【文章內(nèi)容簡介】 all提供的防火墻特性。這些防火墻特性可以控制與某些襲擊類型相關(guān)的網(wǎng)絡(luò)行為。本節(jié)包含的內(nèi)容如下： 單播反向路徑發(fā)送 Flood Guard FragGuard和虛擬重組 DNS控制 ActiveX阻擋 Java 過濾 URL 過濾如果想了解允許在防火墻上使用特殊協(xié)議和應(yīng)用的特性的詳細情況，請參考“支持某些協(xié)議和應(yīng)用”。單播反向路徑發(fā)送（Unicast Reverse Path Forwarding）單播反向路徑發(fā)送（單播RPF）也稱為“反向路徑查詢”，它提供向內(nèi)和向外過濾，以便預(yù)防IP欺詐。這個特性能夠檢查向內(nèi)傳輸?shù)陌腎P源地址完整性，保證去往受控區(qū)域以外的主機的包擁有可以在實施實體本地路由表時由路徑驗證的IP源地址。單播RPF僅限于實施實體本地路由表的網(wǎng)絡(luò)。如果進入的包沒有路徑代表的源地址，就無法知道包是否能通過最佳路徑返回到起點。Flood GuardFlood Guard能控制AAA服務(wù)對無應(yīng)答登錄企圖的容忍度。這個功能尤其適合防止AAA服務(wù)上的拒絕服務(wù)（DoS）襲擊，并能改善AAA系統(tǒng)使用情況。默認狀態(tài)下，這個命令是打開的，可以用floodguard 1命令控制。Flood DefenderFlood Defender能夠防止內(nèi)部系統(tǒng)受到拒絕服務(wù)襲擊，即用TCP SYN包沖擊接口。要使用這個特性，可以將最大初始連接選項設(shè)置為nat和static命令。TCP Intercept特性能夠保護可通過靜態(tài)和TCP管線訪問到的系統(tǒng)。這個特性能夠保證，一旦到達任選的初始連接極限，那么，去往受影響的服務(wù)器的每個SYN都將被截獲，直到初始連接數(shù)量低于此閾值為止。對于每個SYN，PIX Firewall還能以服務(wù)器的名義用空SYN/ACK進行響應(yīng)。PIX Firewall能夠保留永久性狀態(tài)信息，丟棄包，并等待客戶機的認可。FragGuard和虛擬重組（FragGuard and 虛擬重組）FragGuard和虛擬重組能夠提供IP網(wǎng)段保護。這個特性能夠提供所有ICMP錯誤信息的全面重組以及通過PIX Firewall路由的其余IP網(wǎng)段的虛擬重組。虛擬重組屬于默認功能。這個特性使用系統(tǒng)日志記錄網(wǎng)段重疊，并用小網(wǎng)段補償異常情況。DNS控制（DNS Control）PIX Firewall能夠識別每個向外的DNS（域名服務(wù)）分解請求，而且只允許有一個DNS響應(yīng)。為獲得答復(fù)，主機可以查詢幾臺服務(wù)器（以防第一臺服務(wù)器答復(fù)過慢），但是，只有第一個請求答復(fù)有效。其它請求答復(fù)將被防火墻丟棄。這個特性一直處于打開狀態(tài)。 ActiveX阻擋（ActiveX Blocking）AcitveX控制以前稱為OLE或者OCX控制，這種組件可以插入到Web頁面或者其它應(yīng)用。PIX Firewall ActiveX阻擋特性能夠阻擋HTML 命令，并在HTML Web頁面以外予以說明。作為一種技術(shù)，ActiveX可能會給網(wǎng)絡(luò)客戶機帶來許多潛在問題，包括致使工作站發(fā)生故障，引發(fā)網(wǎng)絡(luò)安全問題，被用于襲擊服務(wù)器，或者被主機用于襲擊服務(wù)器等。Java 過濾Java過濾特性可用于防止受保護網(wǎng)絡(luò)上的系統(tǒng)下載Java小應(yīng)用程序。Java小應(yīng)用程序指可執(zhí)行的程序，它可能會受到某些安全政策的禁止，因為它們存在漏洞，可能會使受保護網(wǎng)絡(luò)遭到襲擊。URL過濾PIX Firewall URL過濾與NetPartners Websense產(chǎn)品一起提供。PIX Firewall用Websense服務(wù)器上制定的政策檢查外出的URL請求，這些政策在Windows NT或UNIX上運行。