【正文】 這些流量帶來的答復(fù)包將被接受。一般情況下，外部接口與公共互聯(lián)網(wǎng)相連，內(nèi)部接口則與專用網(wǎng)相連，并且可以防止公共訪問。一般情況下，用戶需要訪問的郵件服務(wù)器或Web服務(wù)器都被置于DMZ中的公共互聯(lián)網(wǎng)上，以便提供某種保護(hù)，但不致于破壞內(nèi)部網(wǎng)絡(luò)上的資源。然后，PIX Firewall將把包的源IP地址轉(zhuǎn)換成全球唯一地址，根據(jù)需要修改總值和其它字段，然后將包發(fā)送到安全等級(jí)較低的接口。內(nèi)部地址的轉(zhuǎn)換（Translation of Internal Addresses）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的作用是將內(nèi)部接口上的主機(jī)地址轉(zhuǎn)換為與外部接口相關(guān)的“全球地址”。如果想保護(hù)的地址只訪問機(jī)構(gòu)內(nèi)的其它網(wǎng)絡(luò)，可以針對轉(zhuǎn)換地址池使用任何一組“專用”地址。例如，與互聯(lián)網(wǎng)（通過PIX Firewall的外部接口訪問）建立連接時(shí)，如果想防止銷售部網(wǎng)絡(luò)（與PIX Firewall的周邊接口相連）的主機(jī)地址暴露，可以使用外部接口上的注冊地址池進(jìn)行轉(zhuǎn)換。如果沒有，在建立連接時(shí)，某些內(nèi)部主機(jī)就無法獲得網(wǎng)絡(luò)訪問。NAT允許為內(nèi)部系統(tǒng)分配專用地址（按照RFC 1918）定義，或者保留現(xiàn)有的無效地址。對于向內(nèi)數(shù)據(jù)流與向外控制路徑不同的多媒體應(yīng)用，PAT不能與之配合使用。對于需要固定IP地址以便接受公共互聯(lián)網(wǎng)訪問的服務(wù)器來講，這個(gè)功能非常有用。切入型代理（CutThrough Proxy）切入型代理是PIX Firewall的獨(dú)特特性，能夠基于用戶對向內(nèi)或外部連接進(jìn)行驗(yàn)證。在連接建立之前，可以借助用戶ID和密碼進(jìn)行認(rèn)證。在提供向內(nèi)認(rèn)證時(shí)，需要相應(yīng)地控制外部用戶使用的用戶ID和密碼（在這種情況下，建議使用一次性密碼）。 管線AAA集成（AAA Integration）PIX Firewall提供與AAA（認(rèn)證、計(jì)費(fèi)和授權(quán)）服務(wù)的集成。如果需要計(jì)費(fèi)，計(jì)費(fèi)信息將被送入活躍的服務(wù)器。訪問列表（Access Lists），PIX Firewall使用訪問列表控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的連接。為了減少所需的接入，應(yīng)該認(rèn)真配置訪問列表。在PIX ，為實(shí)現(xiàn)向下兼容，這些命令仍然可用，但是，我們建議大家最好使用accesslist和accessgroup命令。這些防火墻特性可以控制與某些襲擊類型相關(guān)的網(wǎng)絡(luò)行為。 FragGuard和虛擬重組 URL 過濾如果想了解允許在防火墻上使用特殊協(xié)議和應(yīng)用的特性的詳細(xì)情況，請參考“支持某些協(xié)議和應(yīng)用”。如果進(jìn)入的包沒有路徑代表的源地址，就無法知道包是否能通過最佳路徑返回到起點(diǎn)。Flood DefenderFlood Defender能夠防止內(nèi)部系統(tǒng)受到拒絕服務(wù)襲擊，即用TCP SYN包沖擊接口。對于每個(gè)SYN，PIX Firewall還能以服務(wù)器的名義用空SYN/ACK進(jìn)行響應(yīng)。虛擬重組屬于默認(rèn)功能。其它請求答復(fù)將被防火墻丟棄。作為一種技術(shù)，ActiveX可能會(huì)給網(wǎng)絡(luò)客戶機(jī)帶來許多潛在問題，包括致使工作站發(fā)生故障，引發(fā)網(wǎng)絡(luò)安全問題，被用于襲擊服務(wù)器，或者被主機(jī)用于襲擊服務(wù)器等。PIX Firewall用Websense服務(wù)器上制定的政策檢查外出的URL請求，這些政策在Windows NT或UNIX上運(yùn)行。由于URL過濾在獨(dú)立平臺(tái)上處理，因此，不會(huì)給PIX Firewall帶來其它性能負(fù)擔(dān)。 RIP 第2版本 Cisco IP電話PIX Firewall的每個(gè)接口支持一個(gè)密鑰和密鑰ID。這個(gè)特性能夠?qū)IX Firewall接口隱藏起來，以防被外部網(wǎng)絡(luò)上的用戶刪除。借助這個(gè)特性，可以在內(nèi)部網(wǎng)絡(luò)中部署一臺(tái)郵件服務(wù)器，而且這臺(tái)郵件服務(wù)器不會(huì)出現(xiàn)某些SMTP服務(wù)器實(shí)施方案常見的安全問題。