- 相關(guān)推薦
基于Cisco PIX Firewall的防火墻系統(tǒng)
基于Cisco PIX Firewall的防火墻系統(tǒng)
(西安通信學(xué)院 710106) 申普兵 羅達(dá)強(qiáng)
摘要:本文介紹了Cisco PIX Firewall防火墻的一些功能和作用。說明了如何利用Cisco PIX Firewall方便快捷地構(gòu)建一個較為安全的防火墻系統(tǒng)。
關(guān)鍵詞:防火墻 IP地址 IP包過濾
1. 引言
隨著Internet的進(jìn)一普及和迅猛發(fā)展,針對入網(wǎng)主機(jī)的入侵的日益增多,應(yīng)用防火墻技術(shù)勢在必行。但各種各樣的防火墻產(chǎn)品種類繁多,功能不一,這就給防火墻系統(tǒng)的實(shí)現(xiàn)和維護(hù)帶來了許多難處。如何構(gòu)建一個安全實(shí)用,容易實(shí)現(xiàn)的防火墻系統(tǒng)是值得研究的,一般來說,一個完整的防火墻系統(tǒng)既要防止外部入侵,又要防止內(nèi)部人員的非法訪問。對于Cisco PIX Firewall防火墻來說,通過動態(tài)和靜態(tài)的地址映射,管道技術(shù),我們可以方便容易地實(shí)現(xiàn)一個較為完整的防火墻系統(tǒng)。
2. Cisco PIX Firewall功能簡介
一般說來,一個防火系統(tǒng)就是在兩個網(wǎng)絡(luò)之間實(shí)施的若干的存取控制方法的集合。通常有兩種類型的防火墻;基于網(wǎng)絡(luò)層的包過濾防火墻和基于應(yīng)用層的隔離網(wǎng)絡(luò)的代理服務(wù)器(proxy server)。前一種主要是在網(wǎng)絡(luò)層根據(jù)IP包的源和目的地址及源和目的端口來決定是轉(zhuǎn)發(fā)還是丟棄IP包,而后一種是在應(yīng)用層為每一種服務(wù)提供一個代理,鑒于這兩種技術(shù)都有各自的特點(diǎn)和弊端,建設(shè)一個具有良好性能的防火墻應(yīng)是基于拓?fù)浣Y(jié)構(gòu)的合理選用和防火墻技術(shù)的合理配置。
Ciso PIX Firewall是基于這兩種技術(shù)結(jié)合的防火墻。它應(yīng)用安全算法(Adaptive Security Algorithm),將內(nèi)部主機(jī)的地址映射為外部地址,拒絕未經(jīng)允許的包入境,實(shí)現(xiàn)了動態(tài),靜態(tài)地址映射,從而有效地屏蔽了內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。通過管道技術(shù),出境訪問列表,我們可以有效地控制內(nèi)、外部各資源的訪問。
PIX Firewall可連接四個不同的網(wǎng)絡(luò),每個網(wǎng)絡(luò)都可定義一個安全級別,級別低的相對于級別高的總是被視為外部網(wǎng)絡(luò),但最低的必須是全球統(tǒng)一的IP地址。以下,我們僅以兩個網(wǎng)絡(luò)為例介紹Cisco PIX Firewall防火墻系統(tǒng)。
3.Cisco PIX Firewall 的配置過程
在配置之前,應(yīng)先規(guī)劃好網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),制定較為祥細(xì)的安全策略;
以圖一拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)為例。設(shè)它有IP地址范圍204.31.17.128-204.31.17.191,有E-mail,WWW,F(xiàn)TP等服務(wù)器,PIX Firewall的內(nèi)部虛IP地址范圍為:192.168.3.1-192.168.3.255,可以定義以下策略
【基于Cisco PIX Firewall的防火墻系統(tǒng)】相關(guān)文章:
基于SMBus的智能電池系統(tǒng)08-06
基于DSP的自動對焦系統(tǒng)08-06
基于GP算法的知識發(fā)現(xiàn)系統(tǒng)08-06
基于Web技術(shù)的網(wǎng)絡(luò)考試系統(tǒng)08-06
基于GP算法的知識發(fā)現(xiàn)系統(tǒng)08-06
基于FRAM的公交收費(fèi)系統(tǒng)的實(shí)現(xiàn)08-06
基于RTLinux的實(shí)時控制系統(tǒng)08-06
基于Client/Server 的課件系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)08-06
基于WEB的勞資人事管理系統(tǒng)08-06