思科防火墙销售指南之应用篇(12)

思科 PIX 防火墙上的另一种地址转换是静态转换。静态转换能够为内部地址指定一个固定的外部IP地址。对于需要固定IP地址以便接受公共互联网访问的服务器来讲，这个功能非常有用。

思科 PIX 防火墙Identity特性可以关闭地址转换。如果现有内部系统拥有有效的全球唯一地址 ，Identity特性可以有选择地关闭这些系统的NAT和PAT。这个特性使外部网络能够看到内部网络的地址。

切入型代理（Cut-Through Proxy）

切入型代理是思科 PIX 防火墙的独特特性，能够基于用户对向内或外部连接进行验证。与在OSI模型的第七层对每个包进行分析（属于时间和处理密集型功能）的代理服务器不同，PIX Firewall首先查询认证服务器，当连接获得批准之后建立数据流。之后，所有流量都将在双方之间直接、快速地流动, 性能非常高。 借助这个特性可以对每个用户ID实施安全政策。在连接建立之前，可以借助用户ID和密码进行认证。它支持认证和授权。用户ID和密码可以通过最初的HTTP、Telnet或FTP连接输入。

与检查源IP地址的方法相比，思科的切入型代理能够对连接实施更详细的管理。在提供向内认证时，需要相应地控制外部用户使用的用户ID和密码（在这种情况下，建议使用一次性密码）。

防范攻击（Protecting Your Network from Attack）

思科 PIX 防火墙可以控制与某些袭击类型相关的网络行为，比如：

• 单播反向路径发送
• Flood Guard
• FragGuard和虚拟重组
• DNS控制
• ActiveX阻挡
• Java 过滤
• URL 过滤

单播反向路径发送（Unicast Reverse Path Forwarding）

单播反向路径发送（单播RPF）也称为“反向路径查询”，它提供向内和向外过滤，以便预防IP欺诈。这个特性能够检查向内传输的包的IP源地址完整性，保证去往受控区域以外的主机的包拥有可以在实施实体本地路由表时由路径验证的IP源地址。

Flood Guard

Flood Guard能控制AAA服务对无应答登录企图的容忍度。这个功能尤其适合防止AAA服务上的拒绝服务（DoS）袭击，并能改善AAA系统使用情况。默认状态下，这个命令是打开的，可以用floodguard 1命令控制。

Flood Defender

Flood Defender能够防止内部系统受到拒绝服务袭击，即用TCP SYN包冲击接口。要使用这个特性，可以将最大初始连接选项设置为nat和static命令。