PIX访问控制列表和内容过滤

PIX 访问控制列表和内容过滤 可以配置 PIX 防火墙使之有选择地允许某些流量通过其接口，这些配置方式有： 基于源地址或目的地址；基于服务类型；基于验证、授权和计费（AAA）需求； 基于内容或目的 URL。ACL 是由路由器和 PIX 防火墙维护的用来控制流量的一个列表。内容过滤可 以阻止特定类型的内容（比如 Java applets，ActiveX 控件等）进入你的网络， 还可以用来控制和阻止网络内部主机对受限的 web 站点的访问。 一、访问控制列表使用 access-list 和 access-group 这两条命令可以实现 ACL。access-list 命令用来创建 ACL，access-group 命令用来把 ACL 绑定到路由 器或 PIX 防火墙的特定接口上。使用 access-group 命令在一个接口上只能绑定 一个 ACL。与使用 Cisco IOS 的路由器不同的是，在 PIX 防火墙上使用 access-group 命令只能将 ACL 绑定到任意接口的入站流量上。不过，在 PIX 防火墙上仍然能控 制出站流量（例如，从 inside 接口到 outside 接口），但是必须使用 access-group acl_id in interface inside 命令将 ACL 绑定到 inside 接口上，从而控制从内 部主机到 inside 接口的流量。access-list 和 access-group 命令可以代替 outbound 或者 conduit 命令， 且 access-list 和 access-group 命令具有较高的优先级。当用来允许或拒绝流量时，access-list命令与conduit命令遵循同样的原 理和规则。以下是设计和实现 ACL 时遵循的规则： 从较高到较低的安全性：用 ACL 来限制出站流量；ACL 命令中的源地址是主机或网络的实际地址。 从较低到较高的安全性：用 ACL 来限制入站流量；ACL 命令中的目的地址是经过转换的全局地址。access-list 命令使你可以指明允许或拒绝某 IP 地址访问某端口或协议。 缺省情况下，访问列表中的所有访问都是被拒绝。因此，需要允许访问时必须明 确指出。在 PIX 防火墙 6.3 中加入了对 ACL 编辑及注释的支持。该版本中可以为特定 的 ACL 条目指定行编号，并把它放到 ACL 中的任意位置。当把主机的 IP 地址作为源或目的地址时，可以使用关键字 host 来代替网络 掩码 255.255.255.255。例如，下列 ACL 允许到主机 192.168.1.1 的 FTP 流量： access-list SAMPLEACL permit tcp any host 192.168.1.1 eq ftpshow access-list 命令可以列出配置中的 access-list 命令语句，还可以 列出 access-list 命令搜索过程中各元素的匹配命中统计。在 6.3 版本中，还可 以显示出所有添加到 ACL 中的注释和每个条目的行编号。clearaccess-list 命令将从配置中删除所有的 access-list 命令语句。如 果指定了 clear access-list 命令中的 acl_id 参数，那么仅仅删除与该参数对 应的ACL。如果指定counters选项，那么将清除指定ACL的匹配命中统计。使用 clearaccess-list 命令的同时会阻止与被影响的 access-list 命令语 句相关的所有流量通过 PIX 防火墙。使用no access-list命令时，如果所提供的参数与已有的特定命令相匹配, 那么将从配置中删掉该命令。当使用no access-list命令且仅指定相关ACL的名称时，整个ACL将被删 除。如： no access-list out_in如果一个ACL组中所有的access-list命令语句都已被删除，那么no access-list命令相当于从配置中删除相应的access-group命令。处理子网掩码的顺序相反之外，access-list命令在PIX防火墙中与Cisco IOS软件中的语法是一样的。如，在Cisco IOS中access-list命令指定的子网 掩码为0.0.0.255,那么在PIX防火墙中access-list命令将指定该子网掩码为 255.255.255.0。以下列出了 access-list命令的语法：access-list acl_ID line line_num deny |permit protocol source_addr source_mask operator port port destination_addr destination_mask operator port portaccess-list acl_ID line line_num deny | permit icmp source_addr source_mask destination_addr destination_mask icmp_type access-list acl_ID line line_num remark textshowaccess-listclear access-list acl_ID acl_IDcounters对于入站连接来说，destination_addr指经过NAT转换后的地址；对于出 站连接来说，source_addr指未经NAT转换的地址。access-group命令用来绑定一个ACL到一个接口。ACL用来控制一个接口的 入站流量(这点与路由器上的ACL不同，在PIX上没有出站ACL)。使用 access-group命令在一个接口上只能绑定一个ACL。