PIX构筑铜墙铁壁(1)

　　防火墙在互联网中起着非常重要的作用，它通过检查和过滤进出网络的每一个数据包，保护企业内部网免受外来攻击。防火墙产品一般分为硬件和软件2种，硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用防火墙软件; 软件防火墙一般基于某个操作系统平台开发，直接在计算机上进行软件的安装和配置。相对于软件防火墙而言，硬件防火墙往往能提供更优越的网络速度和性能，Cisco公司的PIX防火墙就是一种典型的企业级硬件防火墙产品。

　　一、Cisco PIX的特点

　　作为一种硬件防火墙，Cisco PIX的优势有两点：第一，网络性能相当不错，Cisco PIX可以提供2～6个100Mbps快速以太网接口，能够满足大部分的应用需求。与软件防火墙相比，它的包处理速度和转发速度要快得多。第二，Cisco PIX中包含了丰富的基于IPsec的VPN服务软件，VPN能够提供站点到站点之间和远程客户端到站点之间的安全访问，不过需要另外的一台认证服务器。

　　Cisco PIX的不足之处是管理完全基于命令行方式，如果用户需要图形化的管理界面，就必须到Cisco网站上下载一个管理软件；另外，Cisco PIX的监视和日志功能有限，为了记录日志，还必须下载一个基于Windows NT的PIX Firewall Syslog Server才行。Cisco PIX无法根据用户名或工作组来进行安全策略管理，而只能通过IP地址进行管理，而且实施安全策略管理还需要购买另一个软件包CSPM（Cisco Security Policy Manager）。

　　二、Cisco PIX的管理和配置

　　现在，我们通过一个相对简单的示例说明如何使用Cisco PIX对企业内部网络进行管理。网络拓扑图如附图所示。Cisco PIX安装2个网络接口，一个连接外部网段，另一个连接内部网段，在外部网段上运行的主要是DNS服务器，在内部网段上运行的有WWW服务器和电子邮件服务器，通过Cisco PIX，我们希望达到的效果是：对内部网络的所有机器进行保护，WWW服务器对外只开放80端口，电子邮件服务器对外只开放25端口。具体操作步骤如下。

　　1. 连接一台控制终端