Cisco Systems, Inc. 思科系統公司是全球領先的互聯網設備供給商。它的網絡設備和應用方案將世界各地的人、計算設備以及網絡聯結起來，使人們能夠隨時隨地利用各種設備傳送信息。思科公司向客戶提供端到端的網絡方案，使客戶能夠建立起其自己的統一信息基礎設施或者與其他網絡相連。

思科公司提供業界范圍最廣的網絡硬件產品、互聯網操作系統（IOS）軟件、網絡設計和實施等專業技術支持，并與合作伙伴合作提供網絡維護、優化等方面的技術支持和專業化培訓服務。

思科公司及其客戶天天都在為推進互聯網的發展而努力。思科相信，互聯網的發展將極大地改變企業的運營方式，產生"全球網絡經濟"模式。這一模式使任何規模的企業都能使用信息交換技術來保持一種強大、交互性的業務關系。思科公司自身就是"全球網絡經濟"模式的受益者。利用跨越互聯網以及內部網的網絡應用，運營成本大幅降低，直接收入增加。思科公司目前擁有全球最大的互聯網商務站點，公司全球業務90％的交易是在網上完成的。

思科在中國

隨著全球經濟一體化進程的加快，思科系統公司非常重視這一態勢，及時進入中國市場，并先后在北京（1994年8月）、上海（1995年9月）、廣州（1996年3月）和成都（1996年5月）設立了代表處。

1998年6月2日，思科系統公司總裁兼首席執行官約翰

• 錢伯斯先生自擔任這個職位以來首次訪華，公布建立思科系統（中國）網絡技術有限公司，統領思科在華各項業務；在北京建立網絡技術實驗室，為國內網絡技術機構提供網絡解決方案的性能測試、ATM寬帶交換機的性能測試、千兆位路由光纖傳輸和虛擬局域網的性能評估測試。這是思科系統公司在全球的三個大型實驗室之一，也是它在亞洲最大的網絡實驗室。

1999年1月14日，思科系統公司又投資數百萬美元加強其在中國的客戶支持體系，在北京建立技術支持中心。這個中心是思科系統公司全球四大技術支持中心之一，向思科系統公司在中國的合作伙伴和用戶提供每周7天、天天24小時的軟硬件維護及支持服務。

從1998年6月至今，中國國家主席江澤民先后兩次親切接見了到訪的思科系統公司總裁兼首席執行官約翰

• 錢伯斯先生，鼓勵思科系統公司為推進中國社會信息化建設貢獻力量。

思科系統公司十分重視幫助中國教育和培養網絡人才，先后與國內160多所聞名高校合作成立了思科網絡技術學院。思科每年在國內舉辦數十場技術報告會和研討會，向國內介紹當今世界最新網絡技術和產品。從1998年始，思科大學每季度都組織針對經銷商和用戶的不同主題的技術培訓。

思科系統公司在中國的服務與支持日臻完善。目前，除已建成北京技術支持中心（TAC）和北京、上海、廣州、成都備件庫外，還提供中文3W服務與支持，包括24小時全球電話熱線服務和中文電子郵件服務以及各種技術培訓。經驗豐富的思科工程師不僅為用戶解決各種問題帶來了極大方便，更重要的是加強了思科系統（中國）網絡技術有限公司代理商的技術能力，使其能更好地在第一線為用戶提供直接的支持。

在中國，思科系統公司積極謀求和其他廠商廣泛的、全方位的、深層次的合作。面對不同的市場需求和用戶群，思科系統中國公司有四種不同的合作伙伴體系-分銷代理體系、認證合作伙伴體系、戰略聯盟合作伙伴體系、培訓合作伙伴體系。這四種體系的完美組合與協調，使思科系統公司的用戶可以享受全方位的技術支持、系統維護、人員培訓等服務。

多年來，思科系統公司積極參與了中國幾乎所有大型網絡項目的建設，把最先進的網絡技術和產品以最快的速度帶給中國用戶，使他們能夠及時改善計算機網絡及相關基礎設施。這些項目既包括中國金融骨干網、中國教育科研網以及海關、郵政等系統網絡的建設，也包括中國電信、中國聯通和吉通公司等電信運營商的網絡基礎建設；既有全國范圍的骨干網絡建設，也有針對新興電信增值業務的設備部署。

中國社會信息化、網絡化建設不僅需要領先的網絡技術和設備，更需要正確建立和充分應用互聯網的成功經驗和策略咨詢。思科互聯網商業方案部（IBSG）積極與用戶分享思科應用互聯網的成功經驗。在《財富》"全球500強"企業中，已有280多家企業的總裁和首席信息官分享了思科經驗。美國《商業周刊》對此評論說，由于思科處在互聯網經濟的核心，它比任何其他公司都更適合于領導和推動全球經濟企業發展向互聯網轉型。

思科系統公司為建設一個信息化的中國社會不斷貢獻著自己的力量。

思科公司在網絡安全市場－防火墻的領導地位

思科公司的PIX防火墻產品自面世以來就得到用戶的信賴和認可，連續多年在全球防火墻市場份額均居所有安全廠商之首，在中國也不例外，思科公司的PIX防火墻高居中國防火墻市場份額。到目前為止，思科公司擁有覆蓋全國，主要涉及、電信、金融、、能源、交通、教育、流通、郵政、制造等行業的用戶，有非常廣泛的用戶群和實際防火墻實施經驗。

