CISCO:防火墻常見問題及解答

字號:

106 問題:CacheEngine是否具有URL過濾功能?
    答案:CacheEngine1.7-2.0版本的軟件支持一種叫URL Blocking的功能,該功能是在 CacheEngine的適配器接口上進(jìn)行配置實(shí)現(xiàn)的,它可以將由特定地址來的流量阻斷。CacheEngine2.1版本的軟件可以通過與基于WindowsNT、UNIX系統(tǒng)的Websense軟件結(jié)合使用實(shí)現(xiàn)支持URL Filtering功能。
    107 問題:PIX-520-FO-BUN在購買時(shí)是否需要額外定購License?
    答案:PIX-520-FO-BUN本身已經(jīng)包含有無限制版本的License,因而不需額外定購 軟件。
    108 問題:對于能夠支持IPSec的PIX 防火墻,客戶端的VPN軟件是否有特殊要求?
    答案:Cisco公司有自己的客戶端VPN軟件,它可與PIX防火墻進(jìn)行完美的互操作。
    109 問題:PIX防火墻如果要實(shí)現(xiàn)URL過濾功能,需要額外的軟件嗎?
    答案:需要購買第三方軟件產(chǎn)品,Websense。
    110 問題:Netsonar上的軟件可以應(yīng)用于哪些操作系統(tǒng)?
    答案:Netsonar具有以下軟件系統(tǒng):NS-20-NT;NS-201-S-2500。前者用于WindowsNT 環(huán)境中,后者用于Solaris環(huán)境中。
    111 問題:目前Cisco 公司PIX防火墻系列產(chǎn)品有那些型號,有何區(qū)別?
    答案:在目前的PIX防火墻系列產(chǎn)品中,主要有兩種型號PIX515和PIX520。其主要區(qū)別如下: PIX515適合在中小型企業(yè)應(yīng)用,可提供128,000同時(shí)連接數(shù)。網(wǎng)絡(luò)接口卡只支持以太網(wǎng)網(wǎng)卡,可支持到6個(gè)以太網(wǎng)網(wǎng)卡。其機(jī)箱上帶有2個(gè)固定的10/100M 以太網(wǎng)網(wǎng)卡,并帶有兩個(gè)擴(kuò)展插槽。 PIX520適合在電信行業(yè)和大型的企業(yè)中應(yīng)用,能提供256,000個(gè)同時(shí)連接數(shù)??芍С侄喾N介質(zhì)類型:以太網(wǎng),令牌環(huán)和FDDI。最多能夠提供6個(gè)以太網(wǎng)接口,支持3個(gè)令牌環(huán)接口和2個(gè)FDDI網(wǎng)絡(luò)接口,并且以太網(wǎng)接口卡只能和令牌環(huán)接口混合使用。FDDI接口卡只能單獨(dú)使用。PIX520的機(jī)箱上沒有固定配置的接口卡,但帶有4個(gè)擴(kuò)展插槽。
    112 問題:Cisco 公司的PIX防火墻和路由器防火墻有何區(qū)別?
    答案:CiscoPIX防火墻采用集成的軟件和硬件平臺,是一種專用的防火墻產(chǎn)品。它采用專用的、實(shí)時(shí)的、安全的、非UNIX和非NT的操作系統(tǒng),能夠在不影響網(wǎng)絡(luò)性能的情況下,提供極其高的安全性。 Cisco路由器防火墻產(chǎn)品是通過在路由器上運(yùn)行帶有防火墻特性集的IOS軟件來實(shí)現(xiàn)的。它是在低價(jià)位的基礎(chǔ)上實(shí)現(xiàn)經(jīng)濟(jì)有效的防火墻解決方案。但由于這個(gè)產(chǎn)品在執(zhí)行傳統(tǒng)的路由器選路工作的同時(shí)又作為防火墻來提供安全保障,所以在安全性能和數(shù)據(jù)流的處理性能上面沒有專用的PIX防火墻產(chǎn)品高。 當(dāng)進(jìn)行選擇時(shí),如果用戶更多考慮的是網(wǎng)絡(luò)的安全性和產(chǎn)品性能時(shí),我們建議采用專用的PIX防火墻;當(dāng)用戶對產(chǎn)品價(jià)格更為關(guān)心時(shí),則建議采用經(jīng)濟(jì)有效的基于Cisco IOS防火墻特性集的路由器防火墻產(chǎn)品。
    113 問題:CiscoPIX防火墻產(chǎn)品與軟件防火墻產(chǎn)品(如Checkpoint Firewall-1)相比有何 優(yōu)勢?
