問(wèn)題一:CacheEngine是否具有URL過(guò)濾功能?
回答:CacheEngine1.7-2.0版本的軟件支持一種叫URL Blocking的功能,該功能是在 CacheEngine的適配器接口上進(jìn)行配置實(shí)現(xiàn)的,它可以將由特定地址來(lái)的流量阻斷。CacheEngine2.1版本的軟件可以通過(guò)與基于WindowsNT、UNIX系統(tǒng)的Websense軟件結(jié)合使用實(shí)現(xiàn)支持URL Filtering功能。
問(wèn)題二:目前Cisco 公司PIX防火墻系列產(chǎn)品有那些型號(hào),有何區(qū)別?
回答:在目前的PIX防火墻系列產(chǎn)品中,主要有兩種型號(hào)PIX515和PIX520。其主要區(qū)別如下:PIX515適合在中小型企業(yè)應(yīng)用,最大可提供128,000同時(shí)連接數(shù)。網(wǎng)絡(luò)接口卡只支持以太網(wǎng)網(wǎng)卡,最大可支持到6個(gè)以太網(wǎng)網(wǎng)卡。其機(jī)箱上帶有2個(gè)固定的10/100M 以太網(wǎng)網(wǎng)卡,并帶有兩個(gè)擴(kuò)展插槽。 PIX520適合在電信行業(yè)和大型的企業(yè)中應(yīng)用,最大能提供256,000個(gè)同時(shí)連接數(shù)。可支持多種介質(zhì)類型:以太網(wǎng),令牌環(huán)和FDDI。最多能夠提供6個(gè)以太網(wǎng)接口,最大支持3個(gè)令牌環(huán)接口和2個(gè)FDDI網(wǎng)絡(luò)接口,并且以太網(wǎng)接口卡只能和令牌環(huán)接口混合使用。FDDI接口卡只能單獨(dú)使用。PIX520的機(jī)箱上沒(méi)有固定配置的接口卡,但帶有4個(gè)擴(kuò)展插槽。
問(wèn)題三:Cisco 公司的PIX防火墻和路由器防火墻有何區(qū)別?
回答:CiscoPIX防火墻采用集成的軟件和硬件平臺(tái),是一種專用的防火墻產(chǎn)品。它采用專用的、實(shí)時(shí)的、安全的、非UNIX和非NT的操作系統(tǒng),能夠在不影響網(wǎng)絡(luò)性能的情況下,提供極其高的安全性。 Cisco路由器防火墻產(chǎn)品是通過(guò)在路由器上運(yùn)行帶有防火墻特性集的IOS軟件來(lái)實(shí)現(xiàn)的。它是在低價(jià)位的基礎(chǔ)上實(shí)現(xiàn)經(jīng)濟(jì)有效的防火墻解決方案。但由于這個(gè)產(chǎn)品在執(zhí)行傳統(tǒng)的路由器選路工作的同時(shí)又作為防火墻來(lái)提供安全保障,所以在安全性能和數(shù)據(jù)流的處理性能上面沒(méi)有專用的PIX防火墻產(chǎn)品高。 當(dāng)進(jìn)行選擇時(shí),如果用戶更多考慮的是網(wǎng)絡(luò)的安全性和產(chǎn)品性能時(shí),我們建議采用專用的PIX防火墻;當(dāng)用戶對(duì)產(chǎn)品價(jià)格更為關(guān)心時(shí),則建議采用經(jīng)濟(jì)有效的基于Cisco IOS防火墻特性集的路由器防火墻產(chǎn)品。
問(wèn)題四:CiscoPIX防火墻產(chǎn)品與軟件防火墻產(chǎn)品(如Checkpoint Firewall-1)相比有何優(yōu)勢(shì)?
回答:首先,CiscoPIX是一個(gè)集成的硬件/軟件產(chǎn)品,用戶能夠得到一個(gè)廠家-Cisco公司全球化的一流的技術(shù)服務(wù)支持,Checkpoint Firewall-1是一個(gè)軟件產(chǎn)品,使用時(shí)還需要另外購(gòu)買第三方廠家的硬件平臺(tái),因此還需要第三方廠家的技術(shù)支持。其次,PIX防火墻采用了專有、實(shí)時(shí)的IOS操作系統(tǒng),安全性好。Checkpoint Firewall-1運(yùn)行在開(kāi)放的UNIX或WindowsNT平臺(tái)上,因而容易受到攻擊。第三,PIX防火墻對(duì)多媒體技術(shù)具有廣泛的支持,Checkpoint Firewall-1對(duì)多 媒體技術(shù)的支持功能非常有限。此外,PIX防火墻與Checkpoint Firewall-1相比具有更高的數(shù)據(jù)包轉(zhuǎn)發(fā)性能和 更高的安全性能。
問(wèn)題五:Cisco PIX防火墻和IOS Firewall相比有何區(qū)別?
