1． 引言

　　随着Internet的进一普及和迅猛发展，针对入网主机的入侵的日益增多，应用防火墙技术势在必行 。但各种各样的防火墙产品种类繁多，功能不一，这就给防火墙系统的实现和维护带来了许多难处。

　　如何构建一个安全实用，容易实现的防火墙系统是值得研究的，一般来说，一个完整的防火墙系统既要防止外部入侵，又要防止内部人员的非法访问。对于思科PIX防火墙来说，通过动态和静态的地址映射，管道技术，我们可以方便容易地实现一个较为完整的防火墙系统。

　　2． 思科 PIX功能简介

　　一般说来，一个防火系统就是在两个网络之间实施的若干的存取控制方法的集合。通常有两种类型的防火墙；基于网络层的包过滤防火墙和基于应用层的隔离网络的代理服务器（proxy server）。前一种主要是在网络层根据IP包的源和目的地址及源和目的端口来决定是转发还是丢弃IP包，而后一种是在应用层为每一种服务提供一个代理，鉴于这两种技术都有各自的特点和弊端，建设一个具有良好性能的防火墙应是基于拓扑结构的合理选用和防火墙技术的合理配置。

　　思科 PIX是基于这两种技术结合的防火墙。它应用安全算法（Adaptive Security Algorithm），将内部主机的地址映射为外部地址，拒绝未经允许的包入境，实现了动态，静态地址映射，从而有效地屏蔽了内部网络拓扑结构。通过管道技术，出境访问列表，我们可以有效地控制内、外部各资源的访问。

　　PIX可连接四个不同的网络，每个网络都可定义一个安全级别，级别低的相对于级别高的总是被视为外部网络，但最低的必须是全球统一的IP地址。以下，我们仅以两个网络为例介绍思科 PIX防火墙系统。

　　3．思科 PIX 的配置过程

　　在配置之前，应先规划好网络拓扑结构，制定较为祥细的安全策略；

　　以图一拓扑结构网络为例。设它有IP地址范围204.31.17.128-204.31.17.191,有E-mail，WWW，FTP等服务器，PIX的内部虚IP地址范围为：192.168.3.1-192.168.3.255,可以定义以下策略

　　3.1 屏蔽内部网络拓扑结构

　　为了防止黑客的侵入，应采用动态地址映射隔离内部网络，屏蔽内部网络拓扑结构。我们对PIX做如下配置:

　　nat 1 0 0

　　global (outside) 1 204.31.17.131 ?C 204.31.17.165

　　global (outside) 1 204.31.17.130

　　上述配置阻挡全部入境访问

　　3.2 对资源主机的访问控制

　　E-mail，FTP，www等服务器是重要的资源，必须利用管道(conduit)使得外部对它们可访问，但必须限制对它们的访问，即禁止除E-mail，www，FTP以外的一切服务，以获得最大的安全性，配置方法如下：