在此结构中,PIX 防火墙确定受保护网络和未连接网络之间的边界。受保护网络和未受保护的网络之间的所有数据包流量必须通过防火墙才能符合某些安全策略。受保护的网络通常可以访问互联网。PIX 防火墙允许您将 SNMP Web 和电子邮件等服务放在受保护的网络上,以控制外部用户对这些服务的访问。
Pix 防火墙还可以通过内部或外部网络控制和监视对这些服务系统的访问。
内部网络通常是组织的内部内部网网络,外部网络是 Internet 网络。但是,pix 防火墙也可以在 Antranet 网络中用于隔离或保护一组内部计算机系统。
4.2.3 企业网防火墙网络安全策略
图4-4
在此网络中,pix防火墙有两个接口,用于安装内部接口(10.124.1.253)和外部接口(127.104.10.23)和连接到内部网络 10.124.0.0 的内部接口和连接到外部 Internet 的外部接口。内部接口的内部网络使用专用 IP 地址,而由外部接口连接的外部网络连接设备使用通过 Internet 连接的正确 IP 地址。此网络的 Internet 访问使用 Cisco 3600 路由器通过 2M DDN 数据电缆连接到互联网,并且大多数防火墙外设置的服务器用作对 Web 和电子邮件域名进行故障排除的 DNS 服务。
基本的互联网接入安全策略是,内部网络允许用户访问外部互联网,而外部互联网用户不能访问内部网络,而电子邮件服务允许内部和外部网络电子邮件的对等访问,允许外部互联网邮件进入内部网络,如内部网络用户,只需要建立一个内部和外部互联网网络,了解互联网,外部网络电子邮件。实现企业数据的外部发布。内部网络必须使用 Cisco ACS 2.3 软件设置一个监视服务器,以便使用 PIX 525 防火墙启用 Internet 访问,并且只有经过授权的用户可以访问 Internet 以选择适当的服务类型。使本地网络用户能够访问 Internet,将转换网络地址。PIX 防火墙功能用于合法地将内部网络地址转换为外部 IP 地址,以便外部网络访问内部电子邮件服务资源。例如,当内部用户向外部网络发送电子邮件时,用户向外部网络发送电子邮件PIX 防火墙 10.124.1.12 到 127.104.10.25 当通过内部网络发送电子邮件时,pix 防火墙将地址 127.104.10.25 转换为 1。 0.124.1.12 使内部和外部消息传递实现,企业数据的外部发布,我们可以使外部用户访问内部WWW服务器,还可以在外部网络之外设置www服务器或外围网络侧,我们选择在防火墙的外侧设置WWW服务器,用于企业数据的外部发布。
