PIX访问控制列表和内容过滤(4)
PIX访问控制列表和内容过滤(4)
四、恶意活动代码过滤
www.ttep.cn
1、Java Applet过滤
Java程序可能成为入侵内部系统的途径。为了解决该问题,通过启用Java过滤可以阻止内部系统下载Java applets。当允许访问80端口(HTTP)时,就有可能下载Java applets。某些Java applets可能包含隐藏代码,会破坏位于内部网络中的数据。
PIX防火墙的Java applet过滤可以针对每个客户端或者每个IP地址来阻止Java应用程序。当启用了Java过滤,PIX防火墙将搜索程序中的“cafe babe”字符串。一旦找到该字符串,防火墙将拒绝这个Java applet。典型的Java类代码段如下:
00000000:cafe babe 003 002d 0099 0900 8345 0098
2、ActiveX过滤
ActiveX控件,作为对象连接和嵌入(OLE)控件(OCX)的前身,是一种可以被嵌入在web页面中的小程序,经常用在动画后者其他应用程序中。ActiveX控件因提供了攻击服务器的途径而带来安全问题。因此,可以使用PIX防火墙阻止所有的ActiveX控件。
使用filter activex | java命令将过滤出站数据包中的ActiveX或者Java应用。
filter activex | java命令的语法如下:
filter activex | java port [-port] local_ip mask foreign_ip mask
●activex--用于阻止出站数据包中的ActiveX和其他HTML