思科防火墙使用及功能配置
Telecommuter
Intrusion over WLAN, Hijacked remote session
Wireless
HR
Network
Internal attacks, malicious users
Finance
安全产品市场分析
数据来源:CNCERT/CC 2004年全国网络安全状况调查报告
对防火墙的需求
• 网络规模/流量增长的 需求
• 可靠性的需求 • DOS攻击防范的需求 • 蠕虫病毒防范的需求 • 日志性能需求
Business Partner
Compromised PC, U turn attacks
Worms, Trojan attacks
DMZ
Regional Office
– 为中小企业而设计 – 并发吞吐量188Mbps – 168位3DES IPSec VPN吞吐量
63Mbps – Intel 赛扬 433 MHz 处理器 – 64 MB RAM – 支持 6 interfaces
PIX 515 基本配件
• PIX 515主机 • 接口转换头 • 链接线 • 固定角架 • 电源线 • 资料
terminal – show interface, show ip address,
show memory, show version, show xlate – exit reload – hostname, ping, telnet
enable 命令
pixfirewall>
enable
– Enables you to enter different access modes
– 非特权模式:PIX防火墙开机自检后,就处于该模式,系统 提示为:pixfirewall>
– 特权模式:enable进入特权模式,可改变当前配置,显示 为:pixfirewall#
– 配置模式:输入configure terminal进入,绝大部分系统 配置都在这里进行,显示为:pixfirewall(config)#
FDX LED
10/100BaseTX Ethernet 1 (RJ-45)
10/100BaseTX Ethernet 0 (RJ-45)
Console port (RJ-45)
Power switch
通常的连接方案
PIX防火墙通用维护命令
访问模式
• PIX Firewall 有4种访问模式:
– 监视模式:PIX开机或重启过程中,按住esc键或发送一 个break字符进入监视模式,可以在此更新操作系统镜 像和口令回复,显示为:monitor>
PIX 防火墙基本命令
– enable, enable password, passwd – write erase, write memory, write
kill telnet_id 2: From 10.10.54.0
pixfirewall(config)# kill 2
– 中止一个Telnet 会话
pixfirewall(config)#
who [local_ip] – 当前通过telnet访问控制台的主机地址
show 命令
show history show memory-显示系统内存的使用情况
show memory 16777216 bytes total, 5595136 bytes free
show version-浏览PIX防火墙操作信息 show xlate-查看地址转换信息 show cpu usage
hostname and ping 命令
pixfirewall(config)#
hostname newname
• hostname
pixfirewall (config)# hostname proteus proteus(config)# hostname pixfirewall
pixfirewall(config)#
4 input errors, 0 crc, 4 frame, 0 overrun, 0 ignored, 0
abort
1310091 packets output, 547097270 bytes, 0 underruns 0 unicast
rpf drops
0 output errors, 28075 collisions, 0 interface resets
e1 .1 172.16.0.0/24
10.0.0.0/24
telnet 命令
– 指定可以telnet连接到控制台的主机地址
pixfirewall(config)#
telnet ip_address [netmask] [if_name]
pixfirewall(config)#
pixfirewall(config)# show who
各行业对网络安全技术最高使用率对比 数据来源:CNCERT/CC 2004年全国网络安全状况调查报告
防火墙的发展
软件
软硬结合
硬件
Netscreen与一般硬件防火墙比较
NetScreen 先进的硬件结构
In Out
集成的安全应用
安全实时的操作系统
High Speed Backplane
CPU
GigaScreen ASIC
Using two single-port connectors requires the PIX Firewall 515-UR license.
The PIX Firewall 515
100 Mbps LED
LLLILENINEDKDK
100 Mbps LED
FDX LINK LED LED
Failover connector
pixfirewall> enable password: pixfirewall# configure terminal pixfirewall(config)# pixfirewall(config)# exit pixfirewall#
enable password 和 passwd 命令
– 设置进入特权模式的访问密码. pixfirewall# enable password password
ping [if_name] ip_address
• ping
pixfirewall(config)# ping 10.0.0.3 10.0.0.3 response received -- 0Ms 10.0.0.3 response received -- 0Ms 10.0.0.3 response received -- 0Ms
pixfirewall#
passwd password – passwd 设置telnet访问控制台口令
write 命令
• The following are the write commands:
– write net:将存储当前配置的文件写入到TFTP 服务器上
– write erase:清除Flash中的配置 – write floppy:将配置文件写入软盘 – write memory:将配置文件写入到Flash – write terminal:显示存储在Flash中的配置信息
科技网用户培训
防火墙使用及功能配置
荆涛
2005-9-27
提纲
• 防火墙相关知识 • Cisco PIX 515E • Netscreen 500
防火墙介绍
防火墙的概念
• 防火墙是指设置在不同网络(如可信任的 企业内部网和不可信的公共网)或网络安 全域之间的一系列部件的组合。
防火墙术语
• 网关:在两个设备之间提供转发服务的系统。网关是互联网应用程 序在两台主机之间处理流量的防火墙。这个术语是非常常见的。
The PIX Firewall 515 前面版
Power LED Active Failover Unit
Network LED
PIX Firewall 515 模块
Using the quad card requires the PIX Firewall 515-UR license.
PIX Firewall 515双单口连接器
I/O
RAM
安全的特定处理进程
• 新的线速包处理进程 • 被优化的每个进程模块 • 为安全进程和性能优化的应用和硬件
PC硬件系统
应用
操作系统
CPU
In I/O Out
RAM
VPN Co-Processor
Bus
通用的处理进程
• 数据必须通过几个非优化的接口 • 每个 “API”都会引入安全风险、解释和厂商独立
性
• 进程延迟可能造成“不可预知的行为” • 无法优化数据路径
Cisco PIX 520防火墙图片
CPU,RAM
Intel EtherExpress Pro/100+
Cisco PIX Firewall 515E
Cisco PIX515E 防火墙
PIX:Private Internet eXchange
• 最大连接数:和吞吐量一样,数字越大越好。但是最大连接数更贴 近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。 防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验 防火墙这方面能力的指标。
• 数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对 数据流量的处理速度。
• 并发连接数目:由于防火墙是针对连接进行处理报文的,并发连接数 目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一 个TCP/UDP的访问。
• DMZ非军事化区:为了配置管理方便,内部网中需要向外提供服务 的服务器往往放在一个单独的网段,这个网段便是非军事化区。防 火墙一般配备三块网卡,在配置时一般分别分别连接内部网, internet和DMZ。
