我們知道防火墻有四種類型:集成防火墻功能的路由器，集成防火墻功能的代理服務(wù)器，專用的軟件防火墻和專用的軟硬件結(jié)合的防火墻。Cisco的防火墻解決方案中包含了四種類型中的第一種和第四種，即:集成防火墻功能的路由器和專用的軟硬件結(jié)合的防火墻。

　　一、 集成在路由器中的防火墻技術(shù)

　　1、 路由器IOS標準設(shè)備中的ACL技術(shù)

　　ACL即access Control Lis t(訪問控制列表)，簡稱Access List(訪問列表)，它是后續(xù)所述的IOS Firewall Feature Set的基礎(chǔ)，也是Cisco全線路由器統(tǒng)一界面的操作系統(tǒng)IOS(Internet Operation System，網(wǎng)間操作系統(tǒng))標準配置的一部分。這就是說在購買了路由器后，ACL功能已經(jīng)具備，不需要額外花錢去買。

　　2、 IOS Firewall Feature Set(IOS防火墻軟件包)

　　IOS Firewall Feature Set是在ACL的基礎(chǔ)上對安全控制的進一步提升，由名稱可知，它是一套專門針對防火墻功能的附加軟件包，可通過IOS升級獲得，并且可以加載到多個Cisco路由器平臺上。

　　目前防火墻軟件包適用的路由器平臺包括Cisco 1600、1700、2500、2600和3600，均屬中、低端系列。對很多傾向與使用"all-in-one solution"(一體化解決方案)，力求簡單化治理的中小企業(yè)用戶來說，它能很大程度上滿足需求。之所以不在高端設(shè)備上實施集成防火墻功能，這是為了避免影響大型網(wǎng)絡(luò)的主干路由器的核心工作--數(shù)據(jù)轉(zhuǎn)發(fā)。在這樣的網(wǎng)絡(luò)中，應(yīng)當使用專用的防火墻設(shè)備。

　　Cisco IOS防火墻特征:

　　基于上下文的訪問控制(CBAC)為先進應(yīng)用程序提供基于應(yīng)用程序的安全篩選并支持最新協(xié)議

　　java能防止下載動機不純的小應(yīng)用程序

　　在現(xiàn)有功能基礎(chǔ)上又添加了拒絕服務(wù)探測和預(yù)防功能，從而增加了保護

　　在探測到可疑行為后可向中心治理控制臺實時發(fā)送警報和系統(tǒng)記錄錯誤信息

　　TCP/UDP事務(wù)處理記錄按源/目的地址和端口對跟蹤用戶訪問

　　配置和治理特性與現(xiàn)有治理應(yīng)用程序密切配合

　　二、 專用防火墻--PIX

　　PIX(PRivate Internet eXchange)屬于四類防火墻中的第四種--軟硬件結(jié)合的防火墻，它的設(shè)計是為了滿足高級別的安全需求，以較好的性能價格比提供嚴密的、強有力的安全防范。除了具備第四類防火墻的共同特性，并囊括了IOS Firewall Feature Set的應(yīng)有功能。

　　PIX成為Cisco在網(wǎng)絡(luò)安全領(lǐng)域的旗艦產(chǎn)品已有一段歷史了，它的軟硬件結(jié)構(gòu)也經(jīng)歷了較大的發(fā)展。現(xiàn)在的PIX有515和520兩種型號(520系列容量大于515系列)，從原來的僅支持兩個10M以太網(wǎng)接口，到10/100M以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI的多介質(zhì)、多端口(最多4個)應(yīng)用;其專用操作系統(tǒng)從v5.0開始提供對ipSec這一標準隧道技術(shù)的支持，使PIX能與更多的其它設(shè)備一起共同構(gòu)筑起基于標準VPN連接。

　　Cisco的PIX Firewall能同時支持16，000多路TCP對話，并支持數(shù)萬用戶而不影響用戶性能，在額定載荷下，PIX Firewall的運行速度為45Mbps，支持T3速度，這種速度比基于UNIX的防火墻快十倍。

　　主要特性:

　　保護方案基于適應(yīng)性安全算法(ASA)，能提供任何其它防火墻都不能提供的最高安全保護

　　將獲專利的“切入代理”特性能提供傳統(tǒng)代理服務(wù)器無法匹敵的高性能

　　安裝簡單，維護方便，因而降低了購置成本

　　支持64路同時連接，企業(yè)發(fā)展后可擴充到16000路

　　透明支持所有通用TCP/IP Internet服務(wù)，如萬維網(wǎng)(WWW)文件傳輸協(xié)議(FTP)、Telnet、Archie、Gopher和rlogin

　　支持多媒體數(shù)據(jù)類型，包括Progressive網(wǎng)絡(luò)公司的Real Audio，Xing技術(shù)公司的Steamworks，White Pines公司腃USeeMe，Vocal Te公司的Internet Phone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的Web Theater 2

　　支持H323兼容的視頻會議應(yīng)用，包括Intel的Internet Video Phone和Microsoft的NetMeeting

　　無需因安裝而停止運行

　　無需升級主機或路由器

　　完全可以從未注冊的內(nèi)部主機訪問外部Internet

　　能與基于Cisco IOS的路由器互操作

　　三、 兩種防火墻技術(shù)的比較

　　IOS FIREWALL FEATURE SET PIX FIREWALL

　　網(wǎng)絡(luò)規(guī)模 中小型網(wǎng)絡(luò)，小于250節(jié)點的應(yīng)用。 大型網(wǎng)絡(luò)，可支持多于500用戶的應(yīng)用

　　工作平臺 路由器IOS操作系統(tǒng) 專用PIX工作平臺

　　性能 最高支持T1/E1(2M)線路 可支持多條T3/E3(45M)線路

　　工作原理 基于數(shù)據(jù)包過濾，核心控制為CBAC 基于數(shù)據(jù)包過濾，核心控制為ASA

　　配置方式 命令行或圖形方式(通過ConfigMaker) 命令行方式或圖形方式(通過Firewall Manager)

　　應(yīng)用的過濾 支持Java小程序過濾 支持Java小程序過濾

　　身份認證 通過IOS命令，支持TACACS+、RADIUS服務(wù)器認證。 支持TACACS+、RADIUS集中認證

　　虛擬專網(wǎng)(VPN) 通過IOS軟件升級可支持IPSec、L2F和GRE隧道技術(shù)，支持40或56位DES加密。 支持Private Link或IPSec隧道和加密技術(shù)

　　網(wǎng)絡(luò)地址翻譯(NAT) 集成IOS Plus實現(xiàn) 支持

　　冗余特性 通過路由器的冗余協(xié)議HSRP實現(xiàn) 支持熱冗余

　　自身安全 支持Denial-of-Service 支持Denial-of-Service

　　代理服務(wù) 無，通過路由器的路由功能實現(xiàn)應(yīng)用 切入的代理服務(wù)功能

　　治理 通過路由器的治理工具，如Cisco Works 通過Firewall Manager實現(xiàn)治理

　　審計功能 一定的跟蹤和報警功能 狀態(tài)化數(shù)據(jù)過濾，可通過Firewall Manager實現(xiàn)較好的額監(jiān)控、報告功能。

更多的請看：http://www.qqread.com/windows/2003/index.Html

　　四、 Centri防火墻

　　主要特性:

　　核心代理體系結(jié)構(gòu)

　　針對Windows NT定制TCP/IP棧

　　圖形用戶結(jié)構(gòu)可制訂安全政策

　　可將安全政策拖放到網(wǎng)絡(luò)、網(wǎng)絡(luò)組、用戶和用戶組

　　ActiveX、Java小應(yīng)用程序、Java和Vb模塊

　　通用資源定位器(URL)模塊

　　端口地址轉(zhuǎn)換

　　網(wǎng)絡(luò)地址轉(zhuǎn)換

　　透明支持所有通用TCP/IP應(yīng)用程序，包括WWW、文件傳輸協(xié)議(FTP)Telnet和郵件

　　為Web、Telnet和FTP提供代理安全服務(wù)

　　根據(jù)IP地址、IP子網(wǎng)和IP子網(wǎng)組進行認證

　　使用sl口令和可重復(fù)使用口令Telnet、Web和ftp提供聯(lián)機用戶認證

　　使用Windows NT對所有網(wǎng)絡(luò)服務(wù)進行帶外認證

　　防止拒絕服務(wù)型攻擊，包括SYN Flood、IP地址哄騙和Ping-of-Death

　　五、Cisco PIX防火墻的安裝流程

　　1. 將PIX安放至機架，經(jīng)檢測電源系統(tǒng)后接上電源，并加電主機。

　　2. 將CONSOLE口連接到PC的串口上，運行HyperTerminal程序從CONSOLE口進入PIX系統(tǒng);此時系統(tǒng)提示pixfirewall>。

