選擇高檔完備的網(wǎng)絡(luò)安全設(shè)備是每一個成功企業(yè)必不可少的組網(wǎng)設(shè)施，但是實際上更多網(wǎng)絡(luò)中存在的威脅來自于企業(yè)內(nèi)部，因此僅僅保護網(wǎng)絡(luò)組建的邊界是遠遠不夠的，建立一個一體化、多層次的安全體系結(jié)構(gòu)可以提供更為徹底和實際的保護，提高企業(yè)內(nèi)部安全防范意識才是解決企業(yè)網(wǎng)絡(luò)安全的重中之中。
PIX防火墻簡介
PIX（Private Internet Exchange）防火墻是Cisco產(chǎn)品系列中稱得上佼佼者的防火墻產(chǎn)品。PIX防火墻可以部署到各種各樣的設(shè)計方案中。簡單的情況如下，PIX防火墻可能只有兩個接口，一個接口連接至受保護的內(nèi)部網(wǎng)絡(luò)（內(nèi)部接口），而另一個接口則連接到公共網(wǎng)絡(luò)（外部接口），一般來說就是指因特網(wǎng)。這里所謂的內(nèi)部和外部具有特別的意義，且各個接口在PIX防火墻配置中分別被命名為Inside接口（內(nèi)部）和Outside接口（外部）。
為了讓公司能夠利用與因特網(wǎng)的連接，通常某些服務(wù)器必須對于外部世界是可訪問的，這些可訪問的服務(wù)器包括DNS、SMTP以及企業(yè)能夠擁有的任何公用Web服務(wù)器。DNS服務(wù)器必須是可訪問的，這樣才能將主機名字轉(zhuǎn)換成可用于數(shù)據(jù)報尋址的IP地址。雖然這些服務(wù)器可以放在防火墻之后的內(nèi)部網(wǎng)絡(luò)中，但是強烈建議不要這樣做。因為這些主機中的任意一臺受到侵害后，都會導致入侵者能夠方便的訪問到內(nèi)部網(wǎng)絡(luò)。而如果這些服務(wù)器放置在DMZ中，則PIX防火墻能夠允許內(nèi)部用戶不加限制的訪問這些主機，而同時限制外部用戶來訪問這些主機。
從市場所占份額來說，狀態(tài)數(shù)據(jù)報防火墻是主導類型的防火墻產(chǎn)品。大多數(shù)的市場都顯示，PIX防火墻或Chechpoint軟件公司的Firewall經(jīng)常占據(jù)市場中的第一位。在PIX防火墻的具體配置中共有58個PIX獨有特性，這些特性中有些功能非常明顯，而有些卻略顯隱蔽；有些特性是默認啟動的，而有些則需要手動進行配置。下面我們就來看下一些在企業(yè)組網(wǎng)中需要特別“關(guān)注”特性的配置方法，以便充分利用PIX防火墻，為企業(yè)網(wǎng)絡(luò)提高安全系數(shù)。
手動配置TCP Intercept
思科從IOS 11.2版本中首次在路由器產(chǎn)品中引用了TCP Intercept(TCP截獲)特性，在PIX5.2以上版本中也引入了相同的特性，這個功能特性雖然是默認啟用的，但是仍需要一些手動設(shè)置。
該特性能夠為隱藏在防火墻后的主機設(shè)備提供保護，抵御成為“SYN泛洪”的特定類型網(wǎng)絡(luò)攻擊。使用SYN泛洪，攻擊者通過好像發(fā)自不存在或不可達主機的連接請求，有效的使受害系統(tǒng)負荷過重，從而達到拒絕向目標主機提供服務(wù)的目的。SYN防洪巧妙的利用了操作系統(tǒng)為每條新的TCP連接請求分配內(nèi)存和其他資源的原理。即使主機和服務(wù)器能夠支持大量的連接，它們所能處理的未完成連接的數(shù)目仍然是有限的。
由于TCP是雙向和全雙工的，所以它在兩個方向上都要建立連接。為了建立從服務(wù)器到客戶端的連接，服務(wù)器設(shè)置SYN位并包括他自己的順序號以便請求建立從服務(wù)器到客戶端的連接，服務(wù)器設(shè)置SYN位置承載對來自客戶端的初始連接請求的確認（ACK位）的分段重并發(fā)送給客戶端。此后，服務(wù)器等待第3步：從客戶端發(fā)來的對服務(wù)器到客戶端的連接請求的確認。這個過程通常被成為TCP的“3次握手”。
