第8章 Cisco PIX防火墙

2020-02-27 1356浏览

  • 1.网络安全技术
  • 2.第 8 章 Cisco PIX 防火墙 PIX 防火墙的概述 PIX 防火墙系列产品介绍 PIX 防火墙的基本使用 PIX 防火墙的高级配置 PIX 防火墙攻击防护
  • 3.PIX 防火墙的概述 PIX 防火墙是 Cisco 端到端安全解决方案中 的一个关键组件,它是基于专用的硬件和软 件的安全解决方案,在不影响网络性能的情 况下,提供了高级安全保障。 PIX 防火墙使 用了包括数据包过滤、代理过滤以及状态检 测包过滤在内的混合技术,同时它也提高了 应用代理的功能,因此它被认为是一种混合 系统。
  • 4.PIX 防火墙的概述 PIX 防火墙具有如下的技术特点和优势 非通用、安全、实时和嵌入式系统 自适应性安全算法( ASA ) 直通型代理 基于状态的包过滤 高可靠性
  • 5.PIX 防火墙的概述  PIX 防火墙的核心是 ASA ( Adaptive Security Algorit hm, 自适应性安全算法)  自适应性安全算法( ASA )维护着防火墙控制下的网络的边界 安全。基于状态、面向连接的 ASA 设计在进行数据包过滤时, 首先基于源地址和目的地址、端口号建立会话流;然后在状态 型数据表中登记数据并产生一个会话对象;接着将输入和输出 的数据包与连接表中的会话对象进行比较,只有存在一条适当 的连接来准许通行时才允许数据包通过防火墙。而且它随机生 成初始的 TCP 序列号,在完成连接之前,跟踪端口号和其他的 TCP 标志。此功能始终处于运行状态,监视着返回的数据包, 确保它们是合法的;在没有明确配置的情况下,允许内部系统 和应用建立单向(从内到外)的连接。随机生成初始的 TCP 序 列号,能够把 TCP 序列号攻击的风险降低到最小。因为采用 A SA 的 PIX 防火墙没有包过滤防火墙复杂,但比它更健壮。
  • 6.PIX 防火墙的概述 ASA 的特点和优势有: ASA 提供了“基于状态的”连接安全,包括可跟踪源 和目的端口、地址、 TCP 序列号和其他的 TCP 标 志,以及可随机生成初始的 TCP 序列号。 默认情况下, ASA 允许来自内部(安全级别高) 接口的主机发出的到外部(或者其他安全级别低的 接口)主机的连接。 默认情况下, ASA 拒绝来自外部(安全级别低) 接口的主机发出的到内部(安全级别高)主机的连 接。 ASA 支持认证、授权和记账( AAA )。
  • 7.PIX 防火墙的概述 PIX 防火墙通过采取安全级别方式,来表明 一个接口相对另一个接口是可信(较高的安 全级别)还是不可信(较低的安全级别)。 安全级别的基本规则是:具有较高安全级别 的接口可以访问具有较低安全级别的接口。 反过来,在没有设置管道( conduit )和访 问控制列表( ACL )的情况下,具有较低安 全级别的接口不能访问具有较高安全级别的 接口。
  • 8.PIX 防火墙的概述 安全级别的范围 0 ~ 100 ,下面是针对这些安全级别 给出的更加具体的规则。 安全级别 100——PIX 防火墙的最高安全级别,被用于 内部接口,是 PIX 防火墙的默认设置,且不能改变。 安全级别 0——PIX 防火墙的最低安全级别,被用于外 部接口,是 PIX 防火墙的默认设置,且不能更改。 安全级别 1 ~ 99—— 这些是分配与 PIX 防火墙相连的 边界接口的安全级别,通常边界接口连接的网络被用 作停火区( DMZ )。可以根据每台设备的访问情况来 给它们分配相应的安全级别。
  • 9.PIX 防火墙的概述 注意:相同安全级别的接口之间没有数据流 即无法实现相互通信,因此不能将两个或多 个接口安全级别设成一样。 PIX 安全级别拓扑结构:
  • 10.PIX 防火墙系列产品介绍 自 1996 年以来,为了更好地满足小型和大 型客户对网络安全的需求, Cisco 将 PIX 防 火墙系列产品扩展到 5 种不同的型号。其中 包括 500 系列以及应用在 Cisco Catalyst 65 00 系列交换机和 Cisco 7600 系列路由器上 的基于 PIX 防火墙技术的 FWSM 模块。
  • 11.PIX 防火墙系列产品介绍 Cisco PIX 防火墙 500 系列产品能满足比较 广泛的需求和不同大小的网络规模目前包括 如下 5 种型号。 PIX 506 防火墙——它是为远程办公和小型办公室 / 家庭办公而设计 PIX 515 防火墙——它是为小型办公室和远程办公 设计 PIX 520 防火墙——它是为中小型企业和远程办公 设计 PIX 525 防火墙——适用于企业和服务提供商 PIX 535 防火墙——它是 500 系列中最强大的产品 ,为企业级和服务提供商用户设计
