第8章防火墻《網(wǎng)絡(luò)安全技術(shù)與實(shí)訓(xùn)》（微課版）（第5版）主講人：課程引入防火墻與交換機(jī)、路由器功能對(duì)比以園區(qū)網(wǎng)為例，交換機(jī)作用是接入終端和匯聚內(nèi)部路由，組建內(nèi)部互聯(lián)互通的局域網(wǎng)。路由器作用是路由的分發(fā)、尋址和轉(zhuǎn)發(fā)，構(gòu)建外部連接網(wǎng)絡(luò)。突出數(shù)據(jù)控制防火墻作用是流量控制和安全防護(hù)，區(qū)分和隔離不同安全區(qū)域。突出行為控制異常流量正常流量交換機(jī)

組建局域網(wǎng)

二/三層快速轉(zhuǎn)發(fā)報(bào)文防火墻

控制報(bào)文轉(zhuǎn)發(fā)

防攻擊、病毒、木馬路由器

尋址和轉(zhuǎn)發(fā)

保證網(wǎng)絡(luò)互聯(lián)互通Internet學(xué)習(xí)要點(diǎn)（思政要點(diǎn)）《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

2017年6月1日開始施行持續(xù)檢測(cè)、威脅情報(bào)、快速響應(yīng)等要求提出了具體的落地要求《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0》2019年12月1日開始實(shí)施GA/T1177-2014《信息安全技術(shù)第二代防火墻安全技術(shù)要求》在制定時(shí)參考了等級(jí)保護(hù)要求，將第二代防火墻的功能分級(jí)與等級(jí)保護(hù)的級(jí)別進(jìn)行了關(guān)系對(duì)應(yīng)，明確了第二代防火墻功能基本級(jí)對(duì)應(yīng)等級(jí)保護(hù)一、二級(jí)，第二代防火墻功能增強(qiáng)級(jí)對(duì)應(yīng)等級(jí)保護(hù)三、四級(jí)。學(xué)習(xí)要點(diǎn)（思政要點(diǎn)）網(wǎng)絡(luò)支持與促進(jìn)標(biāo)準(zhǔn)政府投入社會(huì)力量網(wǎng)絡(luò)運(yùn)行安全

等級(jí)保護(hù)準(zhǔn)入規(guī)定運(yùn)營(yíng)者責(zé)任關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)信息安全運(yùn)營(yíng)者約束監(jiān)測(cè)預(yù)警與應(yīng)急處理

《網(wǎng)絡(luò)安全法》主要內(nèi)容學(xué)習(xí)要點(diǎn)（思政要點(diǎn)）2019年12月1日，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度正式實(shí)施，簡(jiǎn)稱等保2.0。信息系統(tǒng)安全等級(jí)保護(hù)分為五級(jí)，一級(jí)防護(hù)水平最低，最高等保為五級(jí)。第一級(jí)（自主保護(hù)級(jí)）：一般適用于小型私營(yíng)、個(gè)體企業(yè)、中小學(xué)，鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級(jí)單位中一般的信息統(tǒng)

信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。第二級(jí)（指導(dǎo)保護(hù)級(jí)）：一般適用于縣級(jí)其些單位中的重要信息系統(tǒng)；地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)（監(jiān)督保護(hù)級(jí)）：一般適用于地市級(jí)以上國(guó)家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)。跨省或全國(guó)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等。信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。學(xué)習(xí)要點(diǎn)（思政要點(diǎn)）第四級(jí)（強(qiáng)制保護(hù)級(jí)）：一般適用于國(guó)家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。例如電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要、部門的生產(chǎn)、調(diào)度、指揮等涉及國(guó)家安全、國(guó)計(jì)民生的核心系統(tǒng)。信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)（?？乇Ｗo(hù)級(jí)）：一般適用于國(guó)家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害學(xué)習(xí)要點(diǎn)（思政要點(diǎn)）

