PIX Firewall使用手册(7)

　　TCP Intercept特性能够保护可通过静态和TCP管线访问到的系统。这个特性能够保证，一旦到达任选的初始连接极限，那么，去往受影响的服务器的每个SYN都将被截获，直到初始连接数量低于此阈值为止。对于每个SYN，PIX Firewall还能以服务器的名义用空SYN/ACK进行响应。PIX Firewall能够保留永久性状态信息，丢弃包，并等待客户机的认可。

　　FragGuard和虚拟重组（FragGuard and 虚拟重组）

　　FragGuard和虚拟重组能够提供IP网段保护。这个特性能够提供所有ICMP错误信息的全面重组以及通过PIX Firewall路由的其余IP网段的虚拟重组。虚拟重组属于默认功能。这个特性使用系统日志记录网段重叠，并用小网段补偿异常情况，尤其是由teardrop.c袭击引起的异常情况。

　　DNS控制（DNS Control）

　　PIX Firewall能够识别每个向外的DNS（域名服务）分解请求，而且只允许有一个DNS响应。为获得答复，主机可以查询几台服务器（以防第一台服务器答复过慢），但是，只有第一个请求答复有效。其它请求答复将被防火墙丢弃。这个特性一直处于打开状态。

　　ActiveX阻挡（ActiveX Blocking）

　　AcitveX控制以前称为OLE或者OCX控制，这种组件可以插入到Web页面或者其它应用。PIX Firewall ActiveX阻挡特性能够阻挡HTML 命令，并在HTML Web页面以外予以说明。作为一种技术，ActiveX可能会给网络客户机带来许多潜在问题，包括致使工作站发生故障，引发网络安全问题，被用于袭击服务器，或者被主机用于袭击服务器等。

　　Java 过滤

　　Java过滤特性可用于防止受保护网络上的系统下载Java小应用程序。Java小应用程序指可执行的程序，它可能会受到某些安全政策的禁止，因为它们存在漏洞，可能会使受保护网络遭到袭击。

　　URL过滤

　　PIX Firewall URL过滤与NetPartners Websense产品一起提供。PIX Firewall用Websense服务器上制定的政策检查外出的URL请求，这些政策在Windows NT或UNIX上运行。PIX Firewall 5.3版本及更高版本中支持Websensen第4版本。

　　根据NetPartners Websense服务器的答复，PIX Firewall接受或拒绝连接。这台服务器检查请求，保证这些请求不具备不适合商业用途的17种Web站点特征。由于URL过滤在独立平台上处理，因此，不会给PIX Firewall带来其它性能负担。欲知详情，请访问以下Web站点： http://www.websense.com。