pix防火墙配置指导书-20021230-b1.doc

PIX防火墙配置指导书 目 录 课程说明 1 课程介绍 1 课程目标 1 相关资料 1 第1章 防火墙基础知识 2 1.1 什么是防火墙 2 1.2 网络的不安全因素 3 1.3 防火墙的作用 3 1.4 防火墙的分类 4 1.5 常用网络攻击方法 5 1.6 FAQ 7 第2章 PIX系列防火墙 11 2.1 PIX系列防火墙介绍 11 2.1.1 PIX 515 11 2.1.2 PIX 525 11 2.1.3 PIX 535 12 2.2 PIX系列防火墙基础知识 12 2.2.1 数据包怎样经由防火墙传送 13 2.2.2 端口安全级别的划分 13 2.2.3 默认配置命令 14 2.3 PIX防火墙配置方法 14 2.3.1 使用超级终端连接至防火墙 14 2.3.2 定义每一个端口 15 2.3.3 授权 15 2.3.4 增加默认路由 17 2.3.5 允许防火墙传送ICMP消息 17 2.3.6 授权用户可以通过telnet登录至防火墙的控制台 17 2.4 PIX防火墙配置检查 17 2.5 PIX防火墙配置实例 19 2.5.1 实例一 19 2.5.2 实例二 23 附录 27 课程说明 课程介绍 本教材主要介绍在华为公司综合业务产品线的工程中使用到的防火墙的产品知识。由于这些产品并非华为公司所属产品，所以本课程中所描述的内容和论点仅供参考，并不代表华为公司，也不代表Cisco公司的立场。对于产品的更新，我们并不作出及时通知的承诺，也不对资料中的错误或由此资料引起的微小或重大损坏负任何责任。 本课程为防火墙的基础知识介绍。包括的主要内容如下：防火墙的原理和基本概念、PIX系列防火墙的配置。 课程目标 完成本课程学习，学员能够： 了解防火墙的基本概念 学会PIX防火墙的基本配置方法 相关资料 《防火墙》 华为技术有限公司北京研究所 姚鑫 《PIX Firewall配置指导》 华为技术有限公司 综合业务产品工程部 Cisco公司的防火墙产品宣传资料 防火墙基础知识 什么是防火墙 在大厦构造中，防火墙被设计用来防止火从大厦的一边传播到另一边。我们所涉及的防火墙服务于类似的目的：防止因特网的危险传播到您的内部网络。实际上，因特网防火墙不像一座现代化大厦中的防火墙，它更像中世纪城堡的护城河。 防火墙一方面阻止来自因特网的对受保护网络的未授权或未验证的访问，另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。防火墙也可以作为一个访问因特网的权限控制关口，如允许组织内的特定的人可以访问因特网。现在的许多防火墙同时还具有一些其他特点，如进行身份鉴别，对信息进行安全（加密）处理等等。如图1-1所示： 防火墙通常使内部网络和因特网隔离 防火墙不单用于对因特网的连接，也可以用来在组织内部保护大型机和重要的资源（数据）。对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自组织内部。 当外部网络的用户访问网内资源时，要经过防火墙；而内部网络的用户访问网外资源时，也会经过防火墙。这样，防火墙起了一个“警卫”的作用，可以将需要禁止的数据包在这里给丢掉。 网络的不安全因素 一个网络系统的最主要的目的是实现“资源共享”，同时实现对数据的协作处理、信息的传递等等。网络自身的这种开放性是引发网络安全问题的最直接原因。 网络的不安全因素有以下几类： 环境：各类天灾及事故都会对网络造成损害，令网络完全瘫痪或不能正常工作。 资源共享：包括硬件共享、软件共享、数据共享。资源的相互共享为异地用户提供了方便，同时也给非法用户创造了条件。非法用户可以通过终端来窃取信息、破坏信息。共享资源与使用者之间有相当一段距离，这也为窃取信息在时间和空间上提供了便利条件。 数据传输：信息需要通过数据通信来传输。在传输过程中，信息容易被窃听、修改。 计算机病毒：借助网络，病毒可以在短时间内感染大量的计算机，使网络趋于瘫痪。如“蠕虫”病毒及电子邮件“炸弹”。 网络管理：对系统的管理措施不当，会造成设备的损坏、重要信息的人为泄露等等。 防火墙的作用 中世纪城堡的护城河 我们将防火墙比作中世纪城堡的护城河，并且像护城河一样，防火墙不是坚不可摧的。它不防备已经是里面的人；如果与内部的防御相配合，它工作的最好；同时，即使您把所有的船都收藏起来，人们有时仍然能设法横渡。构筑防火墙需要昂贵的花费和努力，而且它对内部人员的限制是令人厌烦的。 防火墙对网络威胁进行极好的防范，但是，它们不是安全解决方案的全部。某些威胁是防火墙力所不及的。 防火墙不能防范恶意的知情者：防火墙可以禁止系统用户通过网络发送专有的信息。但是用户可以将数据复制到磁盘或者纸上，放在公文包里带出去。如果侵袭者已经在防火墙的内部，防火墙实际上无能为力。 防火墙对不通过它的连接难有