掌握防火墻的功能及分類（網(wǎng)絡(luò)安全意識(shí)）

了解防火墻的主要應(yīng)用掌握防火墻的體系結(jié)構(gòu)掌握硬件防護(hù)墻的使用和配置策略（學(xué)以致用）第8章防火墻01防火墻概述02防火墻的分類03防火墻的選擇04思科防火墻CiscoPacketTracer安裝與使用防火墻基本配置防火墻高級(jí)配置8.1防火墻概述古時(shí)候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢(shì)蔓延到別的寓所。

在網(wǎng)絡(luò)中，防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。8.1防火墻概述

8.1.1防火墻的基本概念

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。企業(yè)邊界防護(hù)內(nèi)網(wǎng)管控與安全隔離數(shù)據(jù)中心邊界防護(hù)數(shù)據(jù)中心安全聯(lián)動(dòng)Internet出差人員分支機(jī)構(gòu)UntrustDMZFTP/Web服務(wù)器TrustSpineLeaf數(shù)據(jù)中心內(nèi)部區(qū)域個(gè)人客戶企業(yè)客戶UntrustInternet企業(yè)園區(qū)/分支Internet研發(fā)區(qū)出口網(wǎng)關(guān)市場(chǎng)部生產(chǎn)部財(cái)經(jīng)部8.1防火墻概述

8.1.2防火墻的功能

網(wǎng)絡(luò)安全的屏障強(qiáng)化網(wǎng)絡(luò)安全策略對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控和審計(jì)防止內(nèi)部信息的外涉實(shí)現(xiàn)VPN的連接防火墻的不足之處：不能防御內(nèi)部攻擊不能防御繞過防火墻的攻擊不能防御完全新的威脅不能防止傳送已感染病毒的軟件或文件影響網(wǎng)絡(luò)性能8.1防火墻概述

8.1.2防火墻的規(guī)則

防火墻的安全規(guī)則由匹配條件和處理方式兩部分組成。匹配條件處理方式8.1防火墻概述

8.1.2防火墻的規(guī)則

配置Win7防火墻8.1防火墻概述

8.1.2防火墻的規(guī)則

配置Win7防火墻第8章防火墻01防火墻概述02防火墻的分類03防火墻的選擇04思科防火墻CiscoPacketTracer安裝與使用防火墻基本配置防火墻高級(jí)配置8.2防火墻分類

8.2.1防火墻的分類

防火墻按照使用技術(shù)可以分為包過濾型和代理型，按照實(shí)現(xiàn)方式可以分為硬件防火墻和軟件防火墻。按照部署還可分為單機(jī)防火墻和網(wǎng)絡(luò)防火墻。防火墻根據(jù)設(shè)備形態(tài)分為，框式防火墻、盒式防火墻和軟件防火墻，支持在云上云下靈活部署。公有云、私有云軟件防火墻盒式防火墻框式防火墻8.2防火墻分類

8.2.1按照實(shí)現(xiàn)方式分類硬件防火墻是指采取ASIC芯片設(shè)計(jì)實(shí)現(xiàn)的復(fù)雜指令專用系統(tǒng)。深信服、華三、華為等為代表軟件防火墻一般安裝在隔離內(nèi)外網(wǎng)的主機(jī)或服務(wù)器上360安恒瑞星8.2防火墻分類

8.2.2按照使用技術(shù)分類包過濾型防火墻，包過濾型防火墻又可分為：靜態(tài)包過濾（StaticPacketFiltering）狀態(tài)檢測(cè)包過濾（StatefulInspection）代理型防火墻,代理型防火墻又可分為:電路級(jí)網(wǎng)關(guān)（CircuitLevelGateway）應(yīng)用網(wǎng)關(guān)（ApplicationLayerGateway）復(fù)合型防火墻綜合了包過濾防火墻技術(shù)以及應(yīng)用代理防火墻技術(shù)的優(yōu)點(diǎn)，同時(shí)摒棄了兩種防火墻的原有缺點(diǎn)，大大提高了防火墻技術(shù)在應(yīng)用實(shí)踐中的靈活性和安全性。其中AI防火墻是結(jié)合AI技術(shù)的新一代防火墻。它通過結(jié)合AI算法或AI芯片等多種方式，進(jìn)一步提高了防火墻的安全防護(hù)能力和性能。8.2防火墻分類靜態(tài)包過濾（StaticPacketFiltering）8.2防火墻分類狀態(tài)檢測(cè)包過濾（StatefulInspection）8.2防火墻分類代理型防火墻8.2防火墻分類

