PIX Firewall使用手册

　　数据在PIX Firewall中的移动方式（How Data Moves Through the PIX Firewall）

　　当向外包到达PIX Firewall上安全等级较高的接口时（安全等级可以用show nameif命令查看），PIX Firewall将根据适应性安全算法检查包是否有效，以及前面的包是否来自于此台主机。如果不是，则包将被送往新的连接，同时，PIX Firewall将在状态表中为此连接产生一个转换插槽。PIX Firewall保存在转换插槽中的信息包括内部IP地址以及由网络地址转换（NAT）、端口地址转换（PAT）或者Identity（将内部地址作为外部地址使用）分配的全球唯一IP地址。然后，PIX Firewall将把包的源IP地址转换成全球唯一地址，根据需要修改总值和其它字段，然后将包发送到安全等级较低的接口。

　　当向内传输的包到达外部接口时，首先接受PIX Firewall适应性安全条件的检查。如果包能够通过安全测试，则PIX Firewall删除目标IP地址，并将内部IP地址插入到这个位置。包将被发送到受保护的接口。

　　内部地址的转换（Translation of Internal Addresses）

　　网络地址转换（NAT）的作用是将内部接口上的主机地址转换为与外部接口相关的“全球地址”。这样能防止将主机地址暴露给其它网络接口。如果想了解是否要使用NAT，可以先决定是否想暴露与PIX Firewall连接的其它网络接口上的内部地址。如果选择使用NAT保护内部主机地址，应该先确定想用于转换的一组地址。

　　如果想保护的地址只访问机构内的其它网络，可以针对转换地址池使用任何一组“专用”地址。例如，当与销售部门的网络（与PIX Firewall的周边接口相连）连接时，如果想防止财务部门网络（与PIX Firewall上的外部接口相连）上的主机地址被暴露，可以借助销售部网络上的任何一组地址建立转换。这样，财务部网络上的主机就好象是销售部网络的本地地址一样。

　　如果想保护的地址需要互联网接入，可以只为转换地址池使用NIC注册的地址（为贵机构向网络信息中心注册的官方互联网地址）。例如，与互联网（通过PIX Firewall的外部接口访问）建立连接时，如果想防止销售部网络（与PIX Firewall的周边接口相连）的主机地址暴露，可以使用外部接口上的注册地址池进行转换。这样，互联网上的主机就只能看到销售部网络的互联网地址，而看不到周边接口的地址。

　　如果您正在具有主机网络注册地址的原有网络上安装PIX Firewall，您可能不想为这些主机或网络进行转换，因为转换时还需要另外一个注册地址。

　　考虑NAT时，必须要考虑是否有等量的外部主机地址。如果没有，在建立连接时，某些内部主机就无法获得网络访问。这种情况下，用户可以申请增加NIC注册地址，也可以使用端口地址转换（PAT），PAT能够用一个外部地址管理多达64,000个同时连接。

　　对于内部系统，NAT能够转换向外传输的包的源IP地址（按照RFC 1631定义）。它同时支持动态转换和静态转换。NAT允许为内部系统分配专用地址（按照RFC 1918）定义，或者保留现有的无效地址。NAT还能提高安全性，因为它能向外部网络隐藏内部系统的真实网络身份。

　　PAT使用端口重映射，它允许一个有效的IP地址支持64,000个活跃xlate对象的源IP地址转换。PAT能够减少支持专用或无效内部地址方案所需的全球有效IP地址数量。对于向内数据流与向外控制路径不同的多媒体应用，PAT不能与之配合使用。由于能够向外部网络隐藏内部网络的真实网络身份，因此，PAT能够提高安全性。

　　PIX Firewall上的另一种地址转换是静态转换。静态转换能够为内部地址指定一个固定的外部IP地址。对于需要固定IP地址以便接受公共互联网访问的服务器来讲，这个功能非常有用。

　　PIX Firewall身份认证特性可以关闭地址转换。如果现有内部系统拥有有效的全球唯一地址，Identity特性可以有选择地关闭这些系统的NAT和PAT。这个特性使外部网络能够看到内部网络的地址。

　　切入型代理（Cut-Through Proxy）

　　切入型代理是PIX Firewall的独特特性，能够基于用户对向内或外部连接进行验证。与在OSI模型的第七层对每个包进行分析（属于时间和处理密集型功能）的代理服务器不同，PIX Firewall首先查询认证服务器，当连接获得批准之后建立数据流。之后，所有流量都将在双方之间直接、快速地流动。

　　借助这个特性可以对每个用户ID实施安全政策。在连接建立之前，可以借助用户ID和密码进行认证。它支持认证和授权。用户ID和密码可以通过最初的HTTP、Telnet或FTP连接输入。

　　与检查源IP地址的方法相比，切入型代理能够对连接实施更详细的管理。在提供向内认证时，需要相应地控制外部用户使用的用户ID和密码（在这种情况下，建议使用一次性密码）。

　　访问控制（AccessControl）

　　本节将介绍PIX Firewall用于对网络用户实行认证和授权的各种特性，内容包括：

　　AAA集成

　　访问列表

　　管线

　　AAA集成（AAA Integration）

　　PIX Firewall提供与AAA（认证、计费和授权）服务的集成。AAA服务由TACACS+或RADIUS服务器提供。

　　PIX Firewall允许定义独立的TACACS+或RADIUS服务器组，以便确定不同的流量类型，例如，TACACS+服务器用于处理向内流量，另一服务器用于处理向外流量。