  • 12.PIX 防火墙系列产品介绍 PIX 防火墙 500 系列产品的规格
  • 13.PIX 防火墙系列产品介绍  在 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列 Internet 路由器上集成了一个增强吉比特( Multi Giga bit )级防火墙模块,这个模块叫做 FWSM 。它是一个 高性能平台,是针对高端企业客户和服务提供商设计的。 支持矩阵功能,可以和总线、交换矩阵进行交互操作。 FWSM 基于 PIX 防火墙技术,在交换机和路由器中提供 基于状态的防火墙功能。  FWSM 模块如图示:
  • 14.PIX 防火墙的基本使用 在使用任何一种 Cisco 设备时,命令行接口( C LI )都是用于配置、监视和维护设备的主要方 式。另外也可以通过图形化用户接口方式来配 置防火墙,例如 PIX 设备管理器 PDM ( PIX De vice Manager ) PDM 具体可以实现下列功能。 • 启动 PIX 防火墙接口、为接口分配地址。 • 配置主机名和密码。 • 配置地址转换 NAT 、 PPPoE 、简单的 VPN 、 DHCP 。 • 配置自动更新。 PDM 的具体使用和安装可以通过实训十三来具 体掌握,这里主要介绍命令行接口的使用。
  • 15.PIX 防火墙的基本使用 PIX 防火墙支持基于 Cisco IOS 的命令集,但在语 法上不完全相同。当使用某一特定命令时,必须 处于适当的模式, PIX 提供了 4 种管理访问模式 。 非特权模式( Unprivilege mode ),此模式是一种 非特权的访问方式,不能对配置进行修改,只能查看 防火墙有限的当前配置。 特权模式( Privilege mode ),此模式下可以改变当 前的设置,还可以使用各种在非特权模式下不能使用 的命令。 配置模式( Configuration mode ),此模式下可以 改变系统的配置。所有的特权、非特权和配置命令在 此模式下都能使用。 监控模式( Monitor mode ),此模式下可以通过网 络更新系统映像,通过输入命令,指定简易文件传输 协议( TFTP )服务器的位置,并下载二进制映像。
  • 16.PIX 防火墙的基本使用 PIX 防火墙访问模式
  • 17.PIX 防火墙的基本使用 在使用 PIX 防火墙时有许多通用的维护配 置命令,表中的命令用于配置、维护和测 试 PIX 防火墙,通常在特权模式下使用。
  • 18.PIX 防火墙的基本使用 PIX 防火墙基本命令使用(续)
  • 19.PIX 防火墙的基本使用 有 6 个基本配置命令被认为是 PIX 防火墙 的基础。 其中 nameif 、 interface 和 ip address 是 用于接口的设置,必不可少。 nat 、 global 和 route 命令提供地址翻译 和路由的作用,用于不同网络之间的通信。  此 6 个命令通常在配置模式下使用。
  • 20.PIX 防火墙的基本使用 PIX 防火墙 6 个配置命令使用
  • 21.PIX 防火墙的口令恢复 恢复 PIX 的口令是通过运行相应软件覆盖 当前运行的口令实现的。该软件可以从 Ci sco 站点下载,当然购买防火墙设备附带 的光盘中也包含这两个文件。 rawrite.exe (下载网址 http : //www.csic o.com/warp/public/110/34.shtml )。 按照上述网址,根据 PIX 的 IOS 的不同选择 下列软件 npxx.bin ( xx 表示 PIX 运行的 I OS 版本号)。
  • 22.PIX 防火墙的口令恢复 在恢复 PIX 口令之前应准备 PC 一台,其上 安装 TFTP 服务器,通过网卡与防火墙的 ET H1 口连接,如图 8.4 所示。同时将下载的密 码恢复软件(根据 PIX 的 IOS 的版本选择不 同的恢复软件)放到 TFTP 服务器的目录下 。 防火墙口令清除设备连接图:
  • 23.PIX 防火墙的口令恢复  具体步骤  重新启动 PIX 设备,在设备加电后且在操作终端屏幕上重新启动信息 之前,迅速按操作终端的 Break 键或 Esc 键,进入监控状态。  用 interface 命令选定一端口作为传输端口,例如 monitor>interface 1。  用 address 命令配置 IP 地址,例如 monitor>address 192.168.1.1 。  用 server 命令指定一远端服务器,例如 monitor>server 192.168.1.2 。  用 file 命令指定 PIX 口令恢复文件的名称,例如 monitor>file np53.b in 。  用 ping 命令检测 PIX 设备与远端服务器的连通性,例如 monitor>pin g 192.168.1.2 。  用 tftp 命令下载指定的文件,例如 monitor>tftp 。  文件下载成功后操作终端显示器会提示: Do you wish to erase the p asswords? [y/n] y (你是否希望清除口令选择是“ y” 或否“ n” ) Pass words have been erased 。  设置新的口令并保存新配置。