防火墻技術發展與思科防火墻技術

防火墻技術

防火墻所能起到的保護能力與其體系結構和運行機制有很大的關系，每一次體系結構上的演變都會帶來防火墻功能的質的飛躍。防火墻的基本結構可以分為包過濾和應用代理兩種。包過濾技術關注的是網絡層和傳輸層的保護，而應用代理則更關心應用層的保護。

包過濾是歷史最久遠的防火墻技術，從實現上分，可以分為簡單包過濾和狀態檢測的包過濾兩種。

• 簡單包過濾是對單個包的檢查，目前絕大多數路由器產品都提供這樣的功能。由于這類技術不能跟蹤TCP的狀態，所以對TCP層的控制能力有限，當在這樣的產品上配置了僅答應從內到外的TCP訪問時，一些以TCP應答包的形式進行的攻擊仍然可以從外部透過防火墻對內部的系統進行攻擊。簡單包過濾的產品由于其保護的不完善，1999年開始已經很少在主流產品中出現了。
  
• 狀態檢測的包過濾利用狀態表跟蹤每一個網絡會話的狀態，對每一個包的檢查不僅根據規則表，更考慮了數據包是否符合會話所處的狀態。因而提供了更完整的對傳輸層的控制能力。同時由于一系列優化技術的采用，狀態檢測包過濾的性能也明顯優于簡單包過濾產品，尤其是在一些規則復雜的大型網絡上。

應用代理防火墻可以說就是為防范應用層攻擊而設計的。應用代理也算是一個歷史比較長的技術，通常的表現形式是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信，所有通信都必須經應用層的代理轉發，訪問者任何時候都不能與服務器建立直接的TCP連接，應用層的協議會話過程必須符合代理的安全策略的要求。針對各種應用協議的代理防火墻提供了豐富的應用層的控制能力?？梢赃@樣說，狀態檢測包過濾規范了網絡層和傳輸層行為，而應用代理則是規范了特定的應用協議上的行為。

防火墻防御攻擊的幾種常用技術

深度數據包處理

深度數據包處理有時被稱為深度數據包檢測或者語義檢測，它就是把多個數據包關聯到一個數據流當中，在尋找攻擊異常行為的同時，保持整個數據流的狀態。深度數據包處理要求以極高的速度分析、檢測及重新組裝應用流量，以避免給應用帶來時延。

防火墻技術

應用層攻擊涉及多種數據包，并且經常涉及多種請求，即不同的數據流。流量分析系統要發揮功效，就必須在用戶與應用保持互動的整個會話期間，能夠檢測數據包和請求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協議，并且在整個數據流而不是僅僅在單個數據包中尋找惡意模式。

SSL終止

如今，幾乎所有的安全應用都使用HTTPS確保通信的保密性。然而，SSL數據流采用了端到端加密，因而對被動探測器如入侵檢測系統（IDS）產品來說是不透明的。為了阻止惡意流量，應用防火墻必須終止SSL，對數據流進行解碼，以便檢查明文格式的流量。這是保護應用流量的最起碼要求。假如安全策略不答應敏感信息在未加密的前提下通過網絡傳輸，就需要在流量發送到Web服務器之前重新進行加密的解決方案。

URL過濾

一旦應用流量呈明文格式，就可以檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，譬如可疑的統一代碼編碼（unicode encoding）。對URL過濾采用基于特征的方案，僅僅尋找匹配定期更新的特征、過濾掉與已知攻擊的URL，但這還遠遠不夠。需要一種方案不僅能檢查RUL，還能檢查請求的其余部分；把應用響應考慮進來，可以大大提高檢測攻擊的準確性。

用戶會話跟蹤

更先進的技術就是用戶會話跟蹤。這是應用流量狀態檢測技術的最基本部分：跟蹤用戶會話，把單個用戶的行為關聯起來。這項功能通常借助于通過URL重寫（URL rewriting）來使用會話信息塊加以實現。只要跟蹤單個用戶的請求，就能夠對信息塊實行極其嚴格的檢查。這樣就能有效防御會話劫持（session-hijacking）及信息塊中毒（cookie-poisoning）類型的漏洞。有效的會話跟蹤不僅能夠跟蹤應用防火墻創建的信息塊，還能對應用生成的信息塊進行數字簽名，以保護這些信息塊不被人篡改。這需要能夠跟蹤每個請求的響應，并從中提取信息塊信息。

響應模式匹配

響應模式匹配為應用提供了更全面的保護：它不僅檢查提交至Web服務器的請求，還檢查Web服務器生成的響應。它能極其有效地防止網站受毀損，或者更確切地說，防止已毀損網站被瀏覽。對響應里面的模式進行匹配相當于在請求端對URL進行過濾。響應模式匹配分三個級別：防毀損工作由應用防火墻來進行，它對站點上的靜態內容進行數字簽名，假如發現內容離開Web服務器后出現了改動，防火墻就會用原始內容取代已毀損頁面；對付敏感信息泄露方面，應用防火墻會監控響應，尋找可能表明服務器有問題的模式，譬如一長串java異常符，假如發現這類模式，防火墻就會把它們從響應當中剔除，或者干脆封阻響應。