no access-group命令可以解除绑定在接口 interface_name上的以参数 acl_ID 表示的 ACLoshow access-group命令用来列出当前绑定在接口上的ACL。clear access-group命令将删除以参数acl_ID表示的ACL中的所有条目。 如果未指明参数acl_ID，那么配置中所有access-list命令语句都会被删除。以下列出了 access-group命令的语法：access-group acl_ID in interface interface_nameno access-group acl_ID in interface interface_name show access-group acl_ID in interface interface_name clear access-group acl_ID与给定的ACL相关联的名称 in interface在给定的接口上过滤入站的数据包 interface_name网络接口的名称nat命令可以为主机或网络启用NAT地址转换。nat access-list将在nat 命令的基础上实现策略NAT，可以只对与访问控制列表ACL中的条目相匹配的流 量进行NAT转换。还可以使用nat 0 access-list命令对与ACL的条目相匹配的 流量不进行地址转换。以下列出了 nat access-list命令的语法：nat (if_name) nat_idaccess-list acl_name outside if_name内部网络接口名称。如果该接口绑定了一个ACL,那么if_name参数就是拥有较高安全级别接口的名称 nat_id在0和65535之间的一个整数。如果nat_id取值为0,则表示匹 配ACL的流量将不进行NAT转换。如果nat_id在1和65535之间取值，则表示 启用策略 NATaccess-list该参数使nat 0命令与access-list命令相关联 acl_name用于标识accessTist命令语句的名称 outside用于指定将nat命令应用到out side接口地址上。下面例子说明使用 nat0access-list 命令可以使内部主机 10.0.0.11 在连 接到外部主机时不经过NAT地址转换。pixfirewall(config)#access-list NONAT permit ip host 10.0.0.11 host pixfirewall(config)#nat (inside) 0 access-list NONATTurbo ACL一个典型的ACL是由多个ACL条目组成，这些条目在PIX防火墙内被有序地 组织起来形成一个链表。当使用访问控制列表来处理数据包时, PIX 防火墙顺序 地查找该链表以发现匹配地条目。被匹配的条目用来决定转发或丢弃该数据包。 在线性的查找过程中，平均查找时间与 ACL 的大小成正比。Turbo ACL通过让PIX防火墙重新编辑ACL表格，在ACL包含大量条目时可 以提高平均查找时间。可以先对所有 ACL 启用该特性，然后再针对特定的 ACL 禁用该特性；也可以为某个特定的 ACL 启用该特性。对于较短的 ACL 来说， Turbo ACL 特性不会提高性能。一个 TurboACL 查询一个任意长度的 ACL 所需要的时间， 与在一个大约由12到18个条目构成的ACL中进行常规的查询所需的时间大致是 相同的。因此， Turbo ACL 特性既是被启用，也仅仅被用到包含 19个甚至更多 条目的 ACL 上。Turbo ACL最少需要2.1MB的内存而且每2000条ACL条目大约需要1MB的 内存。实际所需的那促不仅与 ACL 中所拥有的条目数量有关，而且还和条目的复 杂程度有关。因此比较适合在高端PIX防火墙上使用，例如PIX防火墙525或 535。当在启用 Trubo ACL 特性的 ACL 中添加或删除某个条目时，与该 ACL 相关 联的内部数据表格将重新生成，这对PIX防火墙的CPU所增加的负担是不可忽略 的。501型号的PIX防火墙不支持Turbo ACL。Turbo ACL 特性可以统一配置，也可以针对每个 ACL 逐个配置。用 access-list compiled 命令可以为所有包含 19个或更多条目的 ACL 启用 Turbo ACL特性。该命令将使Turbo ACL处理过程扫描所有现有的ACL。在扫描期间， 将给每个 ACL 添加 Turbo 配置标记，并为包含 19个以上条目的且尚未被编辑的 ACL 进行编辑。可以使用access-list acl_ID compiled命令为单独的ACL启用turbo ACL 特性，还可以在统一配置Turbo ACL后使用该命令的no形式为特定的ACL关闭 该特性。no access-list compiled命令缺省地会使PIX防火墙的Turbo ACL处理过 程扫描所有编辑过的ACL，并且将每个ACL标记为non-Turbo,还会删除所有存 在的 Turbo ACL 结构。使用 show access-list 命令可以查看 Turbo ACL 配置情况。在配置了 Turbo ACL的情况下，该命令会输出每个经过Turbo编辑的ACL的内存使用情况和所有 这些ACL共享的内存使用情况，当没有ACL被Turbo编辑过，那么不会输出Turbo 统计。二、把 conduit 转换成 ACL在PIX防火墙配置中建议使用ACL而不是conduit。access-list命令在PIX防火墙中与Cisco IOS中使用相同的语法，但是两 者由一个很重要的区别。在PIX防火墙中，access-list命令与其他命令一样指 定子网掩码，这一点与 Cisco IOS 版本中的 access-list 命令是完全不同的。