思科防火墙销售指南之应用篇(6)

思科防火墙技术

状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术，Cisco Secure PIX防火墙基于此两种防火墙技术的基础上，提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。ASA自适应安全算法与包过滤相比，功能更加强劲；另外，ASA与应用层代理防火墙相比，其性能更高，扩展性更强。 ASA可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过PIX防火墙。这样，内部和外部的授权用户就可以透明地访问企业资源，同时保护内部网络不会受到非授权访问的侵袭。

另外，思科公司的专用实时嵌入式系统还能进一步提高Cisco Secure PIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台，但通用的操作系统并不能提供最佳的性能和安全性。而专用的 Cisco Secure PIX防火墙是为了实现安全、高性能的保护而专门设计。

• 适应性安全算法（Adaptive Security Algorithm）
  
• 适应性安全算法（ASA）是一种状态安全方法。每个向内传输的包都将按照适应性安全算法和内存中的连接状态信息进行检查。安全业界人士都认为，这种默认安全方法要比无状态的包屏蔽方法更安全。

ASA无需配置每个内部系统和应用就能实现单向（从内到外）连接。ASA一直处于操作状态，监控返回的包，目的是保证这些包的有效性。为减小TCP序列号袭击的风险，它总是主动对TCP序列号作随机处理。

当向外包到达PIX Firewall上安全等级较高的接口时，PIX Firewall将根据适应性安全算法检查包是否有效，以及前面的包是否来自于此台主机。如果不是，则包将被送往新的连接，同时，PIX Firewall将在状态表中为此连接产生一个转换插槽。PIX Firewall保存在转换插槽中的信息包括内部IP地址以及由网络地址转换（NAT）、端口地址转换（PAT）或者Identity（将内部地址作为外部地址使用）分配的全球唯一IP地址。然后，PIX Firewall将把包的源IP地址转换成全球唯一地址，根据需要修改总值和其它字段，然后将包发送到安全等级较低的接口。