8.2.3防火墻的選擇選擇的防火墻的一個(gè)前提條件是明確用戶的具體需求要考慮網(wǎng)絡(luò)結(jié)構(gòu)要考慮到業(yè)務(wù)應(yīng)用系統(tǒng)需求要考慮用戶及通信流量規(guī)模方面的需求8.2防火墻分類

8.2.3防火墻的選擇把防火墻的主要指標(biāo)和需求聯(lián)系起來，可以從以下幾個(gè)基本標(biāo)準(zhǔn)入手。產(chǎn)品本身的安全性數(shù)據(jù)處理性能功能指標(biāo)可管理性與兼容性產(chǎn)品的售后及相應(yīng)服務(wù)完善的資質(zhì)（參照第7章VPN網(wǎng)關(guān)）8.2防火墻的分類

防火墻的性能衡量指標(biāo)吞吐量，防火墻每秒處理數(shù)據(jù)單元的比特?cái)?shù)，越大處理數(shù)據(jù)的能力越強(qiáng)。一般使用1K-1.5KBytes的大包來衡量防火墻處理報(bào)文的能力，網(wǎng)絡(luò)常見是200Bytes的報(bào)文。連續(xù)發(fā)送這樣的數(shù)據(jù)包，在沒有數(shù)據(jù)包丟失的前提下，計(jì)算每秒傳輸最大速率。時(shí)延防火墻處理報(bào)文的時(shí)間，即數(shù)據(jù)包第一個(gè)比特進(jìn)入防火墻到最后一個(gè)比特從防火墻輸出。時(shí)延越小，防火墻處理速度就越快新建連接數(shù)每秒防火墻處理的新建連接數(shù)量該值越大抵御DDOS能力越強(qiáng)并發(fā)連接數(shù)每秒鐘防火墻同時(shí)處理的連接總數(shù)新建連接數(shù)并發(fā)連接數(shù)吞吐量時(shí)延第8章防火墻01防火墻概述02防火墻的分類03防火墻的選擇04思科防火墻CiscoPacketTracer安裝與使用防火墻基本配置防火墻高級(jí)配置8.3防火墻的應(yīng)用

8.3.1防火墻在網(wǎng)絡(luò)中的應(yīng)用模式堡壘主機(jī)（BastionHost）是一種配置了較為全面安全防范措施的網(wǎng)絡(luò)上的計(jì)算機(jī)雙重宿主機(jī)是指通過不同的網(wǎng)絡(luò)接口連入多個(gè)網(wǎng)絡(luò)的主機(jī)系統(tǒng)，它是網(wǎng)絡(luò)互連的關(guān)鍵設(shè)備周邊網(wǎng)絡(luò)是指內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一個(gè)網(wǎng)絡(luò)，通常將提供各種服務(wù)的服務(wù)器放置在該區(qū)域，又稱為DMZ非軍事區(qū).8.3防火墻的應(yīng)用

1.雙宿/多宿主機(jī)防火墻它是一種擁有兩個(gè)或多個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。8.3防火墻的應(yīng)用

2.屏蔽主機(jī)防火墻由包過濾路由器和堡壘主機(jī)組成,屏蔽主機(jī)防火墻實(shí)現(xiàn)了網(wǎng)絡(luò)層和應(yīng)用層的安全。8.3防火墻的應(yīng)用

3.屏蔽子網(wǎng)防火墻采用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)。8.3防火墻的應(yīng)用

