控制網絡訪問（Controlling Network Access）

本節將介紹PIX Firewall提供的網絡防火墻功能，包含以下內容：

PIX Firewall的工作原理（How the PIX Firewall Works）

PIX Firewall的作用是防止外部網絡（例如公共互聯網）上的非授權用戶訪問內部網絡。多數PIX Firewall都可以有選擇地保護一個或多個周邊網絡（也稱為非軍管區，DMZ）。對訪問外部網絡的限制最低，對訪問周邊網絡的限制次之，對訪問內部網絡的限制最高。內部網絡、外部網絡和周邊網絡之間的連接由PIX Firewall控制。

為有效利用機構內的防火墻，必須利用安全政策才能保證來自受保護網絡的所有流量都只通過防火墻到達不受保護的網絡。這樣，用戶就可以控制誰可以借助哪些服務訪問網絡，以及怎樣借助PIX Firewall提供的特性實施安全政策等。

PIX Firewall保護網絡的方法如圖1-1所示，這種方法允許實施帶外連接并安全接入互聯網。

圖1-1： 網絡中的PIX Firewall

在這種體系結構中，PIX Firewall將形成受保護網絡和不受保護網絡之間的邊界。受保護網絡和不受保護網絡之間的所有流量都通過防火墻實現安全性。互聯網可以訪問不受保護的網絡。PIX Firewall允許用戶在受保護網絡內確定服務器的位置，例如用于Web接入、SNMP、電子郵件（SMTP）的服務器，然后控制外部的哪些用戶可以訪問這些服務器。

除PIX 506和PIX 501外，對于所有的PIX Firewall，服務器系統都可以如圖1-1那樣置于周邊網絡上，對服務器系統的訪問可以由PIX Firewall控制和監視。PIX 506和PIX 501各有兩個網絡接口，因此，所有系統都必須屬于內部接口或者外部接口。

PIX Firewall還允許用戶對來往于內部網絡的連接實施安全政策。

一般情況下，內部網絡是機構自身的內部網絡，或者內部網，外部網絡是互聯網，但是，PIX Firewall也可以用在內部網中，以便隔離或保護某組內部計算系統和用戶。

周邊網絡的安全性可以與內部網絡等同，也可以配置為擁有各種安全等級。安全等級的數值從0（最不安全）到100（最安全）。外部接口的安全等級總為0，內部接口的安全等級總為100。周邊接口的安全等級從1到99。

內部網絡和周邊網絡都可以用PIX Firewall的適應性安全算法（ASA）保護。內部接口、周邊接口和外部接口都遵守RIP路由更新表的要求，如果需要，所有接口都可以廣播RIP默認路徑。

適應性安全算法（Adaptive Security Algorithm）

適應性安全算法（ASA）是一種狀態安全方法。每個向內傳輸的包都將按照適應性安全算法和內存中的連接狀態信息進行檢查。業界人士都認為，這種默認安全方法要比無狀態的包屏蔽方法更安全。

ASA無需配置每個內部系統和應用就能實現單向（從內到外）連接。ASA一直處于操作狀態，監控返回的包，目的是保證這些包的有效性。為減小TCP序列號襲擊的風險，它總是主動對TCP序列號作隨機處理。

ASA適用于動態轉換插槽和靜態轉換插槽。靜態轉換插槽用static命令產生，動態轉換插槽用global命令產生。總之，兩種轉換插槽都可以稱為“xlates”。ASA遵守以下規則：

PIX Firewall處理UDP數據傳輸的方式與TCP相同。為使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作，PIX Firewall執行了特殊處理。當UDP包從內部網絡發出時，PIX Firewall將生成UDP“連接”狀態信息。如果與連接狀態信息相匹配，這些流量帶來的答復包將被接受。經過一小段時間的靜默之后，連接狀態信息將被刪除。

