安全 : Cisco PIX 500 系列安全设备

带二个路由器的Cisco Secure PIX防火墙配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


交互:本文档对您的 Cisco 设备进行自定义分析。


目录


简介

此示例配置演示了如何结合使用路由器和 Cisco Secure PIX 防火墙来保障网络安全。syslog 服务器共有三个级别的防御(两个路由器和一个 PIX 防火墙)和日志记录设置,用于帮助识别潜在的安全攻击。

注意: 本文不包括密码选择和能成功保护网络免遭进攻的其他安全问题。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息以 PIX 软件 5.3.1 版和更高版本为基准。

注意: 其他版本 PIX 软件中使用的命令略有不同。在实现此配置前,请参阅 PIX 文档

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用此网络设置。

/image/gif/paws/15244/new_20.gif

配置

第一个配置是PIX防火墙配置,因为我们必须了解与防火墙相关的路由器配置。

如果您从Cisco设备获得write terminal输出命令,您能够使用Output Interpreter(仅适合注册用户)显示可能发生的问题和修正。

本文档使用以下配置:

PIX 防火墙

!--- Sets the outside address of the PIX Firewall:

ip address outside 131.1.23.2 

!--- Sets the inside address of the PIX Firewall:

ip address inside 10.10.254.1

!--- Sets the global pool for hosts inside the firewall:

global (outside) 1 131.1.23.12-131.1.23.254

!--- Allows hosts in the 10.0.0.0 network to be
!--- translated through the PIX:

nat (inside) 1 10.0.0.0 

!--- Configures a static translation for an admin workstation 
!--- with local address 10.14.8.50:

static (inside,outside) 131.1.23.11 10.14.8.50

!--- Allows syslog packets to pass through the PIX from RTRA.
!--- You can use conduits OR access-lists to permit traffic.
!--- Conduits has been added to show the use of the command,
!--- however they are commented in the document, since the 
!--- recommendation is to use access-list.
!--- To the admin workstation (syslog server):
!--- Using conduit: 
!--- conduit permit udp host 131.1.23.11 eq 514 host 131.1.23.1 



!--- Using access-list:

Access-list 101 permit udp host 131.1.23.1 host 131.1.23.11 255.255.255.0 eq 514
Access-group 101 in interface outside

!--- Permits incoming mail connections to 131.1.23.10:

static (inside, outside) 131.1.23.10 10.10.254.3

!--- Using conduits
!--- conduit permit TCP host 131.1.23.10 eq smtp any
!--- Using Access-lists, we use access-list 101
!--- which is already applied to interface outside.

Access-list 101 permit tcp any host 131.1.23.10 eq smtp

!--- PIX needs static routes or the use of routing protocols
!--- to know about networks not directly connected.
!--- Add a route to network 10.14.8.x/24.

route inside 10.14.8.0 255.255.255.0 10.10.254.2

!--- Add a default route to the rest of the traffic 
!--- that goes to the internet.

Route outside 0.0.0.0 0.0.0.0 131.1.23.1

!--- Enables the Mail Guard feature 
!--- to accept only seven SMTP commands 
!--- HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT:
!--- (This can be turned off to permit ESMTP by negating with 
!--- the no fixup protocol smtp 25 command):

fixup protocol smtp 25

!--- Allows Telnet from the inside workstation at 10.14.8.50 
!--- into the inside interface of the PIX:

telnet 10.14.8.50

!--- Turns on logging:

logging on

!--- Turns on the logging facility 20:

logging facility 20

!--- Turns on logging level 7:

logging history 7

!--- Turns on the logging on the inside interface:

logging host inside 10.14.8.50

注意: RTRA 是外部屏蔽路由器。它必须防护PIX防火墙,避免遭到直接攻击,保护FTP / HTTP服务器,扮演报警系统的角色。如果任何人侵入 RTRA,系统管理员应立即收到通知。

RTRA
no service tcp small-servers 

!--- Prevents some attacks against the router itself.

logging trap debugging

!--- Forces the router to send a message 
!--- to the syslog server for each and every
!--- event on the router. This includes packets denied 
!--- access through access lists and
!--- configuration changes. This acts as an early warning system to the system
!--- administrator that someone is trying to break in, or has broken in and is
!--- trying to create a "hole" in their firewall.