行為建模

行為建模有時稱為積極的安全模型或“白名單”（white list）安全，它是唯一能夠防御最棘手的應用漏洞--零時間漏洞的保護機制。零時間漏洞是指未寫入文檔或“還不知道”的攻擊。對付這類攻擊的唯一機制就是只答應已知是良好行為的行為，其它行為一律禁止。這項技術要求對應用行為進行建模，這反過來就要求全面分析提交至應用的每個請求的每次響應，目的在于識別頁面上的行為元素，譬如表單域、按鈕和超文本鏈接。這種級別的分析可以發現惡意表單域及隱藏表單域操縱類型的漏洞，同時對答應用戶訪問的URL實行極其嚴格的監控。行為建模是一種很好的概念，但其功效往往受到自身嚴格性的限制。某些情況大量使用javascript或者應用故意偏離行為模型都會導致行為建模犯錯，從而引發誤報，拒絕合理用戶訪問應用。行為建模要發揮作用，就需要一定程度的人為干預，以提高安全模型的準確性。

思科防火墻技術

狀態檢測包過濾和應用代理這兩種技術目前仍然是防火墻市場中普遍采用的主流技術，Cisco Secure PIX防火墻基于此兩種防火墻技術的基礎上，提供空前的安全保護能力，它的保護機制的核心是能夠提供面向靜態連接防火墻功能的自適應安全算法（ASA）。ASA自適應安全算法與包過濾相比，功能更加強勁；另外，ASA與應用層代理防火墻相比，其性能更高，擴展性更強。 ASA可以跟蹤源和目的地址、傳輸控制協議（TCP）序列號、端口號和每個數據包的附加TCP標志。只有存在已確定連接關系的正確的連接時，訪問才被答應通過PIX防火墻。這樣，內部和外部的授權用戶就可以透明地訪問企業資源，同時保護內部網絡不會受到非授權訪問的侵襲。

另外，思科公司的專用實時嵌入式系統還能進一步提高Cisco Secure PIX防火墻系列的安全性。雖然UNIX服務器是廣泛采用公開源代碼的理想開放開發平臺，但通用的操作系統并不能提供最佳的性能和安全性。而專用的 Cisco Secure PIX防火墻是為了實現安全、高性能的保護而專門設計。

• 適應性安全算法（Adaptive Security Algorithm）
  
• 適應性安全算法（ASA）是一種狀態安全方法。每個向內傳輸的包都將按照適應性安全算法和內存中的連接狀態信息進行檢查。安全業界人士都認為，這種默認安全方法要比無狀態的包屏蔽方法更安全。

ASA無需配置每個內部系統和應用就能實現單向（從內到外）連接。ASA一直處于操作狀態，監控返回的包，目的是保證這些包的有效性。為減小TCP序列號襲擊的風險，它總是主動對TCP序列號作隨機處理。

當向外包到達PIX Firewall上安全等級較高的接口時，PIX Firewall將根據適應性安全算法檢查包是否有效，以及前面的包是否來自于此臺主機。假如不是，則包將被送往新的連接，同時，PIX Firewall將在狀態表中為此連接產生一個轉換插槽。PIX Firewall保存在轉換插槽中的信息包括內部IP地址以及由網絡地址轉換（NAT）、端口地址轉換（PAT）或者Identity（將內部地址作為外部地址使用）分配的全球唯一IP地址。然后，PIX Firewall將把包的源IP地址轉換成全球唯一地址，根據需要修改總值和其它字段，然后將包發送到安全等級較低的接口。

當向內傳輸的包到達外部接口時，首先接受PIX Firewall適應性安全條件的檢查。假如包能夠通過安全測試，則PIX Firewall刪除目標IP地址，并將內部IP地址插入到這個位置。包將被發送到受保護的接口。

ASA適用于動態轉換插槽和靜態轉換插槽。靜態轉換插槽用static命令產生，動態轉換插槽用global命令產生。總之，兩種轉換插槽都可以稱為“xlates”。ASA遵守以下規則：

• 假如沒有連接和狀態，任何包都不能穿越PIX Firewall；
  
• 假如沒有訪問控制表的非凡定義，向外連接或狀態都是答應的。向外連接指產生者或客戶機的安全接口等級高于接收者或服務器。最安全的接口總是內部接口，最不安全的接口總是外部接口。周邊接口的安全等級處于內部接口和外部接口之間；
  
• 假如沒有非凡定義，向內連接或狀態是不答應的。向內連接或狀態指產生者或客戶機的安全接口/網絡等級低于接收者或服務器。用戶可以為一個xlate（轉換）應用多個例外。這樣，就可以從互聯網上的任意機器、網絡或主機訪問xlate定義的主機；
  
• 假如沒有非凡定義，所有ICMP包都將被拒絕；
  
• 違反上述規則的所有企圖都將失敗，而且將把相應信息發送至系統日志。

PIX Firewall處理UDP數據傳輸的方式與TCP相同。為使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作，PIX Firewall執行了非凡處理。當UDP包從內部網絡發出時，PIX Firewall將生成UDP“連接”狀態信息。假如與連接狀態信息相匹配，這些流量帶來的答復包將被接受。經過一小段時間的靜默之后，連接狀態信息將被刪除。

“ASA適應性安全算法”與“數據包內容過濾”的比較

到目前為止，大量的包過濾防火墻仍完全不具備應用層保護能力，有些產品甚至連狀態檢測都不具備，這里所提到的“數據包內容過濾”是指那些能夠提供對數據包內容進行檢測的包過濾產品。

