巧配PIX思科防火墙 加固企业网络

　　PIX特殊应用配置

　　PIX防火墙支持很多需要某种特殊形式处理的标准或普通应用，其中一些要求对ASA状态表所维护的信息作一些修改，以便在状态数据报过滤环境中可以使用。

　　另外一些由于被 NAT修改了IP地址，所以可能需要对一个或多个上层协议头字段进行调整。还有一组并不遵循所期望的发送者和接受者交换的对称模式。对于大多数应用来说，客户端和服务器之间交换的IP数据报具有相同的源和目的IP地址以及TCP/UDP端口号，只不过每次交换过程中发送者和接收者的角色正好相反。接下来我们将对这些特殊情况进行详细介绍。

　　1、 JavaApplet封锁

　　PIX防火墙使得网络管理员能够过滤掉可能有害的Java小程序。可以根据内部客户端的源地址、外部服务器的目的地址，或者同时根据两者，来对Java 过滤进行定义。命令语法中包含反掩码，它可以用来定义单个的地址或地址范围。当启用了Java过滤后，PIX防火墙就会搜索含有Java小程序标记（十六进制字符串0 x CEFE BABE）的http数据报。

　　启用Java过滤的配置命令的一个实例如下：

　　Filter java 80 10.1.1.0 255.255.255 0.0.0.0.0.0.0.0

　　对上面命令的解释如下：如果访问端口80，那么子网10.1.1.0（一个较为安全的接口）中的所有客户端都会禁止从安全性级别较低的接口商的任何主机（0.0.0.0.0.0.0.0）上下载Java小程序。这里的0.0.0.0.0.0.0.0 也可以缩写称0 0

　　2、ActiveX

　　与ActiveX有关的网络安全问题类似于Java问题。ActiveX控件由可嵌入到Web页中的对象组成，这些空间能够下载到客户端计算机中运行。ActiveX的过滤可以通过注释掉HTML命令的引用来实现。所用到的命令语法实际上与Java过滤使用的命令相同，只不过是用filter activex…代替了filter java…。

　　2、 URL过滤

　　利用与Websense公司合作，Cisco提供了将Websense的Open Server内容过滤服务器与PIX防火墙配合使用的能力。Websense被很多组织用于设置和增强作为网络安全策略的一个组成部分的因特网访问策略 （IAP）。Websense利用一个由超过150万的站点构成的主数据库对因特网内容进行过滤。对访问的拒绝（封锁）可以根据用户、团体或者时间来设置。

　　URL过滤允许PIX防火墙将Websense服务器定义的IAP出站用户所请求的URL进行比较。下面的例子使用地址为 10.2.2.2的Websense服务器过滤掉除子网10.1.1.0上的用户之外的所有出站访问。第3行只在例外情况时才需要，否则它是可选的。

　　url-server host 10.2.2.2

　　filter url http 0000

　　filter url except 10.1.1.0 255.255.255.0

　　控制通过PIX防火墙的流量

　　由于防火墙的主要目的是封锁，至少是要控制对受保护网络的访问，所以应当关注的是传入的数据报。把传入流量或入站流量定义为从安全性较差的接口进入PIX防火墙和从安全性较高的接口离开PPIX防火墙的数据报。类似的，把传出流量或出站流量定义为从安全性较高的接口进入PIX防火墙和从安全性较差的接口离开PIX防火墙的数据报。其中只有一个接口被命名为Inside（安全级别＝100），也只有一个接口被命名为Outside（安全级别＝ 0）。这是因为在所有接口中，这两个接口是永远分别处在最内部和最外部的。根据具体的安全级别，其他DMZ或外围接口相对于另外的接口可能是内部的，也可能是外部的，但是他们相对于Inside接口而言总是外部的，对于Outside接口而言则总是内部的。

　　在PIX防火墙5.2之前的版本中，用来定义允许流量的协议参数的命令是conduit命令。Conduit命令的语法看起来非常像扩展访问列表所使用的格式，不过在命令的语法中，源地址和目的地址的位置正好相反。从5.2版本开始，传统的扩展访问列表代替了conduit命令。目前，尽管Cisco推荐使用新的格式，但是实际上这两种命令格式都可以使用。

　　为了对去往这些服务器的流量定义相应的通道，可以规定服务器的IP地址作为目的地址，并规定 HTTP、DNS和SMTP作为目的端口号，但是通常并不知道源地址和源端口号。下面是一个访问列表的例子，在这个例子中，IP地址为10.1.1.1的服务器能够提供所有3种服务。

　　Access-listdmz permit tcp any host 10.1.1.1 eq http

　　Access-list dmz permit tcp any host 10.1.1.1 eq smtp

　　Access-list dmz permit tcp any host 10.1.1.1 eq domain

　　上面所列方法就举例而言是已经足够了，但是在安全方面还要进一步设置。因为并不能预知外部用户将使用哪些源IP地址和源端口，所以必须在ACL中规定允许使用所有的原地址和源端口。

　　后记

　　正如文章篇头提到的一样PIX防火墙是Cisco系列网络安全设备中非常出色的产品，其强大的功能和完善的设置获得了许多企业用户的青睐，这里由于篇幅所限，笔者就暂介绍于此。网络安全的话题永远没有尽头，选择高档完备的网络安全设备是每一个成功企业必不可少的组网设施，但是实际上更多网络中存在的威胁来自于企业内部，因此仅仅保护网络组建的边界是远远不够的，建立一个一体化、多层次的安全体系结构可以提供更为彻底和实际的保护，提高企业内部安全防范意识才是解决企业网络安全的重中之中。