  • 24.PIX 防火墙的高级配置 当防火墙的工作模式为 NAT 时,当有数据从 内部经过防火墙外出时,防火墙此时翻译所 有的内部 IP 地址,那么经过转换后的地址 (源地址)必须是在 Internet 上注册过的地 址。当外部用户访问内部网络的某台服务器 时,除非配置 PIX 允许从 Internet 到目标地 址是私有地址的会话,否则这个会话不能被 建立。
  • 25.PIX 防火墙的高级配置 PIX 防火墙支持以下两种类型的地址转换。 动态地址翻译——把在较安全接口上的主机地址转 换成不太安全接口上的一段 IP 地址或一个地址池。 其中动态地址翻译又分为两类。 • 网络地址翻译 NAT 通过定义地址池(由多个连续的 IP 地址组成)允许内部用户去共享这些地址访问外 部网络。 • 端口地址翻译( PAT )—所有本地地址都被翻译成 同一个 IP 地址来访问外部网络。 静态地址翻译——在较安全的接口和不太安全的接 口之间提供一种永久的、一对一的 IP 地址的映射 。 除上述分类外, PIX 防火墙还有一种 NAT 的特殊 应用“ nat 0” ,它可以禁止地址翻译,使内部地址 不经翻译就对外部网络可见。
  • 26.PIX 防火墙的高级配置 在 PIX 防火墙实现地址转换技术时,它将网 络地址按照应用语法分为如下 3 种。 本地地址( local address )——定义分配给 内部主机的地址。 全局地址( global address )——定义在建立 通过 PIX 会话时,本地地址被翻译的地址。 外部地址( foreign address )——定义一台 外部主机的 IP 地址。
  • 27.PIX 防火墙的高级配置 对于采取 NAT 的动态地址翻译,必须使用 n at 命令来定义本地地址,然后使用 global 命令定义全局地址,例如允许内部网络 192. 168.1.0/24 这个子网可以访问外部网络,其 全局地址为 191.1.1.1-191.1.1.10/24 。具 体语法如下所示。 pixfirewall#(config) nat (inside) 1 192.168. 1.0 255.255.255.0 pixfirewall#(config) global (outside) 1 191. 1.1.1-191.1.1.10 netmask 255.255.255.0
  • 28.PIX 防火墙的高级配置 如果全局地址只有一个 191.1.1.1/24 ,此时 动态地址翻译就被称为端口地址翻译。具体 语法如下所示。 pixfirewall#(config) nat (inside) 1 192.168. 1.0 255.255.255.0 pixfirewall#(config) global (outside) 1 191. 1.1.1 netmask 255.255.255.0 在使用端口地址翻译时它指定的 IP 地址不能 被其他地址池所使用,当与网络地址翻译一 起应用时,只有地址池的地址耗尽时才会使 用端口地址翻译指定的 IP 地址。
  • 29.PIX 防火墙的高级配置 在管道或访问列表的支持的前提下,静态地 址翻译可以让较低安全级别接口上的设备访 问位于较高安全级别接口上的 IP 地址,当该 IP 地址的设备向外建立会话时都会被翻译成 相同的地址。静态地址翻译需要使用 static 命令来实现, static 命令语法如下所示。 static [( internal_interface , external_i nterface )] global_ip local_ip [ netmas k mask ] [max_conns[em_limit]][norando mseq]
  • 30.PIX 防火墙的高级配置 Static 命令描述
  • 31.PIX 防火墙的高级配置 当一台处于较低安全级别的接口上的设备, 试图通过 PIX 防火墙访问处于较高安全级别 接口上的设备时,有以下两种方法。 对于合法请求的响应—首先由处于较高安全 级别接口上的设备,发起对较低安全级别的 接口上的设备的连接请求,默认情况下,对 于该请求的响应是被允许通过防火墙的。 通过管道或访问列表—通过配置相应的安全 策略,来定义基于地址或端口号的数据流可 以通过防火墙。
