【正文】 PIX Firewall使用手冊 內(nèi)容與目錄點擊下載 控制網(wǎng)絡訪問Firewall的工作原理適應性安全算法多個接口和安全等級數(shù)據(jù)在PIX Firewall中的移動方式內(nèi)部地址的轉(zhuǎn)換切入型代理訪問控制AAA集成訪問列表管線防范攻擊向路徑發(fā)送Flood GuardFlood DefenderFragGuard和虛擬重組DNS控制ActiveX阻擋Java過濾URL過濾啟動專有協(xié)議和應用第2版本可配置的代理呼叫Mail Guard多媒體支持支持的多媒體應用RAS第2版本RTSPCisco IP電話SIPNETBIOS over IP創(chuàng)建VPNVPN？IPSec互聯(lián)網(wǎng)密鑰交換（IKE）認證機構(gòu)使用站點到站點VPN使用遠程接入VPN防火墻的系統(tǒng)管理Device ManagerTelnet界面SSH第1版本使用SNMPTFTP配置服務器XDMCP使用系統(tǒng)日志服務器FTP和URL登錄與IDS集成PIX熱備份PIX Firewall的用途（Using PIX Firewall） 借助Cisco PIX Firewall，您只需用一臺設備就能建立狀態(tài)防火墻保護和安全的VPN接入。PIX Firewall不但提供了可擴展的安全解決方案，還為某些型號提供故障恢復支持，以便提供最高的可靠性。PIX Firewall使用專用操作系統(tǒng)，與使用通用操作系統(tǒng)，因而常常遇到威脅和襲擊的軟件防火墻相比，這種操作系統(tǒng)更安全、更容易維護。在本章中，我們將介紹使用PIX Firewall保護網(wǎng)絡資產(chǎn)和建立安全VPN接入的方法。本章包括以下幾節(jié)： 控制網(wǎng)絡訪問 防范攻擊 啟動專有協(xié)議和應用 建立虛擬專用網(wǎng) 防火墻的系統(tǒng)管理 防火墻的故障恢復控制網(wǎng)絡訪問（Controlling Network Access）本節(jié)將介紹PIX Firewall提供的網(wǎng)絡防火墻功能，包含以下內(nèi)容： PIX Firewall的工作原理 適應性安全算法 多個接口和安全等級 數(shù)據(jù)在PIX Firewall中的移動方式 內(nèi)部地址的轉(zhuǎn)換 切入型代理 訪問控制PIX Firewall的工作原理（How the PIX Firewall Works）PIX Firewall的作用是防止外部網(wǎng)絡（例如公共互聯(lián)網(wǎng)）上的非授權(quán)用戶訪問內(nèi)部網(wǎng)絡。多數(shù)PIX Firewall都可以有選擇地保護一個或多個周邊網(wǎng)絡（也稱為非軍管區(qū)，DMZ）。對訪問外部網(wǎng)絡的限制最低，對訪問周邊網(wǎng)絡的限制次之，對訪問內(nèi)部網(wǎng)絡的限制最高。內(nèi)部網(wǎng)絡、外部網(wǎng)絡和周邊網(wǎng)絡之間的連接由PIX Firewall控制。為有效利用機構(gòu)內(nèi)的防火墻，必須利用安全政策才能保證來自受保護網(wǎng)絡的所有流量都只通過防火墻到達不受保護的網(wǎng)絡。這樣，用戶就可以控制誰可以借助哪些服務訪問網(wǎng)絡，以及怎樣借助PIX Firewall提供的特性實施安全政策等。PIX Firewall保護網(wǎng)絡的方法如圖11所示，這種方法允許實施帶外連接并安全接入互聯(lián)網(wǎng)。圖11： 網(wǎng)絡中的PIX Firewall在這種體系結(jié)構(gòu)中，PIX Firewall將形成受保護網(wǎng)絡和不受保護網(wǎng)絡之間的邊界。受保護網(wǎng)絡和不受保護網(wǎng)絡之間的所有流量都通過防火墻實現(xiàn)安全性?；ヂ?lián)網(wǎng)可以訪問不受保護的網(wǎng)絡。PIX Firewall允許用戶在受保護網(wǎng)絡內(nèi)確定服務器的位置，例如用于Web接入、SNMP、電子郵件（SMTP）的服務器，然后控制外部的哪些用戶可以訪問這些服務器。 除PIX 506和PIX 501外，對于所有的PIX Firewall，服務器系統(tǒng)都可以如圖11那樣置于周邊網(wǎng)絡上，對服務器系統(tǒng)的訪問可以由PIX Firewall控制和監(jiān)視。