PIX Firewall使用手册(5)

　　PIX Firewall上的另一种地址转换是静态转换。静态转换能够为内部地址指定一个固定的外部IP地址。对于需要固定IP地址以便接受公共互联网访问的服务器来讲，这个功能非常有用。

　　PIX Firewall身份认证特性可以关闭地址转换。如果现有内部系统拥有有效的全球唯一地址，Identity特性可以有选择地关闭这些系统的NAT和PAT。这个特性使外部网络能够看到内部网络的地址。

　　切入型代理（Cut-Through Proxy）

　　切入型代理是PIX Firewall的独特特性，能够基于用户对向内或外部连接进行验证。与在OSI模型的第七层对每个包进行分析（属于时间和处理密集型功能）的代理服务器不同，PIX Firewall首先查询认证服务器，当连接获得批准之后建立数据流。之后，所有流量都将在双方之间直接、快速地流动。

　　借助这个特性可以对每个用户ID实施安全政策。在连接建立之前，可以借助用户ID和密码进行认证。它支持认证和授权。用户ID和密码可以通过最初的HTTP、Telnet或FTP连接输入。

　　与检查源IP地址的方法相比，切入型代理能够对连接实施更详细的管理。在提供向内认证时，需要相应地控制外部用户使用的用户ID和密码（在这种情况下，建议使用一次性密码）。

　　访问控制（Access Control）

　　本节将介绍PIX Firewall用于对网络用户实行认证和授权的各种特性，内容包括：

　　AAA集成

　　访问列表

　　管线

　　AAA集成（AAA Integration）

　　PIX Firewall提供与AAA（认证、计费和授权）服务的集成。AAA服务由TACACS+或RADIUS服务器提供。

　　PIX Firewall允许定义独立的TACACS+或RADIUS服务器组，以便确定不同的流量类型，例如，TACACS+服务器用于处理向内流量，另一服务器用于处理向外流量。

　　AAA服务器组由标记名称定义，这个标记名称的作用是将不同的流量类型引导到各台认证服务器。如果需要计费，计费信息将被送入活跃的服务器。

　　PIX Firewall允许RADIUS服务器将用户组属性发送到RADIUS认证响应信息中的PIX Firewall。然后，PIX Firewall将把访问列表和属性匹配起来，从访问列表中确定RADIUS认证。PIX Firewall对用户进行认证之后，它将使用认证服务器返回的CiscoSecure acl属性识别某用户组的访问列表。