PIX Firewall使用手册

　　内容与目录

　　控制网络访问

　　Firewall的工作原理

　　适应性安全算法

　　多个接口和安全等级

　　数据在PIX Firewall中的移动方式

　　内部地址的转换

　　切入型代理

　　访问控制

　　AAA集成

　　访问列表

　　管线

　　防范攻击

　　向路径发送

　　Flood Guard

　　Flood Defender

　　FragGuard和虚拟重组

　　DNS控制

　　ActiveX阻挡

　　Java过滤

　　URL过滤

　　启动专有协议和应用

　　第2版本

　　可配置的代理呼叫

　　Mail Guard

　　多媒体支持

　　支持的多媒体应用

　　RAS第2版本

　　RTSP

　　Cisco IP电话

　　H.323

　　SIP

　　NETBIOS over IP

　　创建VPN

　　VPN？

　　IPSec

　　互联网密钥交换（IKE）

　　认证机构

　　使用站点到站点VPN

　　使用远程接入VPN

　　防火墙的系统管理

　　Device Manager

　　Telnet界面

　　SSH第1版本

　　使用SNMP

　　TFTP配置服务器

　　XDMCP

　　使用系统日志服务器

　　FTP和URL登录

　　与IDS集成

　　PIX热备份

　　PIX Firewall的用途（Using PIX Firewall）

　　借助Cisco PIX Firewall，您只需用一台设备就能建立状态防火墙保护和安全的VPN接入。PIX Firewall不但提供了可扩展的安全解决方案，还为某些型号提供故障恢复支持，以便提供最高的可靠性。PIX Firewall使用专用操作系统，与使用通用操作系统，因而常常遇到威胁和袭击的软件防火墙相比，这种操作系统更安全、更容易维护。在本章中，我们将介绍使用PIX Firewall保护网络资产和建立安全VPN接入的方法。本章包括以下几节：

　　控制网络访问

　　防范攻击

　　启动专有协议和应用

　　建立虚拟专用网

　　防火墙的系统管理

　　防火墙的故障恢复

　　控制网络访问（Controlling Network Access）

　　本节将介绍PIX Firewall提供的网络防火墙功能，包含以下内容：

　　PIX Firewall的工作原理

　　适应性安全算法

　　多个接口和安全等级

　　数据在PIX Firewall中的移动方式

　　内部地址的转换

　　切入型代理

　　访问控制

　　PIX Firewall的工作原理（How the PIX Firewall Works）

　　PIX Firewall的作用是防止外部网络（例如公共互联网）上的非授权用户访问内部网络。多数PIX Firewall都可以有选择地保护一个或多个周边网络（也称为非军管区，DMZ）。对访问外部网络的限制最低，对访问周边网络的限制次之，对访问内部网络的限制最高。内部网络、外部网络和周边网络之间的连接由PIX Firewall控制。

　　为有效利用机构内的防火墙，必须利用安全政策才能保证来自受保护网络的所有流量都只通过防火墙到达不受保护的网络。这样，用户就可以控制谁可以借助哪些服务访问网络，以及怎样借助PIX Firewall提供的特性实施安全政策等。

　　PIX Firewall保护网络的方法如图1-1所示，这种方法允许实施带外连接并安全接入互联网。

　　图1-1： 网络中的PIX Firewall

　　在这种体系结构中，PIX Firewall将形成受保护网络和不受保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。互联网可以访问不受保护的网络。PIX Firewall允许用户在受保护网络内确定服务器的位置，例如用于Web接入、SNMP、电子邮件（SMTP）的服务器，然后控制外部的哪些用户可以访问这些服务器。

　　除PIX 506和PIX 501外，对于所有的PIX Firewall，服务器系统都可以如图1-1那样置于周边网络上，对服务器系统的访问可以由PIX Firewall控制和监视。PIX 506和PIX 501各有两个网络接口，因此，所有系统都必须属于内部接口或者外部接口。

　　PIX Firewall还允许用户对来往于内部网络的连接实施安全政策。

　　一般情况下，内部网络是机构自身的内部网络，或者内部网，外部网络是互联网，但是，PIX Firewall也可以用在内部网中，以便隔离或保护某组内部计算系统和用户。

　　周边网络的安全性可以与内部网络等同，也可以配置为拥有各种安全等级。安全等级的数值从0（最不安全）到100（最安全）。外部接口的安全等级总为0，内部接口的安全等级总为100。周边接口的安全等级从1到99。

　　内部网络和周边网络都可以用PIX Firewall的适应性安全算法（ASA）保护。内部接口、周边接口和外部接口都遵守RIP路由更新表的要求，如果需要，所有接口都可以广播RIP默认路径。

　　适应性安全算法（Adaptive Security Algorithm）

　　适应性安全算法（ASA）是一种状态安全方法。每个向内传输的包都将按照适应性安全算法和内存中的连接状态信息进行检查。业界人士都认为，这种默认安全方法要比无状态的包屏蔽方法更安全。

　　ASA无需配置每个内部系统和应用就能实现单向（从内到外）连接。ASA一直处于操作状态，监控返回的包，目的是保证这些包的有效性。为减小TCP序列号袭击的风险，它总是主动对TCP序列号作随机处理。

　　ASA适用于动态转换插槽和静态转换插槽。静态转换插槽用static命令产生，动态转换插槽用global命令产生。总之，两种转换插槽都可以称为“xlates”。ASA遵守以下规则：

　　如果没有连接和状态，任何包都不能穿越PIX Firewall；

　　如果没有访问控制表的特殊定义，向外连接或状态都是允许的。向外连接指产生者或客户机的安全接口等级高于接收者或服务器。最安全的接口总是内部接口，最不安全的接口总是外部接口。周边接口的安全等级处于内部接口和外部接口之间；

　　如果没有特殊定义，向内连接或状态是不允许的。向内连接或状态指产生者或客户机的安全接口/网络等级低于接收者或服务器。用户可以为一个xlate（转换）应用多个例外。这样，就可以从互联网上的任意机器、网络或主机访问xlate定义的主机；

　　如果没有特殊定义，所有ICMP包都将被拒绝；

　　违反上述规则的所有企图都将失败，而且将把相应信息发送至系统日志。

　　PIX Firewall处理UDP数据传输的方式与TCP相同。为使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作，PIX Firewall执行了特殊处理。当UDP包从内部网络发出时，PIX Firewall将生成UDP“连接”状态信息。如果与连接状态信息相匹配，这些流量带来的答复包将被接受。经过一小段时间的静默之后，连接状态信息将被删除。

　　多个接口和安全等级（Multiple Interfaces and Security Levels）

　　所有PIX Firewall都至少有两个接口，默认状态下，它们被称为外部接口和内部接口，安全等级分别为0和100。较低的优先级说明接口受到的保护较少。一般情况下，外部接口与公共互联网相连，内部接口则与专用网相连，并且可以防止公共访问。

　　许多PIX Firewall都能提供八个接口，以便生成一个或多个周边网络，这些区域也称为堡垒网络或非军管区（DMZ）。DMZ的安全性高于外部接口，但低于内部接口。周边网络的安全等级从0到100。一般情况下，用户需要访问的邮件服务器或Web服务器都被置于DMZ中的公共互联网上，以便提供某种保护，但不致于破坏内部网络上的资源。