    答案:首先,CiscoPIX是一個(gè)集成的硬件/軟件產(chǎn)品,用戶能夠得到一個(gè)廠家-Cisco公司全球化的一流的技術(shù)服務(wù)支持,Checkpoint Firewall-1是一個(gè)軟件 產(chǎn)品,使用時(shí)還需要另外購買第三方廠家的硬件平臺,因此還需要第三方廠家的技術(shù)支持。其次,PIX防火墻采用了專有、實(shí)時(shí)的IOS操作系統(tǒng),安全性好。Checkpoint Firewall-1運(yùn)行在開放的UNIX或WindowsNT平臺上,因而容易受到攻擊。第三,PIX防火墻對多媒體技術(shù)具有廣泛的支持,Checkpoint Firewall-1對多 媒體技術(shù)的支持功能非常有限。此外,PIX防火墻與Checkpoint Firewall-1相比具有更高的數(shù)據(jù)包轉(zhuǎn)發(fā)性能和 更高的安全性能。
    114 問題:Cisco PIX防火墻和IOS Firewall相比有何區(qū)別?
    答案:CiscoPIX防火墻是基于硬件的專用設(shè)備,它能夠在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)實(shí)施基于策略的安全管理功能。IOS Firewall是基于軟件的防火墻 產(chǎn)品,它一般是作為IOS軟件的附帶性能安裝在路由器中的。路由器在執(zhí)行常規(guī)選路運(yùn)算的同時(shí)執(zhí)行防火墻的安全認(rèn)證工作,因而在性能上比PIX專用防火墻要低。一般來說,帶IOS Firewall軟件的路由器在執(zhí)行安全認(rèn)證任務(wù) 時(shí)比PIX防火墻的性能低30-40%左右。
    115 問題:用戶在購買了具有比較小的連接數(shù)PIX防火墻產(chǎn)品后,能否通過升級的方法支持更多的連接數(shù)?
    答案:PIX防火墻可以支持連接數(shù)的升級。當(dāng)用戶購買具有較小連接數(shù)的PIX防火墻產(chǎn)品后,可以通過購買相應(yīng)連接數(shù)的授權(quán)許可的方式進(jìn)行連接數(shù)的升級。對于PIX515來說,當(dāng)升級連接數(shù)時(shí),一方面需要購買非限制級別軟件的授權(quán)許可,另一方面需要增加相應(yīng)的FLASH和DRAM內(nèi)存。對于PIX520來說,當(dāng)升級連接數(shù)時(shí),只需要購買相應(yīng)的連接數(shù)的軟件授權(quán)許可。
    116 問題:什么是OSPF On-Demand Circuit,在不同網(wǎng)絡(luò)中應(yīng)該如何的配置?
    答案: OSPF On-Demand Circuit—OSPF On-Demand Circuit is an enhancement to the OSPF protocol, as described in RFC 1793, that allows efficient operation over demand circuits such as ISDN, X.25 SVCs, and dial-up lines. Previously, the period nature of OSPF routing traffic mandated that the underlying data-link connection needed to be open constantly, resulting in unwanted usage charges. With this feature, OSPF Hellos and the refresh of OSPF routing information is suppressed for on-demand circuits (and reachability is presumed), allowing the underlying data-link connections to be closed when not carrying application traffic. The feature allows the consolidation on a single routing protocol and the benefits of the OSPF routing protocol across the entire network, without incurring excess connection costs. If the router is part of a point-to-point topology, only one end of the demand circuit needs to be configured for OSPF On-Demand Circuit operation. In point-to-multipoint topologies, all appropriate routers must be configured with OSPF On-Demand Circuit. All routers in an area must support this feature—that is, be running Cisco IOS Software Release 11.2 or greater.
    117 問題:使用網(wǎng)管軟件是否可以管理PIX防火墻以外的網(wǎng)絡(luò)設(shè)備?
    答案:如果有特殊需要,可以實(shí)現(xiàn)管理PIX防火墻以外的設(shè)備,但是出于安全考慮,一般不推薦這種應(yīng)用。這是因?yàn)槿粢獙?shí)現(xiàn)這種應(yīng)用,首先必須建立固定的TCP連接,這樣就會增加網(wǎng)絡(luò)的不安全因素。
    118 問題:Cisco PIX防火墻的軟件是否能夠支持VPN功能?