多個接口和安全等級（Multiple Interfaces and Security Levels）

所有PIX Firewall都至少有兩個接口，默認狀態下，它們被稱為外部接口和內部接口，安全等級分別為0和100。較低的優先級說明接口受到的保護較少。一般情況下，外部接口與公共互聯網相連，內部接口則與專用網相連，并且可以防止公共訪問。

許多PIX Firewall都能提供八個接口，以便生成一個或多個周邊網絡，這些區域也稱為堡壘網絡或非軍管區（DMZ）。DMZ的安全性高于外部接口，但低于內部接口。周邊網絡的安全等級從0到100。一般情況下，用戶需要訪問的郵件服務器或Web服務器都被置于DMZ中的公共互聯網上，以便提供某種保護，但不致于破壞內部網絡上的資源。

數據在PIX Firewall中的移動方式（How Data Moves Through the PIX Firewall）

當向外包到達PIX Firewall上安全等級較高的接口時（安全等級可以用show nameif命令查看），PIX Firewall將根據適應性安全算法檢查包是否有效，以及前面的包是否來自于此臺主機。如果不是，則包將被送往新的連接，同時，PIX Firewall將在狀態表中為此連接產生一個轉換插槽。PIX Firewall保存在轉換插槽中的信息包括內部IP地址以及由網絡地址轉換（NAT）、端口地址轉換（PAT）或者Identity（將內部地址作為外部地址使用）分配的全球唯一IP地址。然后，PIX Firewall將把包的源IP地址轉換成全球唯一地址，根據需要修改總值和其它字段，然后將包發送到安全等級較低的接口。

當向內傳輸的包到達外部接口時，首先接受PIX Firewall適應性安全條件的檢查。如果包能夠通過安全測試，則PIX Firewall刪除目標IP地址，并將內部IP地址插入到這個位置。包將被發送到受保護的接口。

內部地址的轉換（Translation of Internal Addresses）

網絡地址轉換（NAT）的作用是將內部接口上的主機地址轉換為與外部接口相關的“全球地址”。這樣能防止將主機地址暴露給其它網絡接口。如果想了解是否要使用NAT，可以先決定是否想暴露與PIX Firewall連接的其它網絡接口上的內部地址。如果選擇使用NAT保護內部主機地址，應該先確定想用于轉換的一組地址。

如果想保護的地址只訪問機構內的其它網絡，可以針對轉換地址池使用任何一組“專用”地址。例如，當與銷售部門的網絡（與PIX Firewall的周邊接口相連）連接時，如果想防止財務部門網絡（與PIX Firewall上的外部接口相連）上的主機地址被暴露，可以借助銷售部網絡上的任何一組地址建立轉換。這樣，財務部網絡上的主機就好象是銷售部網絡的本地地址一樣。

如果想保護的地址需要互聯網接入，可以只為轉換地址池使用NIC注冊的地址（為貴機構向網絡信息中心注冊的官方互聯網地址）。例如，與互聯網（通過PIX Firewall的外部接口訪問）建立連接時，如果想防止銷售部網絡（與PIX Firewall的周邊接口相連）的主機地址暴露，可以使用外部接口上的注冊地址池進行轉換。這樣，互聯網上的主機就只能看到銷售部網絡的互聯網地址，而看不到周邊接口的地址。

如果您正在具有主機網絡注冊地址的原有網絡上安裝PIX Firewall，您可能不想為這些主機或網絡進行轉換，因為轉換時還需要另外一個注冊地址。

考慮NAT時，必須要考慮是否有等量的外部主機地址。如果沒有，在建立連接時，某些內部主機就無法獲得網絡訪問。這種情況下，用戶可以申請增加NIC注冊地址，也可以使用端口地址轉換（PAT），PAT能夠用一個外部地址管理多達64,000個同時連接。

對于內部系統，NAT能夠轉換向外傳輸的包的源IP地址（按照RFC 1631定義）。它同時支持動態轉換和靜態轉換。NAT允許為內部系統分配專用地址（按照RFC 1918）定義，或者保留現有的無效地址。NAT還能提高安全性，因為它能向外部網絡隱藏內部系統的真實網絡身份。

