《网络安全原理与实践》一2.3 实例研究:使用PIX防火墙创建区

2.3 实例研究:使用PIX防火墙创建区

网络安全原理与实践
PIX防火墙允许配置最多10个不同安全等级的接口(PIX 535运行6.X可以支持最多10个接口。PIX525运行5.3及以上版本可以支持最多8个接口)。一个接口需要连接内部或者私有网络,一个需要连接公共网络,其余的接口可以连接其他网络,每个网络可以有自己的安全等级。因而,PIX允许一个防火墙支持多达10个(就PIX 525来说是8个)截然不同的安全区。

在PIX防火墙中,每个接口配置了一个安全等级。本质上,位于低安全级接口上的机器不能访问位于高安全接口上的设备,除非配置中特别声明允许这样做。但是,位于高安全接口中的设备只要满足某些特定的需求就可以访问低安全接口设备,比如在更高安全网络设备上的网络地址转换出现时。因此,可以推出一个明显的结论:在PIX防火墙的DMZ接口应该保持比内部/私有网络接口的安全等级低。这允许了内部网络上的机器访问DMZ接口上的服务器。但是,DMZ接口上的机器在默认情况下不能访问内部网络中的主机。

应该注意到配置PIX以允许DMZ接口上的机器访问内部接口的机器确实是可能的,但这需要在PIX中进行特别的配置,包括在PIX中开一个“孔”以允许这种流量通过。

PIX防火墙使用数字来标识每个接口及其相关区的安全等级。这个编号方案从0~100。在默认的情况下,内部接口编号为100。这意味着它具有最高的安全级别。外部接口为0,是最低的安全等级。其他的接口从1~99排列。理想情况下,所有接口应该具有唯一的安全等级。接口中具有相同安全等级的设备不能通过PIX进行通信,即使在配置中允许这样做。

下面描述的命令用来设置PIX上接口的安全等级。在这个例子中,PIX上的Ethernet0是外部或者公共接口,Ethernet1是内部接口,Ethernet2是DMZ接口。图2-5显示了在这个实例研究中是怎样建立PIX的DMZ接口和其他接口的。

下面的命令定义了Ethernet0接口的名字是“outside”,并给它分配了安全等级0:

nameif ethernet0 outside security0

下面的命令定义了Ethernet1接口的名字是“inside”,并给它分配了安全等级100:

nameif ethernet1 inside security100

下面的命令定义了Ethernet2接口的名字是“dmz”,并给它分配了安全等级50,介于外部和内部接口的安全等级之间:

nameif ethernet2 dmz security50
时间: 2024-09-20 05:42:44

《网络安全原理与实践》一2.3 实例研究:使用PIX防火墙创建区的相关文章

《网络安全原理与实践》一导读

前言 网络安全原理与实践本书旨在帮助读者深入理解如今网络中实施的各种网络安全规则.特性和协议.本书使用Cisco安全实施作为讲解的基础,其目标如下所示. 在较高的层次上完整讨论了与实施网络安全相关的所有主题. 深入.详细地讨论了网络安全实施背后的协议运行机制. 讨论了构成不同网络产品.特性和实施基础的安全规则. 讨论以提高网络安全性为目标的网络设计的有用因素. 理解建立和维护安全网络的操作需求. 讨论网络安全必需的网络维护和故障排错技术. 本书旨在从较高的层次上讨论各种主题.但是,为了保持讨论的

《网络安全原理与实践》一第2章 定义安全区

第2章 定义安全区 网络安全原理与实践本章涉及下列关键主题. 安全区的介绍--讨论安全区是什么,并包括一些与怎样在一个网络上定义安全区相关的基本概念. 设计非军事区(Demilitarized Zone,DMZ)--定义了DMZ,并讨论创建它们的方法. 实例研究:使用PIX防火墙创建区--描述了基于PIX防火墙的分区网络. 安全区的定义在建立安全网络过程中起着非常重要的作用.它不仅使得安全部署变得更集中和更有效,而且更有利于合法用户对资源的访问.本章将着眼于什么是安全区,以及它们是怎样成为网络设

《网络安全原理与实践》一1.10 实例研究

1.10 实例研究 网络安全原理与实践下面的实例研究着眼于一个典型的企业网络的安全策略设计和实现.我们将要查看这个安全策略设计所经历的不同步骤,并且讨论最终结果和为了保持网络架构安全而进行的努力. 实例研究中使用的公司假定叫做Biotech公司.Biotech公司是一个中小型的企业,它大约有5000用户使用由一个中心站点和两个远程分支机构组成的网络,在每个分支站点上有250个用户.另外,大约250个用户在远程工作.Biotech的大部分业务是制药,并且不是通过他们的公共Web服务器来管理这个业务

