第二次PIX防火墻工作原理

1、PIX 防火墻工作原理課程目標學完本課程，您應該能夠：了解防火墻的分類及其區(qū)別掌握PIX防火墻的工作原理 掌握PIX防火墻的基本配置2課程內(nèi)容防火墻定義與部署位置防火墻服務層面防火墻的分類及其區(qū)別PIX防火墻工作原理PIX防火墻的基本配置PIX防火墻的工作模式3防火墻定義與部署位置防火墻定義防火墻的定義： 控制介于網(wǎng)絡之間不同區(qū)域的流量的一臺設備或一套系統(tǒng)；（隔離） 保護內(nèi)網(wǎng)資產(chǎn)免受攻擊；（保護）防火墻的部署手段： 基于主機FW-網(wǎng)絡中所有設備都要啟用FW功能；（分布式） 優(yōu)點：簡單 缺點：管理困難 基于網(wǎng)絡FW-使用單一設備限制進出網(wǎng)絡的流量；（集中式） 優(yōu)點：方便管理 降低成本5防火墻服務

2、層面OSI參考模型與防火墻OSI參考模型的描述：層名稱作用描述7應用層處理命令行或圖形用戶界面，個人用戶使用這些界面和設備交互作用6表示層確定數(shù)據(jù)類型，比如文本、圖片、聲音和影片在監(jiān)視器上如何被表示5會話層建立、監(jiān)控和拆除設備之間的網(wǎng)絡連接 4傳輸層為連接提供一個可靠或不可靠的傳輸機制，以及可選的流控制3網(wǎng)路層通過邏輯地址體系比如IP和IPX為網(wǎng)絡定義邏輯拓撲2數(shù)據(jù)鏈路層定義設備如何在一個特定的媒體類型（如以太網(wǎng)）彼此通信，以及硬件地址（如MAC地址）1物理層定義用于在物理媒體上（如同軸電纜、光纖和空氣）傳輸數(shù)據(jù)的物理特征的屬性7防火墻服務層面防火墻系統(tǒng)能工作在OSI 7層模型的5個層次上，能

3、從越多的層處理信息，它在過濾處理中的粒度就更細；7應用層6表示層5會話層4傳輸層3網(wǎng)路層2數(shù)據(jù)鏈路層1物理層防火墻層8防火墻的分類及其區(qū)別防火墻的種類根據(jù)防火墻的服務層面不同分類：包過濾防火墻 3、4層狀態(tài)防火墻 3、4、5層應用網(wǎng)關防火墻 3、4、5、7層NAT防火墻 3、4層基于主機（服務器和個人）的防火墻 3、4、7層混合防火墻 2、3、4、5、7層 如：PIX、ASA10第一種 包過濾防火墻防火墻的最簡單的形式是包過濾防火墻，使用ACL來處理，它能過濾以下類型的信息：第3層的源和目的地址 ：IP地址第3層的協(xié)議信息：IP ICMP OSPF TCP UDP或其他協(xié)議、TOS第4層的協(xié)議

4、信息：TCP UDP的端口號、控制字段發(fā)送或接受流量的接口：ACL綁定到接口上激活優(yōu)點：處理數(shù)據(jù)快，易于匹配絕大多數(shù)的3、4層報頭信息，在實施時很靈活；缺點：ACL過多配置復雜，不能處理應用層的攻擊，不支持連接認證，只對某些類型的攻擊比較敏感；應用場景：用在網(wǎng)絡的第一道防線邊界路由器，安全性要求低、節(jié)省成本；11第二種 狀態(tài)防火墻狀態(tài)防火墻分為:基于會話層狀態(tài)和基于應用層狀態(tài)的包過濾(ASPF或CBAC);后者用于路由器中.與過濾防火墻不同，狀態(tài)防火墻保持連接狀態(tài)的跟蹤；連接是否處于初始化、數(shù)據(jù)傳輸、終止狀態(tài)；它們通過查看TCP頭中的SYN、RST、ACK、FIN和其他控制代碼來確定連接的狀態(tài)

5、；維持一張連接狀態(tài)表；數(shù)據(jù)通過時查找這張表；優(yōu)點：彌補包過濾防火墻不能解決單向訪問的問題；解決方案-開放1023的端口或檢測TCP控制位以確定是不是返回的流量（established）；知曉連接狀態(tài)；缺點：可能復雜難配置，不能阻止應用層攻擊，不能連接認證，不是所有的協(xié)議都有狀態(tài)；應用場景：作為防御的主要方式，帶狀態(tài)能力的邊界路由器；12第三種 應用網(wǎng)關防火墻AGF通常稱為代理防火墻，一般使用軟件來完成；首先截取用戶初始化連接請求并發(fā)送給用戶一個認證信息的請求；認證通過后允許流量通過；存儲合法用戶信息；類型：連接網(wǎng)關FW（CGF）和直通式代理FW(CTP)；CGF：認證通過后，對每個用戶數(shù)據(jù)都執(zhí)

6、行應用層檢測，非常安全但處理慢；CTP：認證通過后，對連接控制不感興趣，只作3、4層過濾處理優(yōu)點：可以支持連接認證，能檢測應用層數(shù)據(jù)；缺點：用軟件來處理，消耗系統(tǒng)資源；僅支持很少應用（http telnet https ftp）；可能需要額外的客戶端軟件；13第四種 NAT防火墻NAT解決IP地址編址問題：IP地址緊缺問題和隱藏內(nèi)部IP編址設計；優(yōu)點：隱藏內(nèi)部IP，允許私有IP上公網(wǎng)，可以控制網(wǎng)絡量；缺點：IP地址或端口改變導致校驗和重新計算，帶來延時；有些應用不支持NAT：內(nèi)嵌式IP；應用場景：上公網(wǎng)的邊界路由器，合并地址池相同的分支；14第五種 基于主機的防火墻一個基于主機FW基本上是運行