回答:CiscoPIX防火墻是基于硬件的專用設(shè)備,它能夠在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)實(shí)施基于策略的安全管理功能。IOS Firewall是基于軟件的防火墻 產(chǎn)品,它一般是作為IOS軟件的附帶性能安裝在路由器中的。路由器在執(zhí)行常規(guī)選路運(yùn)算的同時(shí)執(zhí)行防火墻的安全認(rèn)證工作,因而在性能上比PIX專用防火墻要低。一般來(lái)說(shuō),帶IOS Firewall軟件的路由器在執(zhí)行安全認(rèn)證任務(wù) 時(shí)比PIX防火墻的性能低30-40%左右。
問(wèn)題六:用戶在購(gòu)買了具有比較小的最大連接數(shù)PIX防火墻產(chǎn)品后,能否通過(guò)升級(jí)的方法支持更多的最大連接數(shù)?
回答:PIX防火墻可以支持最大連接數(shù)的升級(jí)。當(dāng)用戶購(gòu)買具有較小連接數(shù)的PIX防火墻產(chǎn)品后,可以通過(guò)購(gòu)買相應(yīng)最大連接數(shù)的授權(quán)許可的方式進(jìn)行最大連接數(shù)的升級(jí)。對(duì)于PIX515來(lái)說(shuō),當(dāng)升級(jí)最大連接數(shù)時(shí),一方面需要購(gòu)買非限制級(jí)別軟件的授權(quán)許可,另一方面需要增加相應(yīng)的FLASH和DRAM內(nèi)存。對(duì)于PIX520來(lái)說(shuō),當(dāng)升級(jí)最大連接數(shù)時(shí),只需要購(gòu)買相應(yīng)的最大連接數(shù)的軟件授權(quán)許可。
問(wèn)題七:使用網(wǎng)管軟件是否可以管理PIX防火墻以外的網(wǎng)絡(luò)設(shè)備?
回答:如果有特殊需要,可以實(shí)現(xiàn)管理PIX防火墻以外的設(shè)備,但是出于安全考慮,一般不推薦這種應(yīng)用。這是因?yàn)槿粢獙?shí)現(xiàn)這種應(yīng)用,首先必須建立固定的TCP連接,這樣就會(huì)增加網(wǎng)絡(luò)的不安全因素。
問(wèn)題八:Cisco PIX防火墻的軟件是否能夠支持VPN功能?
回答:只有在PIX5.0版本的軟件上可以支持VPN的PKI和IKE驗(yàn)證協(xié)議,從而支持VPN功能。
問(wèn)題九:Cisco 公司的PIX防火墻與實(shí)現(xiàn)傳統(tǒng)路由選擇算法的路由器相比有何特點(diǎn)?
回答:首先,從功能上講,PIX防火墻并不等同于路由器。事實(shí)上,路由器自身不具備安全性,這是因?yàn)槁酚善鞯能浖褂玫氖莿?dòng)態(tài)路由選擇算法,并對(duì)外不斷廣播自身的鏈路狀態(tài),這樣網(wǎng)絡(luò)上所有節(jié)點(diǎn)都可以獲得其網(wǎng)絡(luò)地址,從而使路由器有被攻擊的可能。與此相比,PIX防火墻并不對(duì)外廣播其鏈路狀態(tài),它使用靜態(tài)地址映射與外界建立聯(lián)系,因而大大減少了本身遭受攻擊的風(fēng)險(xiǎn)。其次,PIX防火墻僅僅是在其內(nèi)部網(wǎng)絡(luò)段上使用一個(gè)簡(jiǎn)化的RIP進(jìn)行動(dòng)態(tài)路由選擇運(yùn)算,實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的路由選擇。
問(wèn)題十:PIX防火墻所使用的ASA算法有哪些基本特性?
回答:ASA算法是PIX防火墻安全驗(yàn)證算法的核心。ASA算法采用了一種基于狀態(tài)和面向TCP連接的安全設(shè)計(jì)體系。ASA基于源和目的地地址創(chuàng)建一個(gè)會(huì)話流,同時(shí)在一個(gè)連接完成之前將其TCP序列號(hào)、TCP端口號(hào)和附帶的TCP識(shí)別標(biāo)記隨機(jī)地加入會(huì)話序列。該功能主要用來(lái)監(jiān)視從目的地址返回的數(shù)據(jù)包,并保證其合法性。同時(shí),ASA算法還可以實(shí)現(xiàn)基于策略的安全體系 ,例如每一個(gè)內(nèi)部系統(tǒng)和相關(guān)應(yīng)用在未經(jīng)過(guò)明確的安全配置的情況下只允許單一方向的連接(由內(nèi)部到外部)。使用隨機(jī)生成的TCP序列號(hào)可以減少黑客利用TCP序列號(hào)進(jìn)行攻擊的可能性。
