防火墙如何控制局域网网速

!
"#$%&'!
"#$%&'10!
!
"#$%CiscoSystems,Inc.
思科系统公司是全球领先的互联网设备供应商.
它的网络设备和应用方案将世界各地的人、计算设备以及网络联结起来,使人们能够随时随地利用各种设备传送信息.
思科公司向客户提供端到端的网络方案,使客户能够建立起其自己的统一信息基础设施或者与其他网络相连.
思科公司提供业界范围最广的网络硬件产品、互联网操作系统(IOS)软件、网络设计和实施等专业技术支持,并与合作伙伴合作提供网络维护、优化等方面的技术支持和专业化培训服务.
思科公司及其客户每天都在为推进互联网的发展而努力.
思科相信,互联网的发展将极大地改变企业的运营方式,产生"全球网络经济"模式.
这一模式使任何规模的企业都能使用信息交换技术来保持一种强大、交互性的业务关系.
思科公司自身就是"全球网络经济"模式的受益者.
利用跨越互联网以及内部网的网络应用,运营成本大幅降低,直接收入增加.
思科公司目前拥有全球最大的互联网商务站点,公司全球业务90%的交易是在网上完成的.
!
"#$%&'2!
"随着全球经济一体化进程的加快,思科系统公司非常重视这一态势,及时进入中国市场,并先后在北京(1994年8月)、上海(1995年9月)、广州(1996年3月)和成都(1996年5月)设立了代表处.
1998年6月2日,思科系统公司总裁兼首席执行官约翰·钱伯斯先生自担任这个职位以来首次访华,宣布建立思科系统(中国)网络技术有限公司,统领思科在华各项业务;在北京建立网络技术实验室,为国内网络技术机构提供网络解决方案的性能测试、ATM宽带交换机的性能测试、千兆位路由光纤传输和虚拟局域网的性能评估测试.
这是思科系统公司在全球的三个大型实验室之一,也是它在亚洲最大的网络实验室.
1999年1月14日,思科系统公司又投资数百万美元加强其在中国的客户支持体系,在北京建立技术支持中心.
这个中心是思科系统公司全球四大技术支持中心之一,向思科系统公司在中国的合作伙伴和用户提供每周7天、每天24小时的软硬件维护及支持服务.
从1998年6月至今,中国国家主席江泽民先后两次亲切接见了到访的思科系统公司总裁兼首席执行官约翰·钱伯斯先生,鼓励思科系统公司为推进中国社会信息化建设贡献力量.
思科系统公司十分重视帮助中国教育和培养网络人才,先后与国内160多所著名高校合作成立了思科网络技术学院.
思科每年在国内举办数十场技术报告会和研讨会,向国内介绍当今世界最新网络技术和产品.
从1998年始,思科大学每季度都组织针对经销商和用户的不同主题的技术培训.
思科系统公司在中国的服务与支持日臻完善.
目前,除已建成北京技术支持中心(TAC)和北京、上海、广州、成都备件库外,还提供中文3W服务与支持,包括24小时全球电话热线服务和中文电子邮件服务以及各种技术培训.
经验丰富的思科工程师不仅为用户解决各种问题带来了极大方便,更重要的是加强了思科系统(中国)网络技术有限公司代理商的技术能力,使其能更好地在第一线为用户提供直接的支持.
在中国,思科系统公司积极谋求和其他厂商广泛的、全方位的、深层次的合作.
面对不同的市场需求和用户群,思科系统中国公司有四种不同的合作伙伴体系-分销代理体系、认证合作伙伴体系、战略联盟合作伙伴体系、培训合作伙伴体系.
这四种体系的完美组合与协调,使思科系统公司的用户可以享受全方位的技术支持、系统维护、人员培训等服务.
多年来,思科系统公司积极参与了中国几乎所有大型网络项目的建设,把最先进的网络技术和产品以最快的速度带给中国用户,使他们能够及时改善计算机网络及相关基础设施.
这些项目既包括中国金融骨干网、中国教育科研网以及海关、邮政等系统网络的建设,也包括中国电信、中国联通和吉通公司等电信运营商的网络基础建设;既有全国范围的骨干网络建设,也有针对新兴电信增值业务的设备部署.
中国社会信息化、网络化建设不仅需要领先的网络技术和设备,更需要正确建立和充分应用互联网的成功经验和策略咨询.
思科互联网商业方案部(IBSG)积极与用户分享思科应用互联网的成功经验.
在《财富》"全球500强"企业中,已有280多家企业的总裁和首席信息官分享了思科经验.
美国《商业周刊》对此评论说,由于思科处在互联网经济的核心,它比任何其他公司都更适合于领导和推动全球经济企业发展向互联网转型.
思科系统公司为建设一个信息化的中国社会不断贡献着自己的力量.
!
