控制網(wǎng)絡(luò)訪問（Controlling Network Access）

本節(jié)將介紹PIX Firewall提供的網(wǎng)絡(luò)防火墻功能，包含以下內(nèi)容：

PIX Firewall的工作原理（How the PIX Firewall Works）

PIX Firewall的作用是防止外部網(wǎng)絡(luò)（例如公共互聯(lián)網(wǎng)）上的非授權(quán)用戶訪問內(nèi)部網(wǎng)絡(luò)。多數(shù)PIX Firewall都可以有選擇地保護(hù)一個或多個周邊網(wǎng)絡(luò)（也稱為非軍管區(qū)，DMZ）。對訪問外部網(wǎng)絡(luò)的限制最低，對訪問周邊網(wǎng)絡(luò)的限制次之，對訪問內(nèi)部網(wǎng)絡(luò)的限制最高。內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)之間的連接由PIX Firewall控制。

為有效利用機(jī)構(gòu)內(nèi)的防火墻，必須利用安全政策才能保證來自受保護(hù)網(wǎng)絡(luò)的所有流量都只通過防火墻到達(dá)不受保護(hù)的網(wǎng)絡(luò)。這樣，用戶就可以控制誰可以借助哪些服務(wù)訪問網(wǎng)絡(luò)，以及怎樣借助PIX Firewall提供的特性實(shí)施安全政策等。

PIX Firewall保護(hù)網(wǎng)絡(luò)的方法如圖1-1所示，這種方法允許實(shí)施帶外連接并安全接入互聯(lián)網(wǎng)。

圖1-1： 網(wǎng)絡(luò)中的PIX Firewall

在這種體系結(jié)構(gòu)中，PIX Firewall將形成受保護(hù)網(wǎng)絡(luò)和不受保護(hù)網(wǎng)絡(luò)之間的邊界。受保護(hù)網(wǎng)絡(luò)和不受保護(hù)網(wǎng)絡(luò)之間的所有流量都通過防火墻實(shí)現(xiàn)安全性。互聯(lián)網(wǎng)可以訪問不受保護(hù)的網(wǎng)絡(luò)。PIX Firewall允許用戶在受保護(hù)網(wǎng)絡(luò)內(nèi)確定服務(wù)器的位置，例如用于Web接入、SNMP、電子郵件（SMTP）的服務(wù)器，然后控制外部的哪些用戶可以訪問這些服務(wù)器。

除PIX 506和PIX 501外，對于所有的PIX Firewall，服務(wù)器系統(tǒng)都可以如圖1-1那樣置于周邊網(wǎng)絡(luò)上，對服務(wù)器系統(tǒng)的訪問可以由PIX Firewall控制和監(jiān)視。PIX 506和PIX 501各有兩個網(wǎng)絡(luò)接口，因此，所有系統(tǒng)都必須屬于內(nèi)部接口或者外部接口。

PIX Firewall還允許用戶對來往于內(nèi)部網(wǎng)絡(luò)的連接實(shí)施安全政策。

一般情況下，內(nèi)部網(wǎng)絡(luò)是機(jī)構(gòu)自身的內(nèi)部網(wǎng)絡(luò)，或者內(nèi)部網(wǎng)，外部網(wǎng)絡(luò)是互聯(lián)網(wǎng)，但是，PIX Firewall也可以用在內(nèi)部網(wǎng)中，以便隔離或保護(hù)某組內(nèi)部計(jì)算系統(tǒng)和用戶。

周邊網(wǎng)絡(luò)的安全性可以與內(nèi)部網(wǎng)絡(luò)等同，也可以配置為擁有各種安全等級。安全等級的數(shù)值從0（最不安全）到100（最安全）。外部接口的安全等級總為0，內(nèi)部接口的安全等級總為100。周邊接口的安全等級從1到99。

內(nèi)部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)都可以用PIX Firewall的適應(yīng)性安全算法（ASA）保護(hù)。內(nèi)部接口、周邊接口和外部接口都遵守RIP路由更新表的要求，如果需要，所有接口都可以廣播RIP默認(rèn)路徑。

適應(yīng)性安全算法（Adaptive Security Algorithm）

適應(yīng)性安全算法（ASA）是一種狀態(tài)安全方法。每個向內(nèi)傳輸?shù)陌紝凑者m應(yīng)性安全算法和內(nèi)存中的連接狀態(tài)信息進(jìn)行檢查。業(yè)界人士都認(rèn)為，這種默認(rèn)安全方法要比無狀態(tài)的包屏蔽方法更安全。

