思科防火墙销售指南之应用篇(3)

防火墙性能

防火墙中的TCP协议栈是专为防火墙的进行数据流转发而设计的，其在数据分析过程中的拷贝次数、内存资源的开销方面都优于普通操作系统的TCP协议栈。

应用代理系统使用操作系统的socket接口，对于任何一个通过防火墙的连接都必须消耗两个socket资源，而这个资源在普通操作系统中是非常紧缺的，通常只能允许同时处理一、两千个并发的连接，即使对于一个流量较小的网络来说这也不是一个很大的数量。同时，典型的代理系统需要为每一个连接创建一个进程，当几千个连接存在时，大量的进程会消耗掉非常多的内存，并使CPU在上下文切换中浪费掉大量的处理资源，系统的吞吐能力会急剧下降。

思科PIX防火墙不使用socket接口，而是采用了连接状态表的技术，一个内核进程可以使用很小的开销同时处理几万甚至几十万的并发连接。正是这种先进的技术使得思科PIX防火墙可以在非常繁忙的站点提供有效的高性能的应用层保护。

通过以上的分析，思科公司的ASA适应性安全算法基于状态包过滤的体系结构，又结合了应用网关的特点，实现了高性能、可扩展、透明的对应用层协议的保护。

思科防火墙产品与众不同特点简介

• 绝对安全的黑盒子，非UNIX、安全、实时、内置系统--此特点消除了与通用的操作系统相关的风险，并使Cisco PIX防火墙系列能提供出色性能--高达50万并发连接，比任何基于操作系统的防火墙高得多。
  
• 自适应安全算法--Cisco PIX防火墙系列的核心是自适应安全算法（ASA），这比分组过滤更简单、更强大。它提供了高于应用级代理防火墙的性能和可扩展性。 ASA维持防火墙控制的网络间的安全外围。面向连接的状态ASA设计根据源和目的地址、随机TCP顺序号、端口号和附加TCP标志来创建进程流。所有向内和向外流量由到这些连接表条目的安全策略应用控制。
  
• 具有专利权的用户验证和授权--Cisco PIX防火墙系列通过直通式代理--获得专利的在防火墙处透明验证用户身份、允许或拒绝访问任意基于TCP或UDP的应用的方法，获得更高性能优势。该方法消除了基于UNIX系统的防火墙对相似配置的性价影响，并充分利用了Cisco安全访问控制服务器的验证和授权服务。
  
• 易管理性--Cisco PIX设备管理器（PDM）为企业和电信运营商用户提供他们所需特性，以方便他们轻松管理Cisco PIX防火墙。它拥有一个直观的图形用户界面（GUI），帮助您建立并轻松配置您的PIX防火墙。此外，范围广泛的实时、历史、信息报告提供了对使用趋势、性能基线和安全事件的关键视图。基于SSL技术的安全通信可有效地管理本地或远程Cisco PIX防火墙。 简言之，PDM简化了互联网安全性，使之成为经济有效的工具，来提高工作效率和网络安全性，以节约时间和资金。
  
• 标准虚拟专用网VPN选项功能--PIX免费提供基于软件的DES IPSec特性。此外，可选3DES，AES许可和加密卡可帮助管理员降低将移动用户和远程站点通过互联网或其他公共IP网络连接至公司网络的成本。PIX VPN实施基于新的互联网安全性（IPSec）和互联网密钥（IKE）标准，与相应的Cisco互联网络操作系统（Cisco IOS@）软件功能完全兼容。
  
• 高可靠性--PIX防火墙故障恢复选项确保高可用性并去除了单故障点。两个PIX防火墙并行运行，如果一个发生错误操作，第二个PIX防火墙自动维护安全操作。
  
• NP结构的高端防火墙－思科公司的高端防火墙6503/6506/6509采用最先进的NP网络处理器技术，提供目前业界最高的5.5的防火墙处理能力，高达100万个连接和每秒10万个连接的处理能力，为电信用户和大规模的企业网络提供了良好的安全保证
  
• 支持多服务语音、视频－思科公司的防火墙系列可以很好的支持语音和视频的各种服务，如H.323，SIP等多种协议，为网络走向安全的多服务体系提供了有力的保证
  
• 提供丰富的防火墙功能－思科公司的防火墙系列除了可以支持传统的防火墙功能，如NAT/PAT，访问控制列表等以外，还提供业界领先的丰富功能，如虚拟防火墙及资源限制，透明防火墙等

