内容与目录

　　控制网络访问

　　Firewall的工作原理

　　适应性安全算法

　　多个接口和安全等级

　　数据在PIX Firewall中的移动方式

　　内部地址的转换

　　切入型代理

　　访问控制

　　AAA集成

　　访问列表

　　管线

　　防范攻击

　　向路径发送

　　Flood Guard

　　Flood Defender

　　FragGuard和虚拟重组

　　DNS控制

　　ActiveX阻挡

　　Java过滤

　　URL过滤

　　启动专有协议和应用

　　第2版本

　　可配置的代理呼叫

　　Mail Guard

　　多媒体支持

　　支持的多媒体应用

　　RAS第2版本

　　RTSP

　　Cisco IP电话

　　H.323

　　SIP

　　NETBIOS over IP

　　创建VPN

　　VPN？

　　IPSec

　　互联网密钥交换（IKE）

　　认证机构

　　使用站点到站点VPN

　　使用远程接入VPN

　　防火墙的系统管理

　　Device Manager

　　Telnet界面

　　SSH第1版本

　　使用SNMP

　　TFTP配置服务器

　　XDMCP

　　使用系统日志服务器

　　FTP和URL登录

　　与IDS集成

　　PIX热备份

　　PIX Firewall的用途（Using PIX Firewall）

　　借助Cisco PIX Firewall，您只需用一台设备就能建立状态防火墙保护和安全的VPN接入。PIX Firewall不但提供了可扩展的安全解决方案，还为某些型号提供故障恢复支持，以便提供最高的可靠性。PIX Firewall使用专用操作系统，与使用通用操作系统，因而常常遇到威胁和袭击的软件防火墙相比，这种操作系统更安全、更容易维护。在本章中，我们将介绍使用PIX Firewall保护网络资产和建立安全VPN接入的方法。本章包括以下几节：

　　控制网络访问

　　防范攻击

　　启动专有协议和应用

　　建立虚拟专用网

　　防火墙的系统管理

　　防火墙的故障恢复

　　控制网络访问（Controlling Network Access）

　　本节将介绍PIX Firewall提供的网络防火墙功能，包含以下内容：

　　PIX Firewall的工作原理

　　适应性安全算法

　　多个接口和安全等级

　　数据在PIX Firewall中的移动方式

　　内部地址的转换

　　切入型代理

　　访问控制

　　PIX Firewall的工作原理（How the PIX Firewall Works）

　　PIX Firewall的作用是防止外部网络（例如公共互联网）上的非授权用户访问内部网络。多数PIX Firewall都可以有选择地保护一个或多个周边网络（也称为非军管区，DMZ）。对访问外部网络的限制最低，对访问周边网络的限制次之，对访问内部网络的限制最高。内部网络、外部网络和周边网络之间的连接由PIX Firewall控制。

　　为有效利用机构内的防火墙，必须利用安全政策才能保证来自受保护网络的所有流量都只通过防火墙到达不受保护的网络。这样，用户就可以控制谁可以借助哪些服务访问网络，以及怎样借助PIX Firewall提供的特性实施安全政策等。

　　PIX Firewall保护网络的方法如图1-1所示，这种方法允许实施带外连接并安全接入互联网。

　　图1-1： 网络中的PIX Firewall

　　在这种体系结构中，PIX Firewall将形成受保护网络和不受保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。互联网可以访问不受保护的网络。PIX Firewall允许用户在受保护网络内确定服务器的位置，例如用于Web接入、SNMP、电子邮件（SMTP）的服务器，然后控制外部的哪些用户可以访问这些服务器。

　　除PIX 506和PIX 501外，对于所有的PIX Firewall，服务器系统都可以如图1-1那样置于周边网络上，对服务器系统的访问可以由PIX Firewall控制和监视。PIX 506和PIX 501各有两个网络接口，因此，所有系统都必须属于内部接口或者外部接口。

　　PIX Firewall还允许用户对来往于内部网络的连接实施安全政策。

　　一般情况下，内部网络是机构自身的内部网络，或者内部网，外部网络是互联网，但是，PIX Firewall也可以用在内部网中，以便隔离或保护某组内部计算系统和用户。

　　周边网络的安全性可以与内部网络等同，也可以配置为拥有各种安全等级。安全等级的数值从0（最不安全）到100（最安全）。外部接口的安全等级总为0，内部接口的安全等级总为100。周边接口的安全等级从1到99。

　　内部网络和周边网络都可以用PIX Firewall的适应性安全算法（ASA）保护。内部接口、周边接口和外部接口都遵守RIP路由更新表的要求，如果需要，所有接口都可以广播RIP默认路径。