PIX Firewall 。根據(jù)NetPartners Websense服務(wù)器的答復(fù)，PIX Firewall接受或拒絕連接。這臺服務(wù)器檢查請求，保證這些請求不具備不適合商業(yè)用途的17種Web站點特征。由于URL過濾在獨立平臺上處理，因此，不會給PIX Firewall帶來其它性能負擔(dān)。欲知詳情，請訪問以下Web站點： 。啟動專有協(xié)議和應(yīng)用（Enabling Specific Protocols and Applications）本節(jié)將介紹PIX Firewall提供的能有效控制和安全使用特殊協(xié)議和應(yīng)用的各種特性。本節(jié)的內(nèi)容包括： RIP 第2版本 可配置的代理呼叫 Mail Guard 多媒體支持 Cisco IP電話 NETBIOS over IPRIP第2版本（RIP Version 2）路由信息協(xié)議（RIP）第2版本提供加密密鑰的MD5認證。PIX Firewall只在被動模式中傾聽和/或廣播默認路徑。PIX Firewall支持Cisco IOS軟件標準，遵守RIPv2（帶文字和加密的MD5認證）的RFC 105RFC 1388和RFC 2082。PIX Firewall的每個接口支持一個密鑰和密鑰ID。雖然密鑰有無限長的壽命，但是，為安全起見，最好每隔兩周或更短時間就更換一次密鑰。注意 使用Telnet修改配置可能會將密鑰和密鑰ID暴露在網(wǎng)絡(luò)上。可配置的代理呼叫（Configurable Proxy Pinging）可配置的代理呼叫功能可以控制對PIX Firewall接口的ICMP訪問。這個特性能夠?qū)IX Firewall接口隱藏起來，以防被外部網(wǎng)絡(luò)上的用戶刪除。注意 我們建議您批準使用ICMP不可到達消息類型（類型3）。如果拒絕使用ICMP不可到達消息，就會關(guān)閉ICMP路徑MTU識別功能，從而阻礙IPSec和PPTP流量通過。Mail GuardMail Guard能夠為從外部到內(nèi)部消息服務(wù)器的簡單郵件傳輸協(xié)議（SMTP）連接提供安全接入。借助這個特性，可以在內(nèi)部網(wǎng)絡(luò)中部署一臺郵件服務(wù)器，而且這臺郵件服務(wù)器不會出現(xiàn)某些SMTP服務(wù)器實施方案常見的安全問題。這個方法的好處之一是無需使用郵件中繼（或堡壘主機）系統(tǒng)。為避免損害SMTP服務(wù)器系統(tǒng)，Mail Guard只使用了少量SMTP命令。這個特性還能記錄所有SMTP連接。多媒體支持（Multimedia Support）下面，我們將介紹PIX Firewall提供的支持多媒體應(yīng)用的特性： 支持的多媒體應(yīng)用 RAS第2版本 RTSP支持的多媒體應(yīng)用（Supported Multimedia Applications）目前，使用各種多媒體應(yīng)用的用戶越來越多，其中許多多媒體應(yīng)用都需要在防火墻環(huán)境中進行特殊處理。PIX Firewall無需對客戶機進行重新配置就能解決這個問題，因而不會變成性能瓶頸。PIX Firewall支持的特殊多媒體應(yīng)用包括： RealAudio Streamworks CUSeeMe 互聯(lián)網(wǎng) Phone IRC Vxtreme VDO Live注意 如果需要，可以通過訪問列表終止對專有協(xié)議的支持。RAS第2版本（RAS Version 2）多媒體應(yīng)用需要注冊、承認和狀態(tài)（RAS）協(xié)議，例如需要視頻和音頻編碼的視頻會議和IP語音。RAS通道攜帶著端點和關(guān)守之間的帶寬變化以及注冊、承認和狀態(tài)信息（）。多媒體應(yīng)用使用大量動態(tài)協(xié)商的數(shù)據(jù)和控制通道處理各種可視和審計流。RTSPPIX Firewall可以安全發(fā)送實時流協(xié)議（RTSP）包。RTSP廣泛用于RealAudio、RealNetworks、Apple QuickTime