    答案:只有在PIX5.0版本的軟件上可以支持VPN的PKI和IKE驗(yàn)證協(xié)議,從而支持VPN功能。
    119 問題:Cisco 公司的PIX防火墻與實(shí)現(xiàn)傳統(tǒng)路由選擇算法的路由器相比有何特點(diǎn)?
    答案:首先,從功能上講,PIX防火墻并不等同于路由器。事實(shí)上,路由器自身不具備安全性,這是因?yàn)槁酚善鞯能浖褂玫氖莿討B(tài)路由選擇算法,并對外不斷廣播自身的鏈路狀態(tài),這樣網(wǎng)絡(luò)上所有節(jié)點(diǎn)都可以獲得其網(wǎng)絡(luò)地址,從而使路由器有被攻擊的可能。與此相比,PIX防火墻并不對外廣播其鏈路狀態(tài),它使用靜態(tài)地址映射與外界建立聯(lián)系,因而大大減少了本身遭受攻擊的風(fēng)險(xiǎn)。其次,PIX防火墻僅僅是在其內(nèi)部網(wǎng)絡(luò)段上使用一個(gè)簡化的RIP進(jìn)行動態(tài)路由選擇運(yùn)算,實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的路由選擇。
    120 問題:PIX防火墻所使用的ASA算法有哪些基本特性?
    答案:ASA算法是PIX防火墻安全驗(yàn)證算法的核心。ASA算法采用了一種基于狀態(tài)和面向TCP連接的安全設(shè)計(jì)體系。ASA基于源和目的地地址創(chuàng)建一個(gè)會話流,同時(shí)在一個(gè)連接完成之前將其TCP序列號、TCP端口號和附帶的TCP識別標(biāo)記隨機(jī)地加入會話序列。該功能主要用來監(jiān)視從目的地址返回的數(shù)據(jù)包,并保證其合法性。同時(shí),ASA算法還可以實(shí)現(xiàn)基于策略的安全體系 ,例如每一個(gè)內(nèi)部系統(tǒng)和相關(guān)應(yīng)用在未經(jīng)過明確的安全配置的情況下只允許單一方向的連接(由內(nèi)部到外部)。使用隨機(jī)生成的TCP序列號可以減少黑客利用TCP序列號進(jìn)行攻擊的可能性。
    121 問題:PIX防火墻具有哪些高級特性?
    答案:PIX防火墻具有DNS防護(hù)、MAIL防護(hù)、JAVA阻斷、ActiveX過濾、URL過濾、支持H.323以及病毒掃描等高級特性。
    122 問題:PIX防火墻的備份設(shè)備是否具有主設(shè)備的一切功能?
    答案:PIX防火墻的備份功能為網(wǎng)絡(luò)提供了冗余備份機(jī)制,它允許兩臺相同的設(shè)備執(zhí)行相同的功能,當(dāng)主設(shè)備工作時(shí),備份設(shè)備負(fù)責(zé)監(jiān)視主設(shè)備的工作狀態(tài)。當(dāng)主設(shè)備發(fā)生故障時(shí),備份設(shè)備將會在30至45秒內(nèi)接替主設(shè)備進(jìn)行安全驗(yàn)證工作。需要注意的是,首先主設(shè)備與備份設(shè)備必須運(yùn)行相同版本的軟件,其次備份設(shè)備只能做備份用,它無法脫離PIX主設(shè)備單獨(dú)使用。
    248 問題:PIX 防火墻系列產(chǎn)品中有那些型號,有何區(qū)別?
    答案:PIX 515,,PIX 525,PIX535。515適合在中小型企業(yè)應(yīng)用,只支持以太網(wǎng)網(wǎng)卡,支持6個(gè)以太網(wǎng)網(wǎng)卡。其機(jī)箱上帶有2個(gè)固定的10/100M以太網(wǎng)網(wǎng)卡,并帶有兩個(gè)擴(kuò)展插槽。 PIX 525,535適合在電信行業(yè)或大企業(yè)中應(yīng)用,提供256000個(gè)同時(shí)連接。
    249 問題:Pix防火墻缺省狀態(tài)下如果不設(shè)置access-list 列表是否就意味著將所有的流量阻斷?
