問題一:CacheEngine是否具有URL過濾功能？

　　回答:CacheEngine1.7-2.0版本的軟件支持一種叫URL Blocking的功能，該功能是在 CacheEngine的適配器接口上進行配置實現(xiàn)的，它可以將由特定地址來的流量阻斷。CacheEngine2.1版本的軟件可以通過與基于WindowsNT、UNIX系統(tǒng)的Websense軟件結(jié)合使用實現(xiàn)支持URL Filtering功能。

　　問題二:目前Cisco 公司PIX防火墻系列產(chǎn)品有那些型號，有何區(qū)別？

　　回答:在目前的PIX防火墻系列產(chǎn)品中，主要有兩種型號PIX515和PIX520。其主要區(qū)別如下：PIX515適合在中小型企業(yè)應(yīng)用，最大可提供128，000同時連接數(shù)。網(wǎng)絡(luò)接口卡只支持以太網(wǎng)網(wǎng)卡，最大可支持到6個以太網(wǎng)網(wǎng)卡。其機箱上帶有2個固定的10/100M 以太網(wǎng)網(wǎng)卡，并帶有兩個擴展插槽。 PIX520適合在電信行業(yè)和大型的企業(yè)中應(yīng)用，最大能提供256，000個同時連接數(shù)。可支持多種介質(zhì)類型：以太網(wǎng)，令牌環(huán)和FDDI。最多能夠提供6個以太網(wǎng)接口，最大支持3個令牌環(huán)接口和2個FDDI網(wǎng)絡(luò)接口，并且以太網(wǎng)接口卡只能和令牌環(huán)接口混合使用。FDDI接口卡只能單獨使用。PIX520的機箱上沒有固定配置的接口卡，但帶有4個擴展插槽。

　　問題三:Cisco 公司的PIX防火墻和路由器防火墻有何區(qū)別？

　　回答:CiscoPIX防火墻采用集成的軟件和硬件平臺，是一種專用的防火墻產(chǎn)品。它采用專用的、實時的、安全的、非UNIX和非NT的操作系統(tǒng)，能夠在不影響網(wǎng)絡(luò)性能的情況下，提供極其高的安全性。 Cisco路由器防火墻產(chǎn)品是通過在路由器上運行帶有防火墻特性集的IOS軟件來實現(xiàn)的。它是在低價位的基礎(chǔ)上實現(xiàn)經(jīng)濟有效的防火墻解決方案。但由于這個產(chǎn)品在執(zhí)行傳統(tǒng)的路由器選路工作的同時又作為防火墻來提供安全保障，所以在安全性能和數(shù)據(jù)流的處理性能上面沒有專用的PIX防火墻產(chǎn)品高。 當(dāng)進行選擇時，如果用戶更多考慮的是網(wǎng)絡(luò)的安全性和產(chǎn)品性能時，我們建議采用專用的PIX防火墻；當(dāng)用戶對產(chǎn)品價格更為關(guān)心時，則建議采用經(jīng)濟有效的基于Cisco IOS防火墻特性集的路由器防火墻產(chǎn)品。

　　問題四:CiscoPIX防火墻產(chǎn)品與軟件防火墻產(chǎn)品(如Checkpoint Firewall-1)相比有何優(yōu)勢？

　　回答:首先，CiscoPIX是一個集成的硬件/軟件產(chǎn)品，用戶能夠得到一個廠家-Cisco公司全球化的一流的技術(shù)服務(wù)支持，Checkpoint Firewall-1是一個軟件產(chǎn)品，使用時還需要另外購買第三方廠家的硬件平臺，因此還需要第三方廠家的技術(shù)支持。其次，PIX防火墻采用了專有、實時的IOS操作系統(tǒng)，安全性好。Checkpoint Firewall-1運行在開放的UNIX或WindowsNT平臺上，因而容易受到攻擊。第三，PIX防火墻對多媒體技術(shù)具有廣泛的支持，Checkpoint Firewall-1對多 媒體技術(shù)的支持功能非常有限。此外，PIX防火墻與Checkpoint Firewall-1相比具有更高的數(shù)據(jù)包轉(zhuǎn)發(fā)性能和 更高的安全性能。