8.3.2防火墻的工作模式防火墻的工作模式包括路由工作模式、透明工作模式和NAT工作模式。路由工作模式

防火墻可以讓處于不同網(wǎng)段的計(jì)算機(jī)通過路由轉(zhuǎn)發(fā)的方式互相通信。8.3防火墻的應(yīng)用

路由工作模式的防火墻，存在兩個(gè)局限：當(dāng)防火墻的不同端口所接的局域網(wǎng)都位于同一個(gè)網(wǎng)段時(shí)，路由模式的防火墻無法完成這種方式的包轉(zhuǎn)發(fā)。當(dāng)網(wǎng)絡(luò)中引入的防火墻工作在路由模式時(shí)，被保護(hù)網(wǎng)絡(luò)原來的路由器應(yīng)該修改路由表以便轉(zhuǎn)發(fā)防火墻的IP報(bào)文。如果用戶的網(wǎng)絡(luò)非常復(fù)雜，就會(huì)給防火墻用戶帶來設(shè)置上的麻煩2.透明工作模式工作于透明模式的防火墻相當(dāng)于二層交換機(jī)；防火墻的網(wǎng)口不設(shè)地址。3.NAT工作模式適用于內(nèi)網(wǎng)中存在一般用戶區(qū)域和DMZ區(qū)域，在DMZ區(qū)域中存在對(duì)外可以訪問的服務(wù)器，同時(shí)該服務(wù)器具備經(jīng)InterNIC注冊(cè)過的IP地址。8.3防火墻的應(yīng)用

8.3防火墻的應(yīng)用

8.3.3防火墻的配置原則1.基本原則。實(shí)現(xiàn)方式簡(jiǎn)單，越容易理解和使用，而且設(shè)計(jì)越簡(jiǎn)單，越不容易出錯(cuò)，防火墻的安全功能越容易得到保證，管理也就越可靠、簡(jiǎn)便。應(yīng)系統(tǒng)地對(duì)待整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系，盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個(gè)系統(tǒng)，這體現(xiàn)在兩個(gè)方面：采用集互聯(lián)網(wǎng)邊界防火墻、部門邊界防火墻和主機(jī)防火墻于一體的層次防御；將入侵檢測(cè)、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起成為多層安全體系對(duì)內(nèi)部威脅可以采取其他安全措施，如入侵檢測(cè)、主機(jī)防護(hù)、漏洞掃描、病毒查殺等簡(jiǎn)單實(shí)用全面深入內(nèi)外兼顧8.3防火墻的應(yīng)用

