PIX Firewall使用手册(6)

　　访问列表（Access Lists）

　　从5.3版本开始，PIX Firewall使用访问列表控制内部网络与外部网络之间的连接。访问列表用access-list和access-group命令实施。这些命令取代了PIX Firewall以前版本中的conduit和outbound命令，但是，为实现向下兼容性，当前版本仍然支持conduit和outbound这两个命令。

　　用户可以按照源地址、目标地址或协议使用访问列表控制连接。为了减少所需的接入，应该认真配置访问列表。如果可能，应该用远程源地址、本地目标地址和协议对访问列表施加更多的限制。在配置中，access-list和access-group命令语句的优先级高于conduit和outbound命令。

　　管线（Conduits）

　　在5.3版本之前，PIX Firewall使用conduit和outbound命令控制外部网络和内部网络之间的连接。在PIX Firewall6.0及更高的版本中，为实现向下兼容，这些命令仍然可用，但是，我们建议大家最好使用access-list和access-group命令。

　　每条管线都是PIX Firewall的潜在威胁，因此，必须根据安全政策和业务的要求限制对它的使用。如果可能，可以用远程源地址、本地目标地址和协议加以限制。

　　防范攻击（Protecting Your Network from Attack）

　　本节将介绍PIX Firewall提供的防火墙特性。这些防火墙特性可以控制与某些袭击类型相关的网络行为。本节包含的内容如下：

　　单播反向路径发送

　　Flood Guard

　　FragGuard和虚拟重组

　　DNS控制

　　ActiveX阻挡

　　Java 过滤

　　URL 过滤

　　如果想了解允许在防火墙上使用特殊协议和应用的特性的详细情况，请参考“支持某些协议和应用”。

　　单播反向路径发送（Unicast Reverse Path Forwarding）

　　单播反向路径发送（单播RPF）也称为“反向路径查询”，它提供向内和向外过滤，以便预防IP欺诈。这个特性能够检查向内传输的包的IP源地址完整性，保证去往受控区域以外的主机的包拥有可以在实施实体本地路由表时由路径验证的IP源地址。

　　单播RPF仅限于实施实体本地路由表的网络。如果进入的包没有路径代表的源地址，就无法知道包是否能通过最佳路径返回到起点。

　　Flood Guard

　　Flood Guard能控制AAA服务对无应答登录企图的容忍度。这个功能尤其适合防止AAA服务上的拒绝服务（DoS）袭击，并能改善AAA系统使用情况。默认状态下，这个命令是打开的，可以用floodguard 1命令控制。

　　Flood Defender

　　Flood Defender能够防止内部系统受到拒绝服务袭击，即用TCP SYN包冲击接口。要使用这个特性，可以将最大初始连接选项设置为nat和static命令。