首先應用代理與數據包內容過濾不同，應用代理之所以能夠對應用層進行完整的保護，在于其借助操作系統的TCP協議棧對于出入網絡的應用數據包進行完全重組，并從操作系統提供的接口（socket）中以數據流的方式提取應用層數據；而包過濾防火墻中的數據包內容過濾僅能對當前正在通過的單一數據包的內容進行分析和判定，這兩者在保護能力上存在本質的不同。舉個例子來說，一個攜帶攻擊特征的URL訪問可能有256個字節，假如它們在一個數據包中傳送，那么兩種技術的防火墻都能夠發現并攔截，但是假如這個URL被TCP協議棧分解成10個小的IP數據包，并且以亂序的方式發送給目標服務器，則包過濾防火墻根本無法識別這個攻擊的企圖。而應用代理則完全不會受到干擾，依然能夠識別并進行攔截，因為數據包在網關的TCP協議棧中被按照正確的順序有效的重新組合成數據流后才到達防火墻的過濾模塊，它看到的仍然是完整的數據流。

基于ASA適應性安全算法的思科防火墻能夠提供近似于代理防火墻的應用層保護能力，要害在于其ASA適應性安全算法架構中的狀態連接，依據TCP協議的定義對出入防火墻的數據包進行了完整的重組，重組后的數據流交給應用層過濾邏輯進行過濾，從而可以有效的識別并攔截應用層的攻擊企圖。

“ASA適應性安全算法”與“應用代理（網關）”技術的比較

防火墻透明性

應用代理一般建立在操作系統中提供的socket接口之上，提供這個接口的普通TCP協議棧是為主機對外提供服務和對外進行訪問而實現的，為了使用這個協議棧進行數據包重組，防火墻本機必須存在TCP的訪問點，即IP地址和端口。這導致應用代理對于應用協議來說不可能是透明的，應用協議需要“知道”并且“答應”這個中間環節的存在。而這個條件在很多時候是不能夠滿足的。用戶假如要部署應用代理防火墻，通常要對其網絡拓撲結構和應用系統的部署進行調整。舉一個簡單的例子：我們必須在瀏覽器中設定代理網關的IP地址和端口才可能使瀏覽器按照存在一個中間代理的方式訪問網站，換句話說，瀏覽器需要“知道”這個代理的存在。那么對于其他類型的應用協議呢？很多時候，應用協議的設計并不答應我們在其中增加一個過濾環節，這意味著應用代理防火墻提供給用保護的協議范圍是有限的。

思科的ASA適應性安全算法則不同，它完全不需要用戶調整網絡結構和應用系統，它可以在防火墻的任何部署方式下提供完全一致的應用保護能力，這意味著用戶不需要為了獲得應用層保護能力而改變網絡結構和應用系統，也完全不需要調整應用層的保護策略（過濾規則），它會與原來完全等同的效果去執行。

比如用戶在一個已有的提供Web訪問的服務器群中又增加了一個Web服務器，用戶僅需要在PIX防火墻上增加一條針對該Web服務器漏洞的應用過濾規則即可以達到對該服務器的保護的目的，而服務器本身則完全不需要考慮防火墻的存在。

同樣對于任何提供的應用保護協議，都對網絡結構和應用系統完全透明，比如可以在交換模式下對通過防火墻的郵件標題進行要害字過濾，并對攜帶某些要害字的郵件采取“拋棄”的策略，則那些攜帶了某些要害字的“不好”的郵件在到達內部的郵件服務器前就完全“消失”了，無論是服務器還是該郵件的發送者都不會覺察，這樣的功能可以非常有效的防止垃圾郵件進入企業內部，并且非常輕易實施（不需要修改郵件服務器和DNS的配置）。

防火墻性能

防火墻中的TCP協議棧是專為防火墻的進行數據流轉發而設計的，其在數據分析過程中的拷貝次數、內存資源的開銷方面都優于普通操作系統的TCP協議棧。

應用代理系統使用操作系統的socket接口，對于任何一個通過防火墻的連接都必須消耗兩個socket資源，而這個資源在普通操作系統中是非常緊缺的，通常只能答應同時處理一、兩千個并發的連接，即使對于一個流量較小的網絡來說這也不是一個很大的數量。同時，典型的代理系統需要為每一個連接創建一個進程，當幾千個連接存在時，大量的進程會消耗掉非常多的內存，并使CPU在上下文切換中浪費掉大量的處理資源，系統的吞吐能力會急劇下降。

思科PIX防火墻不使用socket接口，而是采用了連接狀態表的技術，一個內核進程可以使用很小的開銷同時處理幾萬甚至幾十萬的并發連接。正是這種先進的技術使得思科PIX防火墻可以在非常繁忙的站點提供有效的高性能的應用層保護。

通過以上的分析，思科公司的ASA適應性安全算法基于狀態包過濾的體系結構，又結合了應用網關的特點，實現了高性能、可擴展、透明的對應用層協議的保護。

思科防火墻產品與眾不同特點簡介

• 絕對安全的黑盒子，非UNIX、安全、實時、內置系統--此特點消除了與通用的操作系統相關的風險，并使Cisco PIX防火墻系列能提供出色性能--高達50萬并發連接，比任何基于操作系統的防火墻高得多。
  