2.配置布置8.3防火墻的應(yīng)用

3.注意事項(xiàng)建立規(guī)則文件。注重網(wǎng)絡(luò)地址轉(zhuǎn)換。路由的合理設(shè)置。合理的規(guī)則次序。注意管理文件的更新。加強(qiáng)審計(jì)。第8章防火墻01防火墻概述02防火墻的分類03防火墻的選擇04思科防火墻CiscoPacketTracer安裝與使用防火墻基本配置防火墻高級(jí)配置8.4思科防火墻PIX防火墻是Cisco端到端安全解決方案中的一個(gè)關(guān)鍵組件，它是基于專用的硬件和軟件的安全解決方案，在不影響網(wǎng)絡(luò)性能的情況下，提供了高級(jí)安全保障。PIX防火墻使用了包括數(shù)據(jù)包過濾、代理過濾以及狀態(tài)檢測(cè)包過濾在內(nèi)的混合技術(shù)，同時(shí)它也提高了應(yīng)用代理的功能，因此它被認(rèn)為是一種混合系統(tǒng)。8.4思科防火墻思科模擬器CiscoPacketTracer7.3提供的防火墻是5505和5506（建議使用5506進(jìn)行實(shí)訓(xùn)），屬于Cisco的ASA（AdaptiveSecurityAppliance）安全產(chǎn)品線，它們?cè)从诮?jīng)典的PIX（PrivateInternetExchange）防火墻系列，PIX防火墻使用了一種稱為“自適應(yīng)性安全算法”的方式處理流量，這就是ASA使用“自適應(yīng)安全設(shè)備”的原因。8.4思科防火墻8.4思科防火墻8.4.1PIX防火墻的功能特點(diǎn)非通用、安全、實(shí)時(shí)和嵌入式系統(tǒng)01自適應(yīng)性安全算法（ASA）02直通型代理03基于狀態(tài)的包過濾04高可靠性058.4思科防火墻8.4.2PIX防火墻的算法與策略1.ASA的特點(diǎn)和優(yōu)勢(shì)ASA提供了“基于狀態(tài)的”連接安全，包括可跟蹤源和目的端口、地址、TCP序列號(hào)和其他的TCP標(biāo)志，以及可隨機(jī)生成初始的TCP序列號(hào)。默認(rèn)情況下，ASA允許來自內(nèi)部（安全級(jí)別高）接口的主機(jī)發(fā)出的到外部（或者其他安全級(jí)別低的接口）主機(jī)的連接。默認(rèn)情況下，ASA拒絕來自外部（安全級(jí)別低）接口的主機(jī)發(fā)出的到內(nèi)部（安全級(jí)別高）主機(jī)的連接。ASA支持認(rèn)證、授權(quán)和記賬（AAA）。8.4思科防火墻2.安全級(jí)別的規(guī)則PIX防火墻通過采取安全級(jí)別方式，來表明一個(gè)接口相對(duì)另一個(gè)接口是可信（較高的安全級(jí)別）還是不可信（較低的安全級(jí)別）。安全級(jí)別的基本規(guī)則是：具有較高安全級(jí)別的接口可以訪問具有較低安全級(jí)別的接口。反過來，在沒有設(shè)置管道（conduit）和訪問控制列表（ACL）的情況下，具有較低安全級(jí)別的接口不能訪問具有較高安全級(jí)別的接口。8.4思科防火墻安全級(jí)別的范圍0～100，下面是針對(duì)這些安全級(jí)別給出的更加具體的規(guī)則。安全級(jí)別100——PIX防火墻的最高安全級(jí)別，被用于內(nèi)部接口，是PIX防火墻的默認(rèn)設(shè)置，且不能改變。安全級(jí)別0——PIX防火墻的最低安全級(jí)別，被用于外部接口，是PIX防火墻的默認(rèn)設(shè)置，且不能更改。安全級(jí)別1～99——這些是分配與PIX防火墻相連的邊界接口的安全級(jí)別，通常邊界接口連接的網(wǎng)絡(luò)被用作?；饏^(qū)（DMZ）?？梢愿鶕?jù)每臺(tái)設(shè)備的訪問情況來給它們分配相應(yīng)的安全級(jí)別。8.4思科防火墻8.4.3思科防火墻系列產(chǎn)品介紹8.4思科防火墻8.4思科防火墻8.4.3思科防火墻系列產(chǎn)品介紹8.4思科防火墻8.4思科防火墻8.4思科防火墻華為AI防火墻，內(nèi)置的惡意文件檢測(cè)引擎CDE、誘捕Sensor、APT檢測(cè)引擎和探針，支持與沙箱和華為大數(shù)據(jù)分析平臺(tái)CIS聯(lián)動(dòng)檢測(cè)，打造智能防御體系?；诖髷?shù)據(jù)的安全態(tài)勢(shì)感知系統(tǒng)沙箱：APT威脅防御檢測(cè)系統(tǒng)CDE檢測(cè)聯(lián)動(dòng)內(nèi)置探針內(nèi)置誘捕Sensor內(nèi)置APT檢測(cè)引擎（AIE）文件還原/鏡像采集聯(lián)合檢測(cè)華為AI防火墻8.4思科防火墻8.4.4PIX防火墻的基本使用

