【正文】 潛在威脅，因此，必須根據(jù)安全政策和業(yè)務(wù)的要求限制對它的使用。 DNS控制Flood GuardFlood Guard能控制AAA服務(wù)對無應(yīng)答登錄企圖的容忍度。PIX Firewall能夠保留永久性狀態(tài)信息，丟棄包，并等待客戶機的認(rèn)可。這個特性一直處于打開狀態(tài)。PIX Firewall 。 可配置的代理呼叫雖然密鑰有無限長的壽命，但是，為安全起見，最好每隔兩周或更短時間就更換一次密鑰。 我們建議您批準(zhǔn)使用ICMP不可到達(dá)消息類型（類型3）。 支持的多媒體應(yīng)用 互聯(lián)網(wǎng) PhoneRTSP廣泛用于RealAudio、RealNetworks、Apple QuickTime RealPlayer和Cisco IP/TV連接。（ITU）為LAN多媒體會議制定的一套協(xié)議。NETBIOS over IPPIX Firewall支持從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的NETBIOS over IP連接。 認(rèn)證機構(gòu)借助IPSec，當(dāng)數(shù)據(jù)在公共網(wǎng)上傳輸時，用戶無需擔(dān)心數(shù)據(jù)會被查看、篡改或欺詐。 反重播——IPSec接收者可以刪除和拒絕重播的包?；ヂ?lián)網(wǎng)密鑰交換（互聯(lián)網(wǎng) Key Exchange ，IKE）IPSec自動建立安全通道的過程分為兩個階段：借助IKE，無需人工配置每臺IPSec對等設(shè)備就能實施IPSec?；诖朔N原因，只有當(dāng)遠(yuǎn)程對等設(shè)備不支持IKE時才使用人工配置。當(dāng)任何對等設(shè)備需要與專用密鑰的所有者共享秘密時，只需使用公用密鑰對信息加密即可。認(rèn)證機構(gòu)（CA）在某段時間發(fā)行公用密鑰證書。使用站點到站點VPN（Using a SitetoSite VPN）站點到站點VPN是一種WAN基礎(chǔ)設(shè)施，能夠代替和增強使用租用線路、幀中繼或ATM連接遠(yuǎn)程和分支辦公室和中央站點的現(xiàn)有專用網(wǎng)絡(luò)。 Secure VPN Client，PIX Firewall的系統(tǒng)管理（PIX Firewall System Management）本節(jié)將介紹用于管理PIX Firewall的特性和工具，包含以下內(nèi)容： FTP和URL登錄如果配置了IPSec，還可以從外部界面訪問PIX Firewall控制臺。 ow conn命令的連接數(shù)量與其它UDP修復(fù)相同，在默認(rèn)狀態(tài)下，將打開XDMCP處理功能。注意，這個特性可能會產(chǎn)生關(guān)于高流量PIX Firewall的大量系統(tǒng)日志數(shù)據(jù)。故障恢復(fù)線纜將兩個PIX Firewall設(shè)備連接在一起，使兩個設(shè)備能實現(xiàn)配置同步和通話狀態(tài)信息同步，這樣，當(dāng)主用設(shè)備出現(xiàn)故障時，備用設(shè)備無需中斷網(wǎng)絡(luò)連接和破壞安全性就能接替主用設(shè)備的工作。表11：故障恢復(fù)支持PIX Firewall型號 故障恢復(fù)支持PIX Firewall 501不支持PIX Firewall 506不支持PIX Firewall 515需要其它許可證PIX Firewall 525全面支持PIX Firewall 535全面支持 返回頂部實施故障恢復(fù)時，一個設(shè)備作為主用設(shè)備，另一個作為備用設(shè)備。借助它提供的數(shù)據(jù)，用戶可以阻擋對有問題的站點的訪問。XDMCPPIX Firewall通過established命令支持使用XDMCP（X顯示管理器控制協(xié)議）的連接。SNMP Firewall和Memeory Pool MIB增加了用于識別PIX Firewall狀態(tài)的其它信息的陷阱數(shù)量，包括以下事件：Telnet界面只允許內(nèi)部網(wǎng)絡(luò)內(nèi)的某些客戶機系統(tǒng)訪問Telnet界面（根據(jù)源地址），而且密碼能受到保護。 XDMCP建議您使用Cisco VPN 。遠(yuǎn)程接入VPN使用模擬、數(shù)字、ISDN、DSL、移動IP和有線技術(shù)將移動用戶、遠(yuǎn)程員工及其他獨立系統(tǒng)與PIX Firewall保護的網(wǎng)絡(luò)安全地連接在一起。用戶還可以在將瀏覽器分布給用戶之前為瀏覽器軟件預(yù)先配置CA和必要的證書。