思科防火墙策略命令_cisco硬件防火墙系统

1.浅析软硬件以及芯片级防火墙的区别

2.公司想买Cisco的防火墙,大家给推荐个

3..PIX防火墙系统日志级别的分类有哪些?

4.CISCO：防火墙常见问题及解答

世界品牌中：

一线品牌有 juniper,cisco,checkpoint,

国的一线有天融信、东软、华为、（网康，深信服）这两个品牌在UTM，或者行为管理，***方面比较厉害，这样的趋势。生存的空间更大。，

二线的多是，有fotigate.sonicwall，阿姆瑞特,WatchGuard。

国内的二线非常多

卓尔，紫光比威，，龙马，中科网天融信

NETGEAR

东软

卫士通

荣腾

方正

联想网御

网御神州

网新易尚

首信

交大捷普

清华得实

紫光比威

天邃

创新

网络哨兵

Riverbed

还有很多。不知道的

浅析软硬件以及芯片级防火墙的区别

在如今黑客猖獗的时代，高校所选用的路由器防火墙功能已经不能很好的防御网络黑客攻击，选择更好的专用硬件防火墙将成为各大高校防御网络黑客攻击的重要手段。目前市场上的硬件防火墙可谓种类繁多，功能各异，而适合于校园网络的硬件防火墙必须要具备下面几个特征。用户连接数多是校园硬件防火墙必需具备的特点。目前各大高校的人数急剧增加，在这些高校中，虽然不是每人一台计算机，但计算机数量也相当可观，再加上学校的各类机房，高校的网络非常庞大。所以，硬件防火墙需要带动数量众多的计算机上网。现在市场上已经有很多无人数限制的硬件防火墙，从根本上解决了这一问题。适合于校园的硬件防火墙要具有连接百兆网络，千兆网络能力。由于硬件防火墙位于路由器的下一层，现在的校园网络一般都用了百兆或则千兆以上的网络，所以我们需要连接高带宽的硬件防火墙。适合于校园的硬件防火墙必需具备很强的防黑能力和入侵监控能力，这也是硬件防火墙的基本特征。目前网络黑客攻击的主要手段有DOS(DDOS)攻击，IP地址欺骗，特洛伊木马，口令字攻击，邮件等。这些攻击方式不光来自外部网络，也来自内部网络。适合于校园的硬件防火墙必须要具有防止这些外网和内网攻击的能力。硬件防火墙是由软件和硬件组成，其中的软件提供了升级功能，这样就能帮助我们修补不断发现的漏洞。由于校园网络内部有访问一些非法网站的事情发生，为了禁止访问非法网站，硬件防火墙不光需要有能够防止内网访问非法的功能，还必需具有监控网络的功能，因为现在一些不良网站每天都有新的出现，只有通过监控，才能根据相关信息屏蔽这些非法网站。适合于校园网络的硬件防火墙要让管理员易于管理，毕竟学校并不会聘请专业管理员来管理硬件防火墙。这种易于管理表现在硬件防火墙所搭配的软件上，目前市场上主要有搭配专业软件的硬件防火墙和搭配Linux或Unix操作系统的硬件防火墙，用户可根据自己实际情况来选择。对于购买任何产品，我们都会要求性价比高，所以校园的硬件防火墙同样也需要一个高性能并且比较合适的价格才能吸引用户购买。上面就是适合校园网络硬件防火墙的基本特征。针对现在市场上硬件防火墙质量的参差不齐，校园用户购买难的情况，我们IT世界网络频道向校园用户介绍几款硬件防火墙，以供参考。思科PIX-515E-R-BUN (小型校园网络的选择)定位于低端市场的思科PIX-515E-R-BUN 防火墙，具有较高的性价比。这款硬件防火墙用了Intel赛扬处理器，主频为433MHZ，拥有32MB内存和16MB闪存，最大并发连接数为13万，170Mpps的数据吞吐量，100MB的安全过滤带宽和无用户数限制充分说明了这款硬件防火墙适合于小型校园网络。这款硬件防火墙系统的核心是一种基于自适应安全算法(ASA)的保护机制，可以防止常见的拒绝服务(DOS)攻击。思科PIX-515E-R-BUN对***提供了支持，可以让校园网络内部的数据安全的传输。思科PIX-515E-R-BUN 提供了入侵监控功能，可以在黑客入侵时，提供相应的策略来防范网络黑客的攻击。