在使用任何一種Cisco設(shè)備時(shí)，命令行接口（CLI）都是用于配置、監(jiān)視和維護(hù)設(shè)備的主要方式。另外也可以通過圖形化用戶接口方式來配置防火墻，例如PIX設(shè)備管理器PDM（PIXDeviceManager）1.PIX防火墻入門PIX防火墻支持基于CiscoIOS的命令集，但在語法上不完全相同。當(dāng)使用某一特定命令時(shí)，必須處于適當(dāng)?shù)哪Ｊ?，PIX提供了4種管理訪問模式。非特權(quán)模式（Unprivilegemode），此模式是一種非特權(quán)的訪問方式，不能對(duì)配置進(jìn)行修改，只能查看防火墻有限的當(dāng)前配置。特權(quán)模式（Privilegemode），此模式下可以改變當(dāng)前的設(shè)置，還可以使用各種在非特權(quán)模式下不能使用的命令。配置模式（Configurationmode），此模式下可以改變系統(tǒng)的配置。所有的特權(quán)、非特權(quán)和配置命令在此模式下都能使用。監(jiān)控模式（Monitormode），此模式下可以通過網(wǎng)絡(luò)更新系統(tǒng)映像，通過輸入命令，指定簡(jiǎn)易文件傳輸協(xié)議（TFTP）服務(wù)器的位置，并下載二進(jìn)制映像。8.4思科防火墻2.基本命令在使用PIX防火墻時(shí)有許多通用的維護(hù)配置命令，表中的命令用于配置、維護(hù)和測(cè)試PIX防火墻，通常在特權(quán)模式下使用。8.4思科防火墻2.基本命令

8.4思科防火墻2.基本命令

8.4思科防火墻3.PIX配置有6個(gè)基本配置命令被認(rèn)為是PIX防火墻的基礎(chǔ)。其中nameif、interface和ipaddress是用于接口的設(shè)置，必不可少。nat、global和route命令提供地址翻譯和路由的作用，用于不同網(wǎng)絡(luò)之間的通信。此6個(gè)命令通常在配置模式下使用。

8.4思科防火墻

區(qū)域：Inside等級(jí)：100G1//1/24GE1/3/24G1/2/24區(qū)域：OM等級(jí)：90區(qū)域：Outside等級(jí)：08.4思科防火墻8.4.5PIX防火墻的高級(jí)配置

1.地址轉(zhuǎn)換當(dāng)防火墻的工作模式為NAT時(shí)，當(dāng)有數(shù)據(jù)從內(nèi)部經(jīng)過防火墻外出時(shí)，防火墻此時(shí)翻譯所有的內(nèi)部IP地址，那么經(jīng)過轉(zhuǎn)換后的地址（源地址）必須是在Internet上注冊(cè)過的地址。當(dāng)外部用戶訪問內(nèi)部網(wǎng)絡(luò)的某臺(tái)服務(wù)器時(shí)，除非配置PIX允許從Internet到目標(biāo)地址是私有地址的會(huì)話，否則這個(gè)會(huì)話不能被建立。PIX防火墻支持以下兩種類型的地址轉(zhuǎn)換：動(dòng)態(tài)地址翻譯——把在較安全接口上的主機(jī)地址轉(zhuǎn)換成不太安全接口上的一段IP地址或一個(gè)地址池。其中動(dòng)態(tài)地址翻譯又分為兩類：允許內(nèi)部用戶去共享這些地址訪問外網(wǎng)絡(luò)地址翻譯NAT通過定義地址池（由多個(gè)部網(wǎng)絡(luò)連續(xù)的IP地址組成）端口地址翻譯（PAT）—所有本地地址都被翻譯成同一個(gè)IP地址來訪問外部網(wǎng)絡(luò)。靜態(tài)地址翻譯——在較安全的接口和不太安全的接口之間提供一種永久的、一對(duì)一的IP地址的映射除上述分類外，PIX防火墻還有一種NAT的特殊應(yīng)用“nat0”，它可以禁止地址翻譯，使內(nèi)部地址不經(jīng)翻譯就對(duì)外部網(wǎng)絡(luò)可見。8.4思科防火墻PAT端口地址轉(zhuǎn)換:asacisco(config)#nat(inside)1--轉(zhuǎn)換內(nèi)部地址asacisco(config)#nat(inside)1---轉(zhuǎn)換所以網(wǎng)段asacisco(config)#nat(dmz)1--轉(zhuǎn)換dmz地址asacisco(config)#global(outside)1interface--NAT轉(zhuǎn)換為外部接口地址上互連網(wǎng)DMZ的NAT:asacisco(config)#global(dmz)100-30netmaskDMZ使用的隨機(jī)IP地址池(這條命令可以使inside的多臺(tái)主機(jī)訪問dmz服務(wù)器)一對(duì)一映射配置命令:asacisco(config)#static(dmz,outside)tcp外部地址80外部端口0dmz地址80dmz端口netmask55精確主機(jī)掩碼asacisco(config)#static(dmz,outside)tcp80080netmask55asacisco(config)#static(inside,outside)tcp外部地址21外部端口

