【正文】 每個(gè)向外的DNS（域名服務(wù)）分解請求，而且只允許有一個(gè)DNS響應(yīng)。啟動(dòng)專有協(xié)議和應(yīng)用（Enabling Specific Protocols and Applications）本節(jié)將介紹PIX Firewall提供的能有效控制和安全使用特殊協(xié)議和應(yīng)用的各種特性。 RealAudio要在內(nèi)部語音網(wǎng)和外部語音網(wǎng)之間傳輸語音，需要支持以下協(xié)議： 什么是VPN？ 數(shù)據(jù)保密性——在通過網(wǎng)絡(luò)傳輸之前，IPSec發(fā)送者可以對包進(jìn)行加密；當(dāng)這個(gè)階段結(jié)束時(shí)，兩臺(tái)對等設(shè)備均已建立了一對IPSec SA，以便提供傳輸應(yīng)用數(shù)據(jù)所需的安全通道。公用/專有密鑰也稱為非對稱密鑰，它是一對密鑰，用一個(gè)密鑰加密的數(shù)據(jù)可以用另一個(gè)密鑰解密。默認(rèn)狀態(tài)下，多數(shù)瀏覽器都信任來自著名CA的證書，例如VeriSign，并提供用于增加CA的選項(xiàng)，以便產(chǎn)生和請求數(shù)字證書。借助Telnet界面，可以通過控制臺(tái)界面遠(yuǎn)程管理PIX Firewall。傳輸文件時(shí)，TFTP不執(zhí)行任何認(rèn)證，因此不需要遠(yuǎn)程主機(jī)的用戶名和密碼。各種PIX Firewall提供的故障恢復(fù)特性如表11所示。與IDS集成（Integration with IDS）PIX Firewall可以與Cisco入侵檢測系統(tǒng)互操作。 狀態(tài) 與IDS集成PIX Device ManagerCisco PIX Device Manager（PDM）是基于瀏覽器的配置工具，用戶無需深入了解PIX Firewall命令行界面（CLI）就能從圖形用戶界面（GUI）建立、設(shè)置和監(jiān)控PIX Firewall。 Cisco VPN 3000 Client，CA可以是自己內(nèi)部機(jī)構(gòu)運(yùn)作的專用（內(nèi)部）CA，也可以是公共CA。與IPSec SA的人工配置相似，IKE SA可以通過預(yù)共享密鑰建立。 第一階段：這個(gè)階段通過互聯(lián)網(wǎng)密鑰交換（IKE）協(xié)議實(shí)施，能建立一對IKE SA。站點(diǎn)到站點(diǎn)VPN和遠(yuǎn)程接入VPN是VPN的兩個(gè)類型，PIX Firewall同時(shí)支持這兩種VPN。這樣，內(nèi)部網(wǎng)絡(luò)上的Microsoft客戶機(jī)系統(tǒng)就可以利用NAT訪問外部網(wǎng)絡(luò)上的各類服務(wù)器，例如Windows NT。借助這個(gè)特性，防火墻能夠處理多媒體應(yīng)用，包括Cisco IP/TV連接。 RAS第2版本注意 使用Telnet修改配置可能會(huì)將密鑰和密鑰ID暴露在網(wǎng)絡(luò)上。根據(jù)NetPartners Websense服務(wù)器的答復(fù)，PIX Firewall接受或拒絕連接。FragGuard和虛擬重組（FragGuard and 虛擬重組）FragGuard和虛擬重組能夠提供IP網(wǎng)段保護(hù)。 ActiveX阻擋這些命令取代了PIX Firewall以前版本中的conduit和outbound命令，但是，為實(shí)現(xiàn)向下兼容性，當(dāng)前版本仍然支持conduit和outbound這兩個(gè)命令。用戶ID和密碼可以通過最初的HTTP、Telnet或FTP連接輸入。PAT使用端口重映射，它允許一個(gè)有效的IP地址支持64,000個(gè)活躍xlate對象的源IP地址轉(zhuǎn)換。如果想了解是否要使用NAT，可以先決定是否想暴露與PIX Firewall連接的其它網(wǎng)絡(luò)接口上的內(nèi)部地址。多個(gè)接口和安全等級（Multiple Interfaces and Security Levels）所有PIX Firewall都至少有兩個(gè)接口，默認(rèn)狀態(tài)下，它們被稱為外部接口和內(nèi)部接口，安全等級分別為0和100。 如果沒有連接和狀態(tài)，任何包都不能穿越PIX Firewall；周邊網(wǎng)絡(luò)的安全性可以與內(nèi)部網(wǎng)絡(luò)等同，也可以配置為擁有各種安全等級。 切入型代理PIX Firewall不但提供了可擴(kuò)展的安全解決方案，還為某些型號提供故障恢復(fù)支持，以便提供最高的可靠性。 多個(gè)接口和安全等級PIX 506和PIX 501各有兩個(gè)網(wǎng)絡(luò)接口，因此，所有系統(tǒng)都必須屬于內(nèi)部接口或者外部接口。