PIX Firewall使用手册

控制网络访问（Controlling Network Access）

本节将介绍PIX Firewall提供的网络防火墙功能，包含以下内容：

PIX Firewall的工作原理（How the PIX Firewall Works）

PIX Firewall的作用是防止外部网络（例如公共互联网）上的非授权用户访问内部网络。多数PIX Firewall都可以有选择地保护一个或多个周边网络（也称为非军管区，DMZ）。对访问外部网络的限制最低，对访问周边网络的限制次之，对访问内部网络的限制最高。内部网络、外部网络和周边网络之间的连接由PIX Firewall控制。

为有效利用机构内的防火墙，必须利用安全政策才能保证来自受保护网络的所有流量都只通过防火墙到达不受保护的网络。这样，用户就可以控制谁可以借助哪些服务访问网络，以及怎样借助PIX Firewall提供的特性实施安全政策等。

PIX Firewall保护网络的方法如图1-1所示，这种方法允许实施带外连接并安全接入互联网。

图1-1： 网络中的PIX Firewall

在这种体系结构中，PIX Firewall将形成受保护网络和不受保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。互联网可以访问不受保护的网络。PIX Firewall允许用户在受保护网络内确定服务器的位置，例如用于Web接入、SNMP、电子邮件（SMTP）的服务器，然后控制外部的哪些用户可以访问这些服务器。

除PIX 506和PIX 501外，对于所有的PIX Firewall，服务器系统都可以如图1-1那样置于周边网络上，对服务器系统的访问可以由PIX Firewall控制和监视。PIX 506和PIX 501各有两个网络接口，因此，所有系统都必须属于内部接口或者外部接口。

PIX Firewall还允许用户对来往于内部网络的连接实施安全政策。

一般情况下，内部网络是机构自身的内部网络，或者内部网，外部网络是互联网，但是，PIX Firewall也可以用在内部网中，以便隔离或保护某组内部计算系统和用户。

周边网络的安全性可以与内部网络等同，也可以配置为拥有各种安全等级。安全等级的数值从0（最不安全）到100（最安全）。外部接口的安全等级总为0，内部接口的安全等级总为100。周边接口的安全等级从1到99。

内部网络和周边网络都可以用PIX Firewall的适应性安全算法（ASA）保护。内部接口、周边接口和外部接口都遵守RIP路由更新表的要求，如果需要，所有接口都可以广播RIP默认路径。

适应性安全算法（Adaptive Security Algorithm）

适应性安全算法（ASA）是一种状态安全方法。每个向内传输的包都将按照适应性安全算法和内存中的连接状态信息进行检查。业界人士都认为，这种默认安全方法要比无状态的包屏蔽方法更安全。

ASA无需配置每个内部系统和应用就能实现单向（从内到外）连接。ASA一直处于操作状态，监控返回的包，目的是保证这些包的有效性。为减小TCP序列号袭击的风险，它总是主动对TCP序列号作随机处理。

ASA适用于动态转换插槽和静态转换插槽。静态转换插槽用static命令产生，动态转换插槽用global命令产生。总之，两种转换插槽都可以称为“xlates”。ASA遵守以下规则：

[1] [2] [3] [4] 下一页

复制本页网址和标题，发送给你QQ/Msn的好友一起分享

上一篇:Linux防火墙的3个应用

下一篇:硬件防火墙的配置过程讲解