"#$%&'3图2防火墙厂商竞争分析,2003年上半年思科公司的PIX防火墙产品自面世以来就得到用户的信赖和认可,连续多年在全球防火墙市场份额均居所有安全厂商之首,在中国也不例外,思科公司的PIX防火墙高居中国防火墙市场份额.
到目前为止,思科公司拥有覆盖全国,主要涉及、电信、金融、能源、交通、教育、流通、邮政、制造等行业的用户,有非常广泛的用户群和实际防火墙实施经验.
图1中国防火墙上半年厂商市场份额,2003/VPN!
"#$%&'4!
"防火墙所能起到的保护能力与其体系结构和运行机制有很大的关系,每一次体系结构上的演变都会带来防火墙功能的质的飞跃.
防火墙的基本结构可以分为包过滤和应用代理两种.
包过滤技术关注的是网络层和传输层的保护,而应用代理则更关心应用层的保护.
包过滤是历史最久远的防火墙技术,从实现上分,可以分为简单包过滤和状态检测的包过滤两种:简单包过滤是对单个包的检查,目前绝大多数路由器产品都提供这样的功能.
由于这类技术不能跟踪TCP的状态,所以对TCP层的控制能力有限,当在这样的产品上配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式进行的攻击仍然可以从外部透过防火墙对内部的系统进行攻击.
简单包过滤的产品由于其保护的不完善,1999年开始已经很少在主流产品中出现了.
状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态.
因而提供了更完整的对传输层的控制能力.
同时由于一系列优化技术的采用,状态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上.
应用代理防火墙可以说就是为防范应用层攻击而设计的.
应用代理也算是一个历史比较长的技术,通常的表现形式是一组代理的集合.
代理的原理是彻底隔断两端的直接通信,所有通信都必须经应用层的代理转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略的要求.
针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力.
可以这样说,状态检测包过滤规范了网络层和传输层行为,而应用代理则是规范了特定的应用协议上的行为.
!
"#$深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态.
深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延.
TCP/IP应用层攻击涉及多种数据包,并且常常涉及多种请求,即不同的数据流.
流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为.
至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式.
SSL如今,几乎所有的安全应用都使用HTTPS确保通信的保密性.
然而,SSL数据流采用了端到端加密,因而对被动探测器如入侵检测系统(IDS)产品来说是不透明的.
为了阻止恶意流量,应用防火墙必须终止SSL,对数据流进行解码,以便检查明文格式的流量.
这是保护应用流量的最起码要求.
如果安全策略不允许敏感信息在未加密的前提下通过网络传输,就需要在流量发送到Web服务器之前重新进行加密的解决方案.
URL一旦应用流量呈明文格式,就可以检测HTTP请求的URL部分,寻找恶意攻击的迹象,譬如可疑的统一代码编码(unicodeencoding).
对URL过滤采用基于特征的方案,仅仅寻找匹配定期更新的特征、过滤掉与已知攻击的URL,但这还远远不够.
需要一种方案不仅能检查RUL,还能检查请求的其余部分;把应用响应考虑进来,可以大大提高检测攻击的准确性.
!
"#$%&'5!
"#更先进的技术就是用户会话跟踪.
这是应用流量状态检测技术的最基本部分:跟踪用户会话,把单个用户的行为关联起来.
这项功能通常借助于通过URL重写(URLrewriting)来使用会话信息块加以实现.
只要跟踪单个用户的请求,就能够对信息块实行极其严格的检查.
这样就能有效防御会话劫持(session-hijacking)及信息块中毒(cookie-poisoning)类型的漏洞.
有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块,还能对应用生成的信息块进行数字签名,以保护这些信息块不被人篡改.
这需要能够跟踪每个请求的响应,并从中提取信息块信息.
!
"#响应模式匹配为应用提供了更全面的保护:它不仅检查提交至Web服务器的请求,还检查Web服务器生成的响应.
它能极其有效地防止网站受毁损,或者更确切地说,防止已毁损网站被浏览.
对响应里面的模式进行匹配相当于在请求端对URL进行过滤.
响应模式匹配分三个级别:防毁损工作由应用防火墙来进行,它对站点上的静态内容进行数字签名,如果发现内容离开Web服务器后出现了改动,防火墙就会用原始内容取代已毁损页面;对付敏感信息泄露方面,应用防火墙会监控响应,寻找可能表明服务器有问题的模式,譬如一长串Java异常符,如果发现这类模式,防火墙就会把它们从响应当中剔除,或者干脆封阻响应.
!
行为建模有时称为积极的安全模型或"白名单"(whitelist)安全,它是唯一能够防御最棘手的应用漏洞——零时间漏洞的保护机制.
零时间漏洞是指未写入文档或"还不知道"的攻击.
对付这类攻击的唯一机制就是只允许已知是良好行为的行为,其它行为一律禁止.
这项技术要求对应用行为进行建模,这反过来就要求全面分析提交至应用的每个请求的每次响应,目的在于识别页面上的行为元素,譬如表单域、按钮和超文本链接.