　　适应性安全算法（Adaptive Security Algorithm）

　　适应性安全算法（ASA）是一种状态安全方法。每个向内传输的包都将按照适应性安全算法和内存中的连接状态信息进行检查。业界人士都认为，这种默认安全方法要比无状态的包屏蔽方法更安全。

　　ASA无需配置每个内部系统和应用就能实现单向（从内到外）连接。ASA一直处于操作状态，监控返回的包，目的是保证这些包的有效性。为减小TCP序列号袭击的风险，它总是主动对TCP序列号作随机处理。

　　ASA适用于动态转换插槽和静态转换插槽。静态转换插槽用static命令产生，动态转换插槽用global命令产生。总之，两种转换插槽都可以称为“xlates”。ASA遵守以下规则：

　　如果没有连接和状态，任何包都不能穿越PIX Firewall；

　　如果没有访问控制表的特殊定义，向外连接或状态都是允许的。向外连接指产生者或客户机的安全接口等级高于接收者或服务器。最安全的接口总是内部接口，最不安全的接口总是外部接口。周边接口的安全等级处于内部接口和外部接口之间；

　　如果没有特殊定义，向内连接或状态是不允许的。向内连接或状态指产生者或客户机的安全接口/网络等级低于接收者或服务器。用户可以为一个xlate（转换）应用多个例外。这样，就可以从互联网上的任意机器、网络或主机访问xlate定义的主机；

　　如果没有特殊定义，所有ICMP包都将被拒绝；

　　违反上述规则的所有企图都将失败，而且将把相应信息发送至系统日志。

　　PIX Firewall处理UDP数据传输的方式与TCP相同。为使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作，PIX Firewall执行了特殊处理。当UDP包从内部网络发出时，PIX Firewall将生成UDP“连接”状态信息。如果与连接状态信息相匹配，这些流量带来的答复包将被接受。经过一小段时间的静默之后，连接状态信息将被删除。

　　多个接口和安全等级（Multiple Interfaces and Security Levels）

　　所有PIX Firewall都至少有两个接口，默认状态下，它们被称为外部接口和内部接口，安全等级分别为0和100。较低的优先级说明接口受到的保护较少。一般情况下，外部接口与公共互联网相连，内部接口则与专用网相连，并且可以防止公共访问。

　　许多PIX Firewall都能提供八个接口，以便生成一个或多个周边网络，这些区域也称为堡垒网络或非军管区（DMZ）。DMZ的安全性高于外部接口，但低于内部接口。周边网络的安全等级从0到100。一般情况下，用户需要访问的邮件服务器或Web服务器都被置于DMZ中的公共互联网上，以便提供某种保护，但不致于破坏内部网络上的资源。

　　数据在PIX Firewall中的移动方式（How Data Moves Through the PIX Firewall）

　　当向外包到达PIX Firewall上安全等级较高的接口时（安全等级可以用show nameif命令查看），PIX Firewall将根据适应性安全算法检查包是否有效，以及前面的包是否来自于此台主机。如果不是，则包将被送往新的连接，同时，PIX Firewall将在状态表中为此连接产生一个转换插槽。PIX Firewall保存在转换插槽中的信息包括内部IP地址以及由网络地址转换（NAT）、端口地址转换（PAT）或者Identity（将内部地址作为外部地址使用）分配的全球唯一IP地址。然后，PIX Firewall将把包的源IP地址转换成全球唯一地址，根据需要修改总值和其它字段，然后将包发送到安全等级较低的接口。

　　当向内传输的包到达外部接口时，首先接受PIX Firewall适应性安全条件的检查。如果包能够通过安全测试，则PIX Firewall删除目标IP地址，并将内部IP地址插入到这个位置。包将被发送到受保护的接口。

　　内部地址的转换（Translation of Internal Addresses）

　　网络地址转换（NAT）的作用是将内部接口上的主机地址转换为与外部接口相关的“全球地址”。这样能防止将主机地址暴露给其它网络接口。如果想了解是否要使用NAT，可以先决定是否想暴露与PIX Firewall连接的其它网络接口上的内部地址。如果选择使用NAT保护内部主机地址，应该先确定想用于转换的一组地址。

　　如果想保护的地址只访问机构内的其它网络，可以针对转换地址池使用任何一组“专用”地址。例如，当与销售部门的网络（与PIX Firewall的周边接口相连）连接时，如果想防止财务部门网络（与PIX Firewall上的外部接口相连）上的主机地址被暴露，可以借助销售部网络上的任何一组地址建立转换。这样，财务部网络上的主机就好象是销售部网络的本地地址一样。