如果應(yīng)答者服務(wù)器沒有在特定的TCP時間間隔內(nèi)接收到應(yīng)答，那么服務(wù)器會重傳設(shè)置有SYN和ACK位的分段。根據(jù)具體的TCP實現(xiàn)，重傳的次數(shù)一般是4次，重傳的時間間隔開始是1秒，然后一次加倍。如果服務(wù)持續(xù)的接受連接請求，那么資源可能很快就會被這些半開放的請求耗盡，這樣就不能再接受其他傳入請求，從而拒絕了那項服務(wù)。
TCP Intercept通過啟用此特性實現(xiàn)保護的主機設(shè)備截獲連接，以及對連接請求進行應(yīng)答來解決這個問題。它代表客戶端建立了從PIX到受保護的主機的第二條連接。如果客戶端正常的完成連接，那么PIX防火墻透明地將這兩條連接結(jié)合在一起，最后的結(jié)果是建立了一條在客戶端和服務(wù)器之間的直接連接。
PIX防火墻使用了更短的超時時間間隔，而且如果在這個時間間隔內(nèi)連接沒有完成，那么PIX就會放棄與客戶端的未完成連接，并且向受保護的服務(wù)器發(fā)送RST位，結(jié)束PIX到服務(wù)器的連接，從而釋放掉服務(wù)器資源。除了更短的超時之外，TCP Intercept還加入了可配置的閾值。閾值會對連接總數(shù)以及最近1分鐘內(nèi)的連接速率進行監(jiān)控。如果這兩個指標中任何一個超過了閾值，TCP Intercept都會從最久的連接開始斷掉半開放的連接，知道連接的數(shù)目或速率降到閾值以下。
在PIX防火墻上，半開放連接稱作初期連接。閾值可以通過static命令的可選參數(shù)進行設(shè)置。閾值默認值為0，這樣就有效的禁用了TCP Intercept。而若將這些初期連接參數(shù)設(shè)置為任何非零數(shù)值，就可以啟用TCP Intercept。它有效的替代了稱作Flood Defender的舊PIX特性。這個舊特性只允許對每個主機和服務(wù)上的初期連接總數(shù)進行限制。
PIX特殊應(yīng)用配置
PIX防火墻支持很多需要某種特殊形式處理的標準或普通應(yīng)用，其中一些要求對ASA狀態(tài)表所維護的信息作一些修改，以便在狀態(tài)數(shù)據(jù)報過濾環(huán)境中可以使用。另外一些由于被NAT修改了IP地址，所以可能需要對一個或多個上層協(xié)議頭字段進行調(diào)整。還有一組并不遵循所期望的發(fā)送者和接受者交換的對稱模式。對于大多數(shù)應(yīng)用來說，客戶端和服務(wù)器之間交換的IP數(shù)據(jù)報具有相同的源和目的IP地址以及TCP/UDP端口號，只不過每次交換過程中發(fā)送者和接收者的角色正好相反。接下來我們將對這些特殊情況進行詳細介紹。
1、 Java Applet封鎖
PIX防火墻使得網(wǎng)絡(luò)管理員能夠過濾掉可能有害的Java小程序。可以根據(jù)內(nèi)部客戶端的源地址、外部服務(wù)器的目的地址，或者同時根據(jù)兩者，來對Java過濾進行定義。命令語法中包含反掩碼，它可以用來定義單個的地址或地址范圍。當啟用了Java過濾后，PIX防火墻就會搜索含有Java小程序標記（十六進制字符串0 x CEFE BABE）的http數(shù)據(jù)報。
啟用Java過濾的配置命令的一個實例如下：
Filter java 80 10.1.1.0 255.255.255 0.0.0.0.0.0.0.0
對上面命令的解釋如下：如果訪問端口80，那么子網(wǎng)10.1.1.0（一個較為安全的接口）中的所有客戶端都會禁止從安全性級別較低的接口商的任何主機（0.0.0.0.0.0.0.0）上下載Java小程序。這里的0.0.0.0.0.0.0.0 也可以縮寫稱0 0
2、ActiveX