这款硬件防火墙具有故障切换捆绑功能，如果网络中还有一个备份防火墙，这项功能将让出现故障的思科PIX-515E-R-BUN 迅速转换到另外一个备份防火墙上面去，防止网络黑客的攻击。思科PIX-515E-R-BUN 防火墙使用了Cisco PIX操作系统，让这款硬件防火墙的安全性能得到了极大的提高，并且可通过在线升级，修补将来出现的漏洞。点评:思科PIX-515E-R-BUN 的整体性能如果应用在小型的校园网络中，还是让人满意，加上具有ASA保护机制和故障切换捆绑功能，还是让这款硬件防火墙增色不少。网新易尚 ES903 (中小型校园网络应用)网新易尚 ES903是一款用ASIC硬件设计的防火墙，它拥有200Mpps的数据吞吐量和70MB的安全过滤带宽，并发连接数达到了50万，整体性能比较让人满意，适合于中小型校园网络。这款硬件防火墙具有WEB内容过滤功能，校园网管理员可以在免屏蔽列表中添加需要屏蔽的网站地址，通过在WEB管理器里面另外设置一个合法的网址，达到校园内部用户访问非法网站时，自动连接到WEB管理器里所设置的合法地址上去。网新易尚 ES903提供了入侵检测功能，当黑客攻击校园网络时，防火墙将把攻击信息记录在系统日志里面，并对黑客提出警告。用户认证功能则让校园网络的安全性得到一定的提高。这款硬件防火墙提供了比较全面的防御功能，能够防止包括DoS、端口扫描、缓冲区溢出、暴力攻击、特洛伊木马等攻击。网新易尚 ES903同其他硬件防火墙一样，提供了流量控制，***，IP地址与MAC地址绑定等功能，让校园网用户拥有更加安全的网络环境。网新易尚 ES903搭配了其专用的ESOS操作系统，无论是在性能上和功能上，都让这款硬件防火墙得到了极大的发挥。点评:这款硬件防火墙的功能非常强大，加上用了ASIC硬件设计，在性能上有了很大的提升。但70MB的安全过滤带宽低于标准水平。思科PIX-525-UR-GE-BUN (中小型校园网络选择)思科PIX-525-UR-GE-BUN 是一款面向企业的防火墙，同时也满足一些中小型的校园网络。这款硬件防火墙用了Intel Pentium III处理器，主频达到600MHZ，并且配备了256MB随机内存和16MB闪存，最大支持28万个并发连接数，具有370Mpps的网络数据吞吐量和100MB的安全过滤带宽，无用户限制数，整体性能比较强劲，非常适合于中小型校园网络。这款硬件防火墙提供面向静态连接防火墙功能的自适应安全算法(ASA)，可以实现包过滤，并且可以跟踪数据传输中的源地址和目的地址，TCP序列号，端口号和每个数据包附加的TCP标志，从而保证校园内部网络不会受到非法用户的攻击。思科PIX-525-UR-GE-BUN支持***功能，并且可以将校园网络中传输的数据进行加密，防止其他用户窃取。思科PIX-525-UR-GE-BUN提供了网络地址转换(NAT)功能，可以节省IP地址，并且可将IP地址隐藏，防止外部网络获取，为校园内部网络安全提供了有力的保障。思科PIX-525-UR-GE-BUN具有防止拒绝服务器攻击功能，防止校园网络内部计算机不受黑客的攻击。Ja Applet过滤功能则可终止校园网内部用户使用Ja所带的潜在危险。邮件保护功能和URL过滤功能让校园网用户基本上不会受到邮件攻击和不能访问非法站点。思科PIX-525-UR-GE-BUN的操作也十分简单，只需要6条命令就能完成基本的安全设置，对于校园网来说，就十分的方便了。点评:这款硬件防火墙的性能比较让人满意，思科公司的ASA算法，则让思科PIX-525-UR-GE-BUN为校园用户提供了更高的安全性。370Mpps和100MB的安全过滤带宽使得这款硬件防火墙只适合于一些中小型的校园网络使用。 定位于低端市场的思科PIX-515E-R-BUN防火墙，具有较高的性价比。这款硬件防火墙用了Intel赛扬处理器，主频为433MHZ，拥有32MB内存和16MB闪存，最大并发连接数为13万，170Mpps的数据吞吐量，100MB的安全过滤带宽和无用户数限制充分说明了这款硬件防火墙适合于小型校园网络。