　　如果想保护的地址需要互联网接入，可以只为转换地址池使用NIC注册的地址（为贵机构向网络信息中心注册的官方互联网地址）。例如，与互联网（通过PIX Firewall的外部接口访问）建立连接时，如果想防止销售部网络（与PIX Firewall的周边接口相连）的主机地址暴露，可以使用外部接口上的注册地址池进行转换。这样，互联网上的主机就只能看到销售部网络的互联网地址，而看不到周边接口的地址。

　　如果您正在具有主机网络注册地址的原有网络上安装PIX Firewall，您可能不想为这些主机或网络进行转换，因为转换时还需要另外一个注册地址。

　　考虑NAT时，必须要考虑是否有等量的外部主机地址。如果没有，在建立连接时，某些内部主机就无法获得网络访问。这种情况下，用户可以申请增加NIC注册地址，也可以使用端口地址转换（PAT），PAT能够用一个外部地址管理多达64,000个同时连接。

　　对于内部系统，NAT能够转换向外传输的包的源IP地址（按照RFC 1631定义）。它同时支持动态转换和静态转换。NAT允许为内部系统分配专用地址（按照RFC 1918）定义，或者保留现有的无效地址。NAT还能提高安全性，因为它能向外部网络隐藏内部系统的真实网络身份。

　　PAT使用端口重映射，它允许一个有效的IP地址支持64,000个活跃xlate对象的源IP地址转换。PAT能够减少支持专用或无效内部地址方案所需的全球有效IP地址数量。对于向内数据流与向外控制路径不同的多媒体应用，PAT不能与之配合使用。由于能够向外部网络隐藏内部网络的真实网络身份，因此，PAT能够提高安全性。

　　PIX Firewall上的另一种地址转换是静态转换。静态转换能够为内部地址指定一个固定的外部IP地址。对于需要固定IP地址以便接受公共互联网访问的服务器来讲，这个功能非常有用。

　　PIX Firewall身份认证特性可以关闭地址转换。如果现有内部系统拥有有效的全球唯一地址，Identity特性可以有选择地关闭这些系统的NAT和PAT。这个特性使外部网络能够看到内部网络的地址。

　　切入型代理（Cut-Through Proxy）

　　切入型代理是PIX Firewall的独特特性，能够基于用户对向内或外部连接进行验证。与在OSI模型的第七层对每个包进行分析（属于时间和处理密集型功能）的代理服务器不同，PIX Firewall首先查询认证服务器，当连接获得批准之后建立数据流。之后，所有流量都将在双方之间直接、快速地流动。

　　借助这个特性可以对每个用户ID实施安全政策。在连接建立之前，可以借助用户ID和密码进行认证。它支持认证和授权。用户ID和密码可以通过最初的HTTP、Telnet或FTP连接输入。

　　与检查源IP地址的方法相比，切入型代理能够对连接实施更详细的管理。在提供向内认证时，需要相应地控制外部用户使用的用户ID和密码（在这种情况下，建议使用一次性密码）。

　　访问控制（AccessControl）

　　本节将介绍PIX Firewall用于对网络用户实行认证和授权的各种特性，内容包括：

　　AAA集成

　　访问列表

　　管线

　　AAA集成（AAA Integration）

　　PIX Firewall提供与AAA（认证、计费和授权）服务的集成。AAA服务由TACACS+或RADIUS服务器提供。

　　PIX Firewall允许定义独立的TACACS+或RADIUS服务器组，以便确定不同的流量类型，例如，TACACS+服务器用于处理向内流量，另一服务器用于处理向外流量。

　　AAA服务器组由标记名称定义，这个标记名称的作用是将不同的流量类型引导到各台认证服务器。如果需要计费，计费信息将被送入活跃的服务器。

　　PIX Firewall允许RADIUS服务器将用户组属性发送到RADIUS认证响应信息中的PIX Firewall。然后，PIX Firewall将把访问列表和属性匹配起来，从访问列表中确定RADIUS认证。PIX Firewall对用户进行认证之后，它将使用认证服务器返回的CiscoSecure acl属性识别某用户组的访问列表。

　　访问列表（Access Lists）

　　从5.3版本开始，PIX Firewall使用访问列表控制内部网络与外部网络之间的连接。访问列表用access-list和access-group命令实施。这些命令取代了PIX Firewall以前版本中的conduit和outbound命令，但是，为实现向下兼容性，当前版本仍然支持conduit和outbound这两个命令。

　　用户可以按照源地址、目标地址或协议使用访问列表控制连接。为了减少所需的接入，应该认真配置访问列表。如果可能，应该用远程源地址、本地目标地址和协议对访问列表施加更多的限制。在配置中，access-list和access-group命令语句的优先级高于conduit和outbound命令。

