【正文】 （4）——內(nèi)容過濾 filter activex示例要使所有向外連接被ActiveX阻塞，使用filter activex 80 0 0 0 0命令指定ActiveX阻塞應(yīng)用于從任何本地主機(jī)來的端口80的Web流量和到任何外部主機(jī)的連接。 filter url示例filter url命令使你阻止向外用戶訪問你使用WebSENSE過濾程序指定的World Wide Web URLs。filter命令中的allow選項(xiàng)決定當(dāng)WebSENSE服務(wù)器斷線時PIX防火墻如何反應(yīng)。如果你在filter命令中使用了allow選項(xiàng)而WebSENSE服務(wù)器斷線，端口80處的流量將會通過PIX防火墻而不被過濾。使用filter命令而不帶allow選項(xiàng)，則當(dāng)服務(wù)器斷線時，PIX防火墻將停止端口80的向外流量直到服務(wù)器上線，或者如果另一個URL服務(wù)器可用，則轉(zhuǎn)換控制到該服務(wù)器。過濾URL步驟如下：步驟1：使用urlserver命令指定一臺WebSENSE服務(wù)器。步驟2：使用filter命令進(jìn)行過濾。步驟3：如果需要，使用urlcache命令提高通過率（throughput）。然而，該命令并不更新WebSENSE記錄，記錄將影響WebSENSE記帳報(bào)告。在使用urlcatch命令前累計(jì)WebSENSE運(yùn)行記錄。：urlserver （perimeter） host filter url 0 0 0 0filter url except 0 0 典型配置（5）——入侵檢測（1）或更高的版本，加入了入侵檢測功能。PIX通常用做一個分隔至少兩個以上網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備，并且能為隱藏于其后的網(wǎng)絡(luò)提供自適應(yīng)的安全性。PIX防火墻上的IDS功能可以使管理員在已經(jīng)提供安全性服務(wù)的設(shè)備上增強(qiáng)網(wǎng)絡(luò)邊界的入侵檢測能力。PIX IDS不能向Cisco Secure Policy Manager或IDS管理器發(fā)警告，只能向syslog服務(wù)器發(fā)警告。在PIX上進(jìn)行IDS配置可以使用一個具有多個相關(guān)變量的命令來實(shí)現(xiàn)，該命令為ip audit。有一點(diǎn)需要注意的是，針對info和attack簽名采取的警告操作都是使用當(dāng)前配置好的syslog服務(wù)器，這意味著syslog需要被配置并且在某個內(nèi)部接口上使用。Syslog可以通過使用logging命令來啟用。在PIX的全局模式下，輸入下列命令：ip audit info action alarmip audit attack action alarm!系統(tǒng)默認(rèn)配置ip audit name idsattack attack action alarm drop resetip audit name idsinfo info action alarm!將IDS策略文件指定為idsattack和idsinfoip audit interface outside idsinfoip audit interface outside idsattack!將已經(jīng)命名的IDS策略應(yīng)用到外部接口3 PIX防火墻自身加固 PIX防火墻操作系統(tǒng)版本較低危害：PIX防火墻操作系統(tǒng)版本低存在著許多安全漏洞，如SSH漏洞、認(rèn)證DOS攻擊漏洞和SMTP過濾漏洞等，易受入侵者攻擊。檢測方法：在PIX防火墻的特權(quán)模式下輸入show version命令查看版本信息。解決方案： a) 從Cisco網(wǎng)站下載最新PIX防火墻操作系統(tǒng)版本b) 在本地通過tftp方式升級。注意事項(xiàng)：操作系統(tǒng)版本升級過程中可能出現(xiàn)防火墻工作異常，HA模式工作的多個防火墻必須同時升級并保證最終版本一致。 