文档介绍:防火墙在企业网络中的应用
关键词:;RIP (Route Information Protocol) ;PIX (Private Exchange);NAT (Network Address Translation);PAT (Port Address Translation)
1 需求分析
公司CoreBuilder 9000为企业核心层交换机, CoreBuilder 7000HD、CoreBulider 3500和Cisco Catalyst 4006为各二级单位分布层交换机, SSII 1100/3300和Cisco Catalyst 3500为访问层交换机的三层星型网络结构,采用先进的千兆以太网技术,融合历史的ATM网络技术,结合Cisco 2511、1601等提供的DDN链路进行远程局域网络连接和移动用户拨号访问,利用Cisco 3661 的2M DDN 。
随着XXX应用水平的不断提高,与外部交流信息的需求非常迫切,的非法访问和攻击,,是企业网络安全建设的必要条件,而网络防火墙是解决这一问题的最好方法。
经过分析和比较后,XXX计算机网络采用了Cisco PIX 访问时的安全保证。下面我们结合PIX 525防火墙的功能谈谈防火墙在企业网络安全中的应用。
2 防火墙
PIX 防火墙能在两个或多个网络之间防止非授权的连接,即PIX 防火墙能保护一个或多个网络,与外部的、非保护的网络隔离,防止非授权访问。这些网络间的所有连接都能被PIX 防火墙控制。
为了在你的组织中高效使用防火墙,你需要一个安全策略来确认被保护网络的所有数据包只能通过防火墙传递到非保护网络。这样,你就能控制谁能访问网络,访问什么服务,及如何利用PIX 防火墙的功能实现你的安全策略。
图1显示了PIX 。
No direct Inbound connections
Outside
atttached router
accesible server
Perimeter
Pix Firewall
Server1
Server2
Outbound connections OK
Inside
Protected Servers
Protected Clients
Router
图1
在这个结构中,PIX 防火墙在被保护网络和非保护网络之间形成了一个边界。被保护网络和非保护网络之间的所有数据包流量必须经过防火墙以遵循一定的安全策略。。PIX 防火墙让你将诸如Web、SNMP、E-mail等服务放置在被保护网络中,以控制外部用户的对这些服务的访问。
另一方面,服务系统也能放置在Perimeter 网络中,见图一。PIX 防火墙也能控制和监视Inside 网络或Outside网络对这些服务系统的访问。
典型的,网络,。但是,PIX 网络中使用以隔离或保护一组内部的计算机系统。Perimeter 网络能和Inside网络一样进行安全配置。PIX 防火墙的Inside、Perimeter 和Outside接口能监听RIP路由更新消息,如果需要,所有的接口能广播一个缺省的RIP路由。
PIX 防火墙的工作原理如下:
数据包如何通过防火墙
当向外连接的数据包(Outbound Packets) 到达PIX 防