第1个回答 2023-03-08
106 问题:CacheEngine是否具有URL过滤功能?
答案:CacheEngine1.7-2.0版本的软件支持一种叫URL Blocking的功能,该功能是在 CacheEngine的适配器接口上进行配置实现的,它可以将由特定地址来的流量阻断。CacheEngine2.1版本的软件可以通过与基于WindowsNT、UNIX系统的Websense软件结合使用实现支持URL Filtering功能。
107 问题:PIX-520-FO-BUN在购买时是否需要额外定购License?
答案:PIX-520-FO-BUN本身已经包含有无限制版本的License,因而不需额外定购 软件。
108 问题:对于能够支持IPSec的PIX 防火墙,客户端的VPN软件是否有特殊要求?
答案:Cisco公司有自己的客户端VPN软件,它可与PIX防火墙进行完美的互操作。
109 问题:PIX防火墙如果要实现URL过滤功能,需要额外的软件吗?
答案:需要购买第三方软件产品,Websense。
110 问题:Netsonar上的软件可以应用于哪些操作系统?
答案:Netsonar具有以下软件系统:NS-20-NT;NS-201-S-2500。前者用于WindowsNT 环境中,后者用于Solaris环境中。
111 问题:目前Cisco 公司PIX防火墙系列产品有那些型号,有何区别?
答案:在目前的PIX防火墙系列产品中,主要有两种型号PIX515和PIX520。其主要区别如下: PIX515适合在中小型企业应用,可提供128,000同时连接数。网络接口卡只支持以太网网卡,可支持到6个以太网网卡。其机箱上带有2个固定的10/100M 以太网网卡,并带有两个扩展插槽。 PIX520适合在电信行业和大型的企业中应用,能提供256,000个同时连接数。可支持多种介质类型:以太网,令牌环和FDDI。最多能够提供6个以太网接口,支持3个令牌环接口和2个FDDI网络接口,并且以太网接口卡只能和令牌环接口混合使用。FDDI接口卡只能单独使用。PIX520的机箱上没有固定配置的接口卡,但带有4个扩展插槽。
112 问题:Cisco 公司的PIX防火墙和路由器防火墙有何区别?
答案:CiscoPIX防火墙采用集成的软件和硬件平台,是一种专用的防火墙产品。它采用专用的、实时的、安全的、非UNIX和非NT的操作系统,能够在不影响网络性能的情况下,提供极其高的安全性。 Cisco路由器防火墙产品是通过在路由器上运行带有防火墙特性集的IOS软件来实现的。它是在低价位的基础上实现经济有效的防火墙解决方案。但由于这个产品在执行传统的路由器选路工作的同时又作为防火墙来提供安全保障,所以在安全性能和数据流的处理性能上面没有专用的PIX防火墙产品高。 当进行选择时,如果用户更多考虑的是网络的安全性和产品性能时,我们建议采用专用的PIX防火墙;当用户对产品价格更为关心时,则建议采用经济有效的基于Cisco IOS防火墙特性集的路由器防火墙产品。
113 问题:CiscoPIX防火墙产品与软件防火墙产品(如Checkpoint Firewall-1)相比有何 优势?
答案:首先,CiscoPIX是一个集成的硬件/软件产品,用户能够得到一个厂家-Cisco公司全球化的一流的技术服务支持,Checkpoint Firewall-1是一个软件 产品,使用时还需要另外购买第三方厂家的硬件平台,因此还需要第三方厂家的技术支持。其次,PIX防火墙采用了专有、实时的IOS操作系统,安全性好。Checkpoint Firewall-1运行在开放的UNIX或WindowsNT平台上,因而容易受到攻击。第三,PIX防火墙对多媒体技术具有广泛的支持,Checkpoint Firewall-1对多 媒体技术的支持功能非常有限。此外,PIX防火墙与Checkpoint Firewall-1相比具有更高的数据包转发性能和 更高的安全性能。
114 问题:Cisco PIX防火墙和IOS Firewall相比有何区别?
答案:CiscoPIX防火墙是基于硬件的专用设备,它能够在不影响网络性能的情况下对网络实施基于策略的安全管理功能。IOS Firewall是基于软件的防火墙 产品,它一般是作为IOS软件的附带性能安装在路由器中的。路由器在执行常规选路运算的同时执行防火墙的安全认证工作,因而在性能上比PIX专用防火墙要低。一般来说,带IOS Firewall软件的路由器在执行安全认证任务 时比PIX防火墙的性能低30-40%左右。
115 问题:用户在购买了具有比较小的连接数PIX防火墙产品后,能否通过升级的方法支持更多的连接数?
