2.3 实例研究:使用PIX防火墙创建区
网络安全原理与实践
PIX防火墙允许配置最多10个不同安全等级的接口(PIX 535运行6.X可以支持最多10个接口。PIX525运行5.3及以上版本可以支持最多8个接口)。一个接口需要连接内部或者私有网络,一个需要连接公共网络,其余的接口可以连接其他网络,每个网络可以有自己的安全等级。因而,PIX允许一个防火墙支持多达10个(就PIX 525来说是8个)截然不同的安全区。
在PIX防火墙中,每个接口配置了一个安全等级。本质上,位于低安全级接口上的机器不能访问位于高安全接口上的设备,除非配置中特别声明允许这样做。但是,位于高安全接口中的设备只要满足某些特定的需求就可以访问低安全接口设备,比如在更高安全网络设备上的网络地址转换出现时。因此,可以推出一个明显的结论:在PIX防火墙的DMZ接口应该保持比内部/私有网络接口的安全等级低。这允许了内部网络上的机器访问DMZ接口上的服务器。但是,DMZ接口上的机器在默认情况下不能访问内部网络中的主机。
应该注意到配置PIX以允许DMZ接口上的机器访问内部接口的机器确实是可能的,但这需要在PIX中进行特别的配置,包括在PIX中开一个“孔”以允许这种流量通过。
PIX防火墙使用数字来标识每个接口及其相关区的安全等级。这个编号方案从0~100。在默认的情况下,内部接口编号为100。这意味着它具有最高的安全级别。外部接口为0,是最低的安全等级。其他的接口从1~99排列。理想情况下,所有接口应该具有唯一的安全等级。接口中具有相同安全等级的设备不能通过PIX进行通信,即使在配置中允许这样做。
下面描述的命令用来设置PIX上接口的安全等级。在这个例子中,PIX上的Ethernet0是外部或者公共接口,Ethernet1是内部接口,Ethernet2是DMZ接口。图2-5显示了在这个实例研究中是怎样建立PIX的DMZ接口和其他接口的。
下面的命令定义了Ethernet0接口的名字是“outside”,并给它分配了安全等级0:
nameif ethernet0 outside security0
下面的命令定义了Ethernet1接口的名字是“inside”,并给它分配了安全等级100:
nameif ethernet1 inside security100
下面的命令定义了Ethernet2接口的名字是“dmz”,并给它分配了安全等级50,介于外部和内部接口的安全等级之间:
nameif ethernet2 dmz security50