  • 32.PIX 防火墙的高级配置 conduit 命令用来允许数据流从具有较低安 全级别的接口流向具有较高安全级别的接口。 对于向内部接口的连接, static 和 conduit 命令将一起使用,来指定会话的建立。 conduit 命令配置语法: • conduit permit deny protocol global_ip gl obal_mask [operator port[-port]] foreign_ip foreign_mask [operator port[-port]]
  • 33.PIX 防火墙的高级配置 Conduit 命令描述
  • 34.PIX 防火墙的高级配置 一般在 PIX 防火墙上可以拥有最多 8000 个管 道 查看所配置的管道,可以使用 show conduit 命令, 它可以显示管道的数量以及某个管道被利用的次数。 通过 no conduit 来删除不需要的管道配置。 除了管道以外, ACL 也可以实现非受信网络 访问受信网络它是路由器和 PIX 防火墙用来控 制流量的一个列表,可以阻止或允许特定的 IP 地址数据包通过 PIX 防火墙。使用 access-list 和 access-group 这两个命令来实现上述功能 。
  • 35.PIX 防火墙的高级配置 access-list 命令用于定义数据包的限制范围 ,其命令配置语法: access-list acl_ID [line line_num] permit deny protocol source_ip source_mask [ope rator port[-port]] destination_ip destinatio n _mask [operator port[-port]]
  • 36.PIX 防火墙的高级配置 Access-list 命令描述
  • 37.PIX 防火墙的高级配置 access-group 命令(如表 8.9 所示)用于将 访问列表与接口绑定,访问列表只有与接口 绑定后才能生效。其命令配置语法: access-group acl_ID in interface interface_ name Access-group 命令描述
  • 38.PIX 防火墙的高级配置 • 通过 show access-list 来查看访问列表的配置 • 通过 clear access-list 来删除整个访问列表 • 使用 no access-list 参数来删除某一特定语句 • 需要注意的是如果使用了 NAT 0 技术,需要使用 na t 0 access-list 命令对与访问列表匹配的数据不进行 地址翻译。 • 在 PIX 防火墙的配置中建议使用访问列表而不是管 道,原因有两个,一是考虑将来的兼容性,二是可 以使熟悉思科 IOS 的用户更加容易使用。 – 通过表可以进一步了解它们之间的特性。
  • 39.PIX 防火墙的高级配置 PIX 防火墙为系统事件产生系统日志( syslo g )消息,例如告警和资源的消耗。可以使 用系统日志消息创建 E-mail 告警和日志文件 ,或者将它们显示在指定的系统日志主机的 控制台上。 PIX 防火墙能够发送系统日志消息到任何一 台系统日志服务器。在所有的系统日志服务 器或主机处于离线状态时, PIX 防火墙最多 能够存储 100 条消息到它的内存中。后续到 达的消息将从缓存的第一行开始覆盖。
  • 40.PIX 防火墙的高级配置 PIX 防火墙发送的系统日志消息将记录以下事件。 安全——丢弃的 UDP 数据包和拒绝的 TCP 连接。 资料——连接通告和转换槽消耗。 系统——通过 Console 和 Telnet 的登录和退出,以及 重启 PIX 防火墙。 统计——每个连接传输的字节数。 在默认情况下, PIX 防火墙的日志功能是被禁用的, 需要使用 logging on 命令来开启。
  • 41.PIX 防火墙的高级配置 PIX 使用日志级别( logging level )来反 映不同级别的事件细节,详细划分如表所 示: 级别号越低,系统日志消息越严重。默认的日志级别为 3 (错误),当 设置了一个日志级别,任何更高级别的日志消息都将无法生成。
  • 42.PIX 防火墙的高级配置 PIX 防火墙中的系统日志功能是观察对消息的疑 难解析和观察诸如攻击和拒绝服务等网络事件 的一个有效的方法。指定日志消息被发送到系 统日志服务器可用 logging host [if_name] ip_address [protocol/port] 命令。 • 其命令中的“ if_name” 参数表示日志服务器所连接的 接连;“ ip_address” 参数表示日志服务器的 IP 地址 ;“ protocol” 参数表示发送日志消息所使用的协议 是 TCP 还是 UDP ;一个日志服务器只能选择一种协 议;“ port” 参数表示发送日志消息所使用的端口号 ,注意默认端口号 TCP : 1470 、 UDP :为 514 。 在任何一个 logging 命令前加上 no 即可关闭该项 功能 用 show logging 来查看启用了哪些日志选项。