答案:PIX防火墙可以支持连接数的升级。当用户购买具有较小连接数的PIX防火墙产品后,可以通过购买相应连接数的授权许可的方式进行连接数的升级。对于PIX515来说,当升级连接数时,一方面需要购买非限制级别软件的授权许可,另一方面需要增加相应的FLASH和DRAM内存。对于PIX520来说,当升级连接数时,只需要购买相应的连接数的软件授权许可。
116 问题:什么是OSPF On-Demand Circuit,在不同网络中应该如何的配置?
答案: OSPF On-Demand Circuit—OSPF On-Demand Circuit is an enhancement to the OSPF protocol, as described in RFC 1793, that allows efficient operation over demand circuits such as ISDN, X.25 SVCs, and dial-up lines. Previously, the period nature of OSPF routing traffic mandated that the underlying data-link connection needed to be open constantly, resulting in unwanted usage charges. With this feature, OSPF Hellos and the refresh of OSPF routing information is suppressed for on-demand circuits (and reachability is presumed), allowing the underlying data-link connections to be closed when not carrying application traffic. The feature allows the consolidation on a single routing protocol and the benefits of the OSPF routing protocol across the entire network, without incurring excess connection costs. If the router is part of a point-to-point topology, only one end of the demand circuit needs to be configured for OSPF On-Demand Circuit operation. In point-to-multipoint topologies, all appropriate routers must be configured with OSPF On-Demand Circuit. All routers in an area must support this feature—that is, be running Cisco IOS Software Release 11.2 or greater.
117 问题:使用网管软件是否可以管理PIX防火墙以外的网络设备?
答案:如果有特殊需要,可以实现管理PIX防火墙以外的设备,但是出于安全考虑,一般不推荐这种应用。这是因为若要实现这种应用,首先必须建立固定的TCP连接,这样就会增加网络的不安全因素。
118 问题:Cisco PIX防火墙的软件是否能够支持VPN功能?
答案:只有在PIX5.0版本的软件上可以支持VPN的PKI和IKE验证协议,从而支持VPN功能。
119 问题:Cisco 公司的PIX防火墙与实现传统路由选择算法的路由器相比有何特点?
答案:首先,从功能上讲,PIX防火墙并不等同于路由器。事实上,路由器自身不具备安全性,这是因为路由器的软件使用的是动态路由选择算法,并对外不断广播自身的链路状态,这样网络上所有节点都可以获得其网络地址,从而使路由器有被攻击的可能。与此相比,PIX防火墙并不对外广播其链路状态,它使用静态地址映射与外界建立联系,因而大大减少了本身遭受攻击的风险。其次,PIX防火墙仅仅是在其内部网络段上使用一个简化的RIP进行动态路由选择运算,实现内部网络的路由选择。
120 问题:PIX防火墙所使用的ASA算法有哪些基本特性?
答案:ASA算法是PIX防火墙安全验证算法的核心。ASA算法采用了一种基于状态和面向TCP连接的安全设计体系。ASA基于源和目的地地址创建一个会话流,同时在一个连接完成之前将其TCP序列号、TCP端口号和附带的TCP识别标记随机地加入会话序列。该功能主要用来监视从目的地址返回的数据包,并保证其合法性。同时,ASA算法还可以实现基于策略的安全体系 ,例如每一个内部系统和相关应用在未经过明确的安全配置的情况下只允许单一方向的连接(由内部到外部)。使用随机生成的TCP序列号可以减少黑客利用TCP序列号进行攻击的可能性。
121 问题:PIX防火墙具有哪些高级特性?
答案:PIX防火墙具有DNS防护、MAIL防护、JAVA阻断、ActiveX过滤、URL过滤、支持H.323以及病毒扫描等高级特性。
122 问题:PIX防火墙的备份设备是否具有主设备的一切功能?
答案:PIX防火墙的备份功能为网络提供了冗余备份机制,它允许两台相同的设备执行相同的功能,当主设备工作时,备份设备负责监视主设备的工作状态。当主设备发生故障时,备份设备将会在30至45秒内接替主设备进行安全验证工作。需要注意的是,首先主设备与备份设备必须运行相同版本的软件,其次备份设备只能做备份用,它无法脱离PIX主设备单独使用。
248 问题:PIX 防火墙系列产品中有那些型号,有何区别?
答案:PIX 515,,PIX 525,PIX535。515适合在中小型企业应用,只支持以太网网卡,支持6个以太网网卡。其机箱上带有2个固定的10/100M以太网网卡,并带有两个扩展插槽。 PIX 525,535适合在电信行业或大企业中应用,提供256000个同时连接。
249 问题:Pix防火墙缺省状态下如果不设置access-list 列表是否就意味着将所有的流量阻断?
