基于GNS3虚拟机的PIX防火墙配置实例
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于GNS3虚拟机的PIX防火墙配置实例范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要:在GNS3里采用pix804的模拟器,通过配置模拟的场景来介绍如何开启要求策略来满足实际应用的需要。准确地分析了需要在防火墙上部署的功能,开启相应策略的具体操作。给出了主要配置过程,关键点作了详细的分析和诊断。通过PING命令,远程登录管理,FTP等操作简单演示了配置结果,并对进一步的扩展配置做出了引导性的分析。
关键词:GNS3; PIX防火墙;配置
中图分类号:TP393
文献标识码:A文章编号:1005-3824(2014)05-0078-03
0 引 言
近年来,随着网络技术和应用的迅猛发展,网络安全的重要性是不言而喻的。防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的2个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
防火墙技术分为3种<sup>[1]</sup>:包过滤防火墙、防火墙和状态包过滤防火墙。包过滤防火墙,使用 ACL 控制进入或离开网络的流量,ACL可以根据匹配包的类型或其他参数来制定,该类防火墙不足之处在于ACL 制定的维护比较困难,且可以使用IP欺骗绕过ACL。防火墙是在OSI的高层检查数据包,然后和制定的规则相比较,符合规则才能被发送,其缺点是性能问题,由于防火墙会对每个经过它的包都会深度检查,这对系统和网络的性能有较大的影响。状态包过滤防火墙,例如Cisco PIX使用的就是此类防火墙,该防火墙会维护每个会话的状态信息,且将状态信息写在状态表里,状态表<sup>[3]</sup>的条目有:源地址、目的地址、端口号、TCP 序列号信息以及每个 TCP 或 UDP 的额外的标签信息。所有进入或外出的流量都会和状态表中的连接状态进行比较,只有状态表中的条目匹配的时候才允许流量通过,防火墙收到一个流量后,首先查看是否已经存在于连接表中,如果没有存在,则看这个连接是否符合安全策略,如果符合,则处理后将该连接写入状态表;如果不符合安全策略,那么就将包丢弃。简单地说,防火墙只处理第一个包,后续的属于该连接的包都会直接按照状态表转发,因此性能就有很高的提升。
可见,状态包过滤防火墙是包过滤和防火墙的技术的结合,目前有非常广泛的应用。
1 PIX防火墙模拟配置平台
GNS3是一种可以仿真复杂网络的图形化网络模拟器<sup>[2]</sup>。GNS3允许在Windows、Linux系统上仿真IOS,其支持的路由器平台、防火墙平台(PIX)的类型非常丰富。当前市面上有不同类型的多种路由器模拟器,但他们支持的路由器命令较少,在进行相关实验时常发现这些模拟器不支持某些命令或参数。用户使用这些模拟器通常只能看到所模拟路由器的输出结果。在GNS3中,所运行的是实际的IOS,能够使用IOS所支持的所有命令和参数。另外,GNS3是一种开源软件,不用付费就可使用,用户只需要想办法获取Cisco的IOS映像文件即可。
在GNS3中没有PC模板,虽然可以通过关闭路由器的路由功能来模拟PC,但这样非常浪费内存,一个PC就要32 M以上的内存,通常做稍微大点的模拟网络,加上5台以上的路由器和交换机。我们的试验机已经不堪重负。而使用一个VPCS可以模拟9个PC<sup>[3]</sup>,只用几M的内存。
2 PIX防火墙配置实例
PIX防火墙采用804版本IOS,接口、IP设置如图1所示。实验采用PIX804模拟器,内网、DMZ、外网分别为3台3600 路由器,其中LAN路由器和本机(真实PC)连到一起,WAN路由器和虚拟机连到一起。在网络中,非军事区(DMZ) <sup>[3]</sup>是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。当规划一个拥有DMZ的网络时,我们可以明确各个网络之间的访问关系,可以确定为以下6条访问控制策略:1)内网可以访问外网;2)内网可以访问DMZ;3)外网不能访问内网;4)外网可以访问DMZ;5)DMZ不能访问内网;6)DMZ不能访问外网,此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。
图1 配置PIX连通性拓扑图
2.1 配置过程
防火墙出厂的时候自带有一些基本的功能<sup>[4]</sup>,如果需要增加一些额外的功能,那么就需要购买许可证(license) 激活 key。可以使用 show vsersion 命令查看目前防火墙所拥有的功能列表,主要配置如下。
1)清除防火墙上的配置,并重启防火墙。
pixfirewall# write erase //清除防火墙上的配置
Erase configuration in flash memory? [confirm]
[OK] //重启防火墙。
2)用nameif命令分别将pixfirewall的e0,e1,e2配置成外口、内口、DMZ,并设置安全级别0,100,50。下以e0外口的配置为例,都配置完后用show nameif显示配置结果。
pixfirewall (config)# interface e0
pixfirewall (config-if)# nameif outside //将E0口配置为外口
INFO: Security level for "outside" set to 0 by default.
