打造企业坚固的城墙 PIX防火墙特殊配置

核心提示： 手动配置TCP Intercept思科从IOS 11.2版本中首次在路由器产品中引用了TCP Intercept(TCP截获)特性，在PIX5.2以上版本中也引入了相同的特性，打造企业坚固的城墙 PIX防火墙特殊配置(2)，这个功能特性虽然是默认启用的，但是仍需要一些手动设置，如果客户端正

手动配置TCP Intercept

思科从IOS 11.2版本中首次在路由器产品中引用了TCP Intercept(TCP截获)特性，在PIX5.2以上版本中也引入了相同的特性，这个功能特性虽然是默认启用的，但是仍需要一些手动设置。

该特性能够为隐藏在防火墙后的主机设备提供保护，抵御成为“SYN泛洪”的特定类型网络攻击。使用SYN泛洪，攻击者通过好像发自不存在或不可达主机的连接请求，有效的使受害系统负荷过重，从而达到拒绝向目标主机提供服务的目的。SYN防洪巧妙的利用了操作系统为每条新的TCP连接请求分配内存和其他资源的原理。即使主机和服务器能够支持大量的连接，它们所能处理的未完成连接的数目仍然是有限的。

由于TCP是双向和全双工的，所以它在两个方向上都要建立连接。为了建立从服务器到客户端的连接，服务器设置SYN位并包括他自己的顺序号以便请求建立从服务器到客户端的连接，服务器设置SYN位置承载对来自客户端的初始连接请求的确认（ACK位）的分段重并发送给客户端。此后，服务器等待第3步：从客户端发来的对服务器到客户端的连接请求的确认。这个过程通常被成为TCP的“3次握手”。

如果应答者服务器没有在特定的TCP时间间隔内接收到应答，那么服务器会重传设置有SYN和ACK位的分段。根据具体的TCP实现，重传的次数一般是4次，重传的时间间隔开始是1秒，然后一次加倍。如果服务持续的接受连接请求，那么资源可能很快就会被这些半开放的请求耗尽，这样就不能再接受其他传入请求，从而拒绝了那项服务。

TCP Intercept通过启用此特性实现保护的主机设备截获连接，以及对连接请求进行应答来解决这个问题。它代表客户端建立了从PIX到受保护的主机的第二条连接。如果客户端正常的完成连接，那么PIX防火墙透明地将这两条连接结合在一起，最后的结果是建立了一条在客户端和服务器之间的直接连接。