答案:分两种情况。 1.如果数据从较高安全级流向较低安全级的端口时,如果不设置任何外出访问控制列表(outbound access-list)所有的数据流是允许通过的。 2.如果数据从较底安全级流向较高安全级的端口时,如果不特别设置任何特定访问控制列表(或conduit permit )是全部禁止通过的。只有通过设置允许(permit)通过访问命令才可以允许特定的数据通过。
250 问题:Pix 防火墙能否执行安全检查而不使用NAT?
答案:可以通过使用命令
251 问题:CISCO IOS 中的软件防火墙与硬件防火墙PIX有什么区别?
答案:CISCO IOS 中的软件防火墙集成度高,成本低,维护相对简单,但同时由于用软件完成防火墙功能,对路由器的性能会有一定影响。硬件防火墙PIX使用一套独立的操作系统,并由单独的硬件完成防火墙功能,从而不会对路由器性能有影响,但成本较高,维护相对复杂。
252 问题:怎样判别PIX防火墙的FLASH 的大小?
答案:使用SHOW VERSION 命令。
253 问题:PIX防火墙在什么时候需要ACTIVATION KEY?
答案:在软件升级新增加特性时(FLASH升级),需要,如Ristrict 到 UnRistricted时,DES到3DES时。
254 问题:配置防火墙时需要何种配置转换线?
答案:配置两头为db9 ,中间为非MODEM连接线。
255 问题:PIX 525-FO-BUN在购买时还需要额外定制LICENSE?
答案:PIX-525-FO-BUN本身已经包含有无限制版本的LICENSE,因而不需要额外订购软件。
260 问题:哪些版本软件的PIX防火墙支持VPN功能?
答案:在PIX5.0和5.1版本以后的PIX IOS IPSEC软件都支持VPN功能。
261 问题:PIX 防火墙密码恢复方法,步骤分解。
答案:monitor> interface 0 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9 设置本端口地址 monitor> address 10.21.1.99 address 10.21.1.99 设置服务器地址 monitor> server 172.18.125.3 server 172.18.125.3 获取文件 monitor> file np52.bin file np52.bin 设置网关 monitor> gateway 10.21.1.1 gateway 10.21.1.1 monitor> ping 172.18.125.3 Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) 执行下载传输命令 tor> tftp tftp np52.bin@172.18.125.3 via 10.21.1.1.................................................................
Received 73728 bytes Cisco Secure PIX Firewall password tool (3.0) 0: Tue Aug 22 23:22:19 PDT 2000 Flash=i28F640J5 @ 0x300 BIOS Flash=AT29C257 @ 0xd8000 Do you wish to erase the passwords? [yn] y Passwords have been erased. Rebooting....
262 问题:PIX防火墙中可选千兆板卡中常见有两种普通GE,GE-66如何鉴别?
答案:执行命令 show interface 显示如下 Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX or Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX 显示i82542代表 33MHz; 显示 i82543 代表 66MHz.
263 问题:当试图使用TFTP下载PIXNNN.exe时,总是提示错误'BAD MAGIC NUMBER',不知是何原因?
答案:你应该下载的是 .bin 文件而不是 .exe 文件。.exe 文件可以自解压成 .bin文件。
264 问题:当我试图增加一个防火墙在原有的路由器与局域网之间时,防火墙一切配置正常,但是无法正常使用不知是何原因?
答案:最有可能的原因是因为外连路由器或周边路由器破损的ARP表,我们都知道路由器的工作原理是根据MAC地址来选择路径,路由器通常会保留MAC地址2-3个小时,解决方法是用CLEAR ARP-CACHE 命令。检查INSIDE侧的主机的缺省网关是否指向PIX的INSIDE接口,检查PIX防火墙的缺省网关是否只有一条,多个缺省网关会引起不稳定或不能工作。
265 问题:如何确定PIX防火墙的FLASH容量的大小?
答案:执行SHOW VERSION 命令后显示对照表如下。 i28F020 512 KB AT29C040A 2 MB atmel 2 MB i28F640J5 8 MB - PIX 506 16 MB - all other PIXes strata 16 MB
266 问题:我在试图在PIX防火墙上使用NAT/GLOBAL命令时,发现防火墙外面的用户与内部的主机间无法保持持续的连接。
答案:NAT,GLOBAL命令建立的总是从高优先级到低优先级临时连接,都是由内向外发起的,无法直接建立由外而内的.
267 问题:什么是IPSEC,其工作原理如何?