7、在個人PC或服務器上的防火墻軟件；是一個簡化的包過濾防火墻；優(yōu)點：能增強安全性，有些可提供基于主機的認證，成本低甚至免費；缺點：是軟件處理，簡化的包過濾FW，難管理（分布式）應用場景：個人PC或服務器等；15第六種 混合防火墻前面討論過的所有防火墻類型整合到一臺單一的設備上去；它就是混合防火墻；如：PIX、ASA等；CISCO IOS也開始慢慢地支持類似PIX的一些安全特性；混合FW的其它特性：DHCPVPNIDS單播或組播路由協(xié)議內(nèi)容過濾URL16防火墻的工作原理安全區(qū)域和安全級別1. 一臺防火墻具有多個接口,每個接口屬于一個安全區(qū)域，但每個接口之間的流量是隔離的.每個接口指定一個安全級別(

8、0100);防火墻至少具有兩個接口 ；如圖：18多安全區(qū)域多接口防火墻的每個接口指定不同的安全級別，如圖：19PIX防火墻默認行為穿過防火墻的連接分為兩種：Outbound-初始流量從高安全級別的接口流向低安全級別的接口；Inbound-初始流量從低安全級別的接口流向高安全級別的接口；防火墻的默認行為：Outbound連接默認是允許通過的；連接好后，回應流量是允許通過的；ICMP除外；Inbound連接默認是不允許通過的, 除非有明顯的放通，使用相應工具來放通流量，如ACL等；20PIX防火墻數(shù)據(jù)處理流程防火墻處理流量的過程：21續(xù)判斷數(shù)據(jù)流是不是一個新連接？第一種：如果是一個新連接，防火墻對

9、初始化流量進行兩個檢測：session management path和control plane path（可選）.session management path檢測的任務：執(zhí)行ACL查找-執(zhí)行快速路由查找（知道轉(zhuǎn)換的地址、路由出口）-執(zhí)行NAT創(chuàng)建Xlates表創(chuàng)建“fast path”會話狀態(tài)（創(chuàng)建CONN表）；因為一些數(shù)據(jù)負載必須被檢測或改變，所以可能需要七層檢測即control plane path檢測；例如：ICMP、多連接的應用：等；第二種：如果是一個已建立的連接，防火墻不需要重檢測數(shù)據(jù)包，可以兩個方向上快速匹配fast path狀態(tài)放通數(shù)據(jù)包；其任務為：IP校驗和檢測、會話co

10、nn查找、TCP序號檢測、基于以創(chuàng)建的Xlate表查找、3/4層頭部調(diào)整等；22PIX防火墻的基本配置防火墻基本配置1、防火墻用戶接口模式2、防火墻文件管理3、防火墻安全級別4、防火墻基本配置5、檢查防火墻狀態(tài)24防火墻訪問模式25訪問特權模式26訪問配置模式27幫助(help)命令28查看和存儲配置29清除運行配置30清除啟動配置31重啟防火墻設備32防火墻文件系統(tǒng)33顯示存儲文件34選擇啟動系統(tǒng)文件35驗證啟動系統(tǒng)映像文件36安全級別示例37防火墻基本配置命令38指定主機名稱39接口命令及子命令40指定接口名稱41指定接口IP地址42通過DHCP獲取接口IP地址43指定接口安全級別44指定

11、接口速度和雙工模式45配置靜態(tài)路由46防火墻基本配置示例47防火墻基本配置示例（續(xù)）48防火墻基本配置示例（續(xù)）49Show命令50show memory與show cpu usage命令51show version命令52show interface命令53show nameif命令54show xlate命令55ping命令56Clock命令57防火墻的工作模式防火墻工作模式PIX防火墻可以檢測包含在IP包中的高層協(xié)議數(shù)據(jù)，但是防火墻本身也要維持它自己的IP接口即扮演著一個路由器的角色，這個就叫著路由防火墻模式(routed firewall mode);從PIX7.0開始，PIX能配置成

12、操作在透明防火墻模式 (transparent firewall mode);這時就是一臺二層設備；有時候叫著二層防火墻；它接口就沒有IP地址，僅單一管理地址能配置在防火墻上（必須的）；工作原理跟交換機一樣；維持MAC表，成為轉(zhuǎn)發(fā)數(shù)據(jù)的依據(jù)；它不洪泛未知單播包；不支持NAT/PAT；僅能使用兩個接口；但是它還是可以服務2 、3、 4、 5、 7層過濾；59防火墻交換與路由配置1、防火墻VLAN支持2、靜態(tài)與動態(tài)路由3、OSPF路由601、防火墻VLAN支持61防火墻VLAN62防火墻邏輯與物理接口63指定VLAN名稱與安全級別64分配VLAN IP地址65防火墻VLAN配置示例66相同級別的互

13、訪防火墻默認情況下，相同級別之間流量是不允許通過的；分類：相同接口相同級別：intra-interface 在做vpn時候；分部之間通過總部FW通信；流量進出同一接口同一 級別；不同接口相同級別：inter-interface做單臂路由時，劃分子接口時賦予所有子接口為相同級別，這時也是這種情況；配置： 全局下：same-security traffic permit intra-interface| inter-interface672、靜態(tài)與動態(tài)路由68靜態(tài)路由69動態(tài)RIP路由The security appliance accepts encrypted RIP 2 multicast updates. For example, it could learn the route to network from router A.The appliance broadcasts IP address as the default route for devices on the insid