  • 43.PIX 防火墙的高级配置 PIX 防火墙的防护策略会干预 FTP 、多媒体 等应用或协议的正常工作,需要对 PIX 防火 墙进行特殊的处理,通过一种称为“协议处 理”( fixup protocol )的机制来实现。它通 过监视一个应用的控制管道来防止出现违背 协议的事件,并让防火墙动态地响应协议的 合法需要,通过在 ASA 中产生一个临时的例 外事例来安全地打开一条向内的连接。当不 需要例外事例时,“协议处理” (fixup protoc ol) 功能会将它自动关闭。
  • 44.PIX 防火墙的高级配置 fixup protocol 命令可以修改、启动或禁止 穿过 PIX 防火墙的服务或协议,指定防火墙 监听的服务使用的端口号。除了远处 shell 服务外,可以修改任何服务所对应的端口号 ,其命令配置语法: fixup protocol protocol_name [port[-port] fixup protocol 命令描述
  • 45.PIX 防火墙的高级配置 PIX 防火墙的标准动作会干预像 FTP 、 SQL *NET 这些应用或协议的正常的工作,需要 对 PIX 防火墙进行特殊的处理。 需要进行特殊处理的应用或协议通常具有如 下特点: 通过协商动态分配建立连接需要源、目的端 口或者 IP 地址。 在网络层之上的层中嵌入源、目的端口或者 IP 地址。
  • 46.PIX 防火墙的高级配置 标准模式的 FTP 处于内部接口(较高安全级别)上的客户端访问处 于外部接口(较低安全级别)上的 FTP 服务器,外 部服务器就会建立一条从自身端口 20 到内部客户 端的高位端口的数据信道连接。但是除非永远打开 向内的端口为 20 的管道,否则就无法建立正常的 FTP 连接,如图所示 :
  • 47.PIX 防火墙的高级配置 此时需要使用 fixup protocol 命令产生一个 例外事例,具体如下: • pixfirewall#(config) fixup protocol ftp 20 对于处于外部接口(较低安全级别)上的客 户端访问处于内部接口(较高安全级别)上 的 FTP 服务器,防火墙需要配置静态地址转 换对外发布 FTP 服务器,并建立向内的管道 以允许向内的连接,因此不会需要例外事例 。
  • 48.PIX 防火墙的高级配置  被动模式的 FTP  对于处于外部接口(较低安全级别)上的客户端访问处于内部 接口(较高安全级别)上的 FTP 服务器,防火墙需要配置静态 地址转换对外发布 FTP 服务器,并建立向内的管道以允许向内 的连接。首先客户端询问服务器是否接收被动模式,如果服务 器接收的话,它会向客户端发送一个用于数据信道的高位端口 号,然后客户端从自己的高位端口发起一条到服务器指定高位 端口的连接,如图所示。
  • 49.PIX 防火墙的高级配置 此时就需要使用 fixup protocol 命令产生一个例外 事例,具体如下: • pixfirewall#(config) fixup protocol ftp 21 如果服务器对外发布时,采取的是 21 端口以外的 端口号,例如 2101 。那么需要重新配置: • pixfirewall#(config) fixup protocol ftp 2101 • pixfirewall#(config)no fixup protocol ftp 21 对于处于内部接口(较高安全级别)上的客户 端访问处于外部接口(较低安全级别)上的 FT P 服务器,由于所有连接都是由客户端发起的 ,因此不会需要例外事例。
  • 50.PIX 防火墙的高级配置 rsh rsh 通过两个信道进行通信。当处于内部接口(较 高安全级别)上的客户端访问处于外部接口(较低 安全级别)上的服务器,外部服务器会建立一个到 客户端通道用于错误输出,如图所示。
  • 51.PIX 防火墙的高级配置 此时需要使用 fixup protocol 命令产生一个 例外事例,具体如下: • pixfirewall#(config) fixup protocol rsh 514 当处于外部接口(较低安全级别)上的客户 端访问处于内部接口(较高安全级别)上的 服务器,按照相应的配置,不会需要例外事 例。