答案:IPSec包括了一组安全和认证协议,最重要的是包括了Internet密钥交换(IKE)协议。IKE使两个地点能够建立安全的连接,方法是使用事先共享的密钥或由一家认证机构管理的公钥基础结构(PKI)数字证书,后者是一种进行公钥登记的内部或外购服务。通过使用签名数字ID来确认端点的身份,IKE能够将VPN的规模扩展到数以千计的端点。 为确保安全的数据加密,Cisco在路由器和PIX上对IPSec的实施过程中既支持数据加密标准(DES) ,也支持三重DES算法。
268 问题:PIX防火墙如何实现其url过滤功能?
答案:PIX防火墙能够主动过滤URL,从而控制用户能够访问哪些Web站点。URL过滤是通过与NetPartners WebSENSE服务器软件的集成来实现的,该软件现在有一个专用于Cisco PIX Firewall的版本。WebSENSE服务器软件既可以运行在Windows NT服务器上,也可以运行在UNIX服务器上。这些服务器可以是网络内部的,也可以来自PIX防火墙外部受到保护的周边网络。
269 问题:PIX防火墙支持的会话数?
答案:Cisco Secure PIX 防火墙 515-R(软件受限)可同时支持最多64000个会话,PIX 515-UR(不受限)可同时支持128000个会话,PIX 520可同时支持256000个会话。
270 问题:PIX防火墙系列支持软件的最低版本?
答案:PIX506------5.1(2) PIX515------4.4(1) PIX525------5.2(1) PIX535-------5.3(1)
271 问题:PIX防火墙通过何种技术来解决地址短缺问题?
答案:Cisco Secure PIX 防火墙系列产品具备一种特性,能够在不引起IP地址短缺的情况下对IP网络进行扩展和重新配置。利用NAT,既可以使用现有的IP地址,也可以使用Internet分配号授权(IANA)储备库(RFC 1918)保留的地址。Cisco Secure PIX 防火墙系列产品还可以根据需要有选择性地允许对混合地址进行转换或不进行转换。另外,Cisco还保证NAT能够与其它PIX防火墙功能兼容,如支持多媒体应用。而在竞争对手的防火墙产品中,NAT和多媒体功能可能是相互排斥的。 Cisco Secure PIX 防火墙系列产品通过"端口级多路技术"支持端口地址转换(PAT),这种方法可以进一步节省IP地址。利用PAT,用户内部本地地址能够自动被转换为的外部本地地址,使用不同的端口号就可以对每个转换进行区分。使用PAT,一个外部IP地址可以为64000个内部主机提供服务。
答案:CacheEngine1.7-2.0版本的软件支持一种叫URL Blocking的功能,该功能是在 CacheEngine的适配器接口上进行配置实现的,它可以将由特定地址来的流量阻断。CacheEngine2.1版本的软件可以通过与基于WindowsNT、UNIX系统的Websense软件结合使用实现支持URL Filtering功能。
107 问题:PIX-520-FO-BUN在购买时是否需要额外定购License?
答案:PIX-520-FO-BUN本身已经包含有无限制版本的License,因而不需额外定购 软件。
108 问题:对于能够支持IPSec的PIX 防火墙,客户端的VPN软件是否有特殊要求?
答案:Cisco公司有自己的客户端VPN软件,它可与PIX防火墙进行完美的互操作。
109 问题:PIX防火墙如果要实现URL过滤功能,需要额外的软件吗?
答案:需要购买第三方软件产品,Websense。
110 问题:Netsonar上的软件可以应用于哪些操作系统?
答案:Netsonar具有以下软件系统:NS-20-NT;NS-201-S-2500。前者用于WindowsNT 环境中,后者用于Solaris环境中。
111 问题:目前Cisco 公司PIX防火墙系列产品有那些型号,有何区别?
答案:在目前的PIX防火墙系列产品中,主要有两种型号PIX515和PIX520。其主要区别如下: PIX515适合在中小型企业应用,可提供128,000同时连接数。网络接口卡只支持以太网网卡,可支持到6个以太网网卡。其机箱上带有2个固定的10/100M 以太网网卡,并带有两个扩展插槽。 PIX520适合在电信行业和大型的企业中应用,能提供256,000个同时连接数。可支持多种介质类型:以太网,令牌环和FDDI。最多能够提供6个以太网接口,支持3个令牌环接口和2个FDDI网络接口,并且以太网接口卡只能和令牌环接口混合使用。FDDI接口卡只能单独使用。PIX520的机箱上没有固定配置的接口卡,但带有4个扩展插槽。
112 问题:Cisco 公司的PIX防火墙和路由器防火墙有何区别?