ASA無需配置每個內(nèi)部系統(tǒng)和應(yīng)用就能實(shí)現(xiàn)單向（從內(nèi)到外）連接。ASA一直處于操作狀態(tài)，監(jiān)控返回的包，目的是保證這些包的有效性。為減小TCP序列號襲擊的風(fēng)險(xiǎn)，它總是主動對TCP序列號作隨機(jī)處理。

ASA適用于動態(tài)轉(zhuǎn)換插槽和靜態(tài)轉(zhuǎn)換插槽。靜態(tài)轉(zhuǎn)換插槽用static命令產(chǎn)生，動態(tài)轉(zhuǎn)換插槽用global命令產(chǎn)生?？傊瑑煞N轉(zhuǎn)換插槽都可以稱為“xlates”。ASA遵守以下規(guī)則：

PIX Firewall處理UDP數(shù)據(jù)傳輸?shù)姆绞脚cTCP相同。為使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作，PIX Firewall執(zhí)行了特殊處理。當(dāng)UDP包從內(nèi)部網(wǎng)絡(luò)發(fā)出時(shí)，PIX Firewall將生成UDP“連接”狀態(tài)信息。如果與連接狀態(tài)信息相匹配，這些流量帶來的答復(fù)包將被接受。經(jīng)過一小段時(shí)間的靜默之后，連接狀態(tài)信息將被刪除。

多個接口和安全等級（Multiple Interfaces and Security Levels）

所有PIX Firewall都至少有兩個接口，默認(rèn)狀態(tài)下，它們被稱為外部接口和內(nèi)部接口，安全等級分別為0和100。較低的優(yōu)先級說明接口受到的保護(hù)較少。一般情況下，外部接口與公共互聯(lián)網(wǎng)相連，內(nèi)部接口則與專用網(wǎng)相連，并且可以防止公共訪問。

許多PIX Firewall都能提供八個接口，以便生成一個或多個周邊網(wǎng)絡(luò)，這些區(qū)域也稱為堡壘網(wǎng)絡(luò)或非軍管區(qū)（DMZ）。DMZ的安全性高于外部接口，但低于內(nèi)部接口。周邊網(wǎng)絡(luò)的安全等級從0到100。一般情況下，用戶需要訪問的郵件服務(wù)器或Web服務(wù)器都被置于DMZ中的公共互聯(lián)網(wǎng)上，以便提供某種保護(hù)，但不致于破壞內(nèi)部網(wǎng)絡(luò)上的資源。

數(shù)據(jù)在PIX Firewall中的移動方式（How Data Moves Through the PIX Firewall）

當(dāng)向外包到達(dá)PIX Firewall上安全等級較高的接口時(shí)（安全等級可以用show nameif命令查看），PIX Firewall將根據(jù)適應(yīng)性安全算法檢查包是否有效，以及前面的包是否來自于此臺主機(jī)。如果不是，則包將被送往新的連接，同時(shí)，PIX Firewall將在狀態(tài)表中為此連接產(chǎn)生一個轉(zhuǎn)換插槽。PIX Firewall保存在轉(zhuǎn)換插槽中的信息包括內(nèi)部IP地址以及由網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、端口地址轉(zhuǎn)換（PAT）或者Identity（將內(nèi)部地址作為外部地址使用）分配的全球唯一IP地址。然后，PIX Firewall將把包的源IP地址轉(zhuǎn)換成全球唯一地址，根據(jù)需要修改總值和其它字段，然后將包發(fā)送到安全等級較低的接口。

當(dāng)向內(nèi)傳輸?shù)陌竭_(dá)外部接口時(shí)，首先接受PIX Firewall適應(yīng)性安全條件的檢查。如果包能夠通過安全測試，則PIX Firewall刪除目標(biāo)IP地址，并將內(nèi)部IP地址插入到這個位置。包將被發(fā)送到受保護(hù)的接口。

內(nèi)部地址的轉(zhuǎn)換（Translation of Internal Addresses）

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的作用是將內(nèi)部接口上的主機(jī)地址轉(zhuǎn)換為與外部接口相關(guān)的“全球地址”。這樣能防止將主機(jī)地址暴露給其它網(wǎng)絡(luò)接口。如果想了解是否要使用NAT，可以先決定是否想暴露與PIX Firewall連接的其它網(wǎng)絡(luò)接口上的內(nèi)部地址。如果選擇使用NAT保護(hù)內(nèi)部主機(jī)地址，應(yīng)該先確定想用于轉(zhuǎn)換的一組地址。