PAT使用端口重映射，它允許一個有效的IP地址支持64,000個活躍xlate對象的源IP地址轉換。PAT能夠減少支持專用或無效內部地址方案所需的全球有效IP地址數量。對于向內數據流與向外控制路徑不同的多媒體應用，PAT不能與之配合使用。由于能夠向外部網絡隱藏內部網絡的真實網絡身份，因此，PAT能夠提高安全性。

PIX Firewall上的另一種地址轉換是靜態轉換。靜態轉換能夠為內部地址指定一個固定的外部IP地址。對于需要固定IP地址以便接受公共互聯網訪問的服務器來講，這個功能非常有用。

PIX Firewall身份認證特性可以關閉地址轉換。如果現有內部系統擁有有效的全球唯一地址，Identity特性可以有選擇地關閉這些系統的NAT和PAT。這個特性使外部網絡能夠看到內部網絡的地址。

切入型代理（Cut-Through Proxy）

切入型代理是PIX Firewall的獨特特性，能夠基于用戶對向內或外部連接進行驗證。與在OSI模型的第七層對每個包進行分析（屬于時間和處理密集型功能）的代理服務器不同，PIX Firewall首先查詢認證服務器，當連接獲得批準之后建立數據流。之后，所有流量都將在雙方之間直接、快速地流動。

借助這個特性可以對每個用戶ID實施安全政策。在連接建立之前，可以借助用戶ID和密碼進行認證。它支持認證和授權。用戶ID和密碼可以通過最初的HTTP、Telnet或FTP連接輸入。

與檢查源IP地址的方法相比，切入型代理能夠對連接實施更詳細的管理。在提供向內認證時，需要相應地控制外部用戶使用的用戶ID和密碼（在這種情況下，建議使用一次性密碼）。

訪問控制（Access Control）

AAA集成（AAA Integration）

PIX Firewall提供與AAA（認證、計費和授權）服務的集成。AAA服務由TACACS+或RADIUS服務器提供。

PIX Firewall允許定義獨立的TACACS+或RADIUS服務器組，以便確定不同的流量類型，例如，TACACS+服務器用于處理向內流量，另一服務器用于處理向外流量。

AAA服務器組由標記名稱定義，這個標記名稱的作用是將不同的流量類型引導到各臺認證服務器。如果需要計費，計費信息將被送入活躍的服務器。

PIX Firewall允許RADIUS服務器將用戶組屬性發送到RADIUS認證響應信息中的PIX Firewall。然后，PIX Firewall將把訪問列表和屬性匹配起來，從訪問列表中確定RADIUS認證。PIX Firewall對用戶進行認證之后，它將使用認證服務器返回的CiscoSecure acl屬性識別某用戶組的訪問列表。

訪問列表（Access Lists）

從5.3版本開始，PIX Firewall使用訪問列表控制內部網絡與外部網絡之間的連接。訪問列表用access-list和access-group命令實施。這些命令取代了PIX Firewall以前版本中的conduit和outbound命令，但是，為實現向下兼容性，當前版本仍然支持conduit和outbound這兩個命令。

用戶可以按照源地址、目標地址或協議使用訪問列表控制連接。為了減少所需的接入，應該認真配置訪問列表。如果可能，應該用遠程源地址、本地目標地址和協議對訪問列表施加更多的限制。在配置中，access-list和access-group命令語句的優先級高于conduit和outbound命令。

管線（Conduits）

在5.3版本之前，PIX Firewall使用conduit和outbound命令控制外部網絡和內部網絡之間的連接。在PIX Firewall6.0及更高的版本中，為實現向下兼容，這些命令仍然可用，但是，我們建議大家最好使用access-list和access-group命令。