PIX 506和PIX 501各有兩個網(wǎng)絡接口，因此，所有系統(tǒng)都必須屬于內(nèi)部接口或者外部接口。PIX Firewall還允許用戶對來往于內(nèi)部網(wǎng)絡的連接實施安全政策。一般情況下，內(nèi)部網(wǎng)絡是機構(gòu)自身的內(nèi)部網(wǎng)絡，或者內(nèi)部網(wǎng)，外部網(wǎng)絡是互聯(lián)網(wǎng)，但是，PIX Firewall也可以用在內(nèi)部網(wǎng)中，以便隔離或保護某組內(nèi)部計算系統(tǒng)和用戶。周邊網(wǎng)絡的安全性可以與內(nèi)部網(wǎng)絡等同，也可以配置為擁有各種安全等級。安全等級的數(shù)值從0（最不安全）到100（最安全）。外部接口的安全等級總為0，內(nèi)部接口的安全等級總為100。周邊接口的安全等級從1到99。內(nèi)部網(wǎng)絡和周邊網(wǎng)絡都可以用PIX Firewall的適應性安全算法（ASA）保護。內(nèi)部接口、周邊接口和外部接口都遵守RIP路由更新表的要求，如果需要，所有接口都可以廣播RIP默認路徑。適應性安全算法（Adaptive Security Algorithm）適應性安全算法（ASA）是一種狀態(tài)安全方法。每個向內(nèi)傳輸?shù)陌紝凑者m應性安全算法和內(nèi)存中的連接狀態(tài)信息進行檢查。業(yè)界人士都認為，這種默認安全方法要比無狀態(tài)的包屏蔽方法更安全。ASA無需配置每個內(nèi)部系統(tǒng)和應用就能實現(xiàn)單向（從內(nèi)到外）連接。ASA一直處于操作狀態(tài)，監(jiān)控返回的包，目的是保證這些包的有效性。為減小TCP序列號襲擊的風險，它總是主動對TCP序列號作隨機處理。ASA適用于動態(tài)轉(zhuǎn)換插槽和靜態(tài)轉(zhuǎn)換插槽。靜態(tài)轉(zhuǎn)換插槽用static命令產(chǎn)生，動態(tài)轉(zhuǎn)換插槽用global命令產(chǎn)生?？傊?，兩種轉(zhuǎn)換插槽都可以稱為“xlates”。ASA遵守以下規(guī)則： 如果沒有連接和狀態(tài)，任何包都不能穿越PIX Firewall； 如果沒有訪問控制表的特殊定義，向外連接或狀態(tài)都是允許的。向外連接指產(chǎn)生者或客戶機的安全接口等級高于接收者或服務器。最安全的接口總是內(nèi)部接口，最不安全的接口總是外部接口。周邊接口的安全等級處于內(nèi)部接口和外部接口之間； 如果沒有特殊定義，向內(nèi)連接或狀態(tài)是不允許的。向內(nèi)連接或狀態(tài)指產(chǎn)生者或客戶機的安全接口/網(wǎng)絡等級低于接收者或服務器。用戶可以為一個xlate（轉(zhuǎn)換）應用多個例外。這樣，就可以從互聯(lián)網(wǎng)上的任意機器、網(wǎng)絡或主機訪問xlate定義的主機； 如果沒有特殊定義，所有ICMP包都將被拒絕； 違反上述規(guī)則的所有企圖都將失敗，而且將把相應信息發(fā)送至系統(tǒng)日志。PIX Firewall處理UDP數(shù)據(jù)傳輸?shù)姆绞脚cTCP相同。為使DSN、Archie、StreamWorks、PIX Firewall執(zhí)行了特殊處理。當UDP包從內(nèi)部網(wǎng)絡發(fā)出時，PIX Firewall將生成UDP“連接”狀態(tài)信息。如果與連接狀態(tài)信息相匹配，這些流量帶來的答復包將被接受。經(jīng)過一小段時間的靜默之后，連接狀態(tài)信息將被刪除。多個接口和安全等級（Multiple Interfaces and Security Levels）所有PIX Firewall都至少有兩個接口，默認狀態(tài)下，它們被稱為外部接口和內(nèi)部接口，安全等級分別為0和100。較低的優(yōu)先級說明接口受到的保護較少。一般情況下，外部接口與公共互聯(lián)網(wǎng)相連，內(nèi)部接口則與專用網(wǎng)相連，并且可以防止公共訪問。許多PIX Firewall都能提供八個接口，以便生成一個或多個周邊網(wǎng)絡，這些區(qū)域也稱為堡壘網(wǎng)絡或非軍管區(qū)（DMZ）。DMZ的安全性高于外部接口，但低于內(nèi)