PIX防火墻沒有安全配置SNMP 危害：SNMP認(rèn)證字符串使用缺省配置、SNMP權(quán)限開放范圍過大,可讀、寫等，均易遭到入侵者攻擊。 檢測方法：在PIX防火墻的特權(quán)模式下輸入show snmp命令查看snmp信息。解決方案： a) 輸入SNMP管理站使用的密碼密鑰使用snmpserver munity key命令。b) 所有的SNMP值只讀（RO）。c) 用snmpserver host命令確定SNMP管理站的IP地址注意事項(xiàng)：由于目前SNMP的自身安全機(jī)制還比較簡單，如果沒有必要，可停止此項(xiàng)服務(wù)。 配置了telnet允許，地址段是調(diào)試時的地址，沒有更 改為管理工作站的地址危害：未授權(quán)用戶管理控制防火墻檢測方法：從主機(jī)啟動一個到PIX防火墻接口IP地址的Telnet會話。解決方案： 在PIX防火墻的特權(quán)模式下輸入telnet local_ip [netmask]命令設(shè)置管理工作站地址，local_ip 表示被允許通過telnet訪問到pix的ip地址注意事項(xiàng)：建議使用堡壘主機(jī)的方式。 telnet遠(yuǎn)程管理是明文傳輸，沒有配置SSH 危害：用戶名、口令被入侵者攫取 檢測方法：在PIX防火墻的特權(quán)模式下輸入show ssh ip_address命令查看SSH信息解決方案：啟用SSH服務(wù)，通過下述命令安全設(shè)置SSH地址、端口和超時情況。n ssh ip_address [netmask] [interface_name] n ssh timeout number注意事項(xiàng)：PIX防火墻支持SSH版本1中提供的SSH遠(yuǎn)程殼式程序。 沒有在PIX防火墻上配置防止惡意攻擊的特性 危害：會遭受到Unicast RPF、Flood Defender等各種拒絕服務(wù)攻擊檢測方法：在PIX防火墻的特權(quán)模式下輸入show config 檢查解決方案：u PIX防火墻的ActiveX阻塞特性將Web頁面中出現(xiàn)的HTMLobject命令過濾掉作為一種技術(shù)，ActiveX對網(wǎng)絡(luò)客戶產(chǎn)生了許多潛在的問題，包括導(dǎo)致工作站故障，引起的網(wǎng)絡(luò)安全問題，或者被用于攻擊服務(wù)器。u 洪流防御通過給nat和static命令設(shè)置最大的初始連接數(shù)，以保護(hù)內(nèi)部網(wǎng)絡(luò)免受TCP SYN洪流的攻擊允許內(nèi)部網(wǎng)絡(luò)服務(wù)器免受拒絕服務(wù)的攻擊（DoS）（這并不是floodguard的特性）保護(hù)內(nèi)部系統(tǒng)免受SYN的攻擊Flood Guard控制AAA服務(wù)對無回答登錄企圖的容忍度，特別要防止對AAA拒絕服務(wù)攻擊優(yōu)化AAA系統(tǒng)的使用，用floodguard1命令缺省處于激活狀態(tài)。u 防止IP碎片保護(hù)PIX防火墻免受IP碎片的攻擊保護(hù)PIX防火墻免受IP碎片的攻擊同樣阻塞了正常的IP碎片，缺省設(shè)置為失效。注意事項(xiàng)：注意判斷惡意攻擊時的條件判定，如果條件控制不好會造成正常數(shù)據(jù)包無法通過。 策略配置inside224。outside的策略不嚴(yán)格，如any224。any等危害：非授權(quán)用戶可以訪問防火墻所保護(hù)主機(jī)的全部應(yīng)用服務(wù)。檢測方法：利用PIX防火墻提供的WEB管理界面查看策略配置情況，或命 令行方式查看。解決方案： 利用PIX防火墻提供的WEB管理界面對防火墻的策略配置進(jìn)行審計(jì)，并依據(jù)實(shí)際的業(yè)務(wù)系統(tǒng)信任關(guān)系對防火墻策略進(jìn)行調(diào)整，去掉insideoutside的雙向全通的全放過規(guī)則，提高對受保護(hù)系統(tǒng)的保護(hù)級別。注意事項(xiàng)：對于業(yè)務(wù)調(diào)試時配置的臨時策略，在調(diào)測完畢后及時刪除。