每條管線都是PIX Firewall的潛在威脅，因此，必須根據安全政策和業務的要求限制對它的使用。如果可能，可以用遠程源地址、本地目標地址和協議加以限制。

防范攻擊（Protecting Your Network from Attack）

本節將介紹PIX Firewall提供的防火墻特性。這些防火墻特性可以控制與某些襲擊類型相關的網絡行為。本節包含的內容如下：

如果想了解允許在防火墻上使用特殊協議和應用的特性的詳細情況，請參考“支持某些協議和應用”。

單播反向路徑發送（Unicast Reverse Path Forwarding）

單播反向路徑發送（單播RPF）也稱為“反向路徑查詢”，它提供向內和向外過濾，以便預防IP欺詐。這個特性能夠檢查向內傳輸的包的IP源地址完整性，保證去往受控區域以外的主機的包擁有可以在實施實體本地路由表時由路徑驗證的IP源地址。

單播RPF僅限于實施實體本地路由表的網絡。如果進入的包沒有路徑代表的源地址，就無法知道包是否能通過最佳路徑返回到起點。

Flood Guard

Flood Guard能控制AAA服務對無應答登錄企圖的容忍度。這個功能尤其適合防止AAA服務上的拒絕服務（DoS）襲擊，并能改善AAA系統使用情況。默認狀態下，這個命令是打開的，可以用floodguard 1命令控制。

Flood Defender

Flood Defender能夠防止內部系統受到拒絕服務襲擊，即用TCP SYN包沖擊接口。要使用這個特性，可以將最大初始連接選項設置為nat和static命令。

TCP Intercept特性能夠保護可通過靜態和TCP管線訪問到的系統。這個特性能夠保證，一旦到達任選的初始連接極限，那么，去往受影響的服務器的每個SYN都將被截獲，直到初始連接數量低于此閾值為止。對于每個SYN，PIX Firewall還能以服務器的名義用空SYN/ACK進行響應。PIX Firewall能夠保留永久性狀態信息，丟棄包，并等待客戶機的認可。

FragGuard和虛擬重組（FragGuard and 虛擬重組）

FragGuard和虛擬重組能夠提供IP網段保護。這個特性能夠提供所有ICMP錯誤信息的全面重組以及通過PIX Firewall路由的其余IP網段的虛擬重組。虛擬重組屬于默認功能。這個特性使用系統日志記錄網段重疊，并用小網段補償異常情況，尤其是由teardrop.c襲擊引起的異常情況。

DNS控制（DNS Control）

PIX Firewall能夠識別每個向外的DNS（域名服務）分解請求，而且只允許有一個DNS響應。為獲得答復，主機可以查詢幾臺服務器（以防第一臺服務器答復過慢），但是，只有第一個請求答復有效。其它請求答復將被防火墻丟棄。這個特性一直處于打開狀態。

ActiveX阻擋（ActiveX Blocking）

AcitveX控制以前稱為OLE或者OCX控制，這種組件可以插入到Web頁面或者其它應用。PIX Firewall ActiveX阻擋特性能夠阻擋HTML 命令，并在HTML Web頁面以外予以說明。作為一種技術，ActiveX可能會給網絡客戶機帶來許多潛在問題，包括致使工作站發生故障，引發網絡安全問題，被用于襲擊服務器，或者被主機用于襲擊服務器等。

Java 過濾

Java過濾特性可用于防止受保護網絡上的系統下載Java小應用程序。Java小應用程序指可執行的程序，它可能會受到某些安全政策的禁止，因為它們存在漏洞，可能會使受保護網絡遭到襲擊。

URL過濾

PIX Firewall URL過濾與NetPartners Websense產品一起提供。PIX Firewall用Websense服務器上制定的政策檢查外出的URL請求，這些政策在Windows NT或UNIX上運行。PIX Firewall 5.3版本及更高版本中支持Websensen第4版本。

根據NetPartners Websense服務器的答復，PIX Firewall接受或拒絕連接。這臺服務器檢查請求，保證這些請求不具備不適合商業用途的17種Web站點特征。由于URL過濾在獨立平臺上處理，因此，不會給PIX Firewall帶來其它性能負擔。欲知詳情，請訪問以下Web站點：