IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

理解CiscoPIX防火墙的转换和连接

2009年01月03日
/

1.ASA安全等级
默认情况下,Cisco PIX防火墙将安全等级应用到每一个接口。越安全的网络段,安全级别越高。安全等级的范围从0~100,默认情况下,安全等级0适应于e0,并且它的默认名字是外部(outside),安全等级100适应于e1.并且它的

默认名字是inside.
使用name if 可以配置附加的任何接口,安全等级在1~99之间
e.g:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50

1.1自适应安全算法(ASA)允许流量从高安全等级段流向低安全等级段,不需要在安全策略中使用特定规则来允许这些连接,而只要用一个nat

/global命令配置这些接口就行了。

1.2同时如果你想要低安全等级段流向一个高安全等级段的流量必须经过安全策略(如acl或者conduit).

1.3如果你把两个接口的安全等级设置为一样,那流量不能流经这些接口

请记得ASA是cisco pix防火墙上状态连接控制的关键。

2.传输协议
2.1首先请理解一下OSI的7层模型,说实话,如果你要做IT,那么这个OSI的7层模型一定要搞懂,也就像windows 的DNS一样,一定要花工夫在上面。其中1~7是从物理层向上数的,物理层为第一层,应用层为第七层。
应用层 数据
表示层 数据
会话层 数据
传输层 Segment
网络层 Packet
数据链路层 Frame
物理层 Bit


2.2了解一下TCP/IP
通俗的讲TCP/IP包含两个传输协议TCP,UDP,当然还包括其他,TCP/IP是一个协议族,是对OSI理论的一个实现,是真正应用到网络中的一个

工业协议族。
TCP-它是一个基于连接的传输协议,负责节点间通信的可靠性和效率,通过创建virtual circuits的连接来源端和目的端担当双向通信来完成这些任务,由于开销很大,所以传输速度变慢。
UDP-它是一个非连接的传输协议,用于向目的端发送数据

理解没有PIX的节点间的TCP通信(三次握手)
理解有一个PIX的节点间TCP通信

2.3注意默认的安全策略允许UDP分组从一个高安全等级段送到一个低安全等级段。
cisco pix 防火墙用下列的方法来处理UDP流量:
2.3.1源及其开始UDP连接,Cisco pix防火墙接收这个连接,并将它路由到目的端。Pix应用默认规则和任何需要的转换,在状态表中创建一个会话对象,并允许连接通过外部接口
2.3.2任何返回流量要与绘画对象匹配,并且应用会话超时,默认的会话超时是2分钟.如果响应不匹配会话对象,或者超时,分组就会被丢弃,如果一切匹配,就会允许响应信号传送到发送请求的源端
2.3.3任何从一个低安全等级段到一个高安全等级段的入站的UDP会话都必须经安全策略允许,或者中断连接.

3.网络地址转换
理解RFC1918的三类地址空间:
10.0.0.0~10.255.255.255
172.16.0.0~172.16.255.255
192.168.0.0~192.168.255.255
地址转换是cisco pix防火墙为内部节点提供的使用专用IP地址访问internet的一种方法.被转换的地址称为内部地址,转换后的地址称为全局地址.
这里有一句话要记住:将一个接口的任何地址转换成其他任何地址接口的另外一个地址是可能的,这句话意思是如果你的网段内部地址可以转换成outside的地址,也可以转换成DMZ的地址,只要正确的使用了nat和global命令.
如:global (outside) 1 interface
global (dmz) 1 xxx.xxx.xxx.xxx
nat (inside) 1 192.168.6.0 255.255.255.0 0 0


动态地址转换涉及到NAT和PAT,静态地址也就是我们通常所说的给DMZ接口的地址作一个静态隐射,通常用于如web site和mail server等相对关键的业务.以便Internet上的用户可以通过他们的全局地址连接这些服务器.

NAT命令
pix(config)#nat inside 1 192.168.6.0 255.255.255.0
pix(config)#global (outside) 1 10.0.0.1~10.0.0.255 netmask 255.0.0.0
注意命令中的1在nat和global命令必须相同,它允许指派特定的地址进行转换.
在这里1不能换0,你可以换其他的数,因为nat 0在pix有特定的含义,nat 0表示在pix上用于检测不能被转换的地址,我们通常在做acl转换也应用到这个命令.

PAT命令:
PAT允许将本地地址转换

成一个单一的全局地址,执行NAT和PAT命令有所相似,不同的是PAT是定义一个单一的全局地址而不是像NAT一样定义一定范围的地址.
pix(config)#nat (inside) 1 0.0.0.0 0.0.0.0 表示转换网段中的所以地址
pix(config)#global (inside) 10.0.0.1 255.0.0.0

静态地址:
通常将static和conduit命令一起使用,或者可以使用acl来代替conduit
static命令只配置地址转换,为了允许来自一个从低安全等级接口对本地节点的访问,我们前面讲过,需要配置ACL或者建立一个通道.
pix(config)#static (inside,outside) 10.0.0.1 192.168.0.9
pix(config)#conduit permit tcp host 192.168.0.9 eq www any
(这里host表示的是指一个特定的主机host 192.168.0.9表示 192.168.0.9 255.255.255.255为什么要是255.255.255.255,别搞成为subnet mask,它是wildcard,也就是通配符,any表示任何源地址和目的地址,0.0.0.0 255.255.255.255.eq is mean the match only packets on a given port number.)
这里我们可以把conduit转换成ACL
pix(config)#access-list 101 permit tcp any host 192.168.0.9 eq www
pix(config)#access-group 101 in interface outside

使用static命令实现端口重定向
pix(config)#static (inside,outside) tcp 192.168.0.9 ftp 10.10.10.9 2100 netmask 255.255.255.255. 0.0
其中ftp可以用21来表示,在这里的服务与前面的协议对应,是tcp 还是udp,ftp当然对应tcp.
这个命令的意思我通过在低安全等级访问192.168.0.9的21端口,它自动转到10.10.10.9 2100这个端口上.


在6.2版本以上支持双向网络地址转换,我不知道这个是什么意思?
他说可以对外部源IP地址的NAT,以便将外部接口的分组发送到一个内部接口上两个重要的命令:
show xlate查看转换表
show conn查看连接状况
有很多命令选项,大家可以在cli下show xlate ?查看一下,对你处理故障非常有用.

5.配置DNS支持
在默认情况下,PIX鉴别每个输出的DNS请求,并且只允许一个对这些请求的响应.随后所有对原始查询的响应会被丢弃.
所以有时候我们在pix使用show conn看到有很多去DNS的响应都被丢掉,这个是合理的现象.


发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

风险管理 大数据分析并不是风险“预言家”
风险管理 大数据分析并不是风险“预言家”CIO们在使用大数据分析工具的前提是部署云计算,但是云计算不无高风险,例如把关...
高性能万兆WAF创造Web安全防护新境界
高性能万兆WAF创造Web安全防护新境界启明星辰万兆WAF在超过10G数据吞吐量的情况下还能实现对SQL注入、XSS跨站等攻击进...

本类热点