这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞,同时对允许用户访问的URL实行极其严格的监控.
行为建模是一种很好的概念,但其功效往往受到自身严格性的限制.
某些情况大量使用JavaScript或者应用故意偏离行为模型都会导致行为建模犯错,从而引发误报,拒绝合理用户访问应用.
行为建模要发挥作用,就需要一定程度的人为干预,以提高安全模型的准确性.
!
"#$状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术,CiscoSe-curePIX防火墙基于此两种防火墙技术的基础上,提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA).
ASA自适应安全算法与包过滤相比,功能更加强劲;另外,ASA与应用层代理防火墙相比,其性能更高,扩展性更强.
ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志.
只有存在已确定连接关系的正确的连接时,访问才被允许通过PIX防火墙.
这样,内部和外部的授权用户就可以透明地访问企业资源,同时保护内部网络不会受到非授权访问的侵袭.
另外,思科公司的专用实时嵌入式系统还能进一步提高CiscoSecurePIX防火墙系列的安全性.
虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台,但通用的操作系统并不能提供最佳的性能和安全性.
而专用的CiscoSecurePIX防火墙是为了实现安全、高性能的保护而专门设计.
!
"#$%&'6!
"#$AdaptiveSecurityAlgorithm适应性安全算法(ASA)是一种状态安全方法.
每个向内传输的包都将按照适应性安全算法和内存中的连接状态信息进行检查.
安全业界人士都认为,这种默认安全方法要比无状态的包屏蔽方法更安全.
ASA无需配置每个内部系统和应用就能实现单向(从内到外)连接.
ASA一直处于操作状态,监控返回的包,目的是保证这些包的有效性.
为减小TCP序列号袭击的风险,它总是主动对TCP序列号作随机处理.
当向外包到达PIXFirewall上安全等级较高的接口时,PIXFirewall将根据适应性安全算法检查包是否有效,以及前面的包是否来自于此台主机.
如果不是,则包将被送往新的连接,同时,PIXFirewall将在状态表中为此连接产生一个转换插槽.
PIXFirewall保存在转换插槽中的信息包括内部IP地址以及由网络地址转换(NAT)、端口地址转换(PAT)或者Identity(将内部地址作为外部地址使用)分配的全球唯一IP地址.
然后,PIXFirewall将把包的源IP地址转换成全球唯一地址,根据需要修改总值和其它字段,然后将包发送到安全等级较低的接口.
当向内传输的包到达外部接口时,首先接受PIXFirewall适应性安全条件的检查.
如果包能够通过安全测试,则PIXFirewall删除目标IP地址,并将内部IP地址插入到这个位置.
包将被发送到受保护的接口.
ASA适用于动态转换插槽和静态转换插槽.
静态转换插槽用static命令产生,动态转换插槽用global命令产生.
总之,两种转换插槽都可以称为"xlates".
ASA遵守以下规则:如果没有连接和状态,任何包都不能穿越PIXFirewall;如果没有访问控制表的特殊定义,向外连接或状态都是允许的.
向外连接指产生者或客户机的安全接口等级高于接收者或服务器.
最安全的接口总是内部接口,最不安全的接口总是外部接口.
周边接口的安全等级处于内部接口和外部接口之间;如果没有特殊定义,向内连接或状态是不允许的.
向内连接或状态指产生者或客户机的安全接口/网络等级低于接收者或服务器.
用户可以为一个xlate(转换)应用多个例外.
这样,就可以从互联网上的任意机器、网络或主机访问xlate定义的主机;如果没有特殊定义,所有ICMP包都将被拒绝;违反上述规则的所有企图都将失败,而且将把相应信息发送至系统日志.
PIXFirewall处理UDP数据传输的方式与TCP相同.
为使DSN、Archie、StreamWorks、H.
323和RealAudio能安全操作,PIXFirewall执行了特殊处理.
当UDP包从内部网络发出时,PIXFirewall将生成UDP"连接"状态信息.
如果与连接状态信息相匹配,这些流量带来的答复包将被接受.
经过一小段时间的静默之后,连接状态信息将被删除.
ASA到目前为止,大量的包过滤防火墙仍完全不具备应用层保护能力,有些产品甚至连状态检测都不具备,这里所提到的"数据包内容过滤"是指那些能够提供对数据包内容进行检测的包过滤产品.
首先应用代理与数据包内容过滤不同,应用代理之所以能够对应用层进行完整的保护,在于其借助操作系统的TCP协议栈对于出入网络的应用数据包进行完全重组,并从操作系统提供的接口(socket)中以数据流的方式提取应用层数据;而包过滤防火墙中的数据包内容过滤仅能对当前正在通过的单一数据包的内容进行分析和判断,这两者在保护能力上存在本质的不同.
