CISCO常见问题及解答—防火墙相关
添加时间: 2008-2-21 16:38:07 作者: Cisco指导 阅读次数:18 来源: http://www.d9soft.com
问题:CacheEngine是否具有URL过滤功能?
答案:CacheEngine1.7-2.0版本的软件支持一种叫URL Blocking的功能,该功能是在 CacheEngine的适配器接口上进行配置实现的,它可以将由特定地址来的流量阻断。CacheEngine2.1版本的软件可以通过与基于WindowsNT、UNIX系统的Websense软件结合使用实现支持URL Filtering功能。
107 问题:PIX-520-FO-BUN在购买时是否需要额外定购License?
答案:PIX-520-FO-BUN本身已经包含有无限制版本的License,因而不需额外定购 软件。
108 问题:对于能够支持IPSec的PIX 防火墙,客户端的VPN软件是否有特殊要求?
答案: Cisco 公司有自己的客户端VPN软件,它可与PIX防火墙进行完美的互操作。
109 问题:PIX防火墙如果要实现URL过滤功能,需要额外的软件吗?
答案:需要购买第三方软件产品,Websense。
110 问题:Netsonar上的软件可以应用于哪些操作系统?
答案:Netsonar具有以下软件系统:NS-20-NT;NS-201-S-2500。前者用于WindowsNT 环境中,后者用于Solaris环境中。
111 问题:目前Cisco 公司PIX防火墙系列产品有那些型号,有何区别?
答案:在目前的PIX防火墙系列产品中,主要有两种型号PIX515和PIX520。其主要区别如下: PIX515适合在中小型 企业 应用,最大可提供128,000同时连接数。 网络 接口卡只支持以太网网卡,最大可支持到6个以太网网卡。其机箱上带有2个固定的10/100M 以太网网卡,并带有两个扩展插槽。 PIX520适合在电信行业和大型的企业中应用,最大能提供256,000个同时连接数。可支持多种介质类型:以太网,令牌环和FDDI。最多能够提供6个以太网接口,最大支持3个令牌环接口和2个FDDI网络接口,并且以太网接口卡只能和令牌环接口混合使用。FDDI接口卡只能单独使用。PIX520的机箱上没有固定配置的接口卡,但带有4个扩展插槽。
112 问题:Cisco 公司的PIX防火墙和路由器防火墙有何区别?
答案:CiscoPIX防火墙采用集成的软件和硬件平台,是一种专用的防火墙产品。它采用专用的、实时的、 安全 的、非UNIX和非NT的操作系统,能够在不影响网络性能的情况下,提供极其高的安全性。 Cisco路由器防火墙产品是通过在路由器上运行带有防火墙特性集的IOS软件来实现的。它是在低价位的基础上实现经济有效的防火墙解决方案。但由于这个产品在执行传统的路由器选路工作的同时又作为防火墙来提供安全保障,所以在安全性能和数据流的处理性能上面没有专用的PIX防火墙产品高。 当进行选择时,如果用户更多考虑的是网络的安全性和产品性能时,我们建议采用专用的PIX防火墙;当用户对产品价格更为关心时,则建议采用经济有效的基于Cisco IOS防火墙特性集的路由器防火墙产品。
113 问题:CiscoPIX防火墙产品与软件防火墙产品(如Checkpoint Firewall-1)相比有何 优势?
答案:首先,CiscoPIX是一个集成的硬件/软件产品,用户能够得到一个厂家-Cisco公司全球化的一流的技术服务支持,Checkpoint Firewall-1是一个软件 产品,使用时还需要另外购买第三方厂家的硬件平台,因此还需要第三方厂家的技术支持。其次,PIX防火墙采用了专有、实时的IOS操作系统,安全性好。Checkpoint Firewall-1运行在开放的UNIX或WindowsNT平台上,因而容易受到攻击。第三,PIX防火墙对多媒体技术具有广泛的支持,Checkpoint Firewall-1对多 媒体技术的支持功能非常有限。此外,PIX防火墙与Checkpoint Firewall-1相比具有更高的数据包转发性能和 更高的安全性能。
114 问题: Cisco PIX防火墙和IOS Firewall相比有何区别?
答案:CiscoPIX防火墙是基于硬件的专用设备,它能够在不影响 网络 性能的情况下对网络实施基于策略的 安全 管理 功能。IOS Firewall是基于软件的防火墙 产品,它一般是作为IOS软件的附带性能安装在路由器中的。路由器在执行常规选路运算的同时执行防火墙的安全认证工作,因而在性能上比PIX专用防火墙要低。一般来说,带IOS Firewall软件的路由器在执行安全认证任务 时比PIX防火墙的性能低30-40%左右。
115 问题:用户在购买了具有比较小的最大连接数PIX防火墙产品后,能否通过升级的方法支持更多的最大连接数?
答案:PIX防火墙可以支持最大连接数的升级。当用户购买具有较小连接数的PIX防火墙产品后,可以通过购买相应最大连接数的授权许可的方式进行最大连接数的升级。对于PIX515来说,当升级最大连接数时,一方面需要购买非限制级别软件的授权许可,另一方面需要增加相应的FLASH和DRAM内存。对于PIX520来说,当升级最大连接数时,只需要购买相应的最大连接数的软件授权许可。
116 问题:什么是OSPF On-Demand Circuit,在不同网络中应该如何的配置?
