3.3 对Internet上的敏感主机和资源的控制

　　对于Internet上的一些敏感资源，如一些不健康站点，我们可用(nslookup 域名)查到其IP地址，并对出境的访问加以控制。在PIX Firewall上的配置如下：

outbound 10 deny 204.31.17.11 255.255.255.255 www tcp
apply (inside) 10 outgoing_dest

　　对内部主机，我们可以控制其能使用的服务，例如，对图一主机192.168.3.4我们可以禁止它使用WWW服务访问外部网络。其配置如下：

outbound 20 deny 192.168.3.4 255.255.255.255 www tcp
apply(inside) 20 outgoing_src

　　这样我们就可以对内部主机到外部的访问进行完全的控制。

4．防范内部网络的非法IP和MAC地址

　　由于IP地址可被设置更改，非法用户常篡改，盗用他人的IP地址和MAC地址，来达到隐藏其非法访问的目的。我们可以使用PIX Firewall的ARP命令将内部主机的IP和它的MAC地址绑定，来有效地防止篡改和盗用IP地址现象。例如，我们要将主机的IP地址192.168.3.4与它的MAC地址00e0.1e40.2a7c绑定，可进行如下配置：

arp inside 192.168.3.4 00e0.1e40.2a7c alias
wr m

　　结合以上四种配置，Cisco PIX Firewall可以实现对IP包过滤，屏蔽内部网络和对网络资源加以的控制，并有效地防范IP地址的盗用和篡改。从而较好地实现了一个完整的防火墙系统。由此可见，由PIX来构筑一防火墙系统极其方便的。

参考文献

（1）、 Cisco system资料 configuration guide for the PIX Firewall
（2）、 Cisco system资料 Introduction to Cisco Router configuration
（3）、 CERNET的研究与发展，第二卷