举个例子来说,一个携带攻击特征的URL访问可能有256个字节,如果它们在一个数据包中传送,那么两种技术的防火墙都能够发现并拦截,但是如果这个URL被TCP协议栈分解成10个小的IP数据包,并且以乱序的方式发送给目标服务器,则包过滤防火墙根本无法识别这个攻击的企图.
而应用代理则完全不会受到干扰,依然能够识别并进行拦截,因为数据包在网关的TCP协议栈中被按照正确的顺序有效的重新组合成数据流后才到达防火墙的过滤模块,它看到的仍然是完整的数据流.
!
"#$%&'7基于ASA适应性安全算法的思科防火墙能够提供近似于代理防火墙的应用层保护能力,关键在于其ASA适应性安全算法架构中的状态连接,依据TCP协议的定义对出入防火墙的数据包进行了完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,从而可以有效的识别并拦截应用层的攻击企图.
ASA"!
"防火墙透明性应用代理一般建立在操作系统中提供的socket接口之上,提供这个接口的普通TCP协议栈是为主机对外提供服务和对外进行访问而实现的,为了使用这个协议栈进行数据包重组,防火墙本机必须存在TCP的访问点,即IP地址和端口.
这导致应用代理对于应用协议来说不可能是透明的,应用协议需要"知道"并且"允许"这个中间环节的存在.
而这个条件在很多时候是不能够满足的.
用户如果要部署应用代理防火墙,通常要对其网络拓扑结构和应用系统的部署进行调整.
举一个简单的例子:我们必须在浏览器中设定代理网关的IP地址和端口才可能使浏览器按照存在一个中间代理的方式访问网站,换句话说,浏览器需要"知道"这个代理的存在.
那么对于其他类型的应用协议呢很多时候,应用协议的设计并不允许我们在其中增加一个过滤环节,这意味着应用代理防火墙提供应用保护的协议范围是有限的.
思科的ASA适应性安全算法则不同,它完全不需要用户调整网络结构和应用系统,它可以在防火墙的任何部署方式下提供完全一致的应用保护能力,这意味着用户不需要为了获得应用层保护能力而改变网络结构和应用系统,也完全不需要调整应用层的保护策略(过滤规则),它会与原来完全等同的效果去执行.
比如用户在一个已有的提供Web访问的服务器群中又增加了一个Web服务器,用户仅需要在PIX防火墙上增加一条针对该Web服务器漏洞的应用过滤规则即可以达到对该服务器的保护的目的,而服务器本身则完全不需要考虑防火墙的存在.
同样对于任何提供的应用保护协议,都对网络结构和应用系统完全透明,比如可以在交换模式下对通过防火墙的邮件标题进行关键字过滤,并对携带某些关键字的邮件采取"抛弃"的策略,则那些携带了某些关键字的"不好"的邮件在到达内部的邮件服务器前就完全"消失"了,无论是服务器还是该邮件的发送者都不会觉察,这样的功能可以非常有效的防止垃圾邮件进入企业内部,并且非常容易实施(不需要修改邮件服务器和DNS的配置).
防火墙性能防火墙中的TCP协议栈是专为防火墙的进行数据流转发而设计的,其在数据分析过程中的拷贝次数、内存资源的开销方面都优于普通操作系统的TCP协议栈.
应用代理系统使用操作系统的socket接口,对于任何一个通过防火墙的连接都必须消耗两个socket资源,而这个资源在普通操作系统中是非常紧缺的,通常只能允许同时处理一、两千个并发的连接,即使对于一个流量较小的网络来说这也不是一个很大的数量.
同时,典型的代理系统需要为每一个连接创建一个进程,当几千个连接存在时,大量的进程会消耗掉非常多的内存,并使CPU在上下文切换中浪费掉大量的处理资源,系统的吞吐能力会急剧下降.
思科PIX防火墙不使用socket接口,而是采用了连接状态表的技术,一个内核进程可以使用很小的开销同时处理几万甚至几十万的并发连接.
正是这种先进的技术使得思科PIX防火墙可以在非常繁忙的站点提供有效的高性能的应用层保护.
通过以上的分析,思科公司的ASA适应性安全算法基于状态包过滤的体系结构,又结合了应用网关的特点,实现了高性能、可扩展、透明的对应用层协议的保护.
!
"#$%&'8!
"#$%&UNIX!
此特点消除了与通用的操作系统相关的风险,并使CiscoPIX防火墙系列能提供出色性能——高达50万并发连接,比任何基于操作系统的防火墙高得多.
!
"#$CiscoPIX防火墙系列的核心是自适应安全算法(ASA),这比分组过滤更简单、更强大.
它提供了高于应用级代理防火墙的性能和可扩展性.
ASA维持防火墙控制的网络间的安全外围.
面向连接的状态ASA设计根据源和目的地址、随机TCP顺序号、端口号和附加TCP标志来创建进程流.
所有向内和向外流量由到这些连接表条目的安全策略应用控制.
