思科防火墙销售指南之应用篇(14)

可配置的代理呼叫（Configurable Proxy Pinging）

可配置的代理呼叫功能可以控制对PIX Firewall接口的ICMP访问。这个特性能够将PIX Firewall接口隐藏起来，以防被外部网络上的用户删除。

Mail Guard

Mail Guard能够为从外部到内部消息服务器的简单邮件传输协议（SMTP）连接提供安全接入。借助这个特性，可以在内部网络中部署一台邮件服务器，而且这台邮件服务器不会出现某些SMTP服务器实施方案常见的安全问题。这个方法的好处之一是无需使用邮件中继（或堡垒主机）系统。为避免损害SMTP服务器系统，Mail Guard只使用了少量SMTP命令。这个特性还能记录所有SMTP连接。

多媒体支持（Multimedia Support）

思科 PIX 防火墙提供的支持多媒体应用的特性：

创建虚拟专用网（Creating a Virtual Private Network）

借助VPN，您可以将分布在世界各地的用户以及公共互联网上的站点安全地互连在一起。与基于传统广域网的帧中继或拨号连接相比，VPN不但能降低成本，提高可靠性，还能简化管理。VPN的安全性和管理政策与专用网络相同。借助VPN，客户、商业合作伙伴以及远程工作者等远程用户可以安全地访问企业的计算资源。

IPSec是一种标准，它规定了建立VPN的独立于厂商方法。作为安全功能的一部分，PIX Firewall提供基于IPSec标准的VPN功能。借助IPSec，当数据在公共网上传输时，用户无需担心数据会被查看、篡改或欺诈。

IPSec提供了两台对等设备之间的安全通道，例如两个PIX Firewall单元之间的安全通道。用户可以自己确定哪些包属于敏感信息，应该通过这些安全通道发送。通过确定这些通道的特性，用户还可以确定应该使用哪些参数保护这些敏感包。当IPSec对等设备看到敏感包时，它将建立相应的安全通道，并通过通道将包发送给远程用户。用于传输信息的安全通道基于加密密钥以及安全协会（SA）规定的其它安全参数。

与IPSec SA的人工配置相似，IKE SA可以通过预共享密钥建立。但是，这种方法也存在人工配置IPSec SA的扩展问题。认证机构（CA）提供了一种可扩展的方法，能够共享密钥以建立IKE SA。