2008年4月20日 星期日

PIX Firewall 的簡易基本設定

Cisco PIX Firewall 是一套業界整體效能表現最佳與硬體架構的防火牆,無論是安裝與設定均相當簡易, 得使用圖形介面或指令模式操作與設定,而且PIX Firewall 通過ICSA 防火牆安全專業認證,完全保障 企業網路安全。

現在就指令模式設定PIX Firewall 步驟介紹如下:

1. 定義PIX Firewall 網路卡的名稱 :
PIX Firewall 兩片網路卡的初始設定值
nameif ethernet0 outside security0
nameif ethernet1 inside security100
當PIX Firewall 有三片網路卡以上時,使用者必須以指令設定。
nameif ethernet2 dmz1 security40
nameif ethernet3 dmz2 security60
其中nameif 語法為:nameif hardware_id interface security_level
- hardware_id 代表PIX Firewall 網路卡的種類 (乙太網路卡或環狀網路卡)
- interface 代表PIX Firewall 網路卡名稱
- security_level 代表安全權限等級;等級可以自Level 0(outside)到Level 100(inside)
其中level 0(outside)及level 100(inside)是唯一的且不能重覆,
第三片網卡以上可以自level 1 到level 99 選擇適合的安全權限等級。

除此之外,我們還必須瞭解安全權限等級背後的代表意義:
●TCP/IP 服務自較高安全等級的網路卡至較低安全等級的網路卡;所有服務基本上均允許通過;除非設定拒絕TCP/IP 服務通過的條件,
舉例:Level 100 (inside)網段至Level 0 (outside)網段,所有TCP/IP 服務均允許通過。
●TCP/IP 服務自較低安全等級的網路卡至較高安全等級的網路卡;所有服務基本上均拒絕通過;除非設定允許TCP/IP 服務通過的條件,
舉例:Level 0 (outside)網段至Level 100 (inside)網段,所有TCP/IP 服務均拒絕通過。

2. 設定PIX Firewall 各個網路卡的IP 位址:
ip address inside 192.168.3.1 255.255.255.0
ip address outside 204.31.17.1 255.255.255.0
ip address dmz1 192.168.1.1 255.255.255.0
ip address dmz2 192.168.2.1 255.255.255.0
其中IP address 語法為:
ip address interface ip_address netmask
- ip_address 代表網路上唯一的網路IP 位址
- netmask 代表子網路遮罩

3. PIX Firewall 企業網路安全建置案例 :
PIX Firewall:
outside (level 0) ip address 204.31.17.1 netmask 255.255.255.0
dmz1 (level 40) ip address 192.168.1.1. netmask 255.255.255.0
dmz2 (level 60) ip address 192.168.2.1. netmask 255.255.255.0
inside (level 100) ip address 192.168.3.1. netmask 255.255.255.0
以上四片網路IP 位址,只有outside 網路卡使用合法IP 位址,其餘網路卡均使用非法IP 位址。

4. 建立PIX Firewall 各個網卡(網段)對外的透通聯結 :
●NAT(Network Address Translation) : IP 位址的對應轉換設定
nat (inside) 1 0 0
nat (dmz1) 1 0 0
nat (dmz2) 1 0 0
表示inside 網段的非法IP 位址均作IP 位址轉換
其中nat 語法為:nat (interface) NAT_ID ip_address netmask
- nat 表示Network Address Translation
- NAT-ID 表示nat 群組編號,此編號必須與global 指令中之群組編號配合使用
-當nat 指令中之群組編號為0 時,代表此interface 所有網段不須作NAT 位址轉換。
●相應NAT 之Global 設定
Global 網段的設定在相應NAT 網段做IP 位址轉換後的對應IP 位址。
global (outside) 1 204.31.17.9 netmask 255.255.255.0
global (outside) 1 204.31.17.10~204.31.17.20 netmask 255.255.255.0
global (dmz1) 1 192.168.1.10~192.168.1.100 netmask 255.255.255.0
global (dmz2) 1 192.168.2.10~192.168.2.100 netmask 255.255.255.0
以上指令說明如下:
- 第一條指令表示採用PAT(Port Address Translation)方式,總共inside 網段最大允許有6500 個主機以相
同IP 位址不同Port 的方式對外產生聯結。
- 第二條指令採用IP Pool 方式,允許inside 網段之主機允許自204.31.17.20 至204.31.17.10 依序取得IP
位址,總共inside 網段只有11 個主機可對外聯結。

