超级会员免费看
思科 PIX 防火墙:功能、型号与性能解析
1. 思科 PIX 防火墙概述
思科 PIX 防火墙是一款“性能卓越、同类最佳、一体化的安全设备”,相较于基于应用的防火墙,它具有显著优势。它提供了先进的状态防火墙、协议和应用检查、虚拟专用网络、内联入侵防御以及出色的多媒体和语音安全功能。单一的操作系统环境让设备运行更高效,且由于设计时充分考虑了安全性,它不受已知攻击的影响。
1.1 关键组件
PIX 防火墙出色性能得益于两个关键组件:自适应安全算法(ASA)和直通代理。
1.2 自适应安全算法(ASA)
ASA 是思科 PIX 操作系统环境的核心部分,比数据包过滤更安全、高效,性能优于应用类型的代理防火墙。它能隔离连接到防火墙的网络段,维护安全边界,并控制这些网段之间的流量。
防火墙接口被分配了安全级别。PIX 允许流量从安全级别较高的接口(内部)流向安全级别较低的接口(外部),而无需为高级别网段上的每个资源设置明确规则。但从安全级别较低的接口流向安全级别较高的接口的流量必须满足以下两个要求:
- 目的地必须存在静态转换。
- 必须有访问列表或管道来允许该流量。
需要注意的是,PIX OS 6.3 以上版本不支持使用管道。
ASA 是一个有状态、面向连接的过程,它在状态表中维护会话信息。通过将安全策略和地址转换应用于状态表,可控制所有通过防火墙的流量。当发起出站连接时,会生成一个随机的 TCP 序列号,并将连接信息写入状态表。如果连接被安全策略允许,源地址将被转换为外部地址,请求将发出。返回流量会与现有状态信息进行比较,如果信息不匹配,防火墙将丢弃该连接。这
订阅专栏 解锁全文
扫一扫
38
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
