Cisco PIX防火墙特殊配置(1)

选择高档完备的网络安全设备是每一个成功企业必不可少的组网设施，但是实际上更多网络中存在的威胁来自于企业内部，因此仅仅保护网络组建的边界是远远不够的，建立一个一体化、多层次的安全体系结构可以提供更为彻底和实际的保护，提高企业内部安全防范意识才是解决企业网络安全的重中之中。

PIX防火墙简介

PIX（Private Internet Exchange）防火墙是Cisco产品系列中称得上佼佼者的防火墙产品。PIX防火墙可以部署到各种各样的设计方案中。简单的情况如下，PIX防火墙可能只有两个接口，一个接口连接至受保护的内部网络（内部接口），而另一个接口则连接到公共网络（外部接口），一般来说就是指因特网。这里所谓的内部和外部具有特别的意义，且各个接口在PIX防火墙配置中分别被命名为Inside接口（内部）和Outside接口（外部）。

为了让公司能够利用与因特网的连接，通常某些服务器必须对于外部世界是可访问的，这些可访问的服务器包括DNS、SMTP以及企业能够拥有的任何公用Web服务器。DNS服务器必须是可访问的，这样才能将主机名字转换成可用于数据报寻址的IP地址。虽然这些服务器可以放在防火墙之后的内部网络中，但是强烈建议不要这样做。因为这些主机中的任意一台受到侵害后，都会导致入侵者能够方便的访问到内部网络。而如果这些服务器放置在DMZ中，则PIX防火墙能够允许内部用户不加限制的访问这些主机，而同时限制外部用户来访问这些主机。

从市场所占份额来说，状态数据报防火墙是主导类型的防火墙产品。大多数的市场都显示，PIX防火墙或Chechpoint软件公司的Firewall经常占据市场中的第一位。在PIX防火墙的具体配置中共有58个PIX独有特性，这些特性中有些功能非常明显，而有些却略显隐蔽；有些特性是默认启动的，而有些则需要手动进行配置。下面我们就来看下一些在企业组网中需要特别“关注”特性的配置方法，以便充分利用PIX防火墙，为企业网络提高安全系数。

手动配置TCP Intercept

思科从IOS 11.2版本中首次在路由器产品中引用了TCP Intercept(TCP截获)特性，在PIX5.2以上版本中也引入了相同的特性，这个功能特性虽然是默认启用的，但是仍需要一些手动设置。