• 自適應安全算法--Cisco PIX防火墻系列的核心是自適應安全算法（ASA），這比分組過濾更簡單、更強大。它提供了高于應用級代理防火墻的性能和可擴展性。 ASA維持防火墻控制的網絡間的安全外圍。面向連接的狀態ASA設計根據源和目的地址、隨機TCP順序號、端口號和附加TCP標志來創建進程流。所有向內和向外流量由到這些連接表條目的安全策略應用控制。
  
• 具有專利權的用戶驗證和授權--Cisco PIX防火墻系列通過直通式代理--獲得專利的在防火墻處透明驗證用戶身份、答應或拒絕訪問任意基于TCP或UDP的應用的方法，獲得更高性能優勢。該方法消除了基于UNIX系統的防火墻對相似配置的性價影響，并充分利用了Cisco安全訪問控制服務器的驗證和授權服務。
  
• 易治理性--Cisco PIX設備治理器（PDM）為企業和電信運營商用戶提供他們所需特性，以方便他們輕松治理Cisco PIX防火墻。它擁有一個直觀的圖形用戶界面（GUI），幫助您建立并輕松配置您的PIX防火墻。此外，范圍廣泛的實時、歷史、信息報告提供了對使用趨勢、性能基線和安全事件的要害視圖?；赟SL技術的安全通信可有效地治理本地或遠程Cisco PIX防火墻。 簡言之，PDM簡化了互聯網安全性，使之成為經濟有效的工具，來提高工作效率和網絡安全性，以節約時間和資金。
  
• 標準虛擬專用網VPN選項功能--PIX免費提供基于軟件的DES IPSec特性。此外，可選3DES，AES許可和加密卡可幫助治理員降低將移動用戶和遠程站點通過互聯網或其他公共IP網絡連接至公司網絡的成本。PIX VPN實施基于新的互聯網安全性（IPSec）和互聯網密鑰（IKE）標準，與相應的Cisco互聯網絡操作系統（Cisco IOS@）軟件功能完全兼容。
  
• 高可靠性--PIX防火墻故障恢復選項確保高可用性并去除了單故障點。兩個PIX防火墻并行運行，假如一個發生錯誤操作，第二個PIX防火墻自動維護安全操作。
  
• NP結構的高端防火墻－思科公司的高端防火墻6503/6506/6509采用最先進的NP網絡處理器技術，提供目前業界最高的5.5的防火墻處理能力，高達100萬個連接和每秒10萬個連接的處理能力，為電信用戶和大規模的企業網絡提供了良好的安全保證
  
• 支持多服務語音、視頻－思科公司的防火墻系列可以很好的支持語音和視頻的各種服務，如H.323，SIP等多種協議，為網絡走向安全的多服務體系提供了有力的保證
  
• 提供豐富的防火墻功能－思科公司的防火墻系列除了可以支持傳統的防火墻功能，如NAT/PAT，訪問控制列表等以外，還提供業界領先的豐富功能，如虛擬防火墻及資源限制，透明防火墻等

思科防火墻技術功能特性

思科防火墻技術提供非常豐富的防火墻安全功能：

IP地址控制技術－內部地址的轉換（Translation of Internal Addresses）

網絡地址轉換（NAT）的作用是將內部接口上的主機地址轉換為與外部接口相關的“全球地址”。這樣能防止將主機地址暴露給其它網絡接口。

• 假如想保護的地址只訪問機構內的其它網絡，可以針對轉換地址池使用任何一組“專用”地址。例如，當與銷售部門的網絡（與PIX Firewall的周邊接口相連）連接時，假如想防止財務部門網絡（與PIX Firewall上的外部接口相連）上的主機地址被暴露，可以借助銷售部網絡上的任何一組地址建立轉換。這樣，財務部網絡上的主機就好象是銷售部網絡的本地地址一樣。
  
• 假如想保護的地址需要互聯網接入，可以只為轉換地址池使用NIC注冊的地址。 考慮NAT時，必須要考慮是否有等量的外部主機地址。假如沒有，在建立連接時，某些內部主機就無法獲得網絡訪問。這種情況下，用戶可以申請增加NIC注冊地址，也可以使用端口地址轉換（PAT），PAT能夠用一個外部地址治理多達64,000個同時連接。

PAT使用端口重映射，它答應一個有效的IP地址支持64,000個活躍xlate對象的源IP地址轉換。PAT能夠減少支持專用或無效內部地址方案所需的全球有效IP地址數量。由于能夠向外部網絡隱藏內部網絡的真實網絡身份，因此，PAT能夠提高安全性。

思科 PIX 防火墻上的另一種地址轉換是靜態轉換。靜態轉換能夠為內部地址指定一個固定的外部IP地址。對于需要固定IP地址以便接受公共互聯網訪問的服務器來講，這個功能非常有用。

思科 PIX 防火墻Identity特性可以關閉地址轉換。假如現有內部系統擁有有效的全球唯一地址 ，Identity特性可以有選擇地關閉這些系統的NAT和PAT。這個特性使外部網絡能夠看到內部網絡的地址。

切入型代理（Cut-Through PRoxy）

切入型代理是思科 PIX 防火墻的獨特特性，能夠基于用戶對向內或外部連接進行驗證。與在OSI模型的第七層對每個包進行分析（屬于時間和處理密集型功能）的代理服務器不同，PIX Firewall首先查詢認證服務器，當連接獲得批準之后建立數據流。之后，所有流量都將在雙方之間直接、快速地流動, 性能非常高。 借助這個特性可以對每個用戶ID實施安全政策。在連接建立之前，可以借助用戶ID和密碼進行認證。它支持認證和授權。用戶ID和密碼可以通過最初的HTTP、Telnet或FTP連接輸入。