答案:CiscoPIX防火墙采用集成的软件和硬件平台,是一种专用的防火墙产品。它采用专用的、实时的、安全的、非UNIX和非NT的操作系统,能够在不影响网络性能的情况下,提供极其高的安全性。 Cisco路由器防火墙产品是通过在路由器上运行带有防火墙特性集的IOS软件来实现的。它是在低价位的基础上实现经济有效的防火墙解决方案。但由于这个产品在执行传统的路由器选路工作的同时又作为防火墙来提供安全保障,所以在安全性能和数据流的处理性能上面没有专用的PIX防火墙产品高。 当进行选择时,如果用户更多考虑的是网络的安全性和产品性能时,我们建议采用专用的PIX防火墙;当用户对产品价格更为关心时,则建议采用经济有效的基于Cisco IOS防火墙特性集的路由器防火墙产品。
113 问题:CiscoPIX防火墙产品与软件防火墙产品(如Checkpoint Firewall-1)相比有何 优势?
答案:首先,CiscoPIX是一个集成的硬件/软件产品,用户能够得到一个厂家-Cisco公司全球化的一流的技术服务支持,Checkpoint Firewall-1是一个软件 产品,使用时还需要另外购买第三方厂家的硬件平台,因此还需要第三方厂家的技术支持。其次,PIX防火墙采用了专有、实时的IOS操作系统,安全性好。Checkpoint Firewall-1运行在开放的UNIX或WindowsNT平台上,因而容易受到攻击。第三,PIX防火墙对多媒体技术具有广泛的支持,Checkpoint Firewall-1对多 媒体技术的支持功能非常有限。此外,PIX防火墙与Checkpoint Firewall-1相比具有更高的数据包转发性能和 更高的安全性能。
114 问题:Cisco PIX防火墙和IOS Firewall相比有何区别?
答案:CiscoPIX防火墙是基于硬件的专用设备,它能够在不影响网络性能的情况下对网络实施基于策略的安全管理功能。IOS Firewall是基于软件的防火墙 产品,它一般是作为IOS软件的附带性能安装在路由器中的。路由器在执行常规选路运算的同时执行防火墙的安全认证工作,因而在性能上比PIX专用防火墙要低。一般来说,带IOS Firewall软件的路由器在执行安全认证任务 时比PIX防火墙的性能低30-40%左右。
115 问题:用户在购买了具有比较小的连接数PIX防火墙产品后,能否通过升级的方法支持更多的连接数?
答案:PIX防火墙可以支持连接数的升级。当用户购买具有较小连接数的PIX防火墙产品后,可以通过购买相应连接数的授权许可的方式进行连接数的升级。对于PIX515来说,当升级连接数时,一方面需要购买非限制级别软件的授权许可,另一方面需要增加相应的FLASH和DRAM内存。对于PIX520来说,当升级连接数时,只需要购买相应的连接数的软件授权许可。
116 问题:什么是OSPF On-Demand Circuit,在不同网络中应该如何的配置?
答案: OSPF On-Demand Circuit—OSPF On-Demand Circuit is an enhancement to the OSPF protocol, as described in RFC 1793, that allows efficient operation over demand circuits such as ISDN, X.25 SVCs, and dial-up lines. Previously, the period nature of OSPF routing traffic mandated that the underlying data-link connection needed to be open constantly, resulting in unwanted usage charges. With this feature, OSPF Hellos and the refresh of OSPF routing information is suppressed for on-demand circuits (and reachability is presumed), allowing the underlying data-link connections to be closed when not carrying application traffic. The feature allows the consolidation on a single routing protocol and the benefits of the OSPF routing protocol across the entire network, without incurring excess connection costs. If the router is part of a point-to-point topology, only one end of the demand circuit needs to be configured for OSPF On-Demand Circuit operation. In point-to-multipoint topologies, all appropriate routers must be configured with OSPF On-Demand Circuit. All routers in an area must support this feature—that is, be running Cisco IOS Software Release 11.2 or greater.
117 问题:使用网管软件是否可以管理PIX防火墙以外的网络设备?
答案:如果有特殊需要,可以实现管理PIX防火墙以外的设备,但是出于安全考虑,一般不推荐这种应用。这是因为若要实现这种应用,首先必须建立固定的TCP连接,这样就会增加网络的不安全因素。
118 问题:Cisco PIX防火墙的软件是否能够支持VPN功能?
答案:只有在PIX5.0版本的软件上可以支持VPN的PKI和IKE验证协议,从而支持VPN功能。
119 问题:Cisco 公司的PIX防火墙与实现传统路由选择算法的路由器相比有何特点?