CiscoPIX防火墙系列通过直通式代理——获得专利的在防火墙处透明验证用户身份、允许或拒绝访问任意基于TCP或UDP的应用的方法,获得更高性能优势.
该方法消除了基于UNIX系统的防火墙对相似配置的性价影响,并充分利用了Cisco安全访问控制服务器的验证和授权服务.
!
CiscoPIX设备管理器(PDM)为企业和电信运营商用户提供他们所需特性,以方便他们轻松管理CiscoPIX防火墙.
它拥有一个直观的图形用户界面(GUI),帮助您建立并轻松配置您的PIX防火墙.
此外,范围广泛的实时、历史、信息报告提供了对使用趋势、性能基线和安全事件的关键视图.
基于SSL技术的安全通信可有效地管理本地或远程CiscoPIX防火墙.
简言之,PDM简化了互联网安全性,使之成为经济有效的工具,来提高工作效率和网络安全性,以节约时间和资金.
!
"#$VPN!
PIX免费提供基于软件的DESIPSec特性.
此外,可选3DES,AES许可和加密卡可帮助管理员降低将移动用户和远程站点通过互联网或其他公共IP网络连接至公司网络的成本.
PIXVPN实施基于新的互联网安全性(IPSec)和互联网密钥(IKE)标准,与相应的Cisco互联网络操作系统(CiscoIOS@)软件功能完全兼容.
!
PIX防火墙故障恢复选项确保高可用性并去除了单故障点.
两个PIX防火墙并行运行,如果一个发生错误操作,第二个PIX防火墙自动维护安全操作.
NP!
"#$%思科公司的高端防火墙6503/6506/6509采用最先进的NP网络处理器技术,提供目前业界最高的5.
5的防火墙处理能力,高达100万个连接和每秒10万个连接的处理能力,为电信用户和大规模的企业网络提供了良好的安全保证!
"#$%思科公司的防火墙系列可以很好的支持语音和视频的各种服务,如H.
323,SIP等多种协议,为网络走向安全的多服务体系提供了有力的保证!
"#$%&'思科公司的防火墙系列除了可以支持传统的防火墙功能,如NAT/PAT,访问控制列表等以外,还提供业界领先的丰富功能,如虚拟防火墙及资源限制,透明防火墙等!
"#$%&'(IP地址控制技术-内部地址的转换(TranslationofInternalAddresses)网络地址转换(NAT)的作用是将内部接口上的主机地址转换为与外部接口相关的"全球地址".
这样能防止将主机地址暴露给其它网络接口.
!
"#$%&'9如果想保护的地址只访问机构内的其它网络,可以针对转换地址池使用任何一组"专用"地址.
例如,当与销售部门的网络(与PIXFirewall的周边接口相连)连接时,如果想防止财务部门网络(与PIXFirewall上的外部接口相连)上的主机地址被暴露,可以借助销售部网络上的任何一组地址建立转换.
这样,财务部网络上的主机就好象是销售部网络的本地地址一样.
如果想保护的地址需要互联网接入,可以只为转换地址池使用NIC注册的地址.
考虑NAT时,必须要考虑是否有等量的外部主机地址.
如果没有,在建立连接时,某汹部主机就无法获得网络访问.
这种情况下,用户可以申请增加NIC注册地址,也可以使用端口地址转换(PAT),PAT能够用一个外部地址管理多达64,000个同时连接.
PAT使用端口重映射,它允许一个有效的IP地址支持64,000个活跃xlate对象的源IP地址转换.
PAT能够减少支持专用或无效内部地址方案所需的全球有效IP地址数量.
由于能够向外部网络隐藏内部网络的真实网络身份,因此,PAT能够提高安全性.
思科PIX防火墙上的另一种地址转换是静态转换.
静态转换能够为内部地址指定一个固定的外部IP地址.
对于需要固定IP地址以便接受公共互联网访问的服务器来讲,这个功能非常有用.
思科PIX防火墙Identity特性可以关闭地址转换.
如果现有内部系统拥有有效的全球唯一地址,Identity特性可以有选择地关闭这些系统的NAT和PAT.
这个特性使外部网络能够看到内部网络的地址.
!
"Cut-ThroughProxy切入型代理是思科PIX防火墙的独特特性,能够基于用户对向内或外部连接进行验证.
与在OSI模型的第七层对每个包进行分析(属于时间和处理密集型功能)的代理服务器不同,PIXFirewall首先查询认证服务器,当连接获得批准之后建立数据流.
之后,所有流量都将在双方之间直接、快速地流动,性能非常高.
借助这个特性可以对每个用户ID实施安全政策.
在连接建立之前,可以借助用户ID和密码进行认证.
它支持认证和授权.
用户ID和密码可以通过最初的HTTP、Telnet或FTP连接输入.
与检查源IP地址的方法相比,思科的切入型代理能够对连接实施更详细的管理.
在提供向内认证时,需要相应地控制外部用户使用的用户ID和密码(在这种情况下,建议使用一次性密码).
