PIXFirewall使用手册.docVIP

PIX Firewall使用手册 内容与目录 ? ? 控制网络访问 Firewall的工作原理适应性安全算法多个接口和安全等级数据在PIX Firewall中的移动方式内部地址的转换切入型代理访问控制AAA集成访问列表管线 防范攻击 向路径发送Flood GuardFlood DefenderFragGuard和虚拟重组DNS控制ActiveX阻挡Java过滤URL过滤 启动专有协议和应用 第2版本可配置的代理呼叫Mail Guard多媒体支持支持的多媒体应用RAS第2版本RTSPCisco IP电话H.323SIPNETBIOS over IP 创建VPN VPN？IPSec互联网密钥交换（IKE）认证机构使用站点到站点VPN使用远程接入VPN 防火墙的系统管理 Device ManagerTelnet界面SSH第1版本使用SNMPTFTP配置服务器XDMCP使用系统日志服务器FTP和URL登录与IDS集成 PIX热备份 PIX Firewall的用途（Using PIX Firewall） 借助Cisco PIX Firewall，您只需用一台设备就能建立状态防火墙保护和安全的VPN接入。PIX Firewall不但提供了可扩展的安全解决方案，还为某些型号提供故障恢复支持，以便提供最高的可靠性。PIX Firewall使用专用操作系统，与使用通用操作系统，因而常常遇到威胁和袭击的软件防火墙相比，这种操作系统更安全、更容易维护。在本章中，我们将介绍使用PIX Firewall保护网络资产和建立安全VPN接入的方法。本章包括以下几节： ? 控制网络访问 ? 防范攻击 ? 启动专有协议和应用 ? 建立虚拟专用网 ? 防火墙的系统管理 ? 防火墙的故障恢复 控制网络访问（Controlling Network Access） 本节将介绍PIX Firewall提供的网络防火墙功能，包含以下内容： ? ? PIX Firewall的工作原理 ? 适应性安全算法 ? 多个接口和安全等级 ? 数据在PIX Firewall中的移动方式 ? 内部地址的转换 ? 切入型代理 ? 访问控制 PIX Firewall的工作原理（How the PIX Firewall Works） PIX Firewall的作用是防止外部网络（例如公共互联网）上的非授权用户访问内部网络。多数PIX Firewall都可以有选择地保护一个或多个周边网络（也称为非军管区，DMZ）。对访问外部网络的限制最低，对访问周边网络的限制次之，对访问内部网络的限制最高。内部网络、外部网络和周边网络之间的连接由PIX Firewall控制。 为有效利用机构内的防火墙，必须利用安全政策才能保证来自受保护网络的所有流量都只通过防火墙到达不受保护的网络。这样，用户就可以控制谁可以借助哪些服务访问网络，以及怎样借助PIX Firewall提供的特性实施安全政策等。 PIX Firewall保护网络的方法如图1-1所示，这种方法允许实施带外连接并安全接入互联网。 图1-1： 网络中的PIX Firewall 在这种体系结构中，PIX Firewall将形成受保护网络和不受保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。互联网可以访问不受保护的网络。PIX Firewall允许用户在受保护网络内确定服务器的位置，例如用于Web接入、SNMP、电子邮件（SMTP）的服务器，然后控制外部的哪些用户可以访问这些服务器。 除PIX 506和PIX 501外，对于所有的PIX Firewall，服务器系统都可以如图1-1那样置于周边网络上，对服务器系统的访问可以由PIX Firewall控制和监视。PIX 506和PIX 501各有两个网络接口，因此，所有系统都必须属于内部接口或者外部接口。 PIX Firewall还允许用户对来往于内部网络的连接实施安全政策。 一般情况下，内部网络是机构自身的内部网络，或者内部网，外部网络是互联网，但是，PIX Firewall也可以用在内部网中，以便隔离或保护某组内部计算系统和用户。 周边网络的安全性可以与内部网络等同，也可以配置为拥有各种安全等级。安全等级的数值从0（最不安全）到100（最安全）。外部接口的安全等级总为0，内部接口的安全等级总为100。周边接口的安全等级从1到99。 内部网络和周边网络都可以用PIX Firewall的适应性安全算法（ASA）保护。内部接口、周边接口和外部接口都遵守RIP路由更新表的要求，如果需要，所有接口