答案: OSPF On-Demand Circuit—OSPF On-Demand Circuit is an enhancement to the OSPF protocol, as described in RFC 1793, that allows efficient operation over demand circuits such as ISDN, X.25 SVCs, and dial-up lines. Previously, the period nature of OSPF routing traffic mandated that the underlying data-link connection needed to be open constantly, resulting in unwanted usage charges. With this feature, OSPF Hellos and the refresh of OSPF routing information is suppressed for on-demand circuits (and reachability is presumed), allowing the underlying data-link connections to be closed when not carrying application traffic. The feature allows the consolidation on a single routing protocol and the benefits of the OSPF routing protocol across the entire network, without incurring excess connection costs. If the router is part of a point-to-point topology, only one end of the demand circuit needs to be configured for OSPF On-Demand Circuit operation. In point-to-multipoint topologies, all appropriate routers m
ust be configured with OSPF On-Demand Circuit. All routers in an area must support this feature—that is, be running Cisco IOS Software Release 11.2 or greater.
117 问题:使用网管软件是否可以管理PIX防火墙以外的网络设备?
答案:如果有特殊需要,可以实现管理PIX防火墙以外的设备,但是出于安全考虑,一般不推荐这种应用。这是因为若要实现这种应用,首先必须建立固定的TCP连接,这样就会增加网络的不安全因素。
118 问题:Cisco PIX防火墙的软件是否能够支持VPN功能?
答案:只有在PIX5.0版本的软件上可以支持VPN的PKI和IKE验证协议,从而支持VPN功能。
119 问题:Cisco 公司的PIX防火墙与实现传统路由选择算法的路由器相比有何特点?
答案:首先,从功能上讲,PIX防火墙并不等同于路由器。事实上,路由器自身不具备安全性,这是因为路由器的软件使用的是动态路由选择算法,并对外不断广播自身的链路状态,这样网络上所有节点都可以获得其网络地址,从而使路由器有被攻击的可能。与此相比,PIX防火墙并不对外广播其链路状态,它使用静态地址映射与外界建立联系,因而大大减少了本身遭受攻击的风险。其次,PIX防火墙仅仅是在其内部网络段上使用一个简化的RIP进行动态路由选择运算,实现内部网络的路由选择。
120 问题:PIX防火墙所使用的ASA算法有哪些基本特性?
答案:ASA算法是PIX防火墙安全验证算法的核心。ASA算法采用了一种基于状态和面向TCP连接的安全设计体系。ASA基于源和目的地地址创建一个会话流,同时在一个连接完成之前将其TCP序列号、TCP端口号和附带的TCP识别标记随机地加入会话序列。该功能主要用来监视从目的地址返回的数据包,并保证其合法性。同时,ASA算法还可以实现基于策略的安全体系 ,例如每一个内部系统和相关应用在未经过明确的安全配置的情况下只允许单一方向的连接(由内部到外部)。使用随机生成的TCP序列号可以减少黑客利用TCP序列号进行攻击的可能性。
121 问题:PIX防火墙具有哪些高级特性?
答案:PIX防火墙具有DNS防护、MAIL防护、JAVA阻断、ActiveX过滤、URL过滤、支持H.323以及病毒扫描等高级特性。
122 问题:PIX防火墙的备份设备是否具有主设备的一切功能?
答案:PIX防火墙的备份功能为 网络 提供了冗余备份机制,它允许两台相同的设备执行相同的功能,当主设备工作时,备份设备负责监视主设备的工作状态。当主设备发生故障时,备份设备将会在30至45秒内接替主设备进行 安全 验证工作。需要注意的是,首先主设备与备份设备必须运行相同版本的软件,其次备份设备只能做备份用,它无法脱离PIX主设备单独使用。
248 问题:PIX 防火墙系列产品中有那些型号,有何区别?
答案:PIX 515,,PIX 525,PIX535。515适合在中小型 企业 应用,只支持以太网网卡,最大支持6个以太网网卡。其机箱上带有2个固定的10/100M以太网网卡,并带有两个扩展插槽。 PIX 525,535适合在电信行业或大企业中应用,最大提供256000个同时连接。
249 问题:Pix防火墙缺省状态下如果不设置access-list 列表是否就意味着将所有的流量阻断?
答案:分两种情况。 1.如果数据从较高安全级流向较低安全级的端口时,如果不设置任何外出访问控制列表(outbound access-list)所有的数据流是允许通过的。 2.如果数据从较底安全级流向较高安全级的端口时,如果不特别设置任何特定访问控制列表(或conduit permit )是全部禁止通过的。只有通过设置允许(permit)通过访问命令才可以允许特定的数据通过。
250 问题:Pix 防火墙能否执行安全 检查 而不使用NAT?
答案:可以通过使用命令
251 问题:CISCO IOS 中的软件防火墙与硬件防火墙PIX有什么区别?
答案:CISCO IOS 中的软件防火墙集成度高,成本低,维护相对简单,但同时由于用软件完成防火墙功能,对路由器的性能会有一定影响。硬件防火墙PIX使用一套独立的操作系统,并由单独的硬件完成防火墙功能,从而不会对路由器性能有影响,但成本较高,维护相对复杂。
252 问题:怎样判别PIX防火墙的FLASH 的大小?
答案:使用SHOW VERSION 命令。
253 问题:PIX防火墙在什么时候需要ACTIVATION KEY?
答案:在软件升级新增加特性时(FLASH升级),需要,如Ristrict 到 UnRistricted时,DES到3DES时。
254 问题:配置防火墙时需要何种配置转换线?
答案:配置两头为db9 ,中间为非MODEM连接线。
255 问题:PIX 525-FO-BUN在购买时还需要额外定制LICENSE?
答案:PIX-525-FO-BUN本身已经包含有无限制版本的LICENSE,因而不需要额外订购软件。
260 问题:哪些版本软件的PIX防火墙支持VPN功能?
答案:在PIX5.0和5.1版本以后的PIX IOS IPSEC软件都支持VPN功能。
CISCO常见问题及解答—防火墙相关(1) 第 [1] [2] 下一页
上一篇文章: CISCO常见问题及解答-交换机 下一篇文章: 解决采用多路由协议的网络问题