5. 建立PIX Firewall 網路路由繞徑:
route outside 0 0 204.31.17.2 1
其中route 語法為:
route interface source_ip_address source.netmask desk_ip_address dest_netmask metric
設定方式與一般Router 相同。

6. 開放TCP/IP 中之ping 服務 :
Conduit permit icmp any any
此conduit 指令將在第9 步驟中介紹。

7. 將前幾個步驟設定儲存在Flash 記憶體並重新開機 :
write memory
reload
設定方式與一般Router 相同。

8. 初步檢驗PIX Firewall 的設定 :
利用PIX Firewall Console port 直接聯結後,再以以下之指令測試之:
show ip address
show global
show nat
show route
ping inside 192.168.3.2
ping dmz2 192.168.2.2
ping dmz1 192.168.1.2
ping outside 204.31.17.2

9. 建立可供internet 主機存取企業內之開放之伺服器 :
static (dmz1, outside) 204.31.17.5 192.168.1.5 netmask 255.255.255.255
conduit permit tcp host 204.31.17.5 eq www any
其中
static 語法為:static (high, low) low high
conduit 語法為:conduit permit/deny protocol
global_ip global_netmask [operator port [port]]
foreign_ip foreign_netmask [operator, port [port]]
舉例:
static (inside, outside) 204.31.17.0 192.168.10 netmask 255.255.255.0
conduit permit tcp 204.31.17.0 255.255.255.0 eq h323 any
conduit permit tcp 204.31.17.0 255.255.255.0 eq 113 192.150.50.0 255.255.255.0
以上指令說明如下:
- 第一條指令代表internet 中任一主機可以透過tcp/h323 服務存取204.31.17.0 之網段。
- 第二條指令代表在Internet 中之192.150.50.0 網段上主機可透過tcp/113 服務存取204.31.17.0 網段。

10. 啟動PIX Firewall 日誌記錄 :
logging host outside 204.31.17.5
目的在記錄PIX Firewall 進出服務的所有活動記錄,做為未來安全稽核的參考。

11. 進一步設定 - 限制企業內部存取internet 服務 :
outbound 10 deny 0 0 www tcp
outbound 10 permit 192.168.1.2 255.255.255.255 www tcp
apply (dmz1) 10 outgoing_src
以上三條指令代表只允許企業內部為192.168.1.2 IP 位址之主機可透過tcp/80 服務存取internet Web 伺服

outbound 20 deny 204.31.17.42 255.255.255.255 www tcp
apply (dmz1) 20 outgoing_dest
以上二條指令代表限制dmz1 網段之任一主機無法以tcp/80 服務存取IP 為20.31.17.42 位址之主機。

12. 進一步設定 - 建立網路使用者認證機制 :
tacacs-server (inside) host 192.168.3.3 key cisco
aaa authentication any inbound 0 0 0 0 tacacs+
aaa authentication any outbound 0 0 0 0 tacacs+
以上三條指令定義使用者認證伺服器IP 位址,並對進出PIX Firewall 之FTP, TELNET 與HTTP 三種TCP/IP 服務進行人員認證作業。

13. 利用以下指令做偵錯動作 :
logging console debugging
debug icmp trace
此指令的目的在方便PIX Firewall 做設定時, 能及時利用此偵測工具, 做出快速及正確的設定。

沒有留言:

張貼留言