【文章內(nèi)容簡介】 all提供的防火墻特性。這些防火墻特性可以控制與某些襲擊類型相關(guān)的網(wǎng)絡(luò)行為。本節(jié)包含的內(nèi)容如下： 單播反向路徑發(fā)送 Flood Guard FragGuard和虛擬重組 DNS控制 ActiveX阻擋 Java 過濾 URL 過濾如果想了解允許在防火墻上使用特殊協(xié)議和應(yīng)用的特性的詳細(xì)情況，請(qǐng)參考“支持某些協(xié)議和應(yīng)用”。單播反向路徑發(fā)送（Unicast Reverse Path Forwarding）單播反向路徑發(fā)送（單播RPF）也稱為“反向路徑查詢”，它提供向內(nèi)和向外過濾，以便預(yù)防IP欺詐。這個(gè)特性能夠檢查向內(nèi)傳輸?shù)陌腎P源地址完整性，保證去往受控區(qū)域以外的主機(jī)的包擁有可以在實(shí)施實(shí)體本地路由表時(shí)由路徑驗(yàn)證的IP源地址。單播RPF僅限于實(shí)施實(shí)體本地路由表的網(wǎng)絡(luò)。如果進(jìn)入的包沒有路徑代表的源地址，就無法知道包是否能通過最佳路徑返回到起點(diǎn)。Flood GuardFlood Guard能控制AAA服務(wù)對(duì)無應(yīng)答登錄企圖的容忍度。這個(gè)功能尤其適合防止AAA服務(wù)上的拒絕服務(wù)（DoS）襲擊，并能改善AAA系統(tǒng)使用情況。默認(rèn)狀態(tài)下，這個(gè)命令是打開的，可以用floodguard 1命令控制。Flood DefenderFlood Defender能夠防止內(nèi)部系統(tǒng)受到拒絕服務(wù)襲擊，即用TCP SYN包沖擊接口。要使用這個(gè)特性，可以將最大初始連接選項(xiàng)設(shè)置為nat和static命令。TCP Intercept特性能夠保護(hù)可通過靜態(tài)和TCP管線訪問到的系統(tǒng)。這個(gè)特性能夠保證，一旦到達(dá)任選的初始連接極限，那么，去往受影響的服務(wù)器的每個(gè)SYN都將被截獲，直到初始連接數(shù)量低于此閾值為止。對(duì)于每個(gè)SYN，PIX Firewall還能以服務(wù)器的名義用空SYN/ACK進(jìn)行響應(yīng)。PIX Firewall能夠保留永久性狀態(tài)信息，丟棄包，并等待客戶機(jī)的認(rèn)可。FragGuard和虛擬重組（FragGuard and 虛擬重組）FragGuard和虛擬重組能夠提供IP網(wǎng)段保護(hù)。這個(gè)特性能夠提供所有ICMP錯(cuò)誤信息的全面重組以及通過PIX Firewall路由的其余IP網(wǎng)段的虛擬重組。虛擬重組屬于默認(rèn)功能。這個(gè)特性使用系統(tǒng)日志記錄網(wǎng)段重疊，并用小網(wǎng)段補(bǔ)償異常情況。DNS控制（DNS Control）PIX Firewall能夠識(shí)別每個(gè)向外的DNS（域名服務(wù)）分解請(qǐng)求，而且只允許有一個(gè)DNS響應(yīng)。為獲得答復(fù)，主機(jī)可以查詢幾臺(tái)服務(wù)器（以防第一臺(tái)服務(wù)器答復(fù)過慢），但是，只有第一個(gè)請(qǐng)求答復(fù)有效。其它請(qǐng)求答復(fù)將被防火墻丟棄。這個(gè)特性一直處于打開狀態(tài)。 ActiveX阻擋（ActiveX Blocking）AcitveX控制以前稱為OLE或者OCX控制，這種組件可以插入到Web頁面或者其它應(yīng)用。PIX Firewall ActiveX阻擋特性能夠阻擋HTML 命令，并在HTML Web頁面以外予以說明。作為一種技術(shù)，ActiveX可能會(huì)給網(wǎng)絡(luò)客戶機(jī)帶來許多潛在問題，包括致使工作站發(fā)生故障，引發(fā)網(wǎng)絡(luò)安全問題，被用于襲擊服務(wù)器，或者被主機(jī)用于襲擊服務(wù)器等。Java 過濾Java過濾特性可用于防止受保護(hù)網(wǎng)絡(luò)上的系統(tǒng)下載Java小應(yīng)用程序。Java小應(yīng)用程序指可執(zhí)行的程序，它可能會(huì)受到某些安全政策的禁止，因?yàn)樗鼈兇嬖诼┒?，可能?huì)使受保護(hù)網(wǎng)絡(luò)遭到襲擊。URL過濾PIX Firewall URL過濾與NetPartners Websense產(chǎn)品一起提供。PIX Firewall用Websense服務(wù)器上制定的政策檢查外出的URL請(qǐng)求，這些政策在Windows NT或UNIX上運(yùn)行。