【正文】 部接口。周邊網絡的安全等級從0到100。一般情況下，用戶需要訪問的郵件服務器或Web服務器都被置于DMZ中的公共互聯網上，以便提供某種保護，但不致于破壞內部網絡上的資源。數據在PIX Firewall中的移動方式（How Data Moves Through the PIX Firewall）當向外包到達PIX Firewall上安全等級較高的接口時（安全等級可以用show nameif命令查看），PIX Firewall將根據適應性安全算法檢查包是否有效，以及前面的包是否來自于此臺主機。如果不是，則包將被送往新的連接，同時，PIX Firewall將在狀態(tài)表中為此連接產生一個轉換插槽。PIX Firewall保存在轉換插槽中的信息包括內部IP地址以及由網絡地址轉換（NAT）、端口地址轉換（PAT）或者Identity（將內部地址作為外部地址使用）分配的全球唯一IP地址。然后，PIX Firewall將把包的源IP地址轉換成全球唯一地址，根據需要修改總值和其它字段，然后將包發(fā)送到安全等級較低的接口。當向內傳輸的包到達外部接口時，首先接受PIX Firewall適應性安全條件的檢查。如果包能夠通過安全測試，則PIX Firewall刪除目標IP地址，并將內部IP地址插入到這個位置。包將被發(fā)送到受保護的接口。內部地址的轉換（Translation of Internal Addresses）網絡地址轉換（NAT）的作用是將內部接口上的主機地址轉換為與外部接口相關的“全球地址”。這樣能防止將主機地址暴露給其它網絡接口。如果想了解是否要使用NAT，可以先決定是否想暴露與PIX Firewall連接的其它網絡接口上的內部地址。如果選擇使用NAT保護內部主機地址，應該先確定想用于轉換的一組地址。如果想保護的地址只訪問機構內的其它網絡，可以針對轉換地址池使用任何一組“專用”地址。例如，當與銷售部門的網絡（與PIX Firewall的周邊接口相連）連接時，如果想防止財務部門網絡（與PIX Firewall上的外部接口相連）上的主機地址被暴露，可以借助銷售部網絡上的任何一組地址建立轉換。這樣，財務部網絡上的主機就好象是銷售部網絡的本地地址一樣。如果想保護的地址需要互聯網接入，可以只為轉換地址池使用NIC注冊的地址（為貴機構向網絡信息中心注冊的官方互聯網地址）。例如，與互聯網（通過PIX Firewall的外部接口訪問）建立連接時，如果想防止銷售部網絡（與PIX Firewall的周邊接口相連）的主機地址暴露，可以使用外部接口上的注冊地址池進行轉換。這樣，互聯網上的主機就只能看到銷售部網絡的互聯網地址，而看不到周邊接口的地址。如果您正在具有主機網絡注冊地址的原有網絡上安裝PIX Firewall，您可能不想為這些主機或網絡進行轉換，因為轉換時還需要另外一個注冊地址。考慮NAT時，必須要考慮是否有等量的外部主機地址。如果沒有，在建立連接時，某些內部主機就無法獲得網絡訪問。這種情況下，用戶可以申請增加NIC注冊地址，也可以使用端口地址轉換（PAT），PAT能夠用一個外部地址管理多達64,000個同時連接。對于內部系統，NAT能夠轉換向外傳輸的包的源IP地址（按照RFC 1631定義）。它同時支持動態(tài)轉換和靜態(tài)轉換。NAT允許為內部系統分配專用地址（按照RFC 1918）定義，或者保留現有的無效地址。NAT還能提高安全性，因為它能向外部網絡隱藏內部系統的真實網絡身份。PAT使用端口重映射，它允許一個有效的IP地址支持64,000個活躍xlate對象的源IP地址轉換。PAT能夠減少支持專用或無效內部地址方案所需的全球有效IP地址數量。對于向內數據流與向外控制路徑不同的多媒體應用，PAT不能與之配合使用。由于能夠向外部網絡隱藏內部網絡的真實網絡身份，因此，PAT能夠提高安全性。PIX Firewall上的另一種地址轉換是靜態(tài)轉換。靜態(tài)轉換能夠為內部地址指定一個固定的外部IP地址。對于需要固定IP地址以便接受公共互聯網訪問的服務器來講，這個功能非常有用。PIX Firewall身份認證特性可以關閉地址轉換。如果現有內部系統擁有有效的全球唯一地址，Identity特性可以有選擇地關閉這些系統的NAT和PAT。這個特性使外部網絡能夠看到內部網絡的地址。切入型代理（CutThrough Proxy）切入型代理是PIX Firewall的獨特特性，能夠基于用戶對向內或外部連接進行驗證。與在OSI模型的第七層對每個包進行分析（屬于時間和處理密集型功能）的代理服務器不同，PIX Firewall首先查詢認證服務器，當連接獲得批準之后建立數據流。之后，所有流量都將在雙方之間直接、快速地流動。借助這個特性可以對每個用戶ID實施安全政策。在連接建立之前，可以借助用戶ID和密碼進行認證。它支持認證和授權。用戶ID和密碼可以通過最初的HTTP、Telnet或FTP連接輸入。與檢查源IP地址的方法相比，切入型代理能夠對連接實施更詳細的管理。在提供向內認證時，需要相應地控制外部用戶使用的用戶ID和密碼（在這種情況下，建議使用一次性密碼）。 訪問控制（Access Control）本節(jié)將介紹PIX Firewall用于對網絡用戶實行認證和授權的各種特性，內容包括： AAA集成 訪問列表 管線AAA集成（AAA Integration）PIX Firewall提供與AAA（認證、計費和授權）服務的集成。AAA服務由TACACS+或RADIUS服務器提供。PIX Firewall允許定義獨立的TACACS+或RADIUS服務器組，以便確定不同的流量類型，例如，TACACS+服務器用于處理向內流量，另一服務器用于處理向外流量。AAA服務器組由標記名稱定義，這個標記名稱的作用是將不同的流量類型引導到各臺認證服務器。如果需要計費，計費信息將被送入活躍的服務器。PIX Firewall允許RADIUS服務器將用戶組屬性發(fā)送到RADIUS認證響應信息中的PIX Firewall。然后，PIX Firewall將把訪問列表和屬性匹配起來，從訪問列表中確定RADIUS認證。PIX Firewall對用戶進行認證之后，它將使用認證服務器返回的CiscoSecure acl屬性識別某用戶組的訪問列表。訪問列表（Access Lists），PIX Firewall使用訪問列表控制內部網絡與外部網絡之間的連接。訪問列表用accesslist和accessgroup命令實施。這些命令取代了PIX Firewall以前版本中的conduit和outbound命令，但是，為實現向下兼容性，當前版本仍然支持conduit和outbound這兩個命令。用戶可以按照源地址、目標地址或協議使用訪問列表控制連接。為了減少所需的接入，應該認真配置訪問列表。如果可能，應該用遠程源地址、本地目標地址和協議對訪問列表施加更多的限制。在配置中，accesslist和accessgroup命令語句的優(yōu)先級高于conduit和outbound命令。管線（Conduits），PIX Firewall使用conduit和outbound命令控制外部網絡和內部網絡之間的連接。在PIX ，為實現向下兼容，這些命令仍然可用，但是，我們建議大家最好使用accesslist和accessgroup命令。每條管線都是PIX Firewall的潛在威脅，因此，必須根據安全政策和業(yè)務的要求限制對它的使用。如果可能，可以用遠程源地址、本地目標地址和協議加以限制。防范攻擊（Protecting Your Network from Attack）本節(jié)將介紹PIX Firew