这款硬件防火墙系统的核心是一种基于自适应安全算法(ASA)的保护机制，可以防止常见的拒绝服务(DOS)攻击。思科PIX-515E-R-BUN对***提供了支持，可以让校园网络内部的数据安全的传输。思科PIX-515E-R-BUN提供了入侵监控功能，可以在黑客入侵时，提供相应的策略来防范网络黑客的攻击。这款硬件防火墙具有故障切换捆绑功能，如果网络中还有一个备份防火墙，这项功能将让出现故障的思科PIX-515E-R-BUN迅速转换到另外一个备份防火墙上面去，防止网络黑客的攻击。思科PIX-515E-R-BUN防火墙使用了Cisco PIX操作系统，让这款硬件防火墙的安全性能得到了极大的提高，并且可通过在线升级，修补将来出现的漏洞。点评:思科PIX-515E-R-BUN的整体性能如果应用在小型的校园网络中，还是让人满意，加上具有ASA保护机制和故障切换捆绑功能，还是让这款硬件防火墙增色不少。中网LX-320 (大中型校园网应用)中网LX-320防火墙是一款高性能的产品，它具有1056Mbps的数据吞吐量和最大100万并发连接数，整体性能非常强劲，能够满足大型校园网应用。LX-320具有的AAA身份认证访问控制功能可以制定上网规则，防止非法用户登陆校园内部网络。它所具有的URL过滤功能可以防止校园内部网络用户访问非法的网站，恶意代码检测功能可以阻止ActiveX，Ja等恶意代码的攻击。LX-320具有的IP地址和MAC地址绑定功能可以防止内部IP地址被盗用，入侵防御与报警功能则减少了黑客攻击的危险性。LX-320可通过数字签名方式保护内部资料，防止黑客篡改资料，这对校园的主页保护非常重要。LX-320除了具有这些功能外，还具有***功能，流量管理，双机备份，VLAN，NAT网络地址转换等功能，这些功能都能对校园的一些应用提供非常好的帮助。LX-320用了中网公司专用的NOS操作系统，这种操作系统具有友好的WEB GUI界面，使用起来比较容易。点评:这款硬件防火墙的性能非常强劲，加上强大的功能和易操作界面，为校园用户提供了一个非常好的防御平台。锐捷 RG-WALL 1000千兆防火墙 (大型校园网络应用)作为锐捷公司的新一代防火墙产品，RG-WALL 1000拥有极其优良的性能。它具有1.8Gbps的数据吞吐量和200万最大并发连接数，***吞吐量达到了400Mbps，最大策略数也达到了65535个，平均无故障时间达到了50000个小时以上，并且无限制用户数，整体性能非常强劲，适合于大型校园网络。这款硬件防火墙最大的特色就是用了锐捷网络公司独有的分类算法，这种分类算法让RG-WALL 1000不受策略数和会话数多少影响，并且安装后不会影响校园网络速度。RG-WALL 1000在核心层处理数据包的接收，分类，转发工作，不会造成网络流量瓶紧现象发生。这款硬件防火墙具有入侵监控功能，并且可判断黑客攻击的方式，提供解决措施，防止黑客攻击，RG-WALL 1000在进行入侵监控的时候，并不会影响防火墙的性能。RG-WALL 1000提供了URL过滤功能，可以控制校园用户对非法站点的访问。它可以实现IP地址和MAC地址的绑定，防止校园内部网络用户更换IP地址，进行恶意攻击。这款硬件防火墙具有流量控制功能，可以分配合理的带宽给校园用户。RG-WALL 1000还具有HTTP透明代理，NAT功能和***等功能，能够充分满足校园网络的需要。RG-WALL 1000拥有2个10/100MB端口和2个1000MB端口，并且具有4个扩展插槽，可连接锐捷公司提供的其他模块，达到扩展作用。这款硬件防火墙支持锐捷公司专用的图形界面软件，使用十分方便，便于校园用户管理。点评:RG-WALL 1000的整体性能强劲，其独有的分类算法技术，大大提高了这款硬件防火墙的性能。这款硬件防火墙的功能也十分丰富，能阻挡很多攻击方式，并且可通过在线升级软件，修补各种漏洞，对大中型高校来说，无疑是一个绝佳的选择。