logging 131.1.23.11

!--- The router logs all events to this 
!--- host, which in this case is the 
!--- "outside" or "translated" address of the system 
!--- administrator's workstation.

enable secret xxxxxxxxxxx
!
interface Ethernet 0
 ip address 131.1.23.1 255.255.255.0
!
interface Serial 0
 ip unnumbered ethernet 0
 ip access-group 110 in 

!--- Shields the PIX Firewall and the HTTP/FTP 
!--- server from attacks and guards 
!--- against spoofing attacks.

!
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log

!--- RTRA and the PIX Firewall. 
!--- This is to prevent spoofing attacks.

access-list 110 deny ip any host 131.1.23.2 log

!--- Prevents direct attacks against the 
!--- outside interface of the PIX Firewall and
!--- logs any attempts to connect to the  
!--- outside interface of the PIX to the syslog server.

access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established 

!--- Permits packets which are part 
!--- of an established TCP session.

access-list 110 permit tcp any host 131.1.23.3 eq ftp 

!--- Allows FTP connections into the FTP/HTTP server.

access-list 110 permit tcp any host 131.1.23.3 eq ftp-data

!--- Allows ftp-data connections into the FTP/HTTP server.

access-list 110 permit tcp any host 131.1.23.3 eq www

!--- Allows HTTP connections into the FTP/HTTP server.

access-list 110 deny ip any host 131.1.23.3 log

!--- Disallows all other connections to 
!--- the FTP/HTTP server, and logs any attempt
!--- to connect this server to the syslog server.

access-list 110 permit ip any 131.1.23.0 0.0.0.255

!--- Permits other traffic destined to the 
!--- network between the PIX Firewall and RTRA.

!
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Restricts Telnet access to the router 
!--- to those IP addresses listed in 
!--- access list 10.

!
access-list 10 permit ip 131.1.23.11

!--- Permits only the workstation of the administrator
!--- to Telnet into the router. This
!--- access list may need to be changed to permit 
!--- access from the Internet for
!--- maintenance, but should contain as few 
!--- entries as possible.

注意: RTRB 是内部屏蔽路由器。它是防火墙的最后防线,也是进入内部网络的入口点。

如果您Cisco设备获得show running-configuration命令输出,您能够使用Output Interpreter(仅适合注册用户)显示可能发生的问题和修正。

RTRB
logging trap debugging
logging 10.14.8.50

!--- Log all activity on this router to the 
!--- syslog server on the administrator's 
!--- workstation, including configuration changes.

!
interface Ethernet 0
 ip address 10.10.254.2 255.255.255.0
 no ip proxy-arp
 ip access-group 110 in

!--- Prevents inside and outside addresses 
!--- from mingling; guards against attacks 
!--- launched from the PIX Firewall or the 
!--- SMTP server as much as possible.

!
access-list 110 permit udp host 10.10.250.5 0.0.0.255

!--- Permits syslog messages destined 
!--- to the administrator's workstation.

access-list 110 deny ip host 10.10.254.1 any log

!--- Denies any other packets sourced 
!--- from the PIX Firewall.

access-list 110 permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp

!--- Permits SMTP mail connections from the 
!--- mail host to internal mail servers.

access-list 110 deny ip host 10.10.254.3 10.0.0.0 0.255.255.255

!--- Denies all other traffic sourced 
!--- from the mail server.

access-list 110 deny ip 10.10.250.0 0.0.0.255 any

!--- Prevents spoofing of trusted addresses 
!--- on the internal network.

access-list 110 permit ip 10.10.254.0 0.0.0.255 10.10.250.0 0.255.255.255

!--- Permits all other traffic sourced from  
!--- the network between the PIX Firewall and RTRB.

!
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Restricts Telnet access to the router 
!--- to those IP addresses listed in 
!--- access list 10.

!
access-list 10 permit ip 10.14.8.50

!--- Permits only the workstation of the administrator 
!--- to Telnet into the router. This
!--- access list may need to be changed to permit 
!--- access from the Internet for
!--- maintenance, but should contain as few entries as possible.