    答案:分兩種情況。 1.如果數(shù)據(jù)從較高安全級流向較低安全級的端口時(shí),如果不設(shè)置任何外出訪問控制列表(outbound access-list)所有的數(shù)據(jù)流是允許通過的。 2.如果數(shù)據(jù)從較底安全級流向較高安全級的端口時(shí),如果不特別設(shè)置任何特定訪問控制列表(或conduit permit )是全部禁止通過的。只有通過設(shè)置允許(permit)通過訪問命令才可以允許特定的數(shù)據(jù)通過。
    250 問題:Pix 防火墻能否執(zhí)行安全檢查而不使用NAT?
    答案:可以通過使用命令
    251 問題:CISCO IOS 中的軟件防火墻與硬件防火墻PIX有什么區(qū)別?
    答案:CISCO IOS 中的軟件防火墻集成度高,成本低,維護(hù)相對簡單,但同時(shí)由于用軟件完成防火墻功能,對路由器的性能會有一定影響。硬件防火墻PIX使用一套獨(dú)立的操作系統(tǒng),并由單獨(dú)的硬件完成防火墻功能,從而不會對路由器性能有影響,但成本較高,維護(hù)相對復(fù)雜。
    252 問題:怎樣判別PIX防火墻的FLASH 的大?。?BR>    答案:使用SHOW VERSION 命令。
    253 問題:PIX防火墻在什么時(shí)候需要ACTIVATION KEY?
    答案:在軟件升級新增加特性時(shí)(FLASH升級),需要,如Ristrict 到 UnRistricted時(shí),DES到3DES時(shí)。
    254 問題:配置防火墻時(shí)需要何種配置轉(zhuǎn)換線?
    答案:配置兩頭為db9 ,中間為非MODEM連接線。
    255 問題:PIX 525-FO-BUN在購買時(shí)還需要額外定制LICENSE?
    答案:PIX-525-FO-BUN本身已經(jīng)包含有無限制版本的LICENSE,因而不需要額外訂購軟件。
    260 問題:哪些版本軟件的PIX防火墻支持VPN功能?
    答案:在PIX5.0和5.1版本以后的PIX IOS IPSEC軟件都支持VPN功能。
    261 問題:PIX 防火墻密碼恢復(fù)方法,步驟分解。
    答案:monitor> interface 0 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9 設(shè)置本端口地址 monitor> address 10.21.1.99 address 10.21.1.99 設(shè)置服務(wù)器地址 monitor> server 172.18.125.3 server 172.18.125.3 獲取文件 monitor> file np52.bin file np52.bin 設(shè)置網(wǎng)關(guān) monitor> gateway 10.21.1.1 gateway 10.21.1.1 monitor> ping 172.18.125.3 Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) 執(zhí)行下載傳輸命令 tor> tftp tftp np52.bin@172.18.125.3 via 10.21.1.1.................................................................
    Received 73728 bytes Cisco Secure PIX Firewall password tool (3.0) 0: Tue Aug 22 23:22:19 PDT 2000 Flash=i28F640J5 @ 0x300 BIOS Flash=AT29C257 @ 0xd8000 Do you wish to erase the passwords? [yn] y Passwords have been erased. Rebooting....
    262 問題:PIX防火墻中可選千兆板卡中常見有兩種普通GE,GE-66如何鑒別?
    答案:執(zhí)行命令 show interface 顯示如下 Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX or Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX 顯示i82542代表 33MHz; 顯示 i82543 代表 66MHz.
    263 問題:當(dāng)試圖使用TFTP下載PIXNNN.exe時(shí),總是提示錯(cuò)誤'BAD MAGIC NUMBER',不知是何原因?
    答案:你應(yīng)該下載的是 .bin 文件而不是 .exe 文件。.exe 文件可以自解壓成 .bin文件。
    264 問題:當(dāng)我試圖增加一個(gè)防火墻在原有的路由器與局域網(wǎng)之間時(shí),防火墻一切配置正常,但是無法正常使用不知是何原因?
    答案:最有可能的原因是因?yàn)橥膺B路由器或周邊路由器破損的ARP表,我們都知道路由器的工作原理是根據(jù)MAC地址來選擇路徑,路由器通常會保留MAC地址2-3個(gè)小時(shí),解決方法是用CLEAR ARP-CACHE 命令。檢查INSIDE側(cè)的主機(jī)的缺省網(wǎng)關(guān)是否指向PIX的INSIDE接口,檢查PIX防火墻的缺省網(wǎng)關(guān)是否只有一條,多個(gè)缺省網(wǎng)關(guān)會引起不穩(wěn)定或不能工作。
    265 問題:如何確定PIX防火墻的FLASH容量的大?。?BR>    答案:執(zhí)行SHOW VERSION 命令后顯示對照表如下。 i28F020 512 KB AT29C040A 2 MB atmel 2 MB i28F640J5 8 MB - PIX 506 16 MB - all other PIXes strata 16 MB
    266 問題:我在試圖在PIX防火墻上使用NAT/GLOBAL命令時(shí),發(fā)現(xiàn)防火墻外面的用戶與內(nèi)部的主機(jī)間無法保持持續(xù)的連接。
    答案:NAT,GLOBAL命令建立的總是從高優(yōu)先級到低優(yōu)先級臨時(shí)連接,都是由內(nèi)向外發(fā)起的,無法直接建立由外而內(nèi)的.
