Cisco PIX防火墙特殊配置(3)

在PIX防火墙上，半开放连接称作初期连接。阈值可以通过static命令的可选参数进行设置。阈值默认值为0，这样就有效的禁用了TCP Intercept。而若将这些初期连接参数设置为任何非零数值，就可以启用TCP Intercept。它有效的替代了称作Flood Defender的旧PIX特性。这个旧特性只允许对每个主机和服务上的初期连接总数进行限制。

PIX特殊应用配置

PIX防火墙支持很多需要某种特殊形式处理的标准或普通应用，其中一些要求对ASA状态表所维护的信息作一些修改，以便在状态数据报过滤环境中可以使用。另外一些由于被NAT修改了IP地址，所以可能需要对一个或多个上层协议头字段进行调整。还有一组并不遵循所期望的发送者和接受者交换的对称模式。对于大多数应用来说，客户端和服务器之间交换的IP数据报具有相同的源和目的IP地址以及TCP/UDP端口号，只不过每次交换过程中发送者和接收者的角色正好相反。接下来我们将对这些特殊情况进行详细介绍。

1、 Java Applet封锁

PIX防火墙使得网络管理员能够过滤掉可能有害的Java小程序。可以根据内部客户端的源地址、外部服务器的目的地址，或者同时根据两者，来对Java过滤进行定义。命令语法中包含反掩码，它可以用来定义单个的地址或地址范围。当启用了Java过滤后，PIX防火墙就会搜索含有Java小程序标记（十六进制字符串0 x CEFE BABE）的http数据报。

启用Java过滤的配置命令的一个实例如下：

Filter java 80 10.1.1.0 255.255.255 0.0.0.0.0.0.0.0

对上面命令的解释如下：如果访问端口80，那么子网10.1.1.0（一个较为安全的接口）中的所有客户端都会禁止从安全性级别较低的接口商的任何主机（0.0.0.0.0.0.0.0）上下载Java小程序。这里的0.0.0.0.0.0.0.0 也可以缩写称0 0

2、ActiveX

与ActiveX有关的网络安全问题类似于Java问题。ActiveX控件由可嵌入到Web页中的对象组成，这些空间能够下载到客户端计算机中运行。ActiveX的过滤可以通过注释掉HTML<object>命令的引用来实现。所用到的命令语法实际上与Java过滤使用的命令相同，只不过是用filter activex…代替了filter java…。

3、 URL过滤

利用与Websense公司合作，Cisco提供了将Websense的Open Server内容过滤服务器与PIX防火墙配合使用的能力。Websense被很多组织用于设置和增强作为网络安全策略的一个组成部分的因特网访问策略(IAP)。Websense利用一个由超过150万的站点构成的主数据库对因特网内容进行过滤。对访问的拒绝（封锁）可以根据用户、团体或者时间来设置。