如果想保護(hù)的地址只訪問機(jī)構(gòu)內(nèi)的其它網(wǎng)絡(luò)，可以針對轉(zhuǎn)換地址池使用任何一組“專用”地址。例如，當(dāng)與銷售部門的網(wǎng)絡(luò)（與PIX Firewall的周邊接口相連）連接時(shí)，如果想防止財(cái)務(wù)部門網(wǎng)絡(luò)（與PIX Firewall上的外部接口相連）上的主機(jī)地址被暴露，可以借助銷售部網(wǎng)絡(luò)上的任何一組地址建立轉(zhuǎn)換。這樣，財(cái)務(wù)部網(wǎng)絡(luò)上的主機(jī)就好象是銷售部網(wǎng)絡(luò)的本地地址一樣。

如果想保護(hù)的地址需要互聯(lián)網(wǎng)接入，可以只為轉(zhuǎn)換地址池使用NIC注冊的地址（為貴機(jī)構(gòu)向網(wǎng)絡(luò)信息中心注冊的官方互聯(lián)網(wǎng)地址）。例如，與互聯(lián)網(wǎng)（通過PIX Firewall的外部接口訪問）建立連接時(shí)，如果想防止銷售部網(wǎng)絡(luò)（與PIX Firewall的周邊接口相連）的主機(jī)地址暴露，可以使用外部接口上的注冊地址池進(jìn)行轉(zhuǎn)換。這樣，互聯(lián)網(wǎng)上的主機(jī)就只能看到銷售部網(wǎng)絡(luò)的互聯(lián)網(wǎng)地址，而看不到周邊接口的地址。

如果您正在具有主機(jī)網(wǎng)絡(luò)注冊地址的原有網(wǎng)絡(luò)上安裝PIX Firewall，您可能不想為這些主機(jī)或網(wǎng)絡(luò)進(jìn)行轉(zhuǎn)換，因?yàn)檗D(zhuǎn)換時(shí)還需要另外一個注冊地址。

考慮NAT時(shí)，必須要考慮是否有等量的外部主機(jī)地址。如果沒有，在建立連接時(shí)，某些內(nèi)部主機(jī)就無法獲得網(wǎng)絡(luò)訪問。這種情況下，用戶可以申請?jiān)黾覰IC注冊地址，也可以使用端口地址轉(zhuǎn)換（PAT），PAT能夠用一個外部地址管理多達(dá)64,000個同時(shí)連接。

對于內(nèi)部系統(tǒng)，NAT能夠轉(zhuǎn)換向外傳輸?shù)陌脑碔P地址（按照RFC 1631定義）。它同時(shí)支持動態(tài)轉(zhuǎn)換和靜態(tài)轉(zhuǎn)換。NAT允許為內(nèi)部系統(tǒng)分配專用地址（按照RFC 1918）定義，或者保留現(xiàn)有的無效地址。NAT還能提高安全性，因?yàn)樗芟蛲獠烤W(wǎng)絡(luò)隱藏內(nèi)部系統(tǒng)的真實(shí)網(wǎng)絡(luò)身份。

PAT使用端口重映射，它允許一個有效的IP地址支持64,000個活躍xlate對象的源IP地址轉(zhuǎn)換。PAT能夠減少支持專用或無效內(nèi)部地址方案所需的全球有效IP地址數(shù)量。對于向內(nèi)數(shù)據(jù)流與向外控制路徑不同的多媒體應(yīng)用，PAT不能與之配合使用。由于能夠向外部網(wǎng)絡(luò)隱藏內(nèi)部網(wǎng)絡(luò)的真實(shí)網(wǎng)絡(luò)身份，因此，PAT能夠提高安全性。

PIX Firewall上的另一種地址轉(zhuǎn)換是靜態(tài)轉(zhuǎn)換。靜態(tài)轉(zhuǎn)換能夠?yàn)閮?nèi)部地址指定一個固定的外部IP地址。對于需要固定IP地址以便接受公共互聯(lián)網(wǎng)訪問的服務(wù)器來講，這個功能非常有用。

PIX Firewall身份認(rèn)證特性可以關(guān)閉地址轉(zhuǎn)換。如果現(xiàn)有內(nèi)部系統(tǒng)擁有有效的全球唯一地址，Identity特性可以有選擇地關(guān)閉這些系統(tǒng)的NAT和PAT。這個特性使外部網(wǎng)絡(luò)能夠看到內(nèi)部網(wǎng)絡(luò)的地址。

