隨著國際互連網的發展,一些企業建立了自己的INTRANET,並通過專線與INTERNET連通。為了保證企業內部網的安全,防止非法入侵,需要使用專用的防火牆計算機。路由器防火牆只能作為過濾器,並不能把內部網絡結構從入侵者眼前隱藏起來。
只要允許外部網絡上的計算機直接訪問內部網絡上的計算機,就存在著攻擊者可以損害內部局域網上機器的安全性,並從那裡攻擊其他計算機的可能性。
---- 大多數提供代理服務的專用防火牆機器是基於UNIX系統的,這些操作系統本身就有安全缺陷。>思科提供了PIX (Private Internet eXchange,私有Internet交換) 防火牆,它運行自己定制的操作系統,事實證明,它可以有效地防止非法攻擊。PIX防火牆要求有一個路由器連接到外部網絡,如附圖所示。PIX有兩個 ETHERNET接口,一個用於連接內部局域網,另一個用於連接外部路由器。外部接口有一組外部地址,使用他們來與外部網絡通信。內部網絡則配置有一個適 合內部網絡號方案的IP地址。PIX的主要工作是在內部計算機需要與外部網絡進行通信時,完成內部和外部地址之間的映射。
---- 配置好PIX防火牆後,從外部世界看來,內部計算機好象就是直接連接到PIX的外部接口似的。由於PIX的外部接口是Ethernet接口,所以,向主機 傳送信息包需要用到MAC地址。為了使內部主機在數據鏈路層和網絡層上看起來都好象是連接在外部接口上的,PIX運行了代理ARP,代理ARP給外部網絡 層IP地址指定數據鏈路MAC地址,這就使得內部計算機看起來像是在數據鏈路層協議的外部接口上似的。大多數情況下,與外部網絡的通信是從內部網絡中發出的。由於PIX是對信息包進行操作,而不是在應用過程級(代理服務器則 采用這種方法),PIX既可以跟蹤UDP會話,也可以跟蹤TCP連接。當一個計算機希望同外部計算機進行通信時,PIX記錄下內部來源地址,然後從外部地 址庫分配一個地址,並記錄下所進行的轉換。這就是人們常說的有界NAT(stateful NAT),這樣,PIX就能記住它在同誰進行交談,以及是哪個計算機首先發起的對話。只有已被確認的來自外部網絡的信息包才會運行,並進入內部網絡。
---- 不過,有時也需要允許外部計算機發起同指定的內部計算機的通信。典型的服務包括電子郵件、WWW服務、以及FTP服務。PIX給一個內部地址硬編碼一個外 部地址,這個地址是不會過期的。在這種情況下,用到對目標地址和端口號的普通過濾。除非侵入PIX本身,外部用戶仍然是無法了解內部網絡結構的。在不了解 內部網絡結構的情況下,惡意用戶就無法從內部主機向內部網絡實施攻擊。