答案:首先,从功能上讲,PIX防火墙并不等同于路由器。事实上,路由器自身不具备安全性,这是因为路由器的软件使用的是动态路由选择算法,并对外不断广播自身的链路状态,这样网络上所有节点都可以获得其网络地址,从而使路由器有被攻击的可能。与此相比,PIX防火墙并不对外广播其链路状态,它使用静态地址映射与外界建立联系,因而大大减少了本身遭受攻击的风险。其次,PIX防火墙仅仅是在其内部网络段上使用一个简化的RIP进行动态路由选择运算,实现内部网络的路由选择。
120 问题:PIX防火墙所使用的ASA算法有哪些基本特性?
答案:ASA算法是PIX防火墙安全验证算法的核心。ASA算法采用了一种基于状态和面向TCP连接的安全设计体系。ASA基于源和目的地地址创建一个会话流,同时在一个连接完成之前将其TCP序列号、TCP端口号和附带的TCP识别标记随机地加入会话序列。该功能主要用来监视从目的地址返回的数据包,并保证其合法性。同时,ASA算法还可以实现基于策略的安全体系 ,例如每一个内部系统和相关应用在未经过明确的安全配置的情况下只允许单一方向的连接(由内部到外部)。使用随机生成的TCP序列号可以减少黑客利用TCP序列号进行攻击的可能性。
121 问题:PIX防火墙具有哪些高级特性?
答案:PIX防火墙具有DNS防护、MAIL防护、JAVA阻断、ActiveX过滤、URL过滤、支持H.323以及病毒扫描等高级特性。
122 问题:PIX防火墙的备份设备是否具有主设备的一切功能?
答案:PIX防火墙的备份功能为网络提供了冗余备份机制,它允许两台相同的设备执行相同的功能,当主设备工作时,备份设备负责监视主设备的工作状态。当主设备发生故障时,备份设备将会在30至45秒内接替主设备进行安全验证工作。需要注意的是,首先主设备与备份设备必须运行相同版本的软件,其次备份设备只能做备份用,它无法脱离PIX主设备单独使用。
248 问题:PIX 防火墙系列产品中有那些型号,有何区别?
答案:PIX 515,,PIX 525,PIX535。515适合在中小型企业应用,只支持以太网网卡,支持6个以太网网卡。其机箱上带有2个固定的10/100M以太网网卡,并带有两个扩展插槽。 PIX 525,535适合在电信行业或大企业中应用,提供256000个同时连接。
249 问题:Pix防火墙缺省状态下如果不设置access-list 列表是否就意味着将所有的流量阻断?
答案:分两种情况。 1.如果数据从较高安全级流向较低安全级的端口时,如果不设置任何外出访问控制列表(outbound access-list)所有的数据流是允许通过的。 2.如果数据从较底安全级流向较高安全级的端口时,如果不特别设置任何特定访问控制列表(或conduit permit )是全部禁止通过的。只有通过设置允许(permit)通过访问命令才可以允许特定的数据通过。
250 问题:Pix 防火墙能否执行安全检查而不使用NAT?
答案:可以通过使用命令
251 问题:CISCO IOS 中的软件防火墙与硬件防火墙PIX有什么区别?
答案:CISCO IOS 中的软件防火墙集成度高,成本低,维护相对简单,但同时由于用软件完成防火墙功能,对路由器的性能会有一定影响。硬件防火墙PIX使用一套独立的操作系统,并由单独的硬件完成防火墙功能,从而不会对路由器性能有影响,但成本较高,维护相对复杂。
252 问题:怎样判别PIX防火墙的FLASH 的大小?
答案:使用SHOW VERSION 命令。
253 问题:PIX防火墙在什么时候需要ACTIVATION KEY?
答案:在软件升级新增加特性时(FLASH升级),需要,如Ristrict 到 UnRistricted时,DES到3DES时。
254 问题:配置防火墙时需要何种配置转换线?
答案:配置两头为db9 ,中间为非MODEM连接线。
255 问题:PIX 525-FO-BUN在购买时还需要额外定制LICENSE?
答案:PIX-525-FO-BUN本身已经包含有无限制版本的LICENSE,因而不需要额外订购软件。
260 问题:哪些版本软件的PIX防火墙支持VPN功能?