切入型代理（Cut-Through Proxy）

切入型代理是PIX Firewall的獨(dú)特特性，能夠基于用戶對向內(nèi)或外部連接進(jìn)行驗(yàn)證。與在OSI模型的第七層對每個包進(jìn)行分析（屬于時(shí)間和處理密集型功能）的代理服務(wù)器不同，PIX Firewall首先查詢認(rèn)證服務(wù)器，當(dāng)連接獲得批準(zhǔn)之后建立數(shù)據(jù)流。之后，所有流量都將在雙方之間直接、快速地流動。

借助這個特性可以對每個用戶ID實(shí)施安全政策。在連接建立之前，可以借助用戶ID和密碼進(jìn)行認(rèn)證。它支持認(rèn)證和授權(quán)。用戶ID和密碼可以通過最初的HTTP、Telnet或FTP連接輸入。

與檢查源IP地址的方法相比，切入型代理能夠?qū)B接實(shí)施更詳細(xì)的管理。在提供向內(nèi)認(rèn)證時(shí)，需要相應(yīng)地控制外部用戶使用的用戶ID和密碼（在這種情況下，建議使用一次性密碼）。

訪問控制（Access Control）

AAA集成（AAA Integration）

PIX Firewall提供與AAA（認(rèn)證、計(jì)費(fèi)和授權(quán)）服務(wù)的集成。AAA服務(wù)由TACACS+或RADIUS服務(wù)器提供。

PIX Firewall允許定義獨(dú)立的TACACS+或RADIUS服務(wù)器組，以便確定不同的流量類型，例如，TACACS+服務(wù)器用于處理向內(nèi)流量，另一服務(wù)器用于處理向外流量。

AAA服務(wù)器組由標(biāo)記名稱定義，這個標(biāo)記名稱的作用是將不同的流量類型引導(dǎo)到各臺認(rèn)證服務(wù)器。如果需要計(jì)費(fèi)，計(jì)費(fèi)信息將被送入活躍的服務(wù)器。

PIX Firewall允許RADIUS服務(wù)器將用戶組屬性發(fā)送到RADIUS認(rèn)證響應(yīng)信息中的PIX Firewall。然后，PIX Firewall將把訪問列表和屬性匹配起來，從訪問列表中確定RADIUS認(rèn)證。PIX Firewall對用戶進(jìn)行認(rèn)證之后，它將使用認(rèn)證服務(wù)器返回的CiscoSecure acl屬性識別某用戶組的訪問列表。

訪問列表（Access Lists）

從5.3版本開始，PIX Firewall使用訪問列表控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的連接。訪問列表用access-list和access-group命令實(shí)施。這些命令取代了PIX Firewall以前版本中的conduit和outbound命令，但是，為實(shí)現(xiàn)向下兼容性，當(dāng)前版本仍然支持conduit和outbound這兩個命令。

用戶可以按照源地址、目標(biāo)地址或協(xié)議使用訪問列表控制連接。為了減少所需的接入，應(yīng)該認(rèn)真配置訪問列表。如果可能，應(yīng)該用遠(yuǎn)程源地址、本地目標(biāo)地址和協(xié)議對訪問列表施加更多的限制。在配置中，access-list和access-group命令語句的優(yōu)先級高于conduit和outbound命令。

管線（Conduits）

在5.3版本之前，PIX Firewall使用conduit和outbound命令控制外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的連接。在PIX Firewall6.0及更高的版本中，為實(shí)現(xiàn)向下兼容，這些命令仍然可用，但是，我們建議大家最好使用access-list和access-group命令。

每條管線都是PIX Firewall的潛在威脅，因此，必須根據(jù)安全政策和業(yè)務(wù)的要求限制對它的使用。如果可能，可以用遠(yuǎn)程源地址、本地目標(biāo)地址和協(xié)議加以限制。

防范攻擊（Protecting Your Network from Attack）

本節(jié)將介紹PIX Firewall提供的防火墻特性。這些防火墻特性可以控制與某些襲擊類型相關(guān)的網(wǎng)絡(luò)行為。本節(jié)包含的內(nèi)容如下：

如果想了解允許在防火墻上使用特殊協(xié)議和應(yīng)用的特性的詳細(xì)情況，請參考“支持某些協(xié)議和應(yīng)用”。

單播反向路徑發(fā)送（Unicast Reverse Path Forwarding）

單播反向路徑發(fā)送（單播RPF）也稱為“反向路徑查詢”，它提供向內(nèi)和向外過濾，以便預(yù)防IP欺詐。這個特性能夠檢查向內(nèi)傳輸?shù)陌腎P源地址完整性，保證去往受控區(qū)域以外的主機(jī)的包擁有可以在實(shí)施實(shí)體本地路由表時(shí)由路徑驗(yàn)證的IP源地址。

