大家都知道網路防火牆分為四種類型，第一種：整合防火牆功能的路由器，第二種：整合防火牆功能的代理伺服器，第三種專用的軟體防火牆，第四種：專用的軟硬體結合的防火牆。下面就讓我們來分別瞭解一下這些防火牆技術。 　　一、 四川智匯藍圖科技有限公司的整合在路由器中的防火牆技術

1、 路由器IOS標準裝置中的ACL技術

ACL即AccessControl Lis t(訪問控制列表)，簡稱Access List(訪問列表)，它是後續所述的IOS Firewall Feature Set的基礎，也是Cisco全線路由器統一介面的作業系統IOS(Internet Operation System，網間作業系統)標準配置的一部分。這就是說在購買了路由器後，ACL功能已經具備，不需要額外花錢去買。

IOS Firewall Feature Set是在ACL的基礎上對安全控制的進一步提升，由名稱可知，它是一套專門針對防火牆功能的附加軟體包，可通過IOS升級獲得，並且可以載入到多個Cisco路由器平臺上。

目前防火牆軟體包適用的路由器平臺包括Cisco 1600、1700、2500、2600和3600，均屬中、低端系列。對很多傾向與使用"all-in-one solution"(一體化解決方案)，力求簡單化管理的中小企業使用者來說，它能很大程度上滿足需求。之所以不在高階裝置上實施整合防火牆功能，這是為了避免影響大型網路的主幹路由器的核心工作–資料轉發。在這樣的網路中，應當使用專用的防火牆裝置。

Cisco IOS防火牆特徵：

l 基於上下文的訪問控制(CBAC)為先進應用程式提供基於應用程式的安全篩選並支援最新協議

l Java能防止下載動機不純的小應用程式

l 在現有功能基礎上又添加了拒絕服務探測和預防功能，從而增加了保護

l 在探測到可疑行為後可向中央管理控制檯實時傳送警報和系統記錄錯誤資訊

l TCP/UDP事務處理記錄按源/目的地址和埠對跟蹤使用者訪問

l 配置和管理特性與現有管理應用程式密切配合 　　二、 四川智匯藍圖科技有限公司的專用防火牆–PIX

PIX(Private Internet eXchange)屬於四類防火牆中的第四種–軟硬體結合的防火牆，它的設計是為了滿足高級別的安全需求，以較好的效能價格比提供嚴密的、強有力的安全防範。除了具備第四類防火牆的共同特性，並囊括了IOS Firewall Feature Set的應有功能。

PIX成為Cisco在網路安全領域的旗艦產品已有一段歷史了，它的軟硬體結構也經歷了較大的發展。現在的PIX有515和520兩種型號(520系列容量大於515系列)，從原來的僅支援兩個10M乙太網介面，到10/100M乙太網、令牌環網和FDDI的多介質、多埠(最多4個)應用;其專用作業系統從v5.0開始提供對IPSec這一標準隧道技術的支援，使PIX能與更多的其它裝置一起共同構築起基於標準***連線。

Cisco的PIX Firewall能同時支援16，000多路TCP對話，並支援數萬使用者而不影響使用者效能，在額定載荷下，PIX Firewall的執行速度為45Mbps，支援T3速度，這種速度比基於UNIX的防火牆快十倍。

主要特性：

l 保護方案基於適應性安全演算法(ASA)，能提供任何其它防火牆都不能提供的最高安全保護

l 將獲專利的"切入代理"特效能提供傳統代理伺服器無法匹敵的高效能

l 安裝簡單，維護方便，因而降低了購置成本

l 支援64路同時連線，企業發展後可擴充到16000路

l 透明支援所有通用TCP/IP Internet服務，如全球資訊網(WWW)檔案傳輸協議(FTP)、Telnet、Archie、Gopher和rlogin

l 支援多媒體資料型別，包括Progressive網路公司的Real Audio，Xing技術公司的Steamworks，White Pines公司腃USeeMe，Vocal Te公司的Internet Phone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的Web Theater 2

l 支援H323相容的視訊會議應用，包括Intel的Internet Video Phone和Microsoft的NetMeeting

l 無需因安裝而停止執行

l 無需升級主機或路由器

l 完全可以從未註冊的內部主機訪問外部Internet

l 能與基於Cisco IOS的路由器互操作 　　三、 四川智匯藍圖科技有限公司對兩種防火牆技術的比較

IOS FIREWALL FEATURE SET PIX FIREWALL

網路規模 中小型網路，小於250節點的應用。 大型網路，可支援多於500使用者的應用

工作平臺 路由器IOS作業系統 專用PIX工作平臺

效能 最高支援T1/E1(2M)線路 可支援多條T3/E3(45M)線路

工作原理 基於資料包過濾，核心控制為CBAC 基於資料包過濾，核心控制為ASA

配置方式 命令列或圖形方式(通過ConfigMaker) 命令列方式或圖形方式(通過Firewall Manager)

