科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道PIX Firewall使用手册(4)

PIX Firewall使用手册(4)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

PIX Firewall不但提供了可扩展的安全解决方案,还为某些型号提供故障恢复支持。它使用专用操作系统,与使用通用操作系统因而常常遇到威胁和袭击的软件防火墙相比,操作系统更安全、更容易维护。

作者:51CTO.COM 2007年11月4日

关键字: 防火墙 访问控制 PIX VPN URL过滤

  • 评论
  • 分享微博
  • 分享邮件

  网络地址转换(NAT)的作用是将内部接口上的主机地址转换为与外部接口相关的“全球地址”。这样能防止将主机地址暴露给其它网络接口。如果想了解是否要使用NAT,可以先决定是否想暴露与PIX Firewall连接的其它网络接口上的内部地址。如果选择使用NAT保护内部主机地址,应该先确定想用于转换的一组地址。

  如果想保护的地址只访问机构内的其它网络,可以针对转换地址池使用任何一组“专用”地址。例如,当与销售部门的网络(与PIX Firewall的周边接口相连)连接时,如果想防止财务部门网络(与PIX Firewall上的外部接口相连)上的主机地址被暴露,可以借助销售部网络上的任何一组地址建立转换。这样,财务部网络上的主机就好象是销售部网络的本地地址一样。

  如果想保护的地址需要互联网接入,可以只为转换地址池使用NIC注册的地址(为贵机构向网络信息中心注册的官方互联网地址)。例如,与互联网(通过PIX Firewall的外部接口访问)建立连接时,如果想防止销售部网络(与PIX Firewall的周边接口相连)的主机地址暴露,可以使用外部接口上的注册地址池进行转换。这样,互联网上的主机就只能看到销售部网络的互联网地址,而看不到周边接口的地址。

  如果您正在具有主机网络注册地址的原有网络上安装PIX Firewall,您可能不想为这些主机或网络进行转换,因为转换时还需要另外一个注册地址。

  考虑NAT时,必须要考虑是否有等量的外部主机地址。如果没有,在建立连接时,某些内部主机就无法获得网络访问。这种情况下,用户可以申请增加NIC注册地址,也可以使用端口地址转换(PAT),PAT能够用一个外部地址管理多达64,000个同时连接。

  对于内部系统,NAT能够转换向外传输的包的源IP地址(按照RFC 1631定义)。它同时支持动态转换和静态转换。NAT允许为内部系统分配专用地址(按照RFC 1918)定义,或者保留现有的无效地址。NAT还能提高安全性,因为它能向外部网络隐藏内部系统的真实网络身份。

  PAT使用端口重映射,它允许一个有效的IP地址支持64,000个活跃xlate对象的源IP地址转换。PAT能够减少支持专用或无效内部地址方案所需的全球有效IP地址数量。对于向内数据流与向外控制路径不同的多媒体应用,PAT不能与之配合使用。由于能够向外部网络隐藏内部网络的真实网络身份,因此,PAT能够提高安全性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章