  • 52.PIX 防火墙的高级配置  SQL*Net  对于处于外部接口(较低安全级别)上的客户端使用 SQL*Net 查询处于内部接口(较高安全级别)上的 SQL 服务器的数据库 时,防火墙需要配置静态地址转换对外发布 FTP 服务器,并建 立向内的管道以允许向内的连接。首先客户端从它的高位端口 建立到服务器 1512 端口的连接,然后服务器将客户端重新定 位到不同的端口或地址。最后客户端使用重新定位的端口建立 第二条连接,如图所示。
  • 53.PIX 防火墙的高级配置 此时需要使用 fixup protocol 命令产生一个 例外事例,具体如下: • pixfirewall#(config) fixup protocol sqlnet 1 512 对于处于内部接口(较高安全级别)上的客 户端使用 SQL*Net 查询处于外部接口(较 低安全级别)上的 SQL 服务器的数据库时, 按照相应的配置,不会需要例外事例。
  • 54.PIX 防火墙的高级配置 多媒体应用 标准 RTP 模式 • 客户端访问服务器时,服务器会产生一条 U DP 的数据通道。因此对由内向外访问服务 器的标准 RTP 模式,需要使用 fixup protoco l 命令产生一个例外事例,具体如下: – pixfirewall#(config) fixup protocol rstp 554
  • 55.PIX 防火墙的高级配置 RealNetworks 公司的 RDT 模式 • 客户端访问服务器时,服务器会产生一条 UDP 的数 据通道,而且客户端需要建立一条 UDP 信道用于错 误重传。因此不论由内向外或者由外向内访问服务 器的 RDT 模式,都需要使用 fixup protocol 命令产 生一个例外事例,具体如下: – pixfirewall#(config) fixup protocol rstp 554 – pixfirewall#(config) fixup protocol rstp 8554 - 8574 H.323 • H.323 相对于其他协议更加复杂,它使用两条 TCP 连接建立一个“呼叫”,同时使用几个 UDP 建立会话 ,因此需要使用 fixup protocol 命令产生一个例外 事例,具体如下: – pixfirewall#(config) fixup protocol H323 1720 – pixfirewall#(config) fixup protocol rstp 7720 - 7740
  • 56.PIX 防火墙攻击防护 PIX 防火墙的攻击防护特性,可以大大降 低电子邮件、域名系统、碎片、 AAA 以 及 SYN 风暴攻击。它不但具有常用服务 的安全保护功能,而且具备简单的入侵检 测功能。
  • 57.PIX 防火墙攻击防护 具体防护配置如表所示。
  • 58.PIX 防火墙攻击防护 PIX 防火墙使用入侵检测特征码来实现入侵检 测的功能,特征码是指典型的入侵行为具有的 一套规则, PIX 防火墙将其分为两类。 信息类特征码,由正常网络行为触发,本身不 被认为是一种恶意攻击,例如 ID : 2000 名 称为 ICMP 回声应答。 攻击类特征码,由已知的攻击行为或网络入侵 触发,例如 ID : 1100 名称为 IP 分段攻击。
  • 59.PIX 防火墙攻击防护 在防火墙上使用 ip audit 命令启用入侵检 测、审计功能。它可以创建不同类型特征 码的策略,指定审计的数据量以及触发后 所要执行的动作。当为信息类特征码或攻 击类特征码创建策略并将之应用于接口时 ,这一类特征码都将被检测,除非使用相 关命令特意关闭对其的检测。
  • 60.PIX 防火墙攻击防护  ip audit 命令配置语法如下:  ip audit signature signature-number disable • 注:根据特征码 ID 禁用特征。  ip audit name audit_name info [action [alarm] [drop] [reset]] • 注:为信息类特征码创建策略。  ip audit name audit_name attack [action [alarm] [drop] [reset]] • 注:为攻击类特征码执行相同的策略。  ip audit interface if_name audit_name • 注:将策略与端口建立关联,使之生效。 ip audit 命令说明
  • 61.PIX 防火墙攻击防护 当 PIX 防火墙与思科 IDS 探测器相结合时, PIX 防火墙的动态阻挡功能使防火墙能对发起攻击 的主机进行动态响应( shun )。 shun 命令配置语法如下: • shun source_address [destination_address source _port destination_port [protocol] ] shun 命令说明