!
ProtectingYourNetworkfromAttack思科PIX防火墙可以控制与某些袭击类型相关的网络行为,比如:单播反向路径发送FloodGuardFragGuard和虚拟重组DNS控制ActiveX阻挡Java过滤URL过滤!
"#$%UnicastReversePathForwarding单播反向路径发送(单播RPF)也称为"反向路径查询",它提供向内和向外过滤,以便预防IP欺诈.
这个特性能够检查向内传输的包的IP源地址完整性,保证去往受控区域以外的主机的包拥有可以在实施实体本地路由表时由路径验证的IP源地址.
!
"#$%&'10FloodGuardFloodGuard能控制AAA服务对无应答登录企图的容忍度.
这个功能尤其适合防止AAA服务上的拒绝服务(DoS)袭击,并能改善AAA系统使用情况.
默认状态下,这个命令是打开的,可以用floodguard1命令控制.
FloodDefenderFloodDefender能够防止内部系统受到拒绝服务袭击,即用TCPSYN包冲击接口.
要使用这个特性,可以将最大初始连接选项设置为nat和static命令.
TCPIntercept特性能够保护可通过静态和TCP管线访问到的系统.
这个特性能够保证,一旦到达任选的初始连接极限,那么,去往受影响的服务器的每个SYN都将被截获,直到初始连接数量低于此阈值为止.
对于每个SYN,PIXFirewall还能以服务器的名义用空SYN/ACK进行响应.
PIXFirewall能够保留永久性状态信息,丢弃包,并等待客户机的认可.
FragGuard!
"FragGuardand!
"FragGuard和虚拟重组能够提供IP网段保护.
这个特性能够提供所有ICMP错误信息的全面重组以及通过PIXFirewall路由的其余IP网段的虚拟重组.
虚拟重组属于默认功能.
这个特性使用系统日志记录网段重叠,并用小网段补偿异常情况,尤其是由teardrop.
c袭击引起的异常情况.
DNSDNSControlPIXFirewall能够识别每个向外的DNS(域名服务)分解请求,而且只允许有一个DNS响应.
为获得答复,主机可以查询几台服务器(以防第一台服务器答复过慢),但是,只有第一个请求答复有效.
其它请求答复将被防火墙丢弃.
ActiveXActiveXBlockingAcitveX控制以前称为OLE或者OCX控制,这种组件可以插入到Web页面或者其它应用.
PIXFirewallActiveX阻挡特性能够阻挡HTML命令,并在HTMLWeb页面以外予以说明.
作为一种技术,ActiveX可能会给网络客户机带来许多潜在问题,包括致使工作站发生故障,引发网络安全问题,被用于袭击服务器,或者被主机用于袭击服务器等.
JavaJava过滤特性可用于防止受保护网络上的系统下载Java小应用程序.
Java小应用程序指可执行的程序,它可能会受到某些安全政策的禁止,因为它们存在漏洞,可能会使受保护网络遭到袭击.
URLPIXFirewallURL过滤与Websense产品一起提供.
PIXFirewall用Websense服务器上制定的政策检查外出的URL请求,这些政策在WindowsNT或UNIX上运行.
根据Websense服务器的答复,PIXFirewall接受或拒绝连接.
这台服务器检查请求,保证这些请求不具备不适合商业用途的17种Web站点特征.
由于URL过滤在独立平台上处理,因此,不会给PIXFirewall带来其它性能负担.
欲知详情,请访问以下Web站点:http://www.
websense.
com.
!
"#$%ConfigurableProxyPinging可配置的代理呼叫功能可以控制对PIXFirewall接口的ICMP访问.
这个特性能够将PIXFirewall接口隐藏起来,以防被外部网络上的用户删除.
!
"#$%&'MailGuardMailGuard能够为从外部到内部消息服务器的简单邮件传输协议(SMTP)连接提供安全接入.
借助这个特性,可以在内部网络中部署一台邮件服务器,而且这台邮件服务器不会出现某些SMTP服务器实施方案常见的安全问题.
这个方法的好处之一是无需使用邮件中继(或堡垒主机)系统.
为避免损害SMTP服务器系统,MailGuard只使用了少量SMTP命令.
这个特性还能记录所有SMTP连接.
!
"MultimediaSupport思科PIX防火墙提供的支持多媒体应用的特性:支持的多媒体应用RAS第2版本RTSPRealAudioStreamworksCU-SeeMe互联网PhoneIRCVxtremeVDOLive!
"#$CreatingaVirtualPrivateNetwork借助VPN,您可以将分布在世界各地的用户以及公共互联网上的站点安全地互连在一起.
与基于传统广域网的帧中继或拨号连接相比,VPN不但能降低成本,提高可靠性,还能简化管理.
VPN的安全性和管理政策与专用网络相同.
借助VPN,客户、商业合作伙伴以及远程工作者等远程用户可以安全地访问企业的计算资源.