!--- A static route or routing protocol must be utilized
!--- to make the router aware of network 10.14.8.x (which is 
!--- inside the corporate network). This is because 
!--- it is not a directly connected network. 

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。

概念

防火墙的目的是防止对您的网络的未授权访问,同时允许所需数据流。最轻松的方法是首先分析可能入侵的目的地,然后再考虑如何阻止潜在犯罪人员进入您的网络。在本文档所述的情况下,假设非法入侵者想要入侵一台服务器,其中包含对您的竞争对手具有重要价值的保密信息。非法入侵者了解到此服务器的 IP 地址为 10.100.100.10。

于是该非法入侵者立刻面临以下严重问题:该服务器的 IP 地址是无法通过 Internet 到达的地址,因为没有任何与 Internet 连接的公司会将数据包转发到网络 10 的目标地址。"这就迫使犯罪人员试图找到转换到互联网上的地址(一个聪明的系统管理员决不会将该地址转换到互联网上),或者直接入侵您的网络,占据一个""基地"",并由此攻击含有敏感数据的服务器。"假设非法入侵者无法找到任何直接攻击服务器的方式,因而开始攻击您的网络,以便从您的网络内部攻击该服务器。

犯罪面对的第一个障碍是第一个“非敏感区域”(DMZ),介于RTRA和PIX防火墙之间。非法入侵者可能会尝试侵入 RTRA,但路由器配置为仅接受来自管理员工作站的连接,并且会阻止来自 DMZ 本身的数据包。如果犯罪人员进攻RTRA,他可能发现自己正处于进攻PIX防火墙的位置,而不是'在'网络中,并且它也不可能直接进攻带有敏感数据的主机。

非法入侵者还可能尝试侵入 FTP/HTTP 服务器,要当心这种可能性。此主机应尽可能安全,以防范任何此类攻击。如果犯罪人员成功进攻FTP / HTTP服务器,他仍不能直接进攻带敏感数据的主机,但可以直接进击PIX防火墙。无论如何,都应该在此过程的某些点记录攻击者的活动,因此应该提醒系统管理员存在入侵者。

如果攻击者已成功进攻外部DMZ,他会发现自己正处于进攻PIX防火墙的位置,这时第二个DMZ或内部DMZ将成为下一个目标。通过攻击 PIX 防火墙本身或攻击 RTRB(编程为仅接受来自系统管理员工作站的 Telnet 会话),他可以实现上述目的。他试图侵入内部 DMZ 的行为再一次被 PIX 防火墙和 RTRB 记入日志,这样在攻击者到达可以直接攻击敏感服务器的位置之前,系统管理员应当获得警告并且能够阻止该攻击。

攻击者能也绕过外部DMZ,试图通过攻击邮件主机,侵入内部DMZ。该主机受PIX防火墙的保护,且应通过仔细的监控和配置来提供保护。这是整个防火墙中最容易遭受攻击的主机。

防御概念是提供若干防御层而不是单一的“超强”屏障。这些部分应互连成一个巩固的防火墙结构,不仅能具备足够的灵活性使您能传输需要通过的数据流,同时还能提供大量的告警和早期警告系统。

建议不与防火墙一起使用的网络协议

由于它们带有固有的不安全性,部分网络协议不适合在不可靠网络到可靠网络间的防火墙上运行。此类不安全协议的示例包括:

  • NFS

  • rlogin

  • rsh

  • 任何基于 RPC 的协议

PIX 的最新版本已包含对 RPC 协议的支持。但由于 RPC 非常不安全,Cisco 强烈建议不要使用此功能。意味着此功能只能用于最异常情况。

PIX 7.0 使用 inspect rpc 命令来处理 RPC 数据包。inspect sunrpc 命令为 Sun RPC 协议启用或禁用应用程序检查。Sun RPC 服务可运行在系统中的任何端口上。当客户端尝试访问服务器上的 RPC 服务时,它必须找出该服务运行于哪个端口。为此,客户端在公认端口号 111 查询端口映射进程。客户端发送该服务的 RPC 程序编号,并获得端口号。从此时起,客户端程序就会将其 RPC 查询发送给那个新端口。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 15244