靜態(tài)轉(zhuǎn)換插槽用static命令產(chǎn)生，動(dòng)態(tài)轉(zhuǎn)換插槽用global命令產(chǎn)生。當(dāng)UDP包從內(nèi)部網(wǎng)絡(luò)發(fā)出時(shí)，PIX Firewall將生成UDP“連接”狀態(tài)信息。包將被發(fā)送到受保護(hù)的接口。它同時(shí)支持動(dòng)態(tài)轉(zhuǎn)換和靜態(tài)轉(zhuǎn)換。借助這個(gè)特性可以對每個(gè)用戶ID實(shí)施安全政策。PIX Firewall對用戶進(jìn)行認(rèn)證之后，它將使用認(rèn)證服務(wù)器返回的CiscoSecure acl屬性識(shí)別某用戶組的訪問列表。 Flood Guard這個(gè)特性能夠保證，一旦到達(dá)任選的初始連接極限，那么，去往受影響的服務(wù)器的每個(gè)SYN都將被截獲，直到初始連接數(shù)量低于此閾值為止。URL過濾PIX Firewall URL過濾與NetPartners Websense產(chǎn)品一起提供。PIX Firewall支持Cisco IOS軟件標(biāo)準(zhǔn)，遵守RIPv2（帶文字和加密的MD5認(rèn)證）的RFC 105RFC 1388和RFC 2082。這個(gè)特性還能記錄所有SMTP連接。多媒體應(yīng)用使用大量動(dòng)態(tài)協(xié)商的數(shù)據(jù)和控制通道處理各種可視和審計(jì)流。SIP通話初始協(xié)議（SIP）能建立呼叫處理通話過程——尤其是雙方音頻會(huì)議，或稱“呼叫”。IPSec是一種標(biāo)準(zhǔn)，它規(guī)定了建立VPN的獨(dú)立于廠商方法。當(dāng)IPSec對等設(shè)備看到敏感包時(shí)，它將建立相應(yīng)的安全通道，并通過通道將包發(fā)送給遠(yuǎn)程用戶。另外，隨著對等設(shè)備的增加將出現(xiàn)嚴(yán)重的擴(kuò)展問題。這就是使用CA的原因。遠(yuǎn)程接入VPN使用模擬、數(shù)字、ISDN、DSL、移動(dòng)IP和有線技術(shù)將移動(dòng)用戶、遠(yuǎn)程員工及其他獨(dú)立系統(tǒng)與PIX Firewall保護(hù)的網(wǎng)絡(luò)安全地連接在一起。 XDMCPSNMP Firewall和Memeory Pool MIB增加了用于識(shí)別PIX Firewall狀態(tài)的其它信息的陷阱數(shù)量，包括以下事件：借助它提供的數(shù)據(jù)，用戶可以阻擋對有問題的站點(diǎn)的訪問。故障恢復(fù)線纜將兩個(gè)PIX Firewall設(shè)備連接在一起，使兩個(gè)設(shè)備能實(shí)現(xiàn)配置同步和通話狀態(tài)信息同步，這樣，當(dāng)主用設(shè)備出現(xiàn)故障時(shí)，備用設(shè)備無需中斷網(wǎng)絡(luò)連接和破壞安全性就能接替主用設(shè)備的工作。與其它UDP修復(fù)相同，在默認(rèn)狀態(tài)下，將打開XDMCP處理功能。如果配置了IPSec，還可以從外部界面訪問PIX Firewall控制臺(tái)。PIX Firewall的系統(tǒng)管理（PIX Firewall System Management）本節(jié)將介紹用于管理PIX Firewall的特性和工具，包含以下內(nèi)容：使用站點(diǎn)到站點(diǎn)VPN（Using a SitetoSite VPN）站點(diǎn)到站點(diǎn)VPN是一種WAN基礎(chǔ)設(shè)施，能夠代替和增強(qiáng)使用租用線路、幀中繼或ATM連接遠(yuǎn)程和分支辦公室和中央站點(diǎn)的現(xiàn)有專用網(wǎng)絡(luò)。當(dāng)任何對等設(shè)備需要與專用密鑰的所有者共享秘密時(shí)，只需使用公用密鑰對信息加密即可。借助IKE，無需人工配置每臺(tái)IPSec對等設(shè)備就能實(shí)施IPSec。 反重播——IPSec接收者可以刪除和拒絕重播的包。 認(rèn)證機(jī)構(gòu)（ITU）為LAN多媒體會(huì)議制定的一套協(xié)議。 互聯(lián)網(wǎng) Phone 我們建議您批準(zhǔn)使用ICMP不可到達(dá)消息類型（類型3）。 可配置的代理呼叫這個(gè)特性一直處于打開狀態(tài)。Flood GuardFlood Guard能控制AAA服務(wù)對無應(yīng)答登錄企圖的容忍度。每條管線都是PIX Firewall的潛在威脅，因此，必須根據(jù)安全政策和業(yè)務(wù)的要求限制對它的使用。AAA服務(wù)由TACACS+或RADIUS服務(wù)器提供。PIX Firewall身份認(rèn)證特性可以關(guān)閉地址轉(zhuǎn)換。這樣，互聯(lián)網(wǎng)上的主機(jī)就只能看到銷售部網(wǎng)絡(luò)的互聯(lián)網(wǎng)地址