答案:在PIX5.0和5.1版本以后的PIX IOS IPSEC软件都支持VPN功能。
261 问题:PIX 防火墙密码恢复方法,步骤分解。
答案:monitor> interface 0 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9 设置本端口地址 monitor> address 10.21.1.99 address 10.21.1.99 设置服务器地址 monitor> server 172.18.125.3 server 172.18.125.3 获取文件 monitor> file np52.bin file np52.bin 设置网关 monitor> gateway 10.21.1.1 gateway 10.21.1.1 monitor> ping 172.18.125.3 Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) 执行下载传输命令 tor> tftp tftp np52.bin@172.18.125.3 via 10.21.1.1.................................................................
Received 73728 bytes Cisco Secure PIX Firewall password tool (3.0) 0: Tue Aug 22 23:22:19 PDT 2000 Flash=i28F640J5 @ 0x300 BIOS Flash=AT29C257 @ 0xd8000 Do you wish to erase the passwords? [yn] y Passwords have been erased. Rebooting....
262 问题:PIX防火墙中可选千兆板卡中常见有两种普通GE,GE-66如何鉴别?
答案:执行命令 show interface 显示如下 Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX or Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX 显示i82542代表 33MHz; 显示 i82543 代表 66MHz.
263 问题:当试图使用TFTP下载PIXNNN.exe时,总是提示错误'BAD MAGIC NUMBER',不知是何原因?
答案:你应该下载的是 .bin 文件而不是 .exe 文件。.exe 文件可以自解压成 .bin文件。
264 问题:当我试图增加一个防火墙在原有的路由器与局域网之间时,防火墙一切配置正常,但是无法正常使用不知是何原因?
答案:最有可能的原因是因为外连路由器或周边路由器破损的ARP表,我们都知道路由器的工作原理是根据MAC地址来选择路径,路由器通常会保留MAC地址2-3个小时,解决方法是用CLEAR ARP-CACHE 命令。检查INSIDE侧的主机的缺省网关是否指向PIX的INSIDE接口,检查PIX防火墙的缺省网关是否只有一条,多个缺省网关会引起不稳定或不能工作。
265 问题:如何确定PIX防火墙的FLASH容量的大小?
答案:执行SHOW VERSION 命令后显示对照表如下。 i28F020 512 KB AT29C040A 2 MB atmel 2 MB i28F640J5 8 MB - PIX 506 16 MB - all other PIXes strata 16 MB
266 问题:我在试图在PIX防火墙上使用NAT/GLOBAL命令时,发现防火墙外面的用户与内部的主机间无法保持持续的连接。
答案:NAT,GLOBAL命令建立的总是从高优先级到低优先级临时连接,都是由内向外发起的,无法直接建立由外而内的.
267 问题:什么是IPSEC,其工作原理如何?
答案:IPSec包括了一组安全和认证协议,最重要的是包括了Internet密钥交换(IKE)协议。IKE使两个地点能够建立安全的连接,方法是使用事先共享的密钥或由一家认证机构管理的公钥基础结构(PKI)数字证书,后者是一种进行公钥登记的内部或外购服务。通过使用签名数字ID来确认端点的身份,IKE能够将VPN的规模扩展到数以千计的端点。 为确保安全的数据加密,Cisco在路由器和PIX上对IPSec的实施过程中既支持数据加密标准(DES) ,也支持三重DES算法。
268 问题:PIX防火墙如何实现其url过滤功能?
答案:PIX防火墙能够主动过滤URL,从而控制用户能够访问哪些Web站点。URL过滤是通过与NetPartners WebSENSE服务器软件的集成来实现的,该软件现在有一个专用于Cisco PIX Firewall的版本。WebSENSE服务器软件既可以运行在Windows NT服务器上,也可以运行在UNIX服务器上。这些服务器可以是网络内部的,也可以来自PIX防火墙外部受到保护的周边网络。
269 问题:PIX防火墙支持的会话数?
答案:Cisco Secure PIX 防火墙 515-R(软件受限)可同时支持最多64000个会话,PIX 515-UR(不受限)可同时支持128000个会话,PIX 520可同时支持256000个会话。
270 问题:PIX防火墙系列支持软件的最低版本?
答案:PIX506------5.1(2) PIX515------4.4(1) PIX525------5.2(1) PIX535-------5.3(1)
271 问题:PIX防火墙通过何种技术来解决地址短缺问题?