PIX Firewall 。根據(jù)NetPartners Websense服務(wù)器的答復(fù)，PIX Firewall接受或拒絕連接。這臺(tái)服務(wù)器檢查請(qǐng)求，保證這些請(qǐng)求不具備不適合商業(yè)用途的17種Web站點(diǎn)特征。由于URL過濾在獨(dú)立平臺(tái)上處理，因此，不會(huì)給PIX Firewall帶來其它性能負(fù)擔(dān)。欲知詳情，請(qǐng)?jiān)L問以下Web站點(diǎn)： 。啟動(dòng)專有協(xié)議和應(yīng)用（Enabling Specific Protocols and Applications）本節(jié)將介紹PIX Firewall提供的能有效控制和安全使用特殊協(xié)議和應(yīng)用的各種特性。本節(jié)的內(nèi)容包括： RIP 第2版本 可配置的代理呼叫 Mail Guard 多媒體支持 Cisco IP電話 NETBIOS over IPRIP第2版本（RIP Version 2）路由信息協(xié)議（RIP）第2版本提供加密密鑰的MD5認(rèn)證。PIX Firewall只在被動(dòng)模式中傾聽和/或廣播默認(rèn)路徑。PIX Firewall支持Cisco IOS軟件標(biāo)準(zhǔn)，遵守RIPv2（帶文字和加密的MD5認(rèn)證）的RFC 105RFC 1388和RFC 2082。PIX Firewall的每個(gè)接口支持一個(gè)密鑰和密鑰ID。雖然密鑰有無限長的壽命，但是，為安全起見，最好每隔兩周或更短時(shí)間就更換一次密鑰。注意 使用Telnet修改配置可能會(huì)將密鑰和密鑰ID暴露在網(wǎng)絡(luò)上?？膳渲玫拇砗艚校–onfigurable Proxy Pinging）可配置的代理呼叫功能可以控制對(duì)PIX Firewall接口的ICMP訪問。這個(gè)特性能夠?qū)IX Firewall接口隱藏起來，以防被外部網(wǎng)絡(luò)上的用戶刪除。注意 我們建議您批準(zhǔn)使用ICMP不可到達(dá)消息類型（類型3）。如果拒絕使用ICMP不可到達(dá)消息，就會(huì)關(guān)閉ICMP路徑MTU識(shí)別功能，從而阻礙IPSec和PPTP流量通過。Mail GuardMail Guard能夠?yàn)閺耐獠康絻?nèi)部消息服務(wù)器的簡單郵件傳輸協(xié)議（SMTP）連接提供安全接入。借助這個(gè)特性，可以在內(nèi)部網(wǎng)絡(luò)中部署一臺(tái)郵件服務(wù)器，而且這臺(tái)郵件服務(wù)器不會(huì)出現(xiàn)某些SMTP服務(wù)器實(shí)施方案常見的安全問題。這個(gè)方法的好處之一是無需使用郵件中繼（或堡壘主機(jī)）系統(tǒng)。為避免損害SMTP服務(wù)器系統(tǒng)，Mail Guard只使用了少量SMTP命令。這個(gè)特性還能記錄所有SMTP連接。多媒體支持（Multimedia Support）下面，我們將介紹PIX Firewall提供的支持多媒體應(yīng)用的特性： 支持的多媒體應(yīng)用 RAS第2版本 RTSP支持的多媒體應(yīng)用（Supported Multimedia Applications）目前，使用各種多媒體應(yīng)用的用戶越來越多，其中許多多媒體應(yīng)用都需要在防火墻環(huán)境中進(jìn)行特殊處理。PIX Firewall無需對(duì)客戶機(jī)進(jìn)行重新配置就能解決這個(gè)問題，因而不會(huì)變成性能瓶頸。PIX Firewall支持的特殊多媒體應(yīng)用包括： RealAudio Streamworks CUSeeMe 互聯(lián)網(wǎng) Phone IRC Vxtreme VDO Live注意 如果需要，可以通過訪問列表終止對(duì)專有協(xié)議的支持。RAS第2版本（RAS Version 2）多媒體應(yīng)用需要注冊、承認(rèn)和狀態(tài)（RAS）協(xié)議，例如需要視頻和音頻編碼的視頻會(huì)議和IP語音。RAS通道攜帶著端點(diǎn)和關(guān)守之間的帶寬變化以及注冊、承認(rèn)和狀態(tài)信息（）。多媒體應(yīng)用使用大量動(dòng)態(tài)協(xié)商的數(shù)據(jù)和控制通道處理各種可視和審計(jì)流。RTSPPIX Firewall可以安全發(fā)送實(shí)時(shí)流協(xié)議（RTSP）包。RTSP廣泛用于RealAudio、RealNetworks、Apple QuickTime