多媒體支持（Multimedia Support）下面，我們將介紹PIX Firewall提供的支持多媒體應(yīng)用的特性：PIX Firewall無需對客戶機(jī)進(jìn)行重新配置就能解決這個(gè)問題，因而不會(huì)變成性能瓶頸。 CUSeeMe VDO Live注意 如果需要，可以通過訪問列表終止對專有協(xié)議的支持。RTSPPIX Firewall可以安全發(fā)送實(shí)時(shí)流協(xié)議（RTSP）包。NAT也不支持RTSP。 SIP借助PIX Firewall。 ，可實(shí)現(xiàn)呼叫同步，并能縮短設(shè)置時(shí)間； PIX Firewall不但支持SIP VoIP網(wǎng)關(guān)和VoIP代理服務(wù)器，還可以使用SDP為動(dòng)態(tài)分配的UDP端口進(jìn)行定義。創(chuàng)建虛擬專用網(wǎng)（Creating a Virtual Private Network）本節(jié)將介紹虛擬專用網(wǎng)（VPN）技術(shù)，以及怎樣在PIX Firewall中實(shí)施這種技術(shù)。 互聯(lián)網(wǎng)密鑰交換（IKE）與基于傳統(tǒng)廣域網(wǎng)的幀中繼或撥號(hào)連接相比，VPN不但能降低成本，提高可靠性，還能簡化管理。作為安全功能的一部分，PIX Firewall提供基于IPSec標(biāo)準(zhǔn)的VPN功能。IPSec在網(wǎng)絡(luò)層操作，能保護(hù)和鑒別所涉及的IPSec設(shè)備（對等物）之間的IP包，例如PIX Firewall單元。 數(shù)據(jù)來源鑒別——IPSec接收者可以識(shí)別所發(fā)送的IPSec包的來源，這種服務(wù)與數(shù)據(jù)完整性服務(wù)相關(guān)；IPSec提供了兩臺(tái)對等設(shè)備之間的安全通道，例如兩個(gè)PIX Firewall單元之間的安全通道。用于傳輸信息的安全通道基于加密密鑰以及安全協(xié)會(huì)（SA）規(guī)定的其它安全參數(shù)。IKE協(xié)議為協(xié)商IPSec SA建立了安全通道。IKE使用SA為IPSec通道安全協(xié)商SA，而不是傳輸用戶信息。無論何時(shí)在網(wǎng)絡(luò)中添加使用IPSec的對等設(shè)備都必須在每臺(tái)現(xiàn)有對等設(shè)備上增加一對SA。認(rèn)證機(jī)構(gòu)（CA）提供了一種可擴(kuò)展的方法，能夠共享密鑰以建立IKE SA。產(chǎn)生公用/專用密鑰對之后，一個(gè)密鑰保密（專用密鑰），另一個(gè)密鑰公開（公用密鑰）。公用/專用密鑰對的這個(gè)獨(dú)特屬性還提供了一種出色的認(rèn)證方法。這種公共密鑰證書，或稱數(shù)字證書，用于將公用/專用密鑰對與某個(gè)IP地址或主機(jī)名稱聯(lián)系在一起。IKE協(xié)議使用數(shù)字證書生成第一對SA，為協(xié)商IPSec SA提供安全通道。如果想了解配置PIX Firewall以便使用IKE和數(shù)字證書的步驟，請參見“基本VPN配置”中的“使用認(rèn)證機(jī)構(gòu)”。遠(yuǎn)程IPSec安全網(wǎng)關(guān)可以是PIX Firewall、Cisco VPN集中器或者VPN型路由器，也可以是符合IPSec的任何第三方設(shè)備。借助以下Cisco遠(yuǎn)程接入VPN應(yīng)用，可以接入到受PIX Firewall保護(hù)的網(wǎng)絡(luò)中：要了解常用的配置指令，請參考“基本VPN配置”；要了解具體步驟和配置實(shí)例，請參考“配置VPN客戶機(jī)遠(yuǎn)程接入”。 SSH第1版本 使用系統(tǒng)日志服務(wù)器PDM只允許內(nèi)部網(wǎng)絡(luò)內(nèi)的某些客戶機(jī)系統(tǒng)訪問HTML接口（根據(jù)源地址），其密碼受到保護(hù)。如果內(nèi)部網(wǎng)絡(luò)不安全，且LAN上的通話可以被竊聽，就應(yīng)該限制使用Telnet界面。使用SNMP（Using SNMP）PIX Firewall通過簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）支持網(wǎng)絡(luò)監(jiān)控。 lock命令的緩沖區(qū)使用情況但是，TFTP是不安全的，如果網(wǎng)絡(luò)安全政策不允許通過網(wǎng)絡(luò)傳輸未加密的信息，就不能使用TFTP。這個(gè)特性使用Xwindows TCP向后連接修復(fù)，即協(xié)商Xwindows對話，并在目標(biāo)端口6000上建立初始連接。當(dāng)Windows NT記錄磁盤已滿，或者服務(wù)器出現(xiàn)故障時(shí)，用戶還可以讓W(xué)indows NT 系統(tǒng)日志服務(wù)器終止PIX Firewall連接。這個(gè)特性可以用logging trap debugging命令打開。這個(gè)特性只支持單包IDS簽名。兩個(gè)設(shè)備的配置相同，而且運(yùn)行相同的軟件