應用的過濾 支援Java小程式過濾 支援Java小程式過濾

身份認證 通過IOS命令，支援TACACS+、RADIUS伺服器認證。 支援TACACS+、RADIUS集中認證

虛擬專網(***) 通過IOS軟體升級可支援IPSec、L2F和GRE隧道技術，支援40或56位DES加密。 支援Private Link或IPSec隧道和加密技術

網路地址翻譯(NAT) 整合IOS Plus實現 支援

冗餘特性 通過路由器的冗餘協議HSRP實現 支援熱冗餘

自身安全 支援Denial-of-Service 支援Denial-of-Service

代理服務 無，通過路由器的路由功能實現應用 切入的代理服務功能

管理 通過路由器的管理工具，如Cisco Works 通過Firewall Manager實現管理

審計功能 一定的跟蹤和報警功能 狀態化資料過濾，可通過Firewall Manager實現較好的額監控、報告功能 　　四、四川智匯藍圖科技有限公司的 Centri防火牆

主要特性：

l 核心代理體系結構

l 針對Windows NT定製TCP/IP棧

l 圖形使用者結構可制訂安全政策

l 可將安全政策拖放到網路、網路組、使用者和使用者組

l ActiveX、Java小應用程式、Java和Vb模組

l 通用資源定位器(URL)模組

l 埠地址轉換

l 網路地址轉換

l 透明支援所有通用TCP/IP應用程式，包括WWW、檔案傳輸協議(FTP)Telnet和郵件

l 為Web、Telnet和FTP提供代理安全服務

l 根據IP地址、IP子網和IP子網組進行認證

l 使用sl口令和可重複使用口令Telnet、Web和ftp提供聯機使用者認證

l 使用Windows NT對所有網路服務進行帶外認證

l 防止拒絕服務型***，包括SYN Flood、IP地址哄騙和Ping-of-Death 　　五、Cisco PIX防火牆的安裝流程

1. 將PIX安放至機架，經檢測電源系統後接上電源，並加電主機。

2. 將CONSOLE口連線到PC的串列埠上，執行HyperTerminal程式從CONSOLE口進入PIX系統;此時系統提示pixfirewall>。

3. 輸入命令：enable,進入特權模式，此時系統提示為pixfirewall#。

4. 輸入命令： configure terminal,對系統進行初始化設定。

5. 配置以太口引數:

interface ethernet0 auto (auto選項表明系統自適應網絡卡型別 )interface ethernet1 auto

6. 配置內外網絡卡的IP地址：

ip address inside ip_address netmask

ip address outside ip_address netmask

7. 指定外部地址範圍：

global 1 ip_address-ip_address

8. 指定要進行要轉換的內部地址：

nat 1 ip_address netmask

9. 設定指向內部網和外部網的預設路由

route inside 0 0 inside_default_router_ip_address

route outside 0 0 outside_default_router_ip_address

10. 配置靜態IP地址對映:

static outside ip_address inside ip_address

11. 設定某些控制選項：

conduit global_ip port protocol foreign_ip global_ip 指的是要控制的地址

port 指的是所作用的埠，其中0代表所有埠

protocol 指的是連線協議，比如：TCP、UDP等

foreign_ip 表示可訪問global_ip的外部ip，其中表示所有的ip。

12. 設定telnet選項：

telnet local_ip

local_ip 表示被允許通過telnet訪問到pix的ip地址(如果不設此項， PIX的配置只能由consle方式進行)。

13. 將配置儲存：

wr mem

14. 幾個常用的網路測試命令：

#ping

#show interface 檢視埠狀態

#show static 檢視靜態地址對映

六、四川智匯藍圖科技有限公司對PIX與路由器的結合配置

(一)、PIX防火牆

1、設定PIX防火牆的外部地址：

ip address outside 131.1.23.2

2、設定PIX防火牆的內部地址：

ip address inside 10.10.254.1

3、設定一個內部計算機與Internet上計算機進行通訊時所需的全域性地址池：

global1 131.1.23.10-131.1.23.254

4、允許網路地址為10.0.0.0的網段地址被PIX翻譯成外部地址：

nat 110.0.0.0

5、網管工作站固定使用的外部地址為131.1.23.11：

static 131.1.23.11 10.14.8.50

6、允許從RTRA傳送到到網管工作站的系統日誌包通過PIX防火牆：

conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255

7、允許從外部發起的對郵件伺服器的連線(131.1.23.10)：

mailhost 131.1.23.10 10.10.254.3

8、允許網路管理員通過遠端登入管理IPX防火牆：

telnet 10.14.8.50

9、在位於網管工作站上的日誌伺服器上記錄所有事件日誌：

syslog facility 20.7

syslog host 10.14.8.50

(二)、路由器RTRA

RTRA是外部防護路由器，它必須保護PIX防火牆免受直接***，保護FTP/HTTP伺服器，同時作為一個警報系統，如果有人攻入此路由器，管理可以立即被通知。

no service tcps mall-servers

2、強制路由器向系統日誌伺服器傳送在此路由器發生的每一個事件，包括被存取斜砭芫的包和路由器配置的改變;這個動作可以作為對系統管理員的早期預警，預示有人在試圖***路由器，或者已經攻入路由器，正在試圖***防火牆?BR>logging trapde bugging

3、此地址是網管工作站的外部地址，路由器將記錄所有事件到此主機上：

logging 131.1.23.11

4、保護PIX防火牆和HTTP/FTP伺服器以及防衛欺騙***(見存取列表)：

enable secret xxxxxxxxxxx

interface Ethernet 0

ipaddress 131.1.23.1 255.255.255.0

interfaceSerial 0

ip unnumbered ethernet 0

ip access-group 110 in

5、禁止任何顯示為來源於路由器RTRA和PIX防火牆之間的資訊包，這可以防止欺騙***：

access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog

6、防止對PIX防火牆外部介面的直接***並記錄到系統日誌伺服器任何企圖連線PIX防火牆外部介面的事件：

access-list 110 deny ip any host 131.1.23.2 log

7、允許已經建立的TCP會話的資訊包通過：

access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established

8、允許和FTP/HTTP伺服器的FTP連線：

access-list 110 permit tcp any host 131.1.23.3 eq ftp

9、允許和FTP/HTTP伺服器的FTP資料連線：

access-list 110 permit tcp any host 131.1.23.2 eq ftp-data

10、允許和FTP/HTTP伺服器的HTTP連線：

access-list 110 permit tcp any host 131.1.23.2 eq www

11、禁止和FTP/HTTP伺服器的別的連線並記錄到系統日誌伺服器任何企圖連線FTP/HTTP的事件：

access-list 110 deny ip any host 131.1.23.2 log

12、允許其他預定在PIX防火牆和路由器RTRA之間的流量：

access-list 110 permit ip any 131.1.23.0 0.0.0.255

13、限制可以遠端登入到此路由器的IP地址：

line vty 0 4

login

password xxxxxxxxxx

access-class 10 in

14、只允許網管工作站遠端登入到此路由器，當你想從Internet管理此路由器時，應對此存取控制列表進行修改：

access-list 10 permit ip 131.1.23.11

(三)、四川智匯藍圖科技有限公司的路由器RTRB

RTRB是內部網防護路由器，它是你的防火牆的最後一道防線，是進入內部網的入口。

1、記錄此路由器上的所有活動到網管工作站系娜罩痙務器，包括配置的修改：www.net130.com

logging trap debugging

logging 10.14.8.50

2、允許通向網管工作站的系統日誌資訊：

interface Ethernet 0

ip address 10.10.254.2 255.255.255.0

no ip proxy-arp

ip access-group 110 in

access-list 110 permit udp host 10.10.254.0 0.0.0.255

3、禁止所有別的從PIX防火牆發來的資訊包：

access-list 110 deny ip any host 10.10.254.2 log

4、允許郵件主機和內部郵件伺服器的SMTP郵件連線：

access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp

5、禁止別的來源與郵件伺服器的流量：

access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255

6、防止內部網路的信任地址欺騙：

access-list deny ip any 10.10.254.0 0.0.0.255

7、允許所有別的來源於PIX防火牆和路由器RTRB之間的流量：

access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255

8、限制可以遠端登入到此路由器上的IP地址：

line vty 0 4

login

password xxxxxxxxxx

access-class 10 in

9、只允許網管工作站遠端登入到此路由器，當你想從Internet管理此路由器時，應對此存取控制列表進行修改：

access-list 10 permit ip 10.14.8.50

按以上設定配置好PIX防火牆和路由器後，PIX防火牆外部的***者將無法在外部連線上找到可以連線的開放埠，也不可能判斷出內部任何一臺主機的IP地址，即使告訴了內部主機的IP地址，要想直接對它們進行Ping和連線也是不可能的。這樣就可以對整個內部網進行有效的保護。