　　AAA服务器组由标记名称定义，这个标记名称的作用是将不同的流量类型引导到各台认证服务器。如果需要计费，计费信息将被送入活跃的服务器。

　　PIX Firewall允许RADIUS服务器将用户组属性发送到RADIUS认证响应信息中的PIX Firewall。然后，PIX Firewall将把访问列表和属性匹配起来，从访问列表中确定RADIUS认证。PIX Firewall对用户进行认证之后，它将使用认证服务器返回的CiscoSecure acl属性识别某用户组的访问列表。

　　访问列表（Access Lists）

　　从5.3版本开始，PIX Firewall使用访问列表控制内部网络与外部网络之间的连接。访问列表用access-list和access-group命令实施。这些命令取代了PIX Firewall以前版本中的conduit和outbound命令，但是，为实现向下兼容性，当前版本仍然支持conduit和outbound这两个命令。

　　用户可以按照源地址、目标地址或协议使用访问列表控制连接。为了减少所需的接入，应该认真配置访问列表。如果可能，应该用远程源地址、本地目标地址和协议对访问列表施加更多的限制。在配置中，access-list和access-group命令语句的优先级高于conduit和outbound命令。

　　管线（Conduits）

　　在5.3版本之前，PIX Firewall使用conduit和outbound命令控制外部网络和内部网络之间的连接。在PIX Firewall6.0及更高的版本中，为实现向下兼容，这些命令仍然可用，但是，我们建议大家最好使用access-list和access-group命令。

　　每条管线都是PIX Firewall的潜在威胁，因此，必须根据安全政策和业务的要求限制对它的使用。如果可能，可以用远程源地址、本地目标地址和协议加以限制。

　　防范攻击（Protecting Your Network from Attack）

　　本节将介绍PIX Firewall提供的防火墙特性。这些防火墙特性可以控制与某些袭击类型相关的网络行为。本节包含的内容如下：

　　单播反向路径发送

　　Flood Guard

　　FragGuard和虚拟重组

　　DNS控制

　　ActiveX阻挡

　　Java 过滤

　　URL 过滤

　　如果想了解允许在防火墙上使用特殊协议和应用的特性的详细情况，请参考“支持某些协议和应用”。

　　单播反向路径发送（Unicast Reverse Path Forwarding）

　　单播反向路径发送（单播RPF）也称为“反向路径查询”，它提供向内和向外过滤，以便预防IP欺诈。这个特性能够检查向内传输的包的IP源地址完整性，保证去往受控区域以外的主机的包拥有可以在实施实体本地路由表时由路径验证的IP源地址。

　　单播RPF仅限于实施实体本地路由表的网络。如果进入的包没有路径代表的源地址，就无法知道包是否能通过最佳路径返回到起点。

　　Flood Guard

　　Flood Guard能控制AAA服务对无应答登录企图的容忍度。这个功能尤其适合防止AAA服务上的拒绝服务（DoS）袭击，并能改善AAA系统使用情况。默认状态下，这个命令是打开的，可以用floodguard 1命令控制。

　　Flood Defender

　　Flood Defender能够防止内部系统受到拒绝服务袭击，即用TCP SYN包冲击接口。要使用这个特性，可以将最大初始连接选项设置为nat和static命令。

　　TCP Intercept特性能够保护可通过静态和TCP管线访问到的系统。这个特性能够保证，一旦到达任选的初始连接极限，那么，去往受影响的服务器的每个SYN都将被截获，直到初始连接数量低于此阈值为止。对于每个SYN，PIX Firewall还能以服务器的名义用空SYN/ACK进行响应。PIX Firewall能够保留永久性状态信息，丢弃包，并等待客户机的认可。

　　FragGuard和虚拟重组（FragGuard and 虚拟重组）

　　FragGuard和虚拟重组能够提供IP网段保护。这个特性能够提供所有ICMP错误信息的全面重组以及通过PIX Firewall路由的其余IP网段的虚拟重组。虚拟重组属于默认功能。这个特性使用系统日志记录网段重叠，并用小网段补偿异常情况，尤其是由teardrop.c袭击引起的异常情况。

　　DNS控制（DNS Control）

　　PIX Firewall能够识别每个向外的DNS（域名服务）分解请求，而且只允许有一个DNS响应。为获得答复，主机可以查询几台服务器（以防第一台服务器答复过慢），但是，只有第一个请求答复有效。其它请求答复将被防火墙丢弃。这个特性一直处于打开状态。

　　ActiveX阻挡（ActiveX Blocking）

　　AcitveX控制以前称为OLE或者OCX控制，这种组件可以插入到Web页面或者其它应用。PIX Firewall ActiveX阻挡特性能够阻挡HTML 命令，并在HTML Web页面以外予以说明。作为一种技术，ActiveX可能会给网络客户机带来许多潜在问题，包括致使工作站发生故障，引发网络安全问题，被用于袭击服务器，或者被主机用于袭击服务器等。

　　Java 过滤

　　Java过滤特性可用于防止受保护网络上的系统下载Java小应用程序。Java小应用程序指可执行的程序，它可能会受到某些安全政策的禁止，因为它们存在漏洞，可能会使受保护网络遭到袭击。

　　URL过滤

　　PIX Firewall URL过滤与NetPartners Websense产品一起提供。PIX Firewall用Websense服务器上制定的政策检查外出的URL请求，这些政策在WindowsNT或UNIX上运行。PIX Firewall 5.3版本及更高版本中支持Websensen第4版本。

　　根据NetPartners Websense服务器的答复，PIX Firewall接受或拒绝连接。这台服务器检查请求，保证这些请求不具备不适合商业用途的17种Web站点特征。由于URL过滤在独立平台上处理，因此，不会给PIX Firewall带来其它性能负担。