與檢查源IP地址的方法相比，思科的切入型代理能夠對連接實施更具體的治理。在提供向內認證時，需要相應地控制外部用戶使用的用戶ID和密碼（在這種情況下，建議使用一次性密碼）。

防范攻擊（Protecting Your Network from Attack）

思科 PIX 防火墻可以控制與某些襲擊類型相關的網絡行為，比如：

• 單播反向路徑發送
  
• Flood Guard
  
• FragGuard和虛擬重組
  
• DNS控制
  
• ActiveX阻擋
  
• Java 過濾
  
• URL 過濾
  

單播反向路徑發送（Unicast Reverse Path Forwarding）

單播反向路徑發送（單播RPF）也稱為“反向路徑查詢”，它提供向內和向外過濾，以便預防IP欺詐。這個特性能夠檢查向內傳輸的包的IP源地址完整性，保證去往受控區域以外的主機的包擁有可以在實施實體本地路由表時由路徑驗證的IP源地址。

Flood Guard

Flood Guard能控制AAA服務對無應答登錄企圖的容忍度。這個功能尤其適合防止AAA服務上的拒絕服務（DoS）襲擊，并能改善AAA系統使用情況。默認狀態下，這個命令是打開的，可以用floodguard 1命令控制。

Flood Defender

Flood Defender能夠防止內部系統受到拒絕服務襲擊，即用TCP SYN包沖擊接口。要使用這個特性，可以將最大初始連接選項設置為nat和static命令。

TCP Intercept特性能夠保護可通過靜態和TCP管線訪問到的系統。這個特性能夠保證，一旦到達任選的初始連接極限，那么，去往受影響的服務器的每個SYN都將被截獲，直到初始連接數量低于此閾值為止。對于每個SYN，PIX Firewall還能以服務器的名義用空SYN/ACK進行響應。PIX Firewall能夠保留永久性狀態信息，丟棄包，并等待客戶機的認可。

FragGuard和虛擬重組（FragGuard and 虛擬重組）

FragGuard和虛擬重組能夠提供IP網段保護。這個特性能夠提供所有ICMP錯誤信息的全面重組以及通過PIX Firewall路由的其余IP網段的虛擬重組。虛擬重組屬于默認功能。這個特性使用系統日志記錄網段重疊，并用小網段補償異常情況，尤其是由teardrop.c襲擊引起的異常情況。

DNS控制（DNS Control）

PIX Firewall能夠識別每個向外的DNS（域名服務）分解請求，而且只答應有一個DNS響應。為獲得答復，主機可以查詢幾臺服務器（以防第一臺服務器答復過慢），但是，只有第一個請求答復有效。其它請求答復將被防火墻丟棄。

ActiveX阻擋（ActiveX Blocking）

AcitveX控制以前稱為OLE或者OCX控制，這種組件可以插入到Web頁面或者其它應用。PIX Firewall ActiveX阻擋特性能夠阻擋Html 命令，并在HTML Web頁面以外予以說明。作為一種技術，ActiveX可能會給網絡客戶機帶來許多潛在問題，包括致使工作站發生故障，引發網絡安全問題，被用于襲擊服務器，或者被主機用于襲擊服務器等。

Java 過濾

Java過濾特性可用于防止受保護網絡上的系統下載Java小應用程序。Java小應用程序指可執行的程序，它可能會受到某些安全政策的禁止，因為它們存在漏洞，可能會使受保護網絡遭到襲擊。

URL過濾

PIX Firewall URL過濾與Websense產品一起提供。PIX Firewall用Websense服務器上制定的政策檢查外出的URL請求，這些政策在Windows NT或UNIX上運行。

根據Websense服務器的答復，PIX Firewall接受或拒絕連接。這臺服務器檢查請求，保證這些請求不具備不適合商業用途的17種Web站點特征。由于URL過濾在獨立平臺上處理，因此，不會給PIX Firewall帶來其它性能負擔。欲知詳情，請訪問以下Web站點： http://www.websense.com。

可配置的代理呼叫（Configurable Proxy Pinging）

可配置的代理呼叫功能可以控制對PIX Firewall接口的ICMP訪問。這個特性能夠將PIX Firewall接口隱藏起來，以防被外部網絡上的用戶刪除。

Mail Guard

Mail Guard能夠為從外部到內部消息服務器的簡單郵件傳輸協議（SMTP）連接提供安全接入。借助這個特性，可以在內部網絡中部署一臺郵件服務器，而且這臺郵件服務器不會出現某些SMTP服務器實施方案常見的安全問題。這個方法的好處之一是無需使用郵件中繼（或堡壘主機）系統。為避免損害SMTP服務器系統，Mail Guard只使用了少量SMTP命令。這個特性還能記錄所有SMTP連接。

多媒體支持（Multimedia Support）

思科 PIX 防火墻提供的支持多媒體應用的特性：

• 支持的多媒體應用
• RAS第2版本
• RTSP
• RealAudio
• Streamworks
• CU-SeeMe
• 互聯網 Phone
• IRC
• Vxtreme
• VDO Live

