绝重播的包。
注意 数据认证主要是指数据完整性和数据来源鉴别。在本章中,如果没有其它规定,它还包括反重播服务。
IPSec提供了两台对等设备之间的安全通道,例如两个PIX Firewall单元之间的安全通道。用户可以自己确定哪些包属于敏感信息,应该通过这些安全通道发送。通过确定这些通道的特性,用户还可以确定应该使用哪些参数保护这些敏感包。当IPSec对等设备看到敏感包时,它将建立相应的安全通道,并通过通道将包发送给远程用户。用于传输信息的安全通道基于加密密钥以及安全协会(SA)规定的其它安全参数。
互联网密钥交换(互联网 Key Exchange ,IKE)
IPSec自动建立安全通道的过程分为两个阶段:
第一阶段:这个阶段通过互联网密钥交换(IKE)协议实施,能建立一对IKE SA。IKE SA用于协商一个或多种IPSec SA,以便实际传输应用数据。
第二阶段:这个阶段使用IKE SA提供的安全通道协商IPSec SA。当这个阶段结束时,两台对等设备均已建立了一对IPSec SA,以便提供传输应用数据所需的安全通道。SA参数之一是寿命,可配置的寿命期结束之后,SA将自动终止,因此,这个参数能提高IPSec的安全性。
IKE协议为协商IPSec SA建立了安全通道。借助IKE,无需人工配置每台IPSec对等设备就能实施IPSec。随着对等设备的增加,人工配置IPSec对等设备将变得异常复杂,因为每台对等设备都需要一对SA才能与借助IPSec通信的另一台对等设备通信。
与IPSec相似,IKE也使用一对SA在两台对等设备之间建立安全通信通道。IKE使用SA为IPSec通道安全协商SA,而不是传输用户信息。
用户可以人工配置SA,以便在两台对等设备之间建立IPSec通道。但是,这种方法并不安全,因为人工配置的SA不会自动过期。另外,随着对等设备的增加将出现严重的扩展问题。无论何时在网络中添加使用IPSec的对等设备都必须在每台现有对等设备上增加一对SA。基于此种原因,只有当远程对等设备不支持IKE时才使用人工配置。
与IPSec SA的人工配置相似,IKE SA可以通过预共享密钥建立。但是,这种方法也存在人工配置IPSec SA的扩展问题。认证机构(CA)提供了一种可扩展的方法,能够共享密钥以建立IKE SA。
认证机构(Certification Authorities)
要想了解CA帮助配置IKE的方式,应该先了解公用/专用密钥加密。公用/专有密钥也称为非对称密钥,它是一对密钥,用一个密钥加密的数据可以用另一个密钥解密。这个属性可用于解决通过非安全网络共享秘密时遇到的扩展问题。
产生公用/专用密钥对之后,一个密钥保密(专用密钥),另一个密钥公开(公用密钥)。当任何对等设备需要与专用密钥的所有者共享秘密时,只需使用公用密钥对信息加密即可。对原始信息解密的唯一方式是使用专用密钥。使用这种方法,无需传送对加密信息解密的秘密口令就能通过非安全网络共享加密信息。
公用/专用密钥对的这个独特属性还提供了一种出色的认证方法。公用密钥只能对用相应专用密钥加密的信息进行解密。如果消息可以借助某个公用密钥阅读,就可以肯定,信息的发送者拥有相应的专用密钥。
这就是使用CA的原因。这种公共密钥证书,或称数字证书,用于将公用/专用密钥对与某个IP地址或主机名称联系在一起。认证机构(CA)在某段时间发行公用密钥证书。CA可以是自己内部机构运作的专用(内部)CA,也可以是公共CA。VeriGign等公共CA由客户信任的第三方运作,它将负责核实获取证书的每台客户机和服务器的身份。
IKE协议使用数字证书生成第一对SA,为协商IPSec SA提供安全通道。为使用证书协商IKE SA,两台IPSec对等设备都必须产生公用/专用密钥对,请求和接收公用密钥证书,并确保信任发行证书的CA。
默认状态下,多数浏览器都信任来自著名CA的证书,例如VeriSign,并提供用于增加CA的选项,以便产生和请求数字证书。用户还可以在将浏览器分布给用户之前为浏览器软件预先配置CA和必要的证书。
如果想了解配置PIX Firewall以便使用IKE和数字证书的步骤,请参见“基本×××配置”中的“使用认证机构”。
使用站点到站点×××(Using a Site-to-Site ×××)
站点到站点×××是一种WAN基础设施,能够代替和增强使用租用线路、帧中继或ATM连接远程和分支办公室和中央站点的现有专用网络。对于站点到站点×××,PIX Firewall可以与任何Cisco ×××型网络设备互操作,例如Cisco ×××路由器。
站点到站点×××在PIX Firewall与远程IPSec安全网关之间建立。远程IPSec安全网关可以是PIX Firewall、Cisco ×××集中器或者×××型路由器,也可以是符合IPSec的任何第三方设备。要想了解配置指令,请参考“基本×××配置”;要想了解配置实例,请参考“站点到站点×××配置实例”。
使用远程接入×××(Using a Remote Access ×××)
PIX Firewall支持混合型×××部署,包括站点到站点流量和远程接入流量。远程接入×××使用模拟、数字、ISDN、DSL、移动IP和有线技术将移动用户、远程员工及其他独立系统与PIX Firewall保护的网络安全地连接在一起。借助以下Cisco远程接入×××应用,可以接入到受PIX Firewall保护的网络中:
Secure ××× Client,第1.1版本或更高
Cisco ××× 3000 Client,第2.5版本或更高
Cisco ××× Client,第3.0版本
注意 建议您使用Cisco ××× Client第3.0版本。
要了解常用的配置指令,请参考“基本×××配置”;要了解具体步骤和配置实例,请参考“配置×××客户机远程接入”。
PIX Firewall的系统管理(PIX Firewall System Management)
本节将介绍用于管理PIX Firewall的特性和工具,包含以下内容:
ice Manager
Telnet界面
SSH第1版本
使用SNMP
TFTP配置服务器
XDMCP
使用系统日志服务器
FTP和URL登录
与IDS集成
PIX Device Manager
Cisco PIX Device Manager(PDM)是基于浏览器的配置工具,用户无需深入了解PIX Firewall命令行界面(CLI)就能从图形用户界面(GUI)建立、设置和监控PIX Firewall。PDM从Windows NT、Windows 95、Windows 2000或Solaris web浏览器提供管理界面。PDM只允许内部网络内的某些客户机系统访问HTML接口(根据源地址),其密码受到保护。
Telnet界面(Telnet Interface)
PIX Firewall Telnet界面提供与Cisco IOS软件类似的命令行界面。借助Telnet界面,可以通过控制台界面远程管理PIX Firewall。Telnet界面只允许内部网络内的某些客户机系统访问Telnet界面(根据源地址),而且密码能受到保护。如果内部网络不安全,且LAN上的通话可以被窃听,就应该限制使用Telnet界面。如果配置了IPSec,还可以从外部界面访问PIX Firewall控制台。
SSH第1版(SSH Version 1)
PIX Firewall支持SSH第1版中提供的SSH远程壳功能。SSH可以安全地远程配置PIX Firewall,因而能提供加密和认证功能。
使用SNMP(Using SNMP)
PIX Firewall通过简单网络管理协议(SNMP)支持网络监控。SNMP界面允许通过传统网络管理系统监控PIX Firewall。PIX Firewall只支持SNMP GET命令,此命令只允许执行只读接入。
SNMP Firewall和Memeory Pool MIB增加了用于识别PIX Firewall状态的其它信息的陷阱数量,包括以下事件:
lock命令的缓冲区使用情况
ow conn命令的连接数量
状态
memory命令的内存使用情况
TFTP配置服务器(TFTP Configuration Server)
用户可以使用复杂文件传输协议(TFTP)配置服务器从一个地点获得多个PIX Firewall的配置。但是,TFTP是不安全的,如果网络安全政策不允许通过网络传输未加密的信息,就不能使用TFTP。
用户还可以使用TFTP将.bin图像从CCO下载到PIX Firewall,以便升级或者更换PIX Firewall上的软件图像。传输文件时,TFTP不执行任何认证,因此不需要远程主机的用户名和密码。
XDMCP
PIX Firewall通过established命令支持使用XDMCP(X显示管理器控制协议)的连接。这个特性使用Xwindows TCP向后连接修复,即协商Xwindows对话,并在目标端口6000上建立初始连接。与其它UDP修复相同,在默认状态下,将打开XDMCP处理功能。
使用系统日志服务器(Using a 系统日志 Server)
PIX Firewall将TCP和UDP 系统日志消息中的消息发送到任何现有系统日志服务器,并提供系统日志服务器,供Windows NT系统使用。Windows NT 系统日志服务器可以提供有时间标记的系统日志消息,接收替代端口上的消息,还可以在不能收到消息时挡住PIX Firewall流量。当Windows NT记录磁盘已满,或者服务器出现故障时,用户还可以让Windows NT 系统日志服务器终止PIX Firewall连接。
FTP和URL登录(FTP and URL Logging)
借助FTP和URL登录特性,用户可以查看用户输入的向内和向外FTP命令,以及用于访问其站点的URL。用户可以利用这个功能监控用户对内部和外部站点的访问。借助它提供的数据,用户可以阻挡对有问题的站点的访问。这个特性可以用logging trap debugging命令打开。注意,这个特性可能会产生关于高流量PIX Firewall的大量系统日志数据。
与IDS集成(Integration with IDS)
PIX Firewall可以与Cisco入侵检测系统互操作。PIX Firewall将检查IDS签名并将其作为系统日志信息发送给系统日志服务器。这个特性只支持单包IDS签名。
PIX Firewall故障恢复(PIX Firewall Failover)
借助PIX故障恢复特性,用户可以用一条专用故障恢复线缆连接两个相同的PIX Firewall设备,以便实现完全冗余的防火墙解决方案。各种PIX Firewall提供的故障恢复特性如表1-1所示。