《网络安全原理与实践》一第1章 网络安全介绍

第1章 网络安全介绍 网络安全原理与实践本章涉及下列关键主题. 网络安全目标--讨论在一个网络上部署安全策略的目标. 资产确定--讨论为抵御网络攻击而对网络中需要保护的资产进行定义的需求. 威胁评估--讨论如何辨认只有网络设备才有的威胁.-风险评估--讨论风险的含义,以及为了建立有效的安全措施,是如何需要对所有网络资产评估的. 构建网络安全策略--讨论如何根据前面章节中建立的定义构建一个网络安全策略. 网络安全策略的要素--讨论构成一个网络安全策略的各组成部分.实现网络安全策略--讨论实现一个网

《网络安全原理与实践》一1.9 审计和改进

1.9 审计和改进 网络安全原理与实践一旦实现了安全策略,继续对它分析.测试和改进是非常关键的.可以通过安全系统的正规化审计来实现这一点,也可以通过使用基于标准操作的度量方法每天检测它来实现.审计可能具有不同的形式,包括使用不同的自动审计工具(比如Cisco Secure Scanner)来自动检查.这些工具用于查找一个网络中的系统可能暴露的弱点. 审计的一个重要功能是让网络用户一直意识到他们在网络行为中的安全隐患.审计应该能够指出用户可能形成的能够导致攻击的习惯.在实际中推荐的网络审计应该包含

《网络安全原理与实践》一2.4 小结

2.4 小结 网络安全原理与实践分区(zoning)是安全设计中的一个重要概念.创建区允许网络管理员为网络上不同的设备组创建不同的安全等级.通过一个优秀设计的DMZ提供的隔离,甚至在一个低安全区中的设备被攻陷时,包含在其他区中的设备被攻击的风险也很小.本章讨论了什么是区,以及它如何有助于设计一个安全的网络拓扑.本章也详述了DMZ(它是现今大部分网络设计中不可或缺的一部分),以及可用于建立它们的不同技术.最后,用一个实例研究讨论了PIX防火墙在它的众多接口上建立区的能力.本书的其他部分假定基本的分

《网络安全原理与实践》一1.5 构建网络安全策略

1.5 构建网络安全策略 网络安全原理与实践网络安全策略定义了一个框架,它基于风险评估分析以保护连接在网络上的资产.网络安全策略对访问连接在网络上的不同资产定义了访问限制和访问规则.它还是用户和管理员在建立.使用和审计网络时的信息来源. 网络安全策略在范围上应该是全面和广泛的.这也就意味着当我们要基于这个策略做安全方案的时候,它应该提供一些摘要性的原则,而不是这个策略的实现的具体细节等内容.这些细节可能一晚上就变了,但是这些细节所反映的一般性原则是保持不变的. S.Garfinkel和G.Spa

《网络安全原理与实践》一1.7 部署网络安全策略

1.7 部署网络安全策略 网络安全原理与实践定义了安全策略之后,下一步要做的就是部署它.部署安全策略不是一件简单的事情,它包括技术性和非技术性两方面的内容.找到能够互相兼容的设备,并且通过这些设备真正地实现安全策略具有足够的挑战性,同时对所有相关的团队提出一个切实可行的设计也同样困难. 在开始实现安全策略之前,有几点需要记住. 公司中所有的风险承担者,包括管理人员和终端用户,必须都同意或者一致同意这个安全策略.如果不是每个人都相信这个安全策略是必须的话,那么维护这个安全策略将非常困难.用"为什么

《网络安全原理与实践》一1.3 威胁评估

1.3 威胁评估 网络安全原理与实践网络攻击是网络安全过程为保护其网络资产所必须抵制的.网络安全攻击是怀有恶意或者其他目的的尝试,攻击者以一种通常不被允许的途径使用或者修改网络中的可用资源.从网络攻击的类型入手去理解网络攻击是个好方法.网络攻击一般分成3个主要类型: 利用网络对资源或者信息进行未经授权的访问:对网络上的信息进行未经授权的操作和更改:拒绝服务式攻击.第14章提供了对不同网络攻击类型的更详细的分析. 在前两类攻击中的关键字是"未经授权的(unauthorized)".网络安