PIX Firewall使用手册

控制网络访问（Controlling Network Access）

本节将介绍PIX Firewall提供的网络防火墙功能，包含以下内容：

PIX Firewall的工作原理（How the PIX Firewall Works）

PIX Firewall的作用是防止外部网络（例如公共互联网）上的非授权用户访问内部网络。多数PIX Firewall都可以有选择地保护一个或多个周边网络（也称为非军管区，DMZ）。对访问外部网络的限制最低，对访问周边网络的限制次之，对访问内部网络的限制最高。内部网络、外部网络和周边网络之间的连接由PIX Firewall控制。

为有效利用机构内的防火墙，必须利用安全政策才能保证来自受保护网络的所有流量都只通过防火墙到达不受保护的网络。这样，用户就可以控制谁可以借助哪些服务访问网络，以及怎样借助PIX Firewall提供的特性实施安全政策等。

PIX Firewall保护网络的方法如图1-1所示，这种方法允许实施带外连接并安全接入互联网。

图1-1： 网络中的PIX Firewall

在这种体系结构中，PIX Firewall将形成受保护网络和不受保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。互联网可以访问不受保护的网络。PIX Firewall允许用户在受保护网络内确定服务器的位置，例如用于Web接入、SNMP、电子邮件（SMTP）的服务器，然后控制外部的哪些用户可以访问这些服务器。

除PIX 506和PIX 501外，对于所有的PIX Firewall，服务器系统都可以如图1-1那样置于周边网络上，对服务器系统的访问可以由PIX Firewall控制和监视。PIX 506和PIX 501各有两个网络接口，因此，所有系统都必须属于内部接口或者外部接口。

PIX Firewall还允许用户对来往于内部网络的连接实施安全政策。

一般情况下，内部网络是机构自身的内部网络，或者内部网，外部网络是互联网，但是，PIX Firewall也可以用在内部网中，以便隔离或保护某组内部计算系统和用户。

周边网络的安全性可以与内部网络等同，也可以配置为拥有各种安全等级。安全等级的数值从0（最不安全）到100（最安全）。外部接口的安全等级总为0，内部接口的安全等级总为100。周边接口的安全等级从1到99。

内部网络和周边网络都可以用PIX Firewall的适应性安全算法（ASA）保护。内部接口、周边接口和外部接口都遵守RIP路由更新表的要求，如果需要，所有接口都可以广播RIP默认路径。

适应性安全算法（Adaptive Security Algorithm）

适应性安全算法（ASA）是一种状态安全方法。每个向内传输的包都将按照适应性安全算法和内存中的连接状态信息进行检查。业界人士都认为，这种默认安全方法要比无状态的包屏蔽方法更安全。

ASA无需配置每个内部系统和应用就能实现单向（从内到外）连接。ASA一直处于操作状态，监控返回的包，目的是保证这些包的有效性。为减小TCP序列号袭击的风险，它总是主动对TCP序列号作随机处理。

ASA适用于动态转换插槽和静态转换插槽。静态转换插槽用static命令产生，动态转换插槽用global命令产生。总之，两种转换插槽都可以称为“xlates”。ASA遵守以下规则：

PIX Firewall处理UDP数据传输的方式与TCP相同。为使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作，PIX Firewall执行了特殊处理。当UDP包从内部网络发出时，PIX Firewall将生成UDP“连接”状态信息。如果与连接状态信息相匹配，这些流量带来的答复包将被接受。经过一小段时间的静默之后，连接状态信息将被删除。

多个接口和安全等级（Multiple Interfaces and Security Levels）

所有PIX Firewall都至少有两个接口，默认状态下，它们被称为外部接口和内部接口，安全等级分别为0和100。较低的优先级说明接口受到的保护较少。一般情况下，外部接口与公共互联网相连，内部接口则与专用网相连，并且可以防止公共访问。

许多PIX Firewall都能提供八个接口，以便生成一个或多个周边网络，这些区域也称为堡垒网络或非军管区（DMZ）。DMZ的安全性高于外部接口，但低于内部接口。周边网络的安全等级从0到100。一般情况下，用户需要访问的邮件服务器或Web服务器都被置于DMZ中的公共互联网上，以便提供某种保护，但不致于破坏内部网络上的资源。