思科防火墙技术功能特性

思科防火墙技术提供非常丰富的防火墙安全功能：

IP地址控制技术－内部地址的转换（Translation of Internal Addresses）

网络地址转换（NAT）的作用是将内部接口上的主机地址转换为与外部接口相关的“全球地址”。这样能防止将主机地址暴露给其它网络接口。

• 如果想保护的地址只访问机构内的其它网络，可以针对转换地址池使用任何一组“专用”地址。例如，当与销售部门的网络（与PIX Firewall的周边接口相连）连接时，如果想防止财务部门网络（与PIX Firewall上的外部接口相连）上的主机地址被暴露，可以借助销售部网络上的任何一组地址建立转换。这样，财务部网络上的主机就好象是销售部网络的本地地址一样。
  
• 如果想保护的地址需要互联网接入，可以只为转换地址池使用NIC注册的地址。 考虑NAT时，必须要考虑是否有等量的外部主机地址。如果没有，在建立连接时，某些内部主机就无法获得网络访问。这种情况下，用户可以申请增加NIC注册地址，也可以使用端口地址转换（PAT），PAT能够用一个外部地址管理多达64,000个同时连接。

PAT使用端口重映射，它允许一个有效的IP地址支持64,000个活跃xlate对象的源IP地址转换。PAT能够减少支持专用或无效内部地址方案所需的全球有效IP地址数量。由于能够向外部网络隐藏内部网络的真实网络身份，因此，PAT能够提高安全性。

思科 PIX 防火墙上的另一种地址转换是静态转换。静态转换能够为内部地址指定一个固定的外部IP地址。对于需要固定IP地址以便接受公共互联网访问的服务器来讲，这个功能非常有用。

思科 PIX 防火墙Identity特性可以关闭地址转换。如果现有内部系统拥有有效的全球唯一地址 ，Identity特性可以有选择地关闭这些系统的NAT和PAT。这个特性使外部网络能够看到内部网络的地址。

切入型代理（Cut-Through Proxy）

切入型代理是思科 PIX 防火墙的独特特性，能够基于用户对向内或外部连接进行验证。与在OSI模型的第七层对每个包进行分析（属于时间和处理密集型功能）的代理服务器不同，PIX Firewall首先查询认证服务器，当连接获得批准之后建立数据流。之后，所有流量都将在双方之间直接、快速地流动, 性能非常高。 借助这个特性可以对每个用户ID实施安全政策。在连接建立之前，可以借助用户ID和密码进行认证。它支持认证和授权。用户ID和密码可以通过最初的HTTP、Telnet或FTP连接输入。

与检查源IP地址的方法相比，思科的切入型代理能够对连接实施更详细的管理。在提供向内认证时，需要相应地控制外部用户使用的用户ID和密码（在这种情况下，建议使用一次性密码）。

防范攻击（Protecting Your Network from Attack）

思科 PIX 防火墙可以控制与某些袭击类型相关的网络行为，比如：

• 单播反向路径发送
• Flood Guard
• FragGuard和虚拟重组
• DNS控制
• ActiveX阻挡
• Java 过滤
• URL 过滤

单播反向路径发送（Unicast Reverse Path Forwarding）

单播反向路径发送（单播RPF）也称为“反向路径查询”，它提供向内和向外过滤，以便预防IP欺诈。这个特性能够检查向内传输的包的IP源地址完整性，保证去往受控区域以外的主机的包拥有可以在实施实体本地路由表时由路径验证的IP源地址。

Flood Guard

Flood Guard能控制AAA服务对无应答登录企图的容忍度。这个功能尤其适合防止AAA服务上的拒绝服务（DoS）袭击，并能改善AAA系统使用情况。默认状态下，这个命令是打开的，可以用floodguard 1命令控制。

Flood Defender

Flood Defender能够防止内部系统受到拒绝服务袭击，即用TCP SYN包冲击接口。要使用这个特性，可以将最大初始连接选项设置为nat和static命令。

TCP Intercept特性能够保护可通过静态和TCP管线访问到的系统。这个特性能够保证，一旦到达任选的初始连接极限，那么，去往受影响的服务器的每个SYN都将被截获，直到初始连接数量低于此阈值为止。对于每个SYN，PIX Firewall还能以服务器的名义用空SYN/ACK进行响应。PIX Firewall能够保留永久性状态信息，丢弃包，并等待客户机的认可。

FragGuard和虚拟重组（FragGuard and 虚拟重组）

FragGuard和虚拟重组能够提供IP网段保护。这个特性能够提供所有ICMP错误信息的全面重组以及通过PIX Firewall路由的其余IP网段的虚拟重组。虚拟重组属于默认功能。这个特性使用系统日志记录网段重叠，并用小网段补偿异常情况，尤其是由teardrop.c袭击引起的异常情况。