ACL和conduit最重要的相同点大概就是两个命令都可以结合static命令 来允许或拒绝从PIX防火墙的外部网络到位于内部网络上主机的TCP/UDP服务的 访问。更确切地说，这两个命令都可以用来允许或拒绝从具有较低安全级别地接 口到具有较高安全级别地接口地连接。conduit 定义了可以在这两个接口之间流动地流量，且通过允许从一个接口 访问位于另一个接口上的主机，在PIX防火墙的适应性算法（ASA）中创建了一 个例外。相比而言，在 access-group 命令中用到的 access-list 命令仅仅作用 于耽搁接口上，且会影响进入该接口的所有流量，而不管该接口的安全级别。同 时，ACL在最后由一条隐含的deny规则。一旦在一个接口上应用ACL，进入该接 口的所有 inbound 数据包必须遵守该 ACL 的规则，而不管该接口的安全级别。下面列出 ACL 和 conduit 的特性：access-list命令只有通过access-group命令将其捆绑到一个接口上才能控 制访问，而 conduit 根本不需要绑定到一个接口上；配置时， access-list 和 access-group 命令比 conduit 命令具有更高的优先 级；ACL比conduit更灵活。可以限制从具有较高安全级别的接口到具有较低安全 级别的接口的连接，也可以允许或拒绝从拥有较低安全级别的接口到拥有较高安 全级别的接口的连接。由于在未来版本的PIX防火墙中将不提供对conduit的支持，所以有必要将 配置中已有的 conduit 命令转换成 ACL。conduit permit | deny protocol global_ip global_mask operator port port foreign_ip foreign_mask operator port portaccess-listacl_IDlineline_numdeny|permitprotocolsource_addr source_mask operator port port destination_addr destination_mask operator port port将conduit命令中的参数搬到access-list命令中来使用，可以把conduit 转换成ACL。这种变动的确有效，因为conduit命令中的foreign_ip参数与 access-list命令中的source_addr参数是相同的，conduit命令中的global_ip 参数与access-list命令中的destination_addr参数是相同的。以下是把 conduit 命令替换为 access-list 命令的例子。access-list acl_ID permit | deny protocol foreign_ip foreign_mask foreign_operator foreign_port foreign_port global_ip global_mask global_operator global_port global_port下面列出一条 conduit 命令语句及其与之等价的 access-list 命令语句。 conduit permit tcp host 172.18.0.10 eq ftp access-list 102 permit tcp172.18.0.0 255.255.255.0 host 172.18.0.10 eq ftp三、使用 ACL在下面所示的网络，在 inside 接口上使用名为 acl_out 的 ACL 来控制入站 流量。该ACL拒绝来自内部网络的HTTP连接，而允许其他所有的IP流量通过。 在 inside 接口上使用这个 ACL 可以限制内部用户建立通向外部的连接。为允许出站连接，内部网络地址(10.0.0.0)被动态转换为从 192.168.0.20 到 192.168.0.254 之间的地址。下面列出了实现上图所描述的网络拓扑结构的 ACL 配置。 pixfirewall(config)#write terminal nameif ethernet0 outside sec0 nameif ethernet1 insside sec100 access-list acl_out deny tcp any any eq www access-list acl_out permit ip any any access-group acl_out in interface inside nat (inside) global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0 如下图所示的网络，在 outside 接口上使用名为 acl_in_dmz 的 ACL 来控制入站流量。该ACL只允许从Internet Web服务器通过80端口的web连接，而拒 绝其他所有到DMZ或内部网络的IP访问。Internet1G.n,D.0；Z4换 A 只祐E l n乩 tom .cnluH 256334631当从外部网络访问 DMZ 上的 web 服务器时，需要将外部地址(192.168.0.11) 静态转换成 DMZweb 服务器的地址(172.16.0.2)。下面列出了实现上图所描述的网络拓扑结构的 ACL 配置。 