　　問題五:Cisco PIX防火墻和IOS Firewall相比有何區(qū)別？

　　回答:CiscoPIX防火墻是基于硬件的專用設(shè)備，它能夠在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)實施基于策略的安全管理功能。IOS Firewall是基于軟件的防火墻 產(chǎn)品，它一般是作為IOS軟件的附帶性能安裝在路由器中的。路由器在執(zhí)行常規(guī)選路運算的同時執(zhí)行防火墻的安全認證工作，因而在性能上比PIX專用防火墻要低。一般來說，帶IOS Firewall軟件的路由器在執(zhí)行安全認證任務(wù) 時比PIX防火墻的性能低30-40%左右。

　　問題六:用戶在購買了具有比較小的最大連接數(shù)PIX防火墻產(chǎn)品后，能否通過升級的方法支持更多的最大連接數(shù)？

　　回答:PIX防火墻可以支持最大連接數(shù)的升級。當(dāng)用戶購買具有較小連接數(shù)的PIX防火墻產(chǎn)品后，可以通過購買相應(yīng)最大連接數(shù)的授權(quán)許可的方式進行最大連接數(shù)的升級。對于PIX515來說，當(dāng)升級最大連接數(shù)時，一方面需要購買非限制級別軟件的授權(quán)許可，另一方面需要增加相應(yīng)的FLASH和DRAM內(nèi)存。對于PIX520來說，當(dāng)升級最大連接數(shù)時，只需要購買相應(yīng)的最大連接數(shù)的軟件授權(quán)許可。

　　問題七:使用網(wǎng)管軟件是否可以管理PIX防火墻以外的網(wǎng)絡(luò)設(shè)備？

　　回答:如果有特殊需要，可以實現(xiàn)管理PIX防火墻以外的設(shè)備，但是出于安全考慮，一般不推薦這種應(yīng)用。這是因為若要實現(xiàn)這種應(yīng)用，首先必須建立固定的TCP連接，這樣就會增加網(wǎng)絡(luò)的不安全因素。

　　問題八:Cisco PIX防火墻的軟件是否能夠支持VPN功能？

　　回答:只有在PIX5.0版本的軟件上可以支持VPN的PKI和IKE驗證協(xié)議，從而支持VPN功能。

　　問題九:Cisco 公司的PIX防火墻與實現(xiàn)傳統(tǒng)路由選擇算法的路由器相比有何特點？

　　回答:首先，從功能上講，PIX防火墻并不等同于路由器。事實上，路由器自身不具備安全性，這是因為路由器的軟件使用的是動態(tài)路由選擇算法，并對外不斷廣播自身的鏈路狀態(tài)，這樣網(wǎng)絡(luò)上所有節(jié)點都可以獲得其網(wǎng)絡(luò)地址，從而使路由器有被攻擊的可能。與此相比，PIX防火墻并不對外廣播其鏈路狀態(tài)，它使用靜態(tài)地址映射與外界建立聯(lián)系，因而大大減少了本身遭受攻擊的風(fēng)險。其次，PIX防火墻僅僅是在其內(nèi)部網(wǎng)絡(luò)段上使用一個簡化的RIP進行動態(tài)路由選擇運算，實現(xiàn)內(nèi)部網(wǎng)絡(luò)的路由選擇。

　　問題十:PIX防火墻所使用的ASA算法有哪些基本特性？

　　回答:ASA算法是PIX防火墻安全驗證算法的核心。ASA算法采用了一種基于狀態(tài)和面向TCP連接的安全設(shè)計體系。ASA基于源和目的地地址創(chuàng)建一個會話流，同時在一個連接完成之前將其TCP序列號、TCP端口號和附帶的TCP識別標記隨機地加入會話序列。該功能主要用來監(jiān)視從目的地址返回的數(shù)據(jù)包，并保證其合法性。同時，ASA算法還可以實現(xiàn)基于策略的安全體系 ，例如每一個內(nèi)部系統(tǒng)和相關(guān)應(yīng)用在未經(jīng)過明確的安全配置的情況下只允許單一方向的連接(由內(nèi)部到外部)。使用隨機生成的TCP序列號可以減少黑客利用TCP序列號進行攻擊的可能性。