單播RPF僅限于實(shí)施實(shí)體本地路由表的網(wǎng)絡(luò)。如果進(jìn)入的包沒有路徑代表的源地址，就無法知道包是否能通過最佳路徑返回到起點(diǎn)。

Flood Guard

Flood Guard能控制AAA服務(wù)對無應(yīng)答登錄企圖的容忍度。這個功能尤其適合防止AAA服務(wù)上的拒絕服務(wù)（DoS）襲擊，并能改善AAA系統(tǒng)使用情況。默認(rèn)狀態(tài)下，這個命令是打開的，可以用floodguard 1命令控制。

Flood Defender

Flood Defender能夠防止內(nèi)部系統(tǒng)受到拒絕服務(wù)襲擊，即用TCP SYN包沖擊接口。要使用這個特性，可以將最大初始連接選項(xiàng)設(shè)置為nat和static命令。

TCP Intercept特性能夠保護(hù)可通過靜態(tài)和TCP管線訪問到的系統(tǒng)。這個特性能夠保證，一旦到達(dá)任選的初始連接極限，那么，去往受影響的服務(wù)器的每個SYN都將被截獲，直到初始連接數(shù)量低于此閾值為止。對于每個SYN，PIX Firewall還能以服務(wù)器的名義用空SYN/ACK進(jìn)行響應(yīng)。PIX Firewall能夠保留永久性狀態(tài)信息，丟棄包，并等待客戶機(jī)的認(rèn)可。

FragGuard和虛擬重組（FragGuard and 虛擬重組）

FragGuard和虛擬重組能夠提供IP網(wǎng)段保護(hù)。這個特性能夠提供所有ICMP錯誤信息的全面重組以及通過PIX Firewall路由的其余IP網(wǎng)段的虛擬重組。虛擬重組屬于默認(rèn)功能。這個特性使用系統(tǒng)日志記錄網(wǎng)段重疊，并用小網(wǎng)段補(bǔ)償異常情況，尤其是由teardrop.c襲擊引起的異常情況。

DNS控制（DNS Control）

PIX Firewall能夠識別每個向外的DNS（域名服務(wù)）分解請求，而且只允許有一個DNS響應(yīng)。為獲得答復(fù)，主機(jī)可以查詢幾臺服務(wù)器（以防第一臺服務(wù)器答復(fù)過慢），但是，只有第一個請求答復(fù)有效。其它請求答復(fù)將被防火墻丟棄。這個特性一直處于打開狀態(tài)。

ActiveX阻擋（ActiveX Blocking）

AcitveX控制以前稱為OLE或者OCX控制，這種組件可以插入到Web頁面或者其它應(yīng)用。PIX Firewall ActiveX阻擋特性能夠阻擋HTML 命令，并在HTML Web頁面以外予以說明。作為一種技術(shù)，ActiveX可能會給網(wǎng)絡(luò)客戶機(jī)帶來許多潛在問題，包括致使工作站發(fā)生故障，引發(fā)網(wǎng)絡(luò)安全問題，被用于襲擊服務(wù)器，或者被主機(jī)用于襲擊服務(wù)器等。

Java 過濾

Java過濾特性可用于防止受保護(hù)網(wǎng)絡(luò)上的系統(tǒng)下載Java小應(yīng)用程序。Java小應(yīng)用程序指可執(zhí)行的程序，它可能會受到某些安全政策的禁止，因?yàn)樗鼈兇嬖诼┒?，可能會使受保護(hù)網(wǎng)絡(luò)遭到襲擊。

URL過濾

PIX Firewall URL過濾與NetPartners Websense產(chǎn)品一起提供。PIX Firewall用Websense服務(wù)器上制定的政策檢查外出的URL請求，這些政策在Windows NT或UNIX上運(yùn)行。PIX Firewall 5.3版本及更高版本中支持Websensen第4版本。

根據(jù)NetPartners Websense服務(wù)器的答復(fù)，PIX Firewall接受或拒絕連接。這臺服務(wù)器檢查請求，保證這些請求不具備不適合商業(yè)用途的17種Web站點(diǎn)特征。由于URL過濾在獨(dú)立平臺上處理，因此，不會給PIX Firewall帶來其它性能負(fù)擔(dān)。欲知詳情，請?jiān)L問以下Web站點(diǎn)：