答案:Cisco Secure PIX 防火墙系列产品具备一种特性,能够在不引起IP地址短缺的情况下对IP网络进行扩展和重新配置。利用NAT,既可以使用现有的IP地址,也可以使用Internet分配号授权(IANA)储备库(RFC 1918)保留的地址。Cisco Secure PIX 防火墙系列产品还可以根据需要有选择性地允许对混合地址进行转换或不进行转换。另外,Cisco还保证NAT能够与其它PIX防火墙功能兼容,如支持多媒体应用。而在竞争对手的防火墙产品中,NAT和多媒体功能可能是相互排斥的。 Cisco Secure PIX 防火墙系列产品通过"端口级多路技术"支持端口地址转换(PAT),这种方法可以进一步节省IP地址。利用PAT,用户内部本地地址能够自动被转换为的外部本地地址,使用不同的端口号就可以对每个转换进行区分。使用PAT,一个外部IP地址可以为64000个内部主机提供服务。
CISCO:防火墙常见问题及解答
答案:CISCO IOS 中的软件防火墙集成度高,成本低,维护相对简单,但同时由于用软件完成防火墙功能,对路由器的性能会有一定影响。硬件防火墙PIX使用一套独立的操作系统,并由单独的硬件完成防火墙功能,从而不会对路由器性能有影响,但成本较高,维护相对复杂。 252 问题:怎样判别PIX防火墙的FLASH 的大小? 答案:使用SHOW VE...
cisco asa5510 防火墙配置问题
第一个问题:已经做好第二个问题:access-list outside-inside extended permit tcp any host 222.92.97.8 eq 433 :访问控制列表中出口到进口拒绝允许222.92.97.8 这个地址的433端口访问 是否要加上,这条从Cisco ASDM Launcher里根本显示不出来为何?有可能你的软件版本不支持此命令第三个问题:防...
为什么 cisco asa 防火墙 无故掉线,过一会儿网络自己又正常了。_百度知...
1、建议检查下硬件各种线接口。2、如果是无故重启建议你联系客服。3、如果是机器正常,网络掉线,掉线后重启下,如果立刻正常建议你检查下,也许网内有ARP攻击,与防火墙没什么关系。4、可提供拓扑结构共同探讨下,目前没遇到防火墙出现这样情况。防火墙后面没有路由器吗?建议你在交换机上做个到防火墙端口...
思科配置常见问题及其解决方法
在允许传输期间对数据包的头部进行修改之前,这个问题是固有的,所以这个问题出现在所有的思科硬件中。要纠正这个问题,就要在你的硬件上启用NAT-Traversal (NAT-T),并允许UDP端口4500通过防火墙。 如果你正将一个PIX防火墙既用作防火墙又用作端点,就要在你的配置中用命令nat-traversal 20启用NAT-T,并打开4500端口。这...
CISCO防火墙 ACL问题
cisco 的防火墙是状态防火墙 ,默认从外面到里面 都是拒绝的。我说的主动。默认从里面到外面都是允许的。所以如果你想 不让外面主动访问你 那么 你就什么也不用配。如果你想 让服务器也能 访问 外面 那就什么也不用动,当然 ICMP是 默认拒绝的。。你要让别人访问你的服务那就开口 access-list ...
思科防火墙的优缺点
1、内网到外网:内网的数据到外网防火墙是放行的。外网的数据到内网防火墙是拒绝的。配置策略使数据包能从外网进入防火墙:ciscoasa(config)# access-list 110 extended permit ip any any。ciscoasa(config)# access-group 110 in interface outside。2、dmz到外网:DMZ的数据到外网防火墙是放行的。外网...
思科防火墙会扰乱tcp序列号吗
思科防火墙(Cisco Firewall)通常不会直接扰乱TCP序列号。TCP序列号是TCP协议中的一个重要概念,用于在数据包之间建立可靠的连接。序列号是一个有序的数字,用于标识从源主机发送到目标主机的数据包。然而,在某些情况下,防火墙可能会对TCP序列号产生影响。这通常是由于防火墙的配置或策略导致的。以下是...
cisco防火墙配置cisco防火墙介绍
Cisco防火墙的操作系统与Cisco IOS类似,采用命令行(Command)模式,这使得管理员可以通过命令行界面进行配置和管理。我初次接触的防火墙是Cisco Firewall Pix525,它是一款机架式设计,适合安装在标准机柜中,占用2U的空间。从正面看,它的外观与Cisco路由器相似,主要由指示灯构成,便于监控设备状态。背面...
CISCO防火墙配置及详细介绍
另外就是在pix上配置ssh,然后用ssh client从外部telnet到pix防火墙,pix支持ssh1和ssh2,不过ssh1是免费软件,ssh2是商业软件。相比之下cisco路由器的telnet就作的不怎么样了。 telnet配置语法:telnet local_ip [netmask] local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console...
cisco ASA5520,我的防火墙直连了一个设备,两边都配好地址后,为什么互相p...
原来可能是:1.地址不在一个网段之中。2.你的防火墙不让设备访问。
相似回答
大家正在搜