IPSec是一种标准,它规定了建立VPN的独立于厂商方法.
作为安全功能的一部分,PIXFirewall提供基于IPSec标准的VPN功能.
借助IPSec,当数据在公共网上传输时,用户无需担心数据会被查看、篡改或欺诈.
IPSec提供了两台对等设备之间的安全通道,例如两个PIXFirewall单元之间的安全通道.
用户可以自己确定哪些包属于敏感信息,应该通过这些安全通道发送.
通过确定这些通道的特性,用户还可以确定应该使用哪些参数保护这些敏感包.
当IPSec对等设备看到敏感包时,它将建立相应的安全通道,并通过通道将包发送给远程用户.
用于传输信息的安全通道基于加密密钥以及安全协会(SA)规定的其它安全参数.
与IPSecSA的人工配置相似,IKESA可以通过预共享密钥建立.
但是,这种方法也存在人工配置IPSecSA的扩展问题.
认证机构(CA)提供了一种可扩展的方法,能够共享密钥以建立IKESA.
站点到站点VPN和远程接入VPN是VPN的两个类型,思科PIXFirewall同时支持这两种VPN.
使用站点到站点VPN(UsingaSite-to-SiteVPN)站点到站点VPN是一种WAN基础设施,能够代替和增强使用租用线路、帧中继或ATM连接远程和分支办公室和中央站点的现有专用网络.
对于站点到站点VPN,PIXFirewall可以与任何CiscoVPN型网络设备互操作,例如CiscoVPN路由器.
11!
"#$%&'使用远程接入VPN(UsingaRemoteAccessVPN)PIXFirewall支持混合型VPN部署,包括站点到站点流量和远程接入流量.
远程接入VPN使用模拟、数字、ISDN、DSL、移动IP和有线技术将移动用户、远程员工及其他独立系统与PIXFirewall保护的网络安全地连接在一起.
借助以下Cisco远程接入VPN应用,可以接入到受PIXFirewall保护的网络中:Failover!
PIXFirewallFailover借助PIX故障恢复特性,用户可以用一条专用故障恢复线缆连接两个相同的PIXFirewall设备,以便实现完全冗余的防火墙解决方案.
实施故障恢复时,一个设备作为主用设备,另一个作为备用设备.
两个设备的配置相同,而且运行相同的软件版本.
故障恢复线缆将两个PIXFirewall设备连接在一起,使两个设备能实现配置同步和通话状态信息同步,这样,当主用设备出现故障时,备用设备无需中断网络连接和破坏安全性就能快速接替主用设备的工作.
!
"#$%防火墙从传统概念分为软件防火墙和硬件防火墙,防火墙软件进入系统的层次越浅,对底层操作系统的安全依赖性就越小.
软件防火墙的最大特点是基于众所周知的操作系统(windowsNT,SUNSolaris,HP,SCOUNIX等),能安全控制存取访问一个软件.
硬件防火墙采用专用的操作系统平台,甚至将操作系统固化在芯片中,从整体来看,是一个硬件设备.
软件防火墙由于技术的因素,有几个致命的弱点:软件防火墙使用的多样性是一个严重缺点,操作系统本身的缺陷可能成为软件防火墙致命的弱点,而硬件防火墙的安全性则相对较高.
从速度上看,硬件防火墙的速度优势是明显的.
软件防火墙由于操作系统的限制,很容易成为网络的瓶颈,硬件防火墙则很好的消除了这个缺陷.
软件防火墙的安装,配置工作较为复杂,也不便于使用.
由于上述因素,目前软件防火墙的市场越来越小,更多的是硬件防火墙,特别是千兆级防火墙.
防火墙的硬件实现技术主要有三种:IntelX86架构工控机、ASIC硬件加速技术和NP加速技术.
IntelX86以其高灵活性和扩展性在百兆防火墙上获得过巨大的成功,百兆级的处理能力正好在这种架构的范围里,因此百兆级防火墙采用此种结构的厂家较多,性价比也最好.
然而对于千兆网来说,X86架构的CPU由于考虑了各种应用的需要,具有一般化的通用体系结构和指令集,以求支持复杂的运算并容易开发新的功能,其处理速度相对较慢,可扩展性差,很难满足千兆网络对于高线速的需求.
并且由于基于X86体系结构的防火墙受CPU处理能力和PCI总线速度的制约,很难满足千兆防火墙高吞吐量、低时延的要求.
在实际应用中,尤其在小包情况下,这种结构的千兆防火墙达不到千兆的转发速度,难以满足千兆骨干网络的应用要求.
ASIC通过把指令或计算逻辑固化到硬件中,可以获得很高的处理能力.
采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线,优化存储器等资源的利用,是公认的使防火墙达到线速千兆,满足千兆环境骨干级应用的技术方案.
