精讲PIX白皮书.docx

PIX讲解白皮书 作 者：张其华 Email： HYPERLINK mailto:own_qihua@163.com own_qihua@163.com Security CCIE 一：PIX防火墙简介： PIX防火墙是Cisco硬件防火墙，它能够提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的ASA（自适应安全算法）。静态安全性虽然比较简单，但与包过滤相比，功能却更加强劲；另外，与应用层代理防火墙相比，其性能更高，扩展性更强。ASA可以跟踪源和目的地址、TCP序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过PIX防火墙。这样做，内部和外部的授权用户就可以透明地访问企业资源，而同时保护了内部网络不会受到非授权访问的侵袭。 二：PIX防火墙的特点和优势： 1．Proprietary operating system //专用操作系统 2．Stateful packet inspection //状态包检测 3．User-based authentication/authorization //基于用户验证和授权 PIX防火墙系列通过直通式代理——获得专利的在防火墙处透明验证用户身份、允许或拒绝访问任意基于TCP或UDP的应用的方法，获得更高性能优势。该方法消除了基于UNIX系统的防火墙对相似配置的性价影响，并充分利用了Cisco安全访问控制服务器的验证和授权服务。 4.Stateful failover capabilities //状态故障倒换特性 5.Web-based management solutions //基于WEB管理解决方案 6.易管理性 7.VPN功能 PIX免费提供基于软件的DES IPSec特性。此外，可选3DES、AES许可和加密卡可帮助管理员降低将移动用户和远程站点通过互联网或其它公共IP网络连接至公司网络的成本。PIX VPN实施基于新的　　IPSec和IKE标准，与相应的CiscoIOS软件功能完全兼容。 8.高可靠性 PIX防火墙故障恢复选项确保高可用性并去除单故障点。两个PIX防火墙并行运行，如果一个发生错误操作。第二个PIX防火墙自动维护安全操作。 9.NP结构的高端防火墙 高端PIX防火墙6503/6506/6509采用最先进的NP（网络处理器）技术，提供目前业界最高的5.5的防火墙处理能力，高达100万个连接和每秒10万个连接的处理能力，为电信用户和大规模的企业网络提供了良好的安全保证。 10.支持多服务语音、视频。 PIX防火墙可以很好地支持语音和视频的各种服务，如H.323、SIP等多种协议，为网络走向安全的多服务体系提供了有力的保证。 11.提供丰富的防火墙功能 PIX防火墙除了可以支持传统的防火墙功能，如NAT/PAT、访问控制列表等以外。还提供业界领先的丰富功能，如虚拟防火墙及资源限制，透明防火墙等。 PIX的防火墙的核心是ASA.ASA维护着防火墙控制下的网络的安全边界。基于状态，面向连接的ASA设计，基于源和目的地址建立会话流；它随机生成初始的TCP序列号，在完成连接之前，跟踪端口号和其他的TCP标志。此功能始终都处于运行状态，监视着返回的数据包，确保它们是合法的；在没有明确配置的情况下，允许内部系统系统和应用建立单向（从内到外）的连接。随即生成初始的TCP序列号，能够把TCP序列号攻击和风险降低到最小。为采用ASA，PIX防火墙没有包过滤防火墙复杂，但比它更健壮。 ASA的特点和优势： 缺省情况下，ASA允许来自内部（安全级别高）接口的主机发出的到外部（或者其他安全级别低的接口的主机连接）； 缺省情况下，ASA据绝来自外部（安全级别低）接口的主机发出的到内部（安全级别高）主机连接。 ASA遵守以下规则： 如果没有连接和状态，任何包都不能穿过PIX防火墙； 如果没有访问控制列表的特殊定义，向外连接或状态都是允许的。向外连接指产生者或客户机的安全接口等级高于接收者或服务器。最安全的接口总是内部接口，最不安全的接口总是外部。周边接口的安全等级处于内部接口和外部接口之间； 如果没有特殊的定义，向内连接或状态时不允许的。向内连接或状态指产生者或客户机的安全接口/网络等级低于接收者或服务器。用户可以为一个xlate（转换）应用多个例外。这样，就可以从互联网上的任意机器、网络或主机访问xlate定义的主机； 如果没有特殊定义，所有ICMP包都将被拒绝； 违法上述规则的所有企图都将失败，而且将把相应的信息发送至系统日志 三：Pix防火墙家族： PIX 501防火墙 PIX501对以宽带介入方式的SOHO和