CISCO防火墙常见问题及解答
添加时间: 2008-2-24 12:43:56 作者: Cisco指导 阅读次数:23 来源: http://www.d9soft.com
答案:可以通过使用命令
251 问题:CISCO IOS 中的软件防火墙与硬件防火墙PIX有什么区别?
答案:CISCO IOS 中的软件防火墙集成度高,成本低,维护相对简单,但同时由于用软件完成防火墙功能,对路由器的性能会有一定影响。硬件防火墙PIX使用一套独立的操作系统,并由单独的硬件完成防火墙功能,从而不会对路由器性能有影响,但成本较高,维护相对复杂。
252 问题:怎样判别PIX防火墙的FLASH 的大小?
答案:使用SHOW VERSION 命令。
253 问题:PIX防火墙在什么时候需要ACTIVATION KEY?
答案:在软件升级新增加特性时(FLASH升级),需要,如Ristrict 到 UnRistricted时,DES到3DES时。
254 问题:配置防火墙时需要何种配置转换线?
答案:配置两头为db9 ,中间为非MODEM连接线。
255 问题:PIX 525-FO-BUN在购买时还需要额外定制LICENSE?
答案:PIX-525-FO-BUN本身已经包含有无限制版本的LICENSE,因而不需要额外订购软件。
260 问题:哪些版本软件的PIX防火墙支持VPN功能?
答案:在PIX5.0和5.1版本以后的PIX IOS IPSEC软件都支持VPN功能。
261 问题:PIX 防火墙密码恢复方法,步骤分解。
答案:monitor> interface 0 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9 设置本端口地址 monitor> address 10.21.1.99 address 10.21.1.99 设置服务器地址 monitor> server 172.18.125.3 server 172.18.125.3 获取文件 monitor> file np52.bin file np52.bin 设置网关 monitor> gateway 10.21.1.1 gateway 10.21.1.1 monitor> ping 172.18.125.3 Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) 执行下载传输命令 tor> tftp tftp np52.bin@172.18.125.3 via 10.21.1.1.................................................................
Received 73728 bytes Cisco Secure PIX Firewall password tool (3.0) 0: Tue Aug 22 23:22:19 PDT 2000 Flash=i28F640J5 @ 0x300 BIOS Flash=AT29C257 @ 0xd8000 Do you wish to erase the passwords? [yn] y Passwords have been erased. Rebooting....
262 问题:PIX防火墙中可选千兆板卡中常见有两种普通GE,GE-66如何鉴别?
答案:执行命令 show interface 显示如下 Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX or Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX 显示i82542代表 33MHz; 显示 i82543 代表 66MHz.
263 问题:当试图使用TFTP下载PIXNNN.exe时,总是提示错误'BAD MAGIC NUMBER',不知是何原因?
答案:你应该下载的是 .bin 文件而不是 .exe 文件。.exe 文件可以自解压成 .bin文件。
264 问题:当我试图增加一个防火墙在原有的路由器与局域网之间时,防火墙一切配置正常,但是无法正常使用不知是何原因?
答案:最有可能的原因是因为外连路由器或周边路由器破损的ARP表,我们都知道路由器的工作 原理 是根据MAC地址来选择路径,路由器通常会保留MAC地址2-3个小时,解决方法是用CLEAR ARP-CACHE 命令。 检查 INSIDE侧的主机的缺省网关是否指向PIX的INSIDE接口,检查PIX防火墙的缺省网关是否只有一条,多个缺省网关会引起不稳定或不能工作。
265 问题:如何确定PIX防火墙的FLASH容量的大小?
答案:执行SHOW VERSION 命令后显示对照表如下。 i28F020 512 KB AT29C040A 2 MB atmel 2 MB i28F640J5 8 MB - PIX 506 16 MB - all other PIXes strata 16 MB
266 问题:我在试图在PIX防火墙上使用NAT/GLOBAL命令时,发现防火墙外面的用户与内部的主机间无法保持持续的连接。
答案:NAT,GLOBAL命令建立的总是从高优先级到低优先级临时连接,都是由内向外发起的,无法直接建立由外而内的.
267 问题:什么是IPSEC,其工作 原理 如何?
答案:IPSec包括了一组 安全 和认证协议,最重要的是包括了Internet密钥交换(IKE)协议。IKE使两个地点能够建立安全的连接,方法是使用事先共享的密钥或由一家认证机构 管理 的公钥基础结构(PKI)数字证书,后者是一种进行公钥登记的内部或外购服务。通过使用签名数字ID来确认端点的身份,IKE能够将VPN的规模扩展到数以千计的端点。 为确保安全的数据加密, Cisco 在路由器和PIX上对IPSec的实施过程中既支持数据加密标准(DES) ,也支持三重DES算法。
268 问题:PIX防火墙如何实现其url过滤功能?
答案:PIX防火墙能够主动过滤URL,从而控制用户能够访问哪些Web站点。URL过滤是通过与NetPartners WebSENSE服务器软件的集成来实现的,该软件现在有一个专用于Cisco PIX Firewall的版本。WebSENSE服务器软件既可以运行在Windows NT服务器上,也可以运行在UNIX服务器上。这些服务器可以是 网络 内部的,也可以来自PIX防火墙外部受到保护的周边网络。
269 问题:PIX防火墙支持的最大会话数?
答案:Cisco Secure PIX 防火墙 515-R(软件受限)可同时支持最多64000个会话,PIX 515-UR(不受限)可同时支持128000个会话,PIX 520可同时支持256000个会话。
270 问题:PIX防火墙系列支持软件的最低版本?
答案:PIX506------5.1(2) PIX515------4.4(1) PIX525------5.2(1) PIX535-------5.3(1)
271 问题:PIX防火墙通过何种技术来解决地址短缺问题?
答案:Cisco Secure PIX 防火墙系列产品具备一种特性,能够在不引起IP地址短缺的情况下对IP网络进行扩展和重新配置。利用NAT,既可以使用现有的IP地址,也可以使用Internet分配号授权(IANA)储备库(RFC 1918)保留的地址。Cisco Secure PIX 防火墙系列产品还可以根据需要有选择性地允许对混合地址进行转换或不进行转换。另外,Cisco还保证NAT能够与其它PIX防火墙功能兼容,如支持多媒体应用。而在竞争对手的防火墙产品中,NAT和多媒体功能可能是相互排斥的。 Cisco Secure PIX 防火墙系列产品通过"端口级多路技术"支持端口地址转换(PAT),这种方法可以进一步节省IP地址。利用PAT,用户内部本地地址能够自动被转换为唯一的外部本地地址,使用不同的端口号就可以对每个转换进行区分。使用PAT,一个外部IP地址可以为64000个内部主机提供服务。
CISCO防火墙常见问题及解答(2) 第 [1] [2] 下一页
上一篇文章: 思科产品常见问题问答大汇总 下一篇文章: 局域网中无法访问的解决方法集锦