但是ASIC将指令或计算逻辑固化到了硬件中,缺乏灵活性,也不便于修改和升级;深层次包分析(L4+)增加ASIC的复杂度,不能满足千兆防火墙产品对网络协议进行二到七层处理的需求;ASIC的开发周期长,典型设计周期18个月;ASIC设计费用昂12!
"#$%&'贵且风险较大.
Netscreen是采用该技术的代表厂家.
NP!
"#$采用微码编程,是专门为进行网络分组处理而开发的,具有优化的体系结构和指令集,它的特点是内含了多个数据处理引擎,这些引擎可以并发进行数据处理工作,在处理2到4层的分组数据上比通用处理器具有明显的优势,网络处理器对数据包处理的一般性任务进行了优化,如TCP/IP数据的校验和计算、包分类、路由查找等,所以比X86CPU具备更高的处理性能;而且NP有专门的指令集和配套的软件开发系统,具有很强的编程能力,能够方便地开发各种应用,支持可扩展的服务,因而比ASIC更具灵活性.
同时硬件体系结构的设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力.
这样基于网络处理器的网络设备的包处理能力得到了很大的提升.
它具有以下几个方面的特性:完全的可编程性简单的编程模式最大化系统灵活性高处理能力高度功能集成开放的编程接口第三方支持能力以下详细描述NP和ASIC在千兆防火墙的技术实现区别.
目前防火墙一个很大的局限性是速度不够,真正达到线速的防火墙少之又少.
防范DoS是防火墙一个很重要的任务,防火墙往往用在网络出口,如造成网络堵塞,再安全的防火墙也无法应用.
应用ASIC、FPGA和NP网络处理器是实现高速防火墙的主要方法,但尤以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPv6,而采用其他方法就不那么灵活.
实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速.
NP!
"#网络处理器是专门为处理数据包而设计的可编程处理器,它的特点是内含了多个数据处理引擎,这些引擎可以并发进行数据处理工作,在处理2到4层的分组数据上比通用处理器具有明显的优势.
网络处理器对数据包处理的一般性任务进行了优化,如TCP/IP数据的校验和计算、包分类、路由查找等.
同时硬件体系结构的设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力.
这样基于网络处理器的网络设备的包处理能力得到了很大的提升.
它具有以下几个方面的特性:完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口、第三方支持能力.
网络处理器的软件色彩使它具有更好的灵活性,在升级维护方面有较大的优势.
基于网络处理器架构的防火墙与基于通用CPU架构的防火墙相比,在性能上可以得到很大的提高.
网络处理器能弥补通用CPU架构性能的不足,同时又不需要具备开发基于ASIC技术的防火墙所13!
"#$%&'需要的大量资金和技术积累,成为实现高端千兆防火墙的最优选择.
思科公司的6503/6506/6509高端千兆防火墙就采用NP加速技术,性能高达5.
5G.
ASIC!
"#采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线,优化存储器等资源的利用,是公认的使防火墙达到线速千兆,满足千兆环境骨干级应用的技术方案.
但ASIC技术开发成本高、开发周期长且难度大,而且对新功能的实施周期长,很不灵活.
纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,跟不上当今防火墙功能的快速发展.
在开发难度、开发成本和开发周期方面,网络处理器技术有比较明显的优势,毕竟网络处理器产生的一大原因就是降低这方面的门槛,这也是新一代的千兆防火墙产品选中网络处理器的原因.
相信NP结构的防火墙将会领导新一代的防火墙产品,实现网络安全的另一个变革.
思科公司的PIX防火墙是硬件结构的CPU防火墙,在百兆级防火墙中遥遥领先.
其硬件设计和性能完全满足中小企业对百兆级流量控制的要求,因此思科的PIX防火墙系列以其稳定的运行,丰富的功能,足够的性能,很高的性价比,优秀的品牌效应,将继续领导百兆级防火墙市场.
思科公司的6503/6506/6509高端防火墙技术即是顺应历史潮流,在千兆级防火墙的产品上首先采用NP网络处理器的结构,性能高达5.
5Gbps,功能也非常丰富,而且对新功能的支持和改进周期很短,完全符合市场的需求,因此,思科公司的6503/6506/6509高端防火墙一经面世,就得到用户的信赖,在高端防火墙市场迅速崛起,占据了大量基于ASIC芯片技术的防火墙的市场,而且其发展趋势是越来越好.
14!
"#!
$%&1!
"!
"#$%&1921100738(8610)65267777(8610)85181881!
"#222!
3233200021(8621)33104777(8621)53966750!
"#$308!
23610017(8628)86758000(8628)86528999!
"#$233!
43510620(8620)87007000(8620)3877007720047!
"#$%&http://www.
cisco.
com/cn/http://www.
cisco.
com/cn0*1200401Cisco,CiscoIOS,CiscoIOSCiscoSystems,CiscoSystemsCiscoSystemsCiscoPress01234516789:;@A1B*CDEF01234+56789:;@A%BCDEFG