Configurarea Cisco PIX Firewall 520 pentru conexiuni între rețelele de difuzare
De obicei, cei care începe în primul rând setarea firewall-ului, principiile de conexiuni de difuzare sunt una dintre cele mai dificile lucruri pentru a înțelege, așa că ne vom concentra pe o descriere a acestor principii prin exemplul unui șablon.
Profil personal o Cisco PIX Firewall 520
Cu acest tip de firewall-ul este PC-ul mai simplificat - șasiu, placa de baza, sursa de alimentare, 3.5 „unitate floppy, și înseamnă același lucru ca și un PC convențional. Hard disk de pe dispozitiv, din fericire, nu, ci ca o memorie nevolatilă utilizată în memoria flash, care este plasat pe o placă PCI-expansiune separată, împreună cu alte circuite care implementează funcții specifice, cum ar fi portul consolă și eșecuri de interfață suprapuse (Failover), care permite backup-ul principal firewall-ul dublu exemplar, în cazul defectării sale.
Pentru interes principale Specificațiile tehnice ale dispozitivului utilizat în cazul de mai sus - 768 MB de RAM, procesor Pentium III 848 MHz, 16 MB Flash, 4 10/100.
Sistemul de operare, potrivit reprezentanților Cisco, este special conceput pentru aceste sarcini, care permite dispozitivului să se ocupe de fluxul de date mult mai mare decât sistemele de operare pentru PC convenționale. Versiunea sistemului de operare în cazul - 6.3 (4).
foarte similar cu interfața de linie de comandă Cisco routere interfață, dar are unele dezavantaje, cu toate acestea, nu sunt atât de importante pentru a le descrie separat.
Circuit simplu convențional, care este adesea folosit în rețele mai mici (vezi. Fig. 1).
Figura 1. Rețeaua
Firewall o singură interfață conectată la ISP.
O a doua interfață conectată la server, urmat de o rețea LAN.
În a treia interfeyc prezentat separat un server web. Acest lucru se face din motive de securitate, deoarece Web server este potențial mai vulnerabile decât altele, serviciul nostru, și, prin urmare, ar trebui să fie separate de restul rețelei, astfel încât, în cazul în care va sparge aceasta pentru a reduce riscul pentru alte computere din rețeaua noastră. În plus față de hack serverul, perturba operarea rețelei poate și un număr mare de interogări la el, în acest caz, serverul web va permite departamentului pentru a localiza o problemă similară.
De multe ori, pentru a desemna un segment de rețea special destinat să înregistreze serviciile publice, termenul se aplică DMZ (DMZ - zona demilitarizata). Acest nume este folosit și în documentația pentru firewall. În cazul nostru, de a utiliza numele «www», care este mai simplu și mai intuitiv pentru schema descrisă.
Un nume de domeniu utilizat în rețeaua noastră, definită ca «my.domain.tld».
După schema de rețea discutat, trece direct la configurarea firewall-ului. Detaliile vor fi descrise doar momente direct legate de schema noastră.
Setare inițială trebuie să fie efectuate prin portul consolă. Apoi, firewall-ul poate fi controlat de la distanță prin protocolul ssh.
Aici este un exemplu simplu:
emisiuni de masă (xlate)
Pentru compușii de difuzare firewall-ul creează tabelul de potrivire, care, în terminologia Cisco PIX 520 numite sloturi xlate sau de traducere. Putem vedea intrările deja existente în tabelul «show-xlate» comanda și clar întregul tabel - «xlate clar» echipă. Apropo, se recomandă ultima operație pentru a face modificări după regulile de traducere, dar rețineți că acest lucru va duce la ruperea unei conexiuni deja stabilite, în cazul în care sunt create cu utilizarea de orice difuzare.
xlate clar 1.2.3.246 la nivel mondial
clar xlate 192.168.255.6 locale lport 80
Atunci când nu există nicio intrare în schimbul de tabel de translatare este eliminat după un interval de timp, care specifică «timeout xlate» comandă și implicit la trei ore. Intrările pentru protocolul UDP este eliminat 30 secunde după închiderea conexiunii, indiferent de valoarea timeout predeterminată.
Apel de la server, la lumea exterioară
«Global» si echipa «nat» la lumea din afara pentru cererile de server de configurare sunt utilizate.
la nivel mondial (în afara) 1 interfață
Următoarea echipă vă cerem tratamentul cu 192.168.255.2 gazdă, conectat la interfața interior va fi difuzat prin intermediul la nivel mondial numărul 1 piscina:
nat (interior) 1 192.168.255.2 255.255.255.255
Conformitatea cu piscine globale și locale este determinată de numărul (NAT ID), care este indicat în aceste echipe.
Tot ceea ce se poate verifica disponibilitatea lumii externe de la server.
La schimbarea traducerii normelor nu uitați să execute o comandă «clară xlate».
Tratamentul lumea exterioară la server
Pe serverul nostru există mai multe servicii care trebuie să fie accesibile din exterior, în acest caz, DNS, SSH, SMTP, FTP.
folosit comanda «statice» pentru a configura transmisia cu interfața în afara pe interfața interior.
Cu excepția «statică» echipă, normele autorizațiilor necesare ar trebui să fie incluse în lista de acces corespunzător (lista de acces).
Sintaxa «statice» comenzi utilizate în acest caz, este destul de simplu:
Echipa următoare vom atribui o emisiune statică de la global la interfața locală din afara in interiorul protocolului TCP de interfață de la interfața 25-port de la nivel mondial pe portul 25 gazdă 192.168.255.2:
static (interior, exterior) interfață 25 192.168.255.2 25 tcp
În ceea ce privește SMTP-protocolul trebuie menționat faptul că firewall-ul din motive de securitate schimba linia de salut nostru SMTP-server, înlocuind aproape toate asteriscuri. De exemplu, din rândul: