| 启动专有协议和应用(Enabling Specific Protocols and Applications)
本节将介绍PIX Firewall提供的能有效控制和安全使用特殊协议和应用的各种特性。本节的内容包括:
RIP 第2版本
可配置的代理呼叫
Mail Guard
多媒体支持
Cisco IP电话
NETBIOS over IP
RIP第2版本(RIP Version 2)
路由信息协议(RIP)第2版本提供加密密钥的MD5认证。PIX Firewall只在被动模式中倾听和/或广播默认路径。PIX Firewall支持Cisco IOS软件标准,遵守RIPv2(带文字和加密的MD5认证)的RFC 1058、RFC 1388和RFC 2082。PIX Firewall的每个接口支持一个密钥和密钥ID。虽然密钥有无限长的寿命,但是,为安全起见,最好每隔两周或更短时间就更换一次密钥。
注意 使用Telnet修改配置可能会将密钥和密钥ID暴露在网络上。
可配置的代理呼叫(Configurable Proxy Pinging)
可配置的代理呼叫功能可以控制对PIX Firewall接口的ICMP访问。这个特性能够将PIX Firewall接口隐藏起来,以防被外部网络上的用户删除。
注意 我们建议您批准使用ICMP不可到达消息类型(类型3)。如果拒绝使用ICMP不可到达消息,就会关闭ICMP路径MTU识别功能,从而阻碍IPSec和PPTP流量通过。
Mail Guard
Mail Guard能够为从外部到内部消息服务器的简单邮件传输协议(SMTP)连接提供安全接入。借助这个特性,可以在内部网络中部署一台邮件服务器,而且这台邮件服务器不会出现某些SMTP服务器实施方案常见的安全问题。这个方法的好处之一是无需使用邮件中继(或堡垒主机)系统。为避免损害SMTP服务器系统,Mail Guard只使用了少量SMTP命令。这个特性还能记录所有SMTP连接。
多媒体支持(Multimedia Support)
下面,我们将介绍PIX Firewall提供的支持多媒体应用的特性:
支持的多媒体应用
RAS第2版本
RTSP
支持的多媒体应用(Supported Multimedia Applications)
目前,使用各种多媒体应用的用户越来越多,其中许多多媒体应用都需要在防火墙环境中进行特殊处理。PIX Firewall无需对客户机进行重新配置就能解决这个问题,因而不会变成性能瓶颈。PIX Firewall支持的特殊多媒体应用包括:
RealAudio
Streamworks
CU-SeeMe
互联网 Phone
IRC
Vxtreme
VDO Live
注意 如果需要,可以通过访问列表终止对专有协议的支持。
RAS第2版本(RAS Version 2)
多媒体应用需要注册、承认和状态(RAS)协议,例如需要视频和音频编码的视频会议和IP语音。RAS通道携带着端点和关守之间的带宽变化以及注册、承认和状态信息(按照H.225中的规定)。多媒体应用使用大量动态协商的数据和控制通道处理各种可视和审计流。
RTSP
PIX Firewall可以安全发送实时流协议(RTSP)包。RTSP广泛用于RealAudio、RealNetworks、Apple QuickTime 4、RealPlayer和Cisco IP/TV连接。借助这个特性,防火墙能够处理多媒体应用,包括Cisco IP/TV连接。
注意 RTSP消息隐藏在HTTP消息中,但PIX Firewall不能识别HTTP覆盖层。NAT也不支持RTSP。
Cisco IP电话(Cisco IP Telephony)
Cisco IP电话可以将VoIP(IP语音)网络和公共交换电话网(PSTN)集成在一起。要在内部语音网和外部语音网之间传输语音,需要支持以下协议:
H.323
SIP
H.323
借助PIX Firewall,可以安全地使用H.323第2版本。H.323是国际电信组织(ITU)为LAN多媒体会议制定的一套协议。其特性包括:
提供快速连接和快速启动程序,以便加快呼叫;
为资源保留提供H.245通道,可实现呼叫同步,并能缩短设置时间;
能执行呼叫重定向;
召开会议——只有端点同意参加才会建立会议连接。
SIP
通话初始协议(SIP)能建立呼叫处理通话过程——尤其是双方音频会议,或称“呼叫”。 PIX Firewall不但支持SIP VoIP网关和VoIP代理服务器,还可以使用SDP为动态分配的UDP端口进行定义。
NETBIOS over IP
PIX Firewall支持从内部网络到外部网络的NETBIOS over IP连接。这样,内部网络上的Microsoft客户机系统就可以利用NAT访问外部网络上的各类服务器,例如Windows NT。这种方式不但允许将安全政策用于互联网上及内部网内的Microsoft环境,还允许使用Microsoft环境中的访问控制。
本节将介绍虚拟专用网(VPN)技术,以及怎样在PIX Firewall中实施这种技术。本节包含的内容如下:
什么是VPN?
IPSec
互联网密钥交换(IKE)
认证机构
使用站点到站点VPN
使用远程接入VPN
什么是VPN?(What is a VPN?)
借助VPN,您可以将分布在世界各地的用户以及公共互联网上的站点安全地互连在一起。与基于传统广域网的帧中继或拨号连接相比,VPN不但能降低成本,提高可靠性,还能简化管理。VPN的安全性和管理政策与专用网络相同。借助VPN,客户、商业合作伙伴以及远程工作者等远程用户可以安全地访问企业的计算资源。
IPSec是一种标准,它规定了建立VPN的独立于厂商方法。作为安全功能的一部分,PIX Firewall提供基于IPSec标准的VPN功能。借助IPSec,当数据在公共网上传输时,用户无需担心数据会被查看、篡改或欺诈。
站点到站点VPN和远程接入VPN是VPN的两个类型,PIX Firewall同时支持这两种VPN。
IPSec
借助IPSec,用户可以通过互联网等不受保护的网络传输敏感信息。IPSec在网络层操作,能保护和鉴别所涉及的IPSec设备(对等物)之间的IP包,例如PIX Firewall单元。
IPSec提供的网络安全服务如下:
数据保密性——在通过网络传输之前,IPSec发送者可以对包进行加密;
数据完整性——IPSec接收者可以对IPSec发送者发出的包进行鉴别,以保证数据在传输过程中未被篡改;
数据来源鉴别——IPSec接收者可以识别所发送的IPSec包的来源,这种服务与数据完整性服务相关;
反重播——IPSec接收者可以删除和拒绝重播的包。
注意 数据认证主要是指数据完整性和数据来源鉴别。在本章中,如果没有其它规定,它还包括反重播服务。
IPSec提供了两台对等设备之间的安全通道,例如两个PIX Firewall单元之间的安全通道。用户可以自己确定哪些包属于敏感信息,应该通过这些安全通道发送。通过确定这些通道的特性,用户还可以确定应该使用哪些参数保护这些敏感包。当IPSec对等设备看到敏感包时,它将建立相应的安全通道,并通过通道将包发送给远程用户。用于传输信息的安全通道基于加密密钥以及安全协会(SA)规定的其它安全参数。
互联网密钥交换(互联网 Key Exchange ,IKE)
IPSec自动建立安全通道的过程分为两个阶段:
第一阶段:这个阶段通过互联网密钥交换(IKE)协议实施,能建立一对IKE SA。IKE SA用于协商一个或多种IPSec SA,以便实际传输应用数据。
第二阶段:这个阶段使用IKE SA提供的安全通道协商IPSec SA。当这个阶段结束时,两台对等设备均已建立了一对IPSec SA,以便提供传输应用数据所需的安全通道。SA参数之一是寿命,可配置的寿命期结束之后,SA将自动终止,因此,这个参数能提高IPSec的安全性。
IKE协议为协商IPSec SA建立了安全通道。借助IKE,无需人工配置每台IPSec对等设备就能实施IPSec。随着对等设备的增加,人工配置IPSec对等设备将变得异常复杂,因为每台对等设备都需要一对SA才能与借助IPSec通信的另一台对等设备通信。
与IPSec相似,IKE也使用一对SA在两台对等设备之间建立安全通信通道。IKE使用SA为IPSec通道安全协商SA,而不是传输用户信息。
用户可以人工配置SA,以便在两台对等设备之间建立IPSec通道。但是,这种方法并不安全,因为人工配置的SA不会自动过期。另外,随着对等设备的增加将出现严重的扩展问题。无论何时在网络中添加使用IPSec的对等设备都必须在每台现有对等设备上增加一对SA。基于此种原因,只有当远程对等设备不支持IKE时才使用人工配置。
与IPSec SA的人工配置相似,IKE SA可以通过预共享密钥建立。但是,这种方法也存在人工配置IPSec SA的扩展问题。认证机构(CA)提供了一种可扩展的方法,能够共享密钥以建立IKE SA。
认证机构(Certification Authorities)
要想了解CA帮助配置IKE的方式,应该先了解公用/专用密钥加密。公用/专有密钥也称为非对称密钥,它是一对密钥,用一个密钥加密的数据可以用另一个密钥解密。这个属性可用于解决通过非安全网络共享秘密时遇到的扩展问题。
产生公用/专用密钥对之后,一个密钥保密(专用密钥),另一个密钥公开(公用密钥)。当任何对等设备需要与专用密钥的所有者共享秘密时,只需使用公用密钥对信息加密即可。对原始信息解密的唯一方式是使用专用密钥。使用这种方法,无需传送对加密信息解密的秘密口令就能通过非安全网络共享加密信息。
公用/专用密钥对的这个独特属性还提供了一种出色的认证方法。公用密钥只能对用相应专用密钥加密的信息进行解密。如果消息可以借助某个公用密钥阅读,就可以肯定,信息的发送者拥有相应的专用密钥。
这就是使用CA的原因。这种公共密钥证书,或称数字证书,用于将公用/专用密钥对与某个IP地址或主机名称联系在一起。认证机构(CA)在某段时间发行公用密钥证书。CA可以是自己内部机构运作的专用(内部)CA,也可以是公共CA。VeriGign等公共CA由客户信任的第三方运作,它将负责核实获取证书的每台客户机和服务器的身份。
IKE协议使用数字证书生成第一对SA,为协商IPSec SA提供安全通道。为使用证书协商IKE SA,两台IPSec对等设备都必须产生公用/专用密钥对,请求和接收公用密钥证书,并确保信任发行证书的CA。
默认状态下,多数浏览器都信任来自著名CA的证书,例如VeriSign,并提供用于增加CA的选项,以便产生和请求数字证书。用户还可以在将浏览器分布给用户之前为浏览器软件预先配置CA和必要的证书。
如果想了解配置PIX Firewall以便使用IKE和数字证书的步骤,请参见“基本VPN配置”中的“使用认证机构”。
使用站点到站点VPN(Using a Site-to-Site VPN)
站点到站点VPN是一种WAN基础设施,能够代替和增强使用租用线路、帧中继或ATM连接远程和分支办公室和中央站点的现有专用网络。对于站点到站点VPN,PIX Firewall可以与任何Cisco VPN型网络设备互操作,例如Cisco VPN路由器。
站点到站点VPN在PIX Firewall与远程IPSec安全网关之间建立。远程IPSec安全网关可以是PIX Firewall、Cisco VPN集中器或者VPN型路由器,也可以是符合IPSec的任何第三方设备。要想了解配置指令,请参考“基本VPN配置”;要想了解配置实例,请参考“站点到站点VPN配置实例”。
使用远程接入VPN(Using a Remote Access VPN)
PIX Firewall支持混合型VPN部署,包括站点到站点流量和远程接入流量。远程接入VPN使用模拟、数字、ISDN、DSL、移动IP和有线技术将移动用户、远程员工及其他独立系统与PIX Firewall保护的网络安全地连接在一起。借助以下Cisco远程接入VPN应用,可以接入到受PIX Firewall保护的网络中:
Secure VPN Client,第1.1版本或更高
Cisco VPN 3000 Client,第2.5版本或更高
Cisco VPN Client,第3.0版本
注意 建议您使用Cisco VPN Client第3.0版本。
要了解常用的配置指令,请参考“基本VPN配置”;要了解具体步骤和配置实例,请参考“配置VPN客户机远程接入”。
本节将介绍用于管理PIX Firewall的特性和工具,包含以下内容:
ice Manager
Telnet界面
SSH第1版本
使用SNMP
TFTP配置服务器
XDMCP
使用系统日志服务器
FTP和URL登录
与IDS集成
PIX Device Manager
Cisco PIX Device Manager(PDM)是基于浏览器的配置工具,用户无需深入了解PIX Firewall命令行界面(CLI)就能从图形用户界面(GUI)建立、设置和监控PIX Firewall。PDM从Windows NT、Windows 95、Windows 2000或Solaris web浏览器提供管理界面。PDM只允许内部网络内的某些客户机系统访问HTML接口(根据源地址),其密码受到保护。
