理解CiscoPIX防火牆的轉換和連接

1.ASA安全等級

　　默認情況下，Cisco PIX防火牆將安全等級應用到每一個接口。越安全的網絡段，全級別越高。安全等級的範圍從0~100,默認情況下，安全等級0適應於e0,並且它的默認名字是外部(outside),安全等級100適應於e1.並且它的默認名字是inside.使用name if 可以配置附加的任何接口，安全等級在1~99之間

　　e.g:

　　nameif ethernet0 outside security0

　　nameif ethernet1 inside security100

　　nameif ethernet2 dmz security50

　　1.1自適應安全算法(ASA)允許流量從高安全等級段流向低安全等級段，不需要在安全策略中使用特定規則來允許這些連接，而只要用一個nat/global命令配置這些接口就行了。

　　1.2同時如果你想要低安全等級段流向一個高安全等級段的流量必須經過安全策略(如acl或者conduit).

　　1.3如果你把兩個接口的安全等級設置為一樣，那流量不能流經這些接口。請記得ASA是cisco pix防火牆上狀態連接控制的關鍵。

　　2.傳輸協議

　　2.1首先請理解一下OSI的7層模型，說實話，如果你要做IT,那麼這個OSI的7層模型一定要搞懂，也就像windows 的DNS一樣，一定要花工夫在上面。其中1~7是從物理層向上數的，物理層為第一層，應用層為第七層。

　　應用層 數據

　　表示層 數據

　　會話層 數據

　　傳輸層 Segment

　　網絡層 Packet

　　數據鏈路層 Frame

　　物理層 Bit

　　2.2了解一下TCP/IP

　　通俗的講TCP/IP包含兩個傳輸協議TCP,UDP,當然還包括其他，TCP/IP是一個協議族，是對OSI理論的一個實現，是真正應用到網絡中的一個工業協議族。

　　TCP-它是一個基於連接的傳輸協議，負責節點間通信的可靠性和效率,通過創建virtual circuits的連接來源端和目的端擔當雙向通信來完成這些任務，由於開銷很大，所以傳輸速度變慢。UDP-它是一個非連接的傳輸協議，用於向目的端發送數據。

　　理解沒有PIX的節點間的TCP通信(三次握手)

　　理解有一個PIX的節點間TCP通信

　　2.3注意默認的安全策略允許UDP分組從一個高安全等級段送到一個低安全等級段。

　　cisco pix 防火牆用下列的方法來處理UDP流量:

　　2.3.1源及其開始UDP連接，Cisco pix防火牆接收這個連接，並將它路由到目的端。Pix應用默認規則和任何需要的轉換，在狀態表中創建一個會話對象，並允許連接通過外部接口。

　　2.3.2任何返回流量要與繪畫對象匹配，並且應用會話超時，默認的會話超時是2分鐘.如果響應不匹配會話對象,或者超時,分組就會被丟棄,如果一切匹配,就會允許響應信號傳送到發送請求的源端

　　

　　2.3.3任何從一個低安全等級段到一個高安全等級段的入站的UDP會話都必須經安全策略允許,或者中斷連接.

　　3.網絡地址轉換

　　理解RFC1918的三類地址空間:

　　10.0.0.0~10.255.255.255

　　172.16.0.0~172.16.255.255

　　192.168.0.0~192.168.255.255

　　地址轉換是cisco pix防火牆為內部節點提供的使用專用IP位址訪問internet的一種方法.被轉換的地址稱為內部地址,轉換後的地址稱為全局地址.這裡有一句話要記住:將一個接口的任何地址轉換成其他任何地址接口的另外一個地址是可能的,這句話意思是如果你的網段內部地址可以轉換成outside的地址,也可以轉換成DMZ的地址,只要正確的使用了nat和global命令.

　　如:

　　global (outside) 1 interface

　　global (dmz) 1 xxx.xxx.xxx.xxx

　　nat (inside) 1 192.168.6.0 255.255.255.0 0 0

　　動態地址轉換涉及到NAT和PAT,靜態地址也就是我們通常所說的給DMZ接口的地址作一個靜態隱射,通常用於如web site和mail server等相對關鍵的業務.以便Internet上的用戶可以通過他們的全局地址連接這些伺服器.

　　NAT命令

　　pix(config)#nat inside 1 192.168.6.0 255.255.255.0

　　pix(config)#global (outside) 1 10.0.0.1~10.0.0.255 netmask 255.0.0.0

　　注意命令中的1在nat和global命令必須相同,它允許指派特定的地址進行轉換.在這裡1不能換0,你可以換其他的數,因為nat 0在pix有特定的含義,nat 0表示在pix上用於檢測不能被轉換的地址,我們通常在做acl轉換也應用到這個命令.

　　PAT命令:

　　PAT允許將本地地址轉換成一個單一的全局地址,執行NAT和PAT命令有所相似,不同的是PAT是定義一個單一的全局地址而不是像NAT一樣定義一定範圍的地址.

　　pix(config)#nat (inside) 1 0.0.0.0 0.0.0.0 表示轉換網段中的所以地址

　　pix(config)#global (inside) 10.0.0.1 255.0.0.0

　　靜態地址:

　　通常將static和conduit命令一起使用,或者可以使用acl來代替conduit，static命令只配置地址轉換,為了允許來自一個從低安全等級接口對本地節點的訪問,我們前面講過,需要配置ACL或者建立一個通道.

　　pix(config)#static (inside,outside) 10.0.0.1 192.168.0.9

　　pix(config)#conduit permit tcp host 192.168.0.9 eq www any

　　(這裡host表示的是指一個特定的主機host 192.168.0.9表示 192.168.0.9 255.255.255.255為什麼要是255.255.255.255,別搞成為subnet mask,它是wildcard,也就是通配符,any表示任何源地址和目的地址,0.0.0.0 255.255.255.255.eq is mean the match only packets on a given port number.)這裡我們可以把conduit轉換成ACLpix(config)#access-list 101 permit tcp any host 192.168.0.9 eq wwwpix(config)#access-group 101 in interface outside使用static命令實現埠重定向pix(config)#static (inside,outside) tcp 192.168.0.9 ftp 10.10.10.9 2100 netmask 255.255.255.255. 0.0

　　

　　其中ftp可以用21來表示,在這裡的服務與前面的協議對應,是tcp 還是udp,ftp當然對應tcp.這個命令的意思我通過在低安全等級訪問192.168.0.9的21埠,它自動轉到10.10.10.9 2100這個埠上.在6.2版本以上支持雙向網絡地址轉換,我不知道這個是什麼意思?他說可以對外部源IP位址的NAT,以便將外部接口的分組發送到一個內部接口上兩個重要的命令:

　　show xlate查看轉換表

　　show conn查看連接狀況

　　有很多命令選項,大家可以在cli下show xlate ?查看一下,對你處理故障非常有用.

　　5.配置DNS支持

　　在默認情況下,PIX鑑別每個輸出的DNS請求,並且只允許一個對這些請求的響應.隨後所有對原始查詢的響應會被丟棄.所以有時候我們在pix使用show conn看到有很多去DNS的響應都被丟掉,這個是合理的現象.