pixfirewall(config)#write terminal nameif ethernet0 outside sec0static (dmz,outside) 192.168.0.11 172.16.0.2 access-list acl_in_dmz permit tcp any host 192.168.0.11 eq www access-list acl_in_dmz deny ip any any access-group acl_in_dmz in interface outside如下图所示的网络，在 Partnernet 网络的接口上使用名为 acl_partner 的 ACL 来控制其入站流量。该 ACL 只允许 网络中的主机到 DMZ 中的 Web 服务器通过静态转换后的地址的 web 连接，而拒绝其他所有来自 Partnernet 网络的流量。InlernetWR牡眼务器眼 Ag .fil na. tom .Gfl/un 25633463110.0.D.0?24嘟4T虫务器PartnernetDMZlT2J&.O,0f24在 DMZ 接口上使用名为 acl_dmz_in 的 ACL 来控制其入站流量。该 ACL 仅允 许主机 172.16.0.4 到 inside 接口上的内部 mail 服务器的 mail 访问，而拒绝其 他所有来自DMZ网络的流量。下面列出了实现上述要求的 ACL 配置： pixfirewall(config)#write terminal nameif ethernet0 outside sec0 nameif ethernet1 inside sec100 nameif ethernet2 dmz sec50 nameif ethernet3 partnernet sec40 static (dmz,partnernet) 172.18.0.17 172.16.0.2 static (inside,dmz) 172.16.0.11 10.0.0.4 access-list acl_partner permit tcp 172.18.0.0 255.255.255.0 host 172.18.0.17 eq www access-group acl_partner in interface partnernetaccess-list acl_dmz_in permit tcp host 172.16.0.4 host 172.16.0.11 eq smtpaccess-group acl_dmz_in in interface dmz如下图所示的VPN解决方案中，PIX防火墙上有两个专用接口直连到Cisco 虚拟专用网络(VPN)集中器上。其中dmz接口连接到VPN集中器的public接口 上，而dmz2接口连接到VPN集中器的private接口上。VPN集中器可以配置为 从地址池中为VPN客户端分配一个地址。1?2,i0.a.24InternelOutside192.1BB.0.a?24Pr 州 172.1&.0.5JIH命酩172.31624人逛总 25633463110.0.0.024InsideVPN户喘dme?在 PIX 防火墙上为去往 VPN 客户端的出站流量定义了一条静态路由。为了允 许 VPN 客户端与 PIX 防火墙内部网络中的主机之间进行通信，需要在 PIX 防火墙 上配置一条静态转换。在 PIX 防火墙上配置如下两个 ACL ，可以控制从 Internet 到 PIX 防火墙内 部网络的入站流量和从 VPN 客户端到 PIX 防火墙内部网络的出站流量： 名为IPSEC的ACL允许从Internet到VPN集中器上public接口的HTTPS流量, 仅允许到VPN集中器的IPSEC流量。名为WEB的ACL允许从VPN客户端(10.0.21.33-62)到内部Web服务器 )的 HTTP 流量。下面列出了实现这种VPN环境所需的ACL配置。 pixfirewall(config)#write terminal static (dmz,outside) 192.168.0.12 172.16.0.5 netmask 255.255.255.255 0 0static (inside,dmz) 10.0.21.10 10.0.0.10 netmask 255.255.255.255 route dmz2 10.0.21.32 255.255.255.224 172.18.0.5 1access-list IPSEC permit tcp any host 192.168.0.12 eq 443access-list IPSEC permit esp any host access-list IPSEC permit udp any host 192.168.0.12 eq isakmp access-group IPSEC in interface outsideaccess-list WEB permit tcp 255.255.255.255 eq wwwaccess-group WEB in interface dmz2icmp 命令可以允许或禁止PING PIX防火墙上的接口。如果禁止PING，网络中就无法 发现 PIX 防火墙。使用 icmp 命令可以实现这个功能。缺省情况下，不允许穿过 PIX 防火墙来 ping 一个 PIX 防火墙上的接口。例 如，内部主机 ping 不通 PIX 防火墙上的 outside 接口，却可以 ping 通 PIX 防火 墙上的 inside 接口。使用 icmp 命令时，通过配置 icmp 命令语句来允许或拒绝终止于 PIX 防火墙 的ICMP流量。如果第一个匹配的条目包含permit,那么将继续处理ICMP数据 包。如果第一个匹配的条目包含deny，或者没有匹配的条目，那么PIX防火墙 将拒绝ICMP数据包并且产生PIX-3-313001系统日志消息。不配置任何icmp 命令语句是个例外，这时缺省?