這就是使用CA的原因。這個屬性可用于解決通過非安全網(wǎng)絡(luò)共享秘密時遇到的擴展問題。另外，隨著對等設(shè)備的增加將出現(xiàn)嚴(yán)重的擴展問題。SA參數(shù)之一是壽命，可配置的壽命期結(jié)束之后，SA將自動終止，因此，這個參數(shù)能提高IPSec的安全性。當(dāng)IPSec對等設(shè)備看到敏感包時，它將建立相應(yīng)的安全通道，并通過通道將包發(fā)送給遠(yuǎn)程用戶。 數(shù)據(jù)完整性——IPSec接收者可以對IPSec發(fā)送者發(fā)出的包進行鑒別，以保證數(shù)據(jù)在傳輸過程中未被篡改；IPSec是一種標(biāo)準(zhǔn)，它規(guī)定了建立VPN的獨立于廠商方法。 IPSecSIP通話初始協(xié)議（SIP）能建立呼叫處理通話過程——尤其是雙方音頻會議，或稱“呼叫”。 多媒體應(yīng)用使用大量動態(tài)協(xié)商的數(shù)據(jù)和控制通道處理各種可視和審計流。 Streamworks這個特性還能記錄所有SMTP連接。PIX Firewall支持Cisco IOS軟件標(biāo)準(zhǔn)，遵守RIPv2（帶文字和加密的MD5認(rèn)證）的RFC 105RFC 1388和RFC 2082。本節(jié)的內(nèi)容包括：URL過濾PIX Firewall URL過濾與NetPartners Websense產(chǎn)品一起提供。為獲得答復(fù)，主機可以查詢幾臺服務(wù)器（以防第一臺服務(wù)器答復(fù)過慢），但是，只有第一個請求答復(fù)有效。這個特性能夠保證，一旦到達(dá)任選的初始連接極限，那么，去往受影響的服務(wù)器的每個SYN都將被截獲，直到初始連接數(shù)量低于此閾值為止。單播RPF僅限于實施實體本地路由表的網(wǎng)絡(luò)。 Flood Guard管線（Conduits），PIX Firewall使用conduit和outbound命令控制外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的連接。PIX Firewall對用戶進行認(rèn)證之后，它將使用認(rèn)證服務(wù)器返回的CiscoSecure acl屬性識別某用戶組的訪問列表。 訪問列表借助這個特性可以對每個用戶ID實施安全政策。靜態(tài)轉(zhuǎn)換能夠為內(nèi)部地址指定一個固定的外部IP地址。它同時支持動態(tài)轉(zhuǎn)換和靜態(tài)轉(zhuǎn)換。如果想保護的地址需要互聯(lián)網(wǎng)接入，可以只為轉(zhuǎn)換地址池使用NIC注冊的地址（為貴機構(gòu)向網(wǎng)絡(luò)信息中心注冊的官方互聯(lián)網(wǎng)地址）。包將被發(fā)送到受保護的接口。周邊網(wǎng)絡(luò)的安全等級從0到100。當(dāng)UDP包從內(nèi)部網(wǎng)絡(luò)發(fā)出時，PIX Firewall將生成UDP“連接”狀態(tài)信息。 如果沒有特殊定義，向內(nèi)連接或狀態(tài)是不允許的。靜態(tài)轉(zhuǎn)換插槽用static命令產(chǎn)生，動態(tài)轉(zhuǎn)換插槽用global命令產(chǎn)生。內(nèi)部接口、周邊接口和外部接口都遵守RIP路由更新表的要求，如果需要，所有接口都可以廣播RIP默認(rèn)路徑。PIX 506和PIX 501各有兩個網(wǎng)絡(luò)接口，因此，所有系統(tǒng)都必須屬于內(nèi)部接口或者外部接口。為有效利用機構(gòu)內(nèi)的防火墻，必須利用安全政策才能保證來自受保護網(wǎng)絡(luò)的所有流量都只通過防火墻到達(dá)不受保護的網(wǎng)絡(luò)。 多個接口和安全等級 防范攻擊PIX Firewall不但提供了可擴展的安全解決方案，還為某些型號提供故障恢復(fù)支持，以便提供最高的可靠性。 防火墻的系統(tǒng)管理 切入型代理圖11： 網(wǎng)絡(luò)中的PIX Firewall在這種體系結(jié)構(gòu)中，PIX Firewall將形成受保護網(wǎng)絡(luò)和不受保護網(wǎng)絡(luò)之間的邊界。周邊網(wǎng)絡(luò)的安全性可以與內(nèi)部網(wǎng)絡(luò)等同，也可以配置為擁有各種安全等級。業(yè)界人士都認(rèn)為，這種默認(rèn)安全方法要比無狀態(tài)的包屏蔽方法更安全。 如果沒有連接和狀態(tài)，任何包都不能穿越PIX Firewall；這樣，就可以從互聯(lián)網(wǎng)上的任意機器、網(wǎng)絡(luò)或主機訪問xlate定義的主機； 多個接口和安全等級