WEB开发网
开发学院网络安全防火墙 打造企业坚固的城墙 PIX防火墙特殊配置 阅读

打造企业坚固的城墙 PIX防火墙特殊配置

 2007-06-17 12:43:21 来源:WEB开发网   
核心提示: PIX防火墙使用了更短的超时时间间隔,而且如果在这个时间间隔内连接没有完成,打造企业坚固的城墙 PIX防火墙特殊配置(3),那么PIX就会放弃与客户端的未完成连接,并且向受保护的服务器发送RST位,它可以用来定义单个的地址或地址范围,当启用了Java过滤后,结束PIX到服务器的连接,从而释

PIX防火墙使用了更短的超时时间间隔,而且如果在这个时间间隔内连接没有完成,那么PIX就会放弃与客户端的未完成连接,并且向受保护的服务器发送RST位,结束PIX到服务器的连接,从而释放掉服务器资源。除了更短的超时之外,TCP Intercept还加入了可配置的阈值。阈值会对连接总数以及最近1分钟内的连接速率进行监控。如果这两个指标中任何一个超过了阈值,TCP Intercept都会从最久的连接开始断掉半开放的连接,知道连接的数目或速率降到阈值以下。

在PIX防火墙上,半开放连接称作初期连接。阈值可以通过static命令的可选参数进行设置。阈值默认值为0,这样就有效的禁用了TCP Intercept。而若将这些初期连接参数设置为任何非零数值,就可以启用TCP Intercept。它有效的替代了称作Flood Defender的旧PIX特性。这个旧特性只允许对每个主机和服务上的初期连接总数进行限制。

PIX特殊应用配置

PIX防火墙支持很多需要某种特殊形式处理的标准或普通应用,其中一些要求对ASA状态表所维护的信息作一些修改,以便在状态数据报过滤环境中可以使用。另外一些由于被NAT修改了IP地址,所以可能需要对一个或多个上层协议头字段进行调整。还有一组并不遵循所期望的发送者和接受者交换的对称模式。对于大多数应用来说,客户端和服务器之间交换的IP数据报具有相同的源和目的IP地址以及TCP/UDP端口号,只不过每次交换过程中发送者和接收者的角色正好相反。接下来我们将对这些特殊情况进行详细介绍。

1、 Java Applet封锁

PIX防火墙使得网络管理员能够过滤掉可能有害的Java小程序。可以根据内部客户端的源地址、外部服务器的目的地址,或者同时根据两者,来对Java过滤进行定义。命令语法中包含反掩码,它可以用来定义单个的地址或地址范围。当启用了Java过滤后,PIX防火墙就会搜索含有Java小程序标记(十六进制字符串0 x CEFE BABE)的http数据报。

上一页  1 2 3 4  下一页

Tags:打造 企业 坚固

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接