Telnet界面(Telnet Interface)
PIX Firewall Telnet界面提供与Cisco IOS软件类似的命令行界面。借助Telnet界面,可以通过控制台界面远程管理PIX Firewall。Telnet界面只允许内部网络内的某些客户机系统访问Telnet界面(根据源地址),而且密码能受到保护。如果内部网络不安全,且LAN上的通话可以被窃听,就应该限制使用Telnet界面。如果配置了IPSec,还可以从外部界面访问PIX Firewall控制台。
SSH第1版(SSH Version 1)
PIX Firewall支持SSH第1版中提供的SSH远程壳功能。SSH可以安全地远程配置PIX Firewall,因而能提供加密和认证功能。
使用SNMP(Using SNMP)
PIX Firewall通过简单网络管理协议(SNMP)支持网络监控。SNMP界面允许通过传统网络管理系统监控PIX Firewall。PIX Firewall只支持SNMP GET命令,此命令只允许执行只读接入。
SNMP Firewall和Memeory Pool MIB增加了用于识别PIX Firewall状态的其它信息的陷阱数量,包括以下事件:
lock命令的缓冲区使用情况
ow conn命令的连接数量
状态
memory命令的内存使用情况
TFTP配置服务器(TFTP Configuration Server)
用户可以使用复杂文件传输协议(TFTP)配置服务器从一个地点获得多个PIX Firewall的配置。但是,TFTP是不安全的,如果网络安全政策不允许通过网络传输未加密的信息,就不能使用TFTP。
用户还可以使用TFTP将.bin图像从CCO下载到PIX Firewall,以便升级或者更换PIX Firewall上的软件图像。传输文件时,TFTP不执行任何认证,因此不需要远程主机的用户名和密码。
XDMCP
PIX Firewall通过established命令支持使用XDMCP(X显示管理器控制协议)的连接。这个特性使用Xwindows TCP向后连接修复,即协商Xwindows对话,并在目标端口6000上建立初始连接。与其它UDP修复相同,在默认状态下,将打开XDMCP处理功能。
使用系统日志服务器(Using a 系统日志 Server)
PIX Firewall将TCP和UDP 系统日志消息中的消息发送到任何现有系统日志服务器,并提供系统日志服务器,供Windows NT系统使用。Windows NT 系统日志服务器可以提供有时间标记的系统日志消息,接收替代端口上的消息,还可以在不能收到消息时挡住PIX Firewall流量。当Windows NT记录磁盘已满,或者服务器出现故障时,用户还可以让Windows NT 系统日志服务器终止PIX Firewall连接。
FTP和URL登录(FTP and URL Logging)
借助FTP和URL登录特性,用户可以查看用户输入的向内和向外FTP命令,以及用于访问其站点的URL。用户可以利用这个功能监控用户对内部和外部站点的访问。借助它提供的数据,用户可以阻挡对有问题的站点的访问。这个特性可以用logging trap debugging命令打开。注意,这个特性可能会产生关于高流量PIX Firewall的大量系统日志数据。
与IDS集成(Integration with IDS)
PIX Firewall可以与Cisco入侵检测系统互操作。PIX Firewall将检查IDS签名并将其作为系统日志信息发送给系统日志服务器。这个特性只支持单包IDS签名。
 借助PIX故障恢复特性,用户可以用一条专用故障恢复线缆连接两个相同的PIX Firewall设备,以便实现完全冗余的防火墙解决方案。各种PIX Firewall提供的故障恢复特性如表1-1所示。
|
