分享
 
 
 

理解CiscoPIX防火墙的转换和连接

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

1.ASA安全等级

默认情况下,Cisco PIX防火墙将安全等级应用到每一个接口。越安全的网络段,

安全级别越高。安全等级的范围从0~100,默认情况下,安全等级0适应于e0,并且它的默认名字是外部(outside),安全等级100适应于e1.并且它的

默认名字是inside.

使用name if 可以配置附加的任何接口,安全等级在1~99之间

e.g:

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 dmz security50

1.1自适应安全算法(ASA)允许流量从高安全等级段流向低安全等级段,不需要在安全策略中使用特定规则来允许这些连接,而只要用一个nat

/global命令配置这些接口就行了。

1.2同时如果你想要低安全等级段流向一个高安全等级段的流量必须经过安全策略(如acl或者conduit).

1.3如果你把两个接口的安全等级设置为一样,那流量不能流经这些接口

请记得ASA是cisco pix防火墙上状态连接控制的关键。

2.传输协议

2.1首先请理解一下OSI的7层模型,说实话,如果你要做IT,那么这个OSI的7层模型一定要搞懂,也就像windows 的DNS一样,一定要花工夫在

上面。其中1~7是从物理层向上数的,物理层为第一层,应用层为第七层。

应用层

数据

表示层

数据

会话层

数据

传输层

Segment

网络层

Packet

数据链路层 Frame

物理层

Bit

2.2了解一下TCP/IP

通俗的讲TCP/IP包含两个传输协议TCP,UDP,当然还包括其他,TCP/IP是一个协议族,是对OSI理论的一个实现,是真正应用到网络中的一个

工业协议族。

TCP-它是一个基于连接的传输协议,负责节点间通信的可靠性和效率,通过创建virtual circuits的连接来源端和目的端担当双向通信来完

成这些任务,由于开销很大,所以传输速度变慢。

UDP-它是一个非连接的传输协议,用于向目的端发送数据

理解没有PIX的节点间的TCP通信(三次握手)

理解有一个PIX的节点间TCP通信

2.3注意默认的安全策略允许UDP分组从一个高安全等级段送到一个低安全等级段。

cisco pix 防火墙用下列的方法来处理UDP流量:

2.3.1源及其开始UDP连接,Cisco pix防火墙接收这个连接,并将它路由到目的端。Pix应用默认规则和任何需要的转换,在状态表中创

建一个会话对象,并允许连接通过外部接口

2.3.2任何返回流量要与绘画对象匹配,并且应用会话超时,默认的会话超时是2分钟.如果响应不匹配会话对象,或者超时,分组就会被

丢弃,如果一切匹配,就会允许响应信号传送到发送请求的源端

2.3.3任何从一个低安全等级段到一个高安全等级段的入站的UDP会话都必须经安全策略允许,或者中断连接.

3.网络地址转换

理解RFC1918的三类地址空间:

10.0.0.0~10.255.255.255

172.16.0.0~172.16.255.255

192.168.0.0~192.168.255.255

地址转换是cisco pix防火墙为内部节点提供的使用专用IP地址访问internet的一种方法.被转换的地址称为内部地址,转换后的地址称为全局地址.

这里有一句话要记住:将一个接口的任何地址转换成其他任何地址接口的另外一个地址是可能的,这句话意思是如果你的网段内部地址可以转换

成outside的地址,也可以转换成DMZ的地址,只要正确的使用了nat和global命令.

如:

global (outside) 1 interface

global (dmz) 1 xxx.xxx.xxx.xxx

nat (inside) 1 192.168.6.0 255.255.255.0 0 0

动态地址转换涉及到NAT和PAT,静态地址也就是我们通常所说的给DMZ接口的地址作一个静态隐射,通常用于如web site和mail server等相对关键

的业务.以便Internet上的用户可以通过他们的全局地址连接这些服务器.

NAT命令

pix(config)#nat inside 1 192.168.6.0 255.255.255.0

pix(config)#global (outside) 1 10.0.0.1~10.0.0.255 netmask 255.0.0.0

注意命令中的1在nat和global命令必须相同,它允许指派特定的地址进行转换.

在这里1不能换0,你可以换其他的数,因为nat 0在pix有特定的含义,nat 0表示在pix上用于检测不能被转换的地址,我们通常在做acl转换也应用到这

个命令.

PAT命令:

PAT允许将本地地址转换

成一个单一的全局地址,执行NAT和PAT命令有所相似,不同的是PAT是定义一个单一的全局地址而不是像NAT一样定义一

定范围的地址.

pix(config)#nat (inside) 1 0.0.0.0 0.0.0.0

表示转换网段中的所以地址

pix(config)#global (inside) 10.0.0.1 255.0.0.0

静态地址:

通常将static和conduit命令一起使用,或者可以使用acl来代替conduit

static命令只配置地址转换,为了允许来自一个从低安全等级接口对本地节点的访问,我们前面讲过,需要配置ACL或者建立一个通道.

pix(config)#static (inside,outside) 10.0.0.1 192.168.0.9

pix(config)#conduit permit tcp host 192.168.0.9 eq www any

(这里host表示的是指一个特定的主机host 192.168.0.9表示 192.168.0.9 255.255.255.255为什么要是255.255.255.255,别搞成为subnet mask,它是

wildcard,也就是通配符,any表示任何源地址和目的地址,0.0.0.0 255.255.255.255.eq is mean the match only packets on a given port number.)

这里我们可以把conduit转换成ACL

pix(config)#access-list 101 permit tcp any host 192.168.0.9 eq www

pix(config)#access-group 101 in interface outside

使用static命令实现端口重定向

pix(config)#static (inside,outside) tcp 192.168.0.9 ftp 10.10.10.9 2100 netmask 255.255.255.255. 0.0

其中ftp可以用21来表示,在这里的服务与前面的协议对应,是tcp 还是udp,ftp当然对应tcp.

这个命令的意思我通过在低安全等级访问192.168.0.9的21端口,它自动转到10.10.10.9 2100这个端口上.

在6.2版本以上支持双向网络地址转换,我不知道这个是什么意思?

他说可以对外部源IP地址的NAT,以便将外部接口的分组发送到一个内部接口上两个重要的命令:

show xlate查看转换表

show conn查看连接状况

有很多命令选项,大家可以在cli下show xlate ?查看一下,对你处理故障非常有用.

5.配置DNS支持

在默认情况下,PIX鉴别每个输出的DNS请求,并且只允许一个对这些请求的响应.随后所有对原始查询的响应会被丢弃.

所以有时候我们在pix使用show conn看到有很多去DNS的响应都被丢掉,这个是合理的现象.

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有