與ActiveX有關(guān)的網(wǎng)絡(luò)安全問題類似于Java問題。ActiveX控件由可嵌入到Web頁中的對象組成，這些空間能夠下載到客戶端計算機中運行。ActiveX的過濾可以通過注釋掉HTML<object>命令的引用來實現(xiàn)。所用到的命令語法實際上與Java過濾使用的命令相同，只不過是用filter activex…代替了filter java…。
3、 URL過濾
利用與Websense公司合作，Cisco提供了將Websense的Open Server內(nèi)容過濾服務(wù)器與PIX防火墻配合使用的能力。Websense被很多組織用于設(shè)置和增強作為網(wǎng)絡(luò)安全策略的一個組成部分的因特網(wǎng)訪問策略(IAP)。Websense利用一個由超過150萬的站點構(gòu)成的主數(shù)據(jù)庫對因特網(wǎng)內(nèi)容進行過濾。對訪問的拒絕（封鎖）可以根據(jù)用戶、團體或者時間來設(shè)置。
URL過濾允許PIX防火墻將Websense服務(wù)器定義的IAP出站用戶所請求的URL進行比較。下面的例子使用地址為10.2.2.2的Websense服務(wù)器過濾掉除子網(wǎng)10.1.1.0上的用戶之外的所有出站訪問。第3行只在例外情況時才需要，否則它是可選的。
url-server host 10.2.2.2
filter url http 0000
filter url except 10.1.1.0 255.255.255.0
控制通過PIX防火墻的流量
由于防火墻的主要目的是封鎖，至少是要控制對受保護網(wǎng)絡(luò)的訪問，所以應(yīng)當關(guān)注的是傳入的數(shù)據(jù)報。把傳入流量或入站流量定義為從安全性較差的接口進入PIX防火墻和從安全性較高的接口離開PPIX防火墻的數(shù)據(jù)報。類似的，把傳出流量或出站流量定義為從安全性較高的接口進入PIX防火墻和從安全性較差的接口離開PIX防火墻的數(shù)據(jù)報。其中只有一個接口被命名為Inside（安全級別＝100），也只有一個接口被命名為Outside（安全級別＝0）。這是因為在所有接口中，這兩個接口是永遠分別處在最內(nèi)部和最外部的。根據(jù)具體的安全級別，其他DMZ或外圍接口相對于另外的接口可能是內(nèi)部的，也可能是外部的，但是他們相對于Inside接口而言總是外部的，對于Outside接口而言則總是內(nèi)部的。
在PIX防火墻5.2之前的版本中，用來定義允許流量的協(xié)議參數(shù)的命令是conduit命令。Conduit命令的語法看起來非常像擴展訪問列表所使用的格式，不過在命令的語法中，源地址和目的地址的位置正好相反。從5.2版本開始，傳統(tǒng)的擴展訪問列表代替了conduit命令。目前，盡管Cisco推薦使用新的格式，但是實際上這兩種命令格式都可以使用。
為了對去往這些服務(wù)器的流量定義相應(yīng)的通道，可以規(guī)定服務(wù)器的IP地址作為目的地址，并規(guī)定HTTP、DNS和SMTP作為目的端口號，但是通常并不知道源地址和源端口號。下面是一個訪問列表的例子，在這個例子中，IP地址為10.1.1.1的服務(wù)器能夠提供所有3種服務(wù)。
Access-list dmz permit tcp any host 10.1.1.1 eq http
Access-list dmz permit tcp any host 10.1.1.1 eq smtp
Access-list dmz permit tcp any host 10.1.1.1 eq domain
上面所列方法就舉例而言是已經(jīng)足夠了，但是在安全方面還要進一步設(shè)置。因為并不能預知外部用戶將使用哪些源IP地址和源端口，所以必須在ACL中規(guī)定允許使用所有的原地址和源端口。