　　3. 輸入命令:enable,進入特權(quán)模式，此時系統(tǒng)提示為pixfirewall#。

　　4. 輸入命令: configure terminal,對系統(tǒng)進行初始化設(shè)置。

　　5. 配置以太口參數(shù):

　　interface ethernet0 auto (auto選項表明系統(tǒng)自適應(yīng)網(wǎng)卡類型 )interface ethernet1 auto

　　6. 配置內(nèi)外網(wǎng)卡的IP地址:

　　ip address inside ip_address netmask

　　ip address outside ip_address netmask

　　7. 指定外部地址范圍:

　　global 1 ip_address-ip_address

　　8. 指定要進行要轉(zhuǎn)換的內(nèi)部地址:

　　nat 1 ip_address netmask

　　9. 設(shè)置指向內(nèi)部網(wǎng)和外部網(wǎng)的缺省路由

　　route inside 0 0 inside_default_router_ip_address

　　route outside 0 0 outside_default_router_ip_address

　　10. 配置靜態(tài)IP地址對映:

　　static outside ip_address inside ip_address

　　11. 設(shè)置某些控制選項:

　　conduit global_ip port<-port> protocol foreign_ip global_ip 指的是要控制的地址

　　port 指的是所作用的端口，其中0代表所有端口

　　protocol 指的是連接協(xié)議，比如:TCP、UDP等

　　foreign_ip 表示可訪問global_ip的外部ip，其中表示所有的ip。

　　12. 設(shè)置telnet選項:

　　telnet local_ip

　　local_ip 表示被答應(yīng)通過telnet訪問到pix的ip地址(假如不設(shè)此項， PIX的配置只能由consle方式進行)。

　　13. 將配置保存:

　　wr mem

　　14. 幾個常用的網(wǎng)絡(luò)測試命令:

　　#ping

　　#show interface 查看端口狀態(tài)

　　#show static 查看靜態(tài)地址映射

　　六、PIX與路由器的結(jié)合配置

　　(一)、PIX防火墻

　　1、設(shè)置PIX防火墻的外部地址:

　　ip address outside 131.1.23.2

　　2、設(shè)置PIX防火墻的內(nèi)部地址:

　　ip address inside 10.10.254.1

　　3、設(shè)置一個內(nèi)部計算機與Internet上計算機進行通信時所需的全局地址池:

　　global1 131.1.23.10-131.1.23.254

　　4、答應(yīng)網(wǎng)絡(luò)地址為10.0.0.0的網(wǎng)段地址被PIX翻譯成外部地址:

　　nat 110.0.0.0

　　5、網(wǎng)管工作站固定使用的外部地址為131.1.23.11:

　　static 131.1.23.11 10.14.8.50

　　6、答應(yīng)從RTRA發(fā)送到到網(wǎng)管工作站的系統(tǒng)日志包通過PIX防火墻:

　　conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255

　　7、答應(yīng)從外部發(fā)起的對郵件服務(wù)器的連接(131.1.23.10):

　　mailhost 131.1.23.10 10.10.254.3

　　8、答應(yīng)網(wǎng)絡(luò)治理員通過遠程登錄治理IPX防火墻:

　　telnet 10.14.8.50

　　9、在位于網(wǎng)管工作站上的日志服務(wù)器上記錄所有事件日志:

　　syslog facility 20.7

　　syslog host 10.14.8.50

　　(二)、路由器RTRA

　　RTRA是外部防護路由器，它必須保護PIX防火墻免受直接攻擊，保護FTP/HTTP服務(wù)器，同時作為一個警報系統(tǒng)，假如有人攻入此路由器，治理可以立即被通知。