pixfirewall (config-if)# security-level 0 //将E0口安全级别设置为0
pixfirewall (config-if)# ip address 220.171.1.2 255.255.255.0
pixfirewall (config-if)#no shutdown
pixfirewall (config-if)# exit
pixfirewall(config)# show nameif
Interface Name Security
Ethernet0 outside 0
Ethernet1 inside 100
Ethernet2 dmz 50
2.2 配置结果分析
1)测试PIX到内网、DMZ区、外网的连通性。
此时如果测试PIX到内网、DMZ区、外网的连通性,均能通过,以外网为例,结果见图2。
图2 PIX到外网的连通性测试结果
2)配置PIX,使其允许内部任何流量。
如果PIX 不做设置,则从LAN 到WAN 的流量是无法出去的。如下图3是在WAN路由器的telnet已启用时,试图从LAN路由器到telnet WAN路由器。
图3 PIX 不做设置时的测试结果
先对PIX作如下配置。
pixfirewall config)# nat (inside) 1 0 0 //内部流量过滤,允许内部任何流量(注:ICMP包可出但不可回)
pixfirewall (config)# global (outside) 1 interface //使用outside接口IP实现端口地址转换
outside interface address added to PAT pool。
设置后测试结果如图4所示。
图4 PIX设置后的测试结果
由此可见,由inside 发出的数据包,标签nat1,到外部时源地址会被outside 接口地址替换<sup>[5]</sup>。由内向外的ping包,源地址也会被替换,但ping包默认可出,但返回时被outside接口阻挡。
3 思考与小结
如上配置可以方便地实现从内网到外网的访问。此PIX基本配置过程如果扩展开来,还得配置PIX到外部的路由。PIX防火墙对于内部到外部的流量默认不能做ping,做其它服务必须使用NAT功能,对到未知网络还需配置路由。而且PIX防火墙可以通过由内部向外发出的返回数据包,而且默认拒绝由外部向内部发出的主动连接数据包。为了防止前次的实验干扰,在实验之前建议使用clear xlate来清除pix的内存连接<sup>[6]</sup>。
参考文献:
[1]
林玉梅.防火墙技术及其研究[J].软件导刊,2012(9):160.
[2] 唐灯平.基于PakcetTracer的访问控制列表实验教学设计[J].长沙通信职业技术学院学报,2011(3):52.
[3] 李剑勇,谢正兰.防火墙的分类及选用[J].计算机光盘软件及选用,2011(8):160.
[4] GREG B, EARL C.CCSP Cisco安全PIX防火墙CSPFA认证考试指南[M].北京:人民邮电出版社,2005:28-30.
[5] 潘文婵.通过访问控制列表分析网络病毒入侵和恶意攻击[J].信息网络安全,2010(4):59-60.
[6] 陈勇兵.路由器访问控制列表应用与实践[J]. 实验技术与管理,2010,27(3):92-93.
作者简介:
张玲丽(1980),女,湖北武汉人,讲师,主要研究方向为通信技术。
基金项目:教育部信息化教职委课题:高职通信类专业课程信息化教学设计与实践研究―以《通信电子线路》为例(2013LX049)。
An instance about how to configure a PIX firewall
based on a virtual machine called gns3
ZHANG Lingli
(Telecommunication College of Wuhan Polytechnic,Wuhan 430074,P.R.China)
Abstract:Using GNS3 PIX804 simulator to configurative a simulation scenario, this paper introduced how to open the request strategy. Its purpose was to meet the needs of practical application. It accurately analyzed the following questions, such as the functions of the deployment of firewall, how to effectively open the corresponding strategy. Main configuration process was given in this paper. The key point has made the detailed analysis and diagnosis. Through the PING command, remote login management, such as FTP operation simple configuration results were demonstrated. Also, it committed to the introductory analysis for further extend configuration.
Key words:GNS3,PIX firewall,configuration