　　管线（Conduits）

　　在5.3版本之前，PIX Firewall使用conduit和outbound命令控制外部网络和内部网络之间的连接。在PIX Firewall6.0及更高的版本中，为实现向下兼容，这些命令仍然可用，但是，我们建议大家最好使用access-list和access-group命令。

　　每条管线都是PIX Firewall的潜在威胁，因此，必须根据安全政策和业务的要求限制对它的使用。如果可能，可以用远程源地址、本地目标地址和协议加以限制。

　　防范攻击（Protecting Your Network from Attack）

　　本节将介绍PIX Firewall提供的防火墙特性。这些防火墙特性可以控制与某些袭击类型相关的网络行为。本节包含的内容如下：

　　单播反向路径发送

　　Flood Guard

　　FragGuard和虚拟重组

　　DNS控制

　　ActiveX阻挡

　　Java 过滤

　　URL 过滤

　　如果想了解允许在防火墙上使用特殊协议和应用的特性的详细情况，请参考“支持某些协议和应用”。

　　单播反向路径发送（Unicast Reverse Path Forwarding）

　　单播反向路径发送（单播RPF）也称为“反向路径查询”，它提供向内和向外过滤，以便预防IP欺诈。这个特性能够检查向内传输的包的IP源地址完整性，保证去往受控区域以外的主机的包拥有可以在实施实体本地路由表时由路径验证的IP源地址。

　　单播RPF仅限于实施实体本地路由表的网络。如果进入的包没有路径代表的源地址，就无法知道包是否能通过最佳路径返回到起点。

　　Flood Guard

　　Flood Guard能控制AAA服务对无应答登录企图的容忍度。这个功能尤其适合防止AAA服务上的拒绝服务（DoS）袭击，并能改善AAA系统使用情况。默认状态下，这个命令是打开的，可以用floodguard 1命令控制。

　　Flood Defender

　　Flood Defender能够防止内部系统受到拒绝服务袭击，即用TCP SYN包冲击接口。要使用这个特性，可以将最大初始连接选项设置为nat和static命令。

　　TCP Intercept特性能够保护可通过静态和TCP管线访问到的系统。这个特性能够保证，一旦到达任选的初始连接极限，那么，去往受影响的服务器的每个SYN都将被截获，直到初始连接数量低于此阈值为止。对于每个SYN，PIX Firewall还能以服务器的名义用空SYN/ACK进行响应。PIX Firewall能够保留永久性状态信息，丢弃包，并等待客户机的认可。

　　FragGuard和虚拟重组（FragGuard and 虚拟重组）

　　FragGuard和虚拟重组能够提供IP网段保护。这个特性能够提供所有ICMP错误信息的全面重组以及通过PIX Firewall路由的其余IP网段的虚拟重组。虚拟重组属于默认功能。这个特性使用系统日志记录网段重叠，并用小网段补偿异常情况，尤其是由teardrop.c袭击引起的异常情况。

　　DNS控制（DNS Control）

　　PIX Firewall能够识别每个向外的DNS（域名服务）分解请求，而且只允许有一个DNS响应。为获得答复，主机可以查询几台服务器（以防第一台服务器答复过慢），但是，只有第一个请求答复有效。其它请求答复将被防火墙丢弃。这个特性一直处于打开状态。

　　ActiveX阻挡（ActiveX Blocking）

　　AcitveX控制以前称为OLE或者OCX控制，这种组件可以插入到Web页面或者其它应用。PIX Firewall ActiveX阻挡特性能够阻挡HTML 命令，并在HTML Web页面以外予以说明。作为一种技术，ActiveX可能会给网络客户机带来许多潜在问题，包括致使工作站发生故障，引发网络安全问题，被用于袭击服务器，或者被主机用于袭击服务器等。

　　Java 过滤

　　Java过滤特性可用于防止受保护网络上的系统下载Java小应用程序。Java小应用程序指可执行的程序，它可能会受到某些安全政策的禁止，因为它们存在漏洞，可能会使受保护网络遭到袭击。

　　URL过滤

　　PIX Firewall URL过滤与NetPartners Websense产品一起提供。PIX Firewall用Websense服务器上制定的政策检查外出的URL请求，这些政策在WindowsNT或UNIX上运行。PIX Firewall 5.3版本及更高版本中支持Websensen第4版本。

　　根据NetPartners Websense服务器的答复，PIX Firewall接受或拒绝连接。这台服务器检查请求，保证这些请求不具备不适合商业用途的17种Web站点特征。由于URL过滤在独立平台上处理，因此，不会给PIX Firewall带来其它性能负担。