    267 問題:什么是IPSEC,其工作原理如何?
    答案:IPSec包括了一組安全和認(rèn)證協(xié)議,最重要的是包括了Internet密鑰交換(IKE)協(xié)議。IKE使兩個(gè)地點(diǎn)能夠建立安全的連接,方法是使用事先共享的密鑰或由一家認(rèn)證機(jī)構(gòu)管理的公鑰基礎(chǔ)結(jié)構(gòu)(PKI)數(shù)字證書,后者是一種進(jìn)行公鑰登記的內(nèi)部或外購服務(wù)。通過使用簽名數(shù)字ID來確認(rèn)端點(diǎn)的身份,IKE能夠?qū)PN的規(guī)模擴(kuò)展到數(shù)以千計(jì)的端點(diǎn)。 為確保安全的數(shù)據(jù)加密,Cisco在路由器和PIX上對IPSec的實(shí)施過程中既支持?jǐn)?shù)據(jù)加密標(biāo)準(zhǔn)(DES) ,也支持三重DES算法。
    268 問題:PIX防火墻如何實(shí)現(xiàn)其url過濾功能?
    答案:PIX防火墻能夠主動過濾URL,從而控制用戶能夠訪問哪些Web站點(diǎn)。URL過濾是通過與NetPartners WebSENSE服務(wù)器軟件的集成來實(shí)現(xiàn)的,該軟件現(xiàn)在有一個(gè)專用于Cisco PIX Firewall的版本。WebSENSE服務(wù)器軟件既可以運(yùn)行在Windows NT服務(wù)器上,也可以運(yùn)行在UNIX服務(wù)器上。這些服務(wù)器可以是網(wǎng)絡(luò)內(nèi)部的,也可以來自PIX防火墻外部受到保護(hù)的周邊網(wǎng)絡(luò)。
    269 問題:PIX防火墻支持的會話數(shù)?
    答案:Cisco Secure PIX 防火墻 515-R(軟件受限)可同時(shí)支持最多64000個(gè)會話,PIX 515-UR(不受限)可同時(shí)支持128000個(gè)會話,PIX 520可同時(shí)支持256000個(gè)會話。
    270 問題:PIX防火墻系列支持軟件的最低版本?
    答案:PIX506------5.1(2) PIX515------4.4(1) PIX525------5.2(1) PIX535-------5.3(1)
    271 問題:PIX防火墻通過何種技術(shù)來解決地址短缺問題?
    答案:Cisco Secure PIX 防火墻系列產(chǎn)品具備一種特性,能夠在不引起IP地址短缺的情況下對IP網(wǎng)絡(luò)進(jìn)行擴(kuò)展和重新配置。利用NAT,既可以使用現(xiàn)有的IP地址,也可以使用Internet分配號授權(quán)(IANA)儲備庫(RFC 1918)保留的地址。Cisco Secure PIX 防火墻系列產(chǎn)品還可以根據(jù)需要有選擇性地允許對混合地址進(jìn)行轉(zhuǎn)換或不進(jìn)行轉(zhuǎn)換。另外,Cisco還保證NAT能夠與其它PIX防火墻功能兼容,如支持多媒體應(yīng)用。而在競爭對手的防火墻產(chǎn)品中,NAT和多媒體功能可能是相互排斥的。 Cisco Secure PIX 防火墻系列產(chǎn)品通過"端口級多路技術(shù)"支持端口地址轉(zhuǎn)換(PAT),這種方法可以進(jìn)一步節(jié)省IP地址。利用PAT,用戶內(nèi)部本地地址能夠自動被轉(zhuǎn)換為的外部本地地址,使用不同的端口號就可以對每個(gè)轉(zhuǎn)換進(jìn)行區(qū)分。使用PAT,一個(gè)外部IP地址可以為64000個(gè)內(nèi)部主機(jī)提供服務(wù)。