內(nèi)部地址21內(nèi)部端口netmask55asacisco(config)#static(inside,outside)tcp21021netmask558.4思科防火墻2.訪問列表

ACL也可以實(shí)現(xiàn)非受信網(wǎng)絡(luò)訪問受信網(wǎng)絡(luò)它是路由器和PIX防火墻用來控制流量的一個(gè)列表，可以阻止或允許特定的IP地址數(shù)據(jù)包通過PIX防火墻。使用access-list和access-group這兩個(gè)命令來實(shí)現(xiàn)上述功能。access-list命令用于定義數(shù)據(jù)包的限制范圍，其命令配置語法：access-listacl_ID[lineline_num]permit|denyprotocolsource_ipsource_mask[operatorport[-port]]destination_ipdestination_mask[operatorport[-port]]具體參數(shù)見表8.11access-group命令（如表8.9所示）用于將訪問列表與接口綁定，訪問列表只有與接口綁定后才能生效。其命令配置語法：access-groupacl_IDininterfaceinterface_name8.4思科防火墻3.系統(tǒng)日志

PIX防火墻為系統(tǒng)事件產(chǎn)生系統(tǒng)日志（syslog）消息，例如告警和資源的消耗?？梢允褂孟到y(tǒng)日志消息創(chuàng)建E-mail告警和日志文件，或者將它們顯示在指定的系統(tǒng)日志主機(jī)的控制臺(tái)上。PIX防火墻能夠發(fā)送系統(tǒng)日志消息到任何一臺(tái)系統(tǒng)日志服務(wù)器。在所有的系統(tǒng)日志服務(wù)器或主機(jī)處于離線狀態(tài)時(shí)，PIX防火墻最多能夠存儲(chǔ)100條消息到它的內(nèi)存中。后續(xù)到達(dá)的消息將從緩存的第一行開始覆蓋。PIX防火墻發(fā)送的系統(tǒng)日志消息將記錄以下事件。安全——丟棄的UDP數(shù)據(jù)包和拒絕的TCP連接。資料——連接通告和轉(zhuǎn)換槽消耗。系統(tǒng)——通過Console和Telnet的登錄和退出，以及重啟PIX防火墻。統(tǒng)計(jì)——每個(gè)連接傳輸?shù)淖止?jié)數(shù)。在默認(rèn)情況下，PIX防火墻的日志功能是被禁用的，需要使用loggingon命令來開啟8.4思科防火墻對(duì)于采取NAT的動(dòng)態(tài)地址翻譯，必須使用nat命令來定義本地地址，然后使用global命令定義全局地址。例如允許內(nèi)部網(wǎng)絡(luò)/24這個(gè)子網(wǎng)可以訪問外部網(wǎng)絡(luò)，其全局地址為-0/24。具體語法如下所示。p