創建虛擬專用網（Creating a Virtual Private Network）

借助VPN，您可以將分布在世界各地的用戶以及公共互聯網上的站點安全地互連在一起。與基于傳統廣域網的幀中繼或撥號連接相比，VPN不但能降低成本，提高可靠性，還能簡化治理。VPN的安全性和治理政策與專用網絡相同。借助VPN，客戶、商業合作伙伴以及遠程工作者等遠程用戶可以安全地訪問企業的計算資源。

IPSec是一種標準，它規定了建立VPN的獨立于廠商方法。作為安全功能的一部分，PIX Firewall提供基于IPSec標準的VPN功能。借助IPSec，當數據在公共網上傳輸時，用戶無需擔心數據會被查看、篡改或欺詐。

IPSec提供了兩臺對等設備之間的安全通道，例如兩個PIX Firewall單元之間的安全通道。用戶可以自己確定哪些包屬于敏感信息，應該通過這些安全通道發送。通過確定這些通道的特性，用戶還可以確定應該使用哪些參數保護這些敏感包。當IPSec對等設備看到敏感包時，它將建立相應的安全通道，并通過通道將包發送給遠程用戶。用于傳輸信息的安全通道基于加密密鑰以及安全協會（SA）規定的其它安全參數。

與IPSec SA的人工配置相似，IKE SA可以通過預共享密鑰建立。但是，這種方法也存在人工配置IPSec SA的擴展問題。認證機構（CA）提供了一種可擴展的方法，能夠共享密鑰以建立IKE SA。

站點到站點VPN和遠程接入VPN是VPN的兩個類型，思科PIX Firewall同時支持這兩種VPN。

• 使用站點到站點VPN（Using a Site-to-Site VPN）

  
  站點到站點VPN是一種WAN基礎設施，能夠代替和增強使用租用線路、幀中繼或ATM連接遠程和分支辦公室和中心站點的現有專用網絡。對于站點到站點VPN，PIX Firewall可以與任何Cisco VPN型網絡設備互操作，例如Cisco VPN路由器。

• 使用遠程接入VPN（Using a Remote access VPN）

  PIX Firewall支持混合型VPN部署，包括站點到站點流量和遠程接入流量。遠程接入VPN使用模擬、數字、ISDN、DSL、移動IP和有線技術將移動用戶、遠程員工及其他獨立系統與PIX Firewall保護的網絡安全地連接在一起。借助以下Cisco遠程接入VPN應用，可以接入到受PIX Firewall保護的網絡中：

Failover故障恢復（PIX Firewall Failover）

借助PIX故障恢復特性，用戶可以用一條專用故障恢復線纜連接兩個相同的PIX Firewall設備，以便實現完全冗余的防火墻解決方案。

實施故障恢復時，一個設備作為主用設備，另一個作為備用設備。兩個設備的配置相同，而且運行相同的軟件版本。故障恢復線纜將兩個PIX Firewall設備連接在一起，使兩個設備能實現配置同步和通話狀態信息同步，這樣，當主用設備出現故障時，備用設備無需中斷網絡連接和破壞安全性就能快速接替主用設備的工作。

思科防火墻技術和同類產品的比較

防火墻技術的分類

防火墻從傳統概念分為軟件防火墻和硬件防火墻，防火墻軟件進入系統的層次越淺，對底層操作系統的安全依靠性就越小。軟件防火墻的最大特點是基于眾所周知的操作系統（windows NT，SUN Solaris，HP，SCO UNIX等），能安全控制存取訪問一個軟件。硬件防火墻采用專用的操作系統平臺，甚至將操作系統固化在芯片中，從整體來看，是一個硬件設備。

軟件防火墻由于技術的因素，有幾個致命的弱點：

• 軟件防火墻使用的多樣性是一個嚴重缺點，操作系統本身的缺陷可能成為軟件防火墻致命的弱點，而硬件防火墻的安全性則相對較高。
• 從速度上看，硬件防火墻的速度優勢是明顯的。軟件防火墻由于操作系統的限制，很輕易成為網絡的瓶頸，硬件防火墻則很好的消除了這個缺陷。
• 軟件防火墻的安裝，配置工作較為復雜，也不便于使用。

由于上述因素，目前軟件防火墻的市場越來越小，更多的是硬件防火墻，非凡是千兆級防火墻。

防火墻的硬件實現技術主要有三種：Intel X86架構工控機、ASIC硬件加速技術和NP加速技術。

Intel X86架構

以其高靈活性和擴展性在百兆防火墻上獲得過巨大的成功，百兆級的處理能力正好在這種架構的范圍里，因此百兆級防火墻采用此種結構的廠家較多，性價比也最好。

然而對于千兆網來說，X86架構的CPU由于考慮了各種應用的需要，具有一般化的通用 體系結構和指令集，以求支持復雜的運算并輕易開發新的功能，其處理速度相對較慢，可擴展性差，很難滿足千兆網絡對于高線速的需求。并且由于基于X86 體系結構的防火墻受CPU處理能力和PCI總線速度的制約，很難滿足千兆防火墻高吞吐量、低時延的要求。在實際應用中，尤其在小包情況下，這種結構的千兆 防火墻達不到千兆的轉發速度，難以滿足千兆骨干網絡的應用要求。