　　1、阻止一些對路由器本身的攻擊:www.net130.com

　　no service tcps mall-servers

　　2、強制路由器向系統(tǒng)日志服務(wù)器發(fā)送在此路由器發(fā)生的每一個事件。

　　3、此地址是網(wǎng)管工作站的外部地址，路由器將記錄所有事件到此主機上:

　　logging 131.1.23.11

　　4、保護PIX防火墻和HTTP/FTP服務(wù)器以及防衛(wèi)欺騙攻擊(見存取列表):

　　enable secret xxxxxxxxxxx

　　interface Ethernet 0

　　ipaddress 131.1.23.1 255.255.255.0

　　interfaceSerial 0

　　ip unnumbered ethernet 0

　　ip access-group 110 in

　　5、禁止任何顯示為來源于路由器RTRA和PIX防火墻之間的信息包，這可以防止欺騙攻擊:

　　access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog

　　6、防止對PIX防火墻外部接口的直接攻擊并記錄到系統(tǒng)日志服務(wù)器任何企圖連接PIX防火墻外部接口的事件:

　　access-list 110 deny ip any host 131.1.23.2 log

　　7、答應(yīng)已經(jīng)建立的TCP會話的信息包通過:

　　access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established

　　8、答應(yīng)和FTP/HTTP服務(wù)器的FTP連接:

　　access-list 110 permit tcp any host 131.1.23.3 eq ftp

　　9、答應(yīng)和FTP/HTTP服務(wù)器的FTP數(shù)據(jù)連接:

　　access-list 110 permit tcp any host 131.1.23.2 eq ftp-data

　　10、答應(yīng)和FTP/HTTP服務(wù)器的HTTP連接:

　　access-list 110 permit tcp any host 131.1.23.2 eq www

　　11、禁止和FTP/HTTP服務(wù)器的別的連接并記錄到系統(tǒng)日志服務(wù)器任何企圖連接FTP/HTTP的事件:

　　access-list 110 deny ip any host 131.1.23.2 log

　　12、答應(yīng)其他預(yù)定在PIX防火墻和路由器RTRA之間的流量:

　　access-list 110 permit ip any 131.1.23.0 0.0.0.255

更多的請看：http://www.qqread.com/windows/2003/index.html

　　13、限制可以遠程登錄到此路由器的IP地址:

　　line vty 0 4

　　login

　　passWord xxxxxxxxxx

　　access-class 10 in

　　14、只答應(yīng)網(wǎng)管工作站遠程登錄到此路由器，當你想從Internet治理此路由器時，應(yīng)對此存取控制列表進行修改:

　　access-list 10 permit ip 131.1.23.11 　(三)、路由器RTRB

　　RTRB是內(nèi)部網(wǎng)防護路由器，它是你的防火墻的最后一道防線，是進入內(nèi)部網(wǎng)的入口。

　　1、記錄此路由器上的所有活動到網(wǎng)管工作站上的日志服務(wù)器，包括配置的修改:www.net130.com

　　logging trap debugging

　　logging 10.14.8.50

　　2、答應(yīng)通向網(wǎng)管工作站的系統(tǒng)日志信息:

　　interface Ethernet 0

　　ip address 10.10.254.2 255.255.255.0

　　no ip proxy-arp

　　ip access-group 110 in

　　access-list 110 permit udp host 10.10.254.0 0.0.0.255

　　3、禁止所有別的從PIX防火墻發(fā)來的信息包:

　　access-list 110 deny ip any host 10.10.254.2 log

　　4、答應(yīng)郵件主機和內(nèi)部郵件服務(wù)器的SMTP郵件連接:

　　access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp

　　5、禁止別的來源與郵件服務(wù)器的流量:

　　access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255

　　6、防止內(nèi)部網(wǎng)絡(luò)的信任地址欺騙:

　　access-list deny ip any 10.10.254.0 0.0.0.255

　　7、答應(yīng)所有別的來源于PIX防火墻和路由器RTRB之間的流量:

　　access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255

　　8、限制可以遠程登錄到此路由器上的IP地址:

　　line vty 0 4

　　login

　　password xxxxxxxxxx

　　access-class 10 in

　　9、只答應(yīng)網(wǎng)管工作站遠程登錄到此路由器，當你想從Internet治理此路由器時，應(yīng)對此存取控制列表進行修改:

　　access-list 10 permit ip 10.14.8.50

　　按以上設(shè)置配置好PIX防火墻和路由器后，PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口，也不可能判定出內(nèi)部任何一臺主機的IP地址，即使告訴了內(nèi)部主機的IP地址，要想直接對它們進行Ping和連接也是不可能的。這樣就可以對整個內(nèi)部網(wǎng)進行有效的保護。