ASIC架構

通過把指令或計算邏輯固化到硬件中，可以獲得很高的處理能力。采用ASIC技術可以為防火墻應用設計專門的數據包處理流水線，優化存儲器等資源的 利用，是公認的使防火墻達到線速千兆，滿足千兆環境骨干級應用的技術方案。但是ASIC將指令或計算邏輯固化到了硬件中，缺乏靈活性，也不便于修改和升 級；深層次包分析（L4+）增加ASIC的復雜度，不能滿足千兆防火墻產品對網絡協議進行二到七層處理的需求；ASIC的開發周期長，典型設計周期18個 月；ASIC設計費用昂貴且風險較大。Netscreen是采用該技術的代表廠家。

NP（網絡處理器）

采用微碼編程，是專門為進行網絡分組處理而開發的，具有優化的體系結構和指令集，它的特點是內含了多個數據處理引擎，這些引擎可以并發進行數據處 理工作，在處理2到4層的分組數據上比通用處理器具有明顯的優勢，網絡處理器對數據包處理的一般性任務進行了優化，如TCP/IP數據的校驗和計算、包分 類、路由查找等，所以比X86 CPU具備更高的處理性能；而且NP有專門的指令集和配套的軟件開發系統，具有很強的編程能力，能夠方便地開發各種應用，支持可擴展的服務，因而比 ASIC更具靈活性。

同時硬件體系結構的設計也大多采用高速的接口技術和總線規范，具有較高的I/O能力。這樣基于網絡處理器的網絡設備的包處理能力得到了很大的提升。

它具有以下幾個方面的特性：

• 完全的可編程性；
• 簡單的編程模式；
• 最大化系統靈活性；
• 高處理能力；
• 高度功能集成；
• 開放的編程接口；
• 第三方支持能力。

以下具體描述NP 和ASIC在千兆防火墻的技術實現區別。

目前防火墻一個很大的局限性是速度不夠，真正達到線速的防火墻少之又少。防范DoS是防火墻一個很重要的任務，防火墻往往用在網絡出口，如造成網 絡堵塞，再安全的防火墻也無法應用。應用ASIC、FPGA和NP網絡處理器是實現高速防火墻的主要方法，但尤以采用網絡處理器最優，因為網絡處理器采用微碼 編程，可以根據需要隨時升級，甚至可以支持IPv6，而采用其他方法就不那么靈活。實現高速防火墻，算法也是一個要害，因為網絡處理器中集成了很多硬件協 處理單元，因此比較輕易實現高速。

采用NP技術的防火墻

網絡處理器是專門為處理數據包而設計的可編程處理器，它的特點是內含了多個數據處理引擎，這些引擎可以并發進行數據處理工作，在處理2到4層的分 組數據上比通用處理器具有明顯的優勢。網絡處理器對數據包處理的一般性任務進行了優化，如TCP/IP數據的校驗和計算、包分類、路由查找等。同時硬件體 系結構的設計也大多采用高速的接口技術和總線規范，具有較高的I/O能力。這樣基于網絡處理器的網絡設備的包處理能力得到了很大的提升。

它具有以下幾個方面的特性：完全的可編程性、簡單的編程模式、最大化系統靈活性、高處理能力、高度功能集成、開放的編程接口、第三方支持能力。

網絡處理器的軟件色彩使它具有更好的靈活性，在升級維護方面有較大的優勢。

基于網絡處理器架構的防火墻與基于通用CPU架構的防火墻相比，在性能上可以得到很大的提高。網絡處理器能彌補通用CPU架構性能的不足，同時又 不需要具備開發基于ASIC技術的防火墻所需要的大量資金和技術積累，成為實現高端千兆防火墻的最優選擇。思科公司的6503/6506/6509高端千兆防火墻就采用NP加速技術，性能高達5.5G。

采用ASIC技術的防火墻

采用ASIC技術可以為防火墻應用設計專門的數據包處理流水線，優化存儲器等資源的利用，是公認的使防火墻達到線速千兆，滿足千兆環境骨干級應用 的技術方案。但ASIC技術開發成本高、開發周期長且難度大，而且對新功能的實施周期長，很不靈活。 純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，跟不上當今防火墻功能的快速發展。

在開發難度、開發成本和開發周期方面，網絡處理器技術有比較明顯的優勢，究竟網絡處理器產生的一大原因就是降低這方面的門檻，這也是新一代的千兆防火墻產品選中網絡處理器的原因。

相信NP結構的防火墻將會領導新一代的防火墻產品，實現網絡安全的另一個變革。

總結

思科公司的PIX防火墻是硬件結構的CPU防火墻，在百兆級防火墻中遙遙領先。其硬件設計和性能完全滿足中小企業對百兆級流量控制的要求，因此思科的PIX防火墻系列以其穩定的運行，豐富的功能，足夠的性能，很高的性價比，優秀的品牌效應，將繼續領導百兆級防火墻市場。

思科公司的6503/6506/6509高端防火墻技術即是順應歷史潮流，在千兆級防火墻的產品上首先采用NP網絡處理器的結構，性能高達5.5Gbps，功能也非常豐富，而且對新功能的支持和改進周期很短，完全符合市場的需求，因此， 思科公司的6503/6506/6509高端防火墻一經面世，就得到用戶的信賴，在高端防火墻市場迅速崛起，占據了大量基于ASIC芯片技術的防火墻的市場，而且其發展趨勢是越來越好。