公司想买Cisco的防火墙,大家给推荐个

小编这里要为大家带来的是关于浅析软硬件以及芯片级防火墙的区别，相信大家对于防火墙这个词都有一点的了解，也经常听说，如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。下面一起来看看他们的具体特性！

一、芯片级防火墙

芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统)，因此防火墙本身的漏洞比较少，不过价格相对比较高昂。

二、软件防火墙

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。

三、硬件防火墙

硬件防火墙是指“所谓的硬件防火墙”，"所谓"二字是针对芯片级防火墙而言的。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统。但由于此类防火墙用的依然是别人的内核，因此依然会受到OS(操作系统)本身的安全性影响。

传统硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区(非军事化区)，现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。

相关内容推荐：关闭windows防火墙的方法

.PIX防火墙系统日志级别的分类有哪些?

要看你的网络环境、接入用户数量、接口形式等等因素。

你列出的是思科原有产品的系列。

建议用新的产品体系：

ASA5505-K8 ASA 5505 Appliance with SW, 10 Users, 8 ports, DES $1,190

ASA5505-BUN-K9 ASA 5505 Appliance with SW, 10 Users, 8 ports, 3DES/AES $1,190

ASA5505-50-BUN-K8 ASA 5505 Appliance with SW, 50 Users, 8 ports, DES $1,690

ASA5505-50-BUN-K9 ASA 5505 Appliance with SW, 50 Users, 8 ports, 3DES/AES $1,690

ASA5505-UL-BUN-K8 ASA 5505 Appliance with SW, UL Users, 8 ports, DES $1,990

ASA5505-UL-BUN-K9 ASA 5505 Appliance with SW, UL Users, 8 ports, 3DES/AES $1,990

ASA5505-SEC-BUN-K8 ASA 5505 Sec Plus Appliance with SW, UL Users, HA, DES $3,390

ASA5505-SEC-BUN-K9 ASA 5505 Sec Plus Appliance with SW, UL Users, HA, 3DES/AES $3,390

ASA5510-K8 ASA 5510 Appliance with SW, 3FE, DES $6,990

ASA5510-DC-K8 ASA 5510 Appliance with DC power, SW, 3FE, DES $9,390

ASA5510-BUN-K9 ASA 5510 Appliance with SW, 3FE, 3DES/AES $6,990

ASA5510-SEC-BUN-K9 ASA 5510 Security Plus Appliance with SW, HA, 5FE, 3DES/AES $8,990

ASA5520-K8 ASA 5520 Appliance with SW, HA, 4GE+1FE, DES $15,990

ASA5520-DC-K8 ASA 5520 Appliance with DC power, SW, HA, 4GE+1FE, DES $18,390

ASA5520-BUN-K9 ASA 5520 Appliance with SW, HA, 4GE+1FE, 3DES/AES $15,990

ASA5540-K8 ASA 5540 Appliance with SW, HA, 4GE+1FE, DES $33,990

ASA5540-DC-K8 ASA 5540 Appliance with DC power, SW, HA, 4GE+1FE, 3DES/AES $36,390

ASA5540-BUN-K9 ASA 5540 Appliance with SW, HA, 4GE+1FE, 3DES/AES $33,990

ASA5550-K8 ASA 5550 Appliance with SW, HA, 8GE+1FE, DES $39,990

具体可以给我相关资料，我来帮你选sjzit@263.net

CISCO：防火墙常见问题及解答

PIX防火墙系统日志级别的分类有：logging.on//打开日志；logginghostlog.192.168.56.18//指定日志主机；logging.trap.debugging//指定日志消息的级别；no.logging.message106011//关闭用户通过WEB访问时重置的日志信息（因数据量较大，对本人无用）。PIX是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。PIX有很多型号，并发连接数是PIX防火墙的重要参数。PIX25是典型的设备.

106 问题：CacheEngine是否具有URL过滤功能？

　答案：CacheEngine1.7-2.0版本的软件支持一种叫URL Blocking的功能，该功能是在 CacheEngine的适配器接口上进行配置实现的，它可以将由特定地址来的流量阻断。CacheEngine2.1版本的软件可以通过与基于WindowsNT、UNIX系统的Websense软件结合使用实现支持URL Filtering功能。

107 问题：PIX-520-FO-BUN在购买时是否需要额外定购License?

　答案：PIX-520-FO-BUN本身已经包含有无限制版本的License，因而不需额外定购 软件。

　108 问题：对于能够支持IPSec的PIX 防火墙，客户端的***软件是否有特殊要求？

　答案：Cisco公司有自己的客户端***软件，它可与PIX防火墙进行完美的互操作。

　109 问题：PIX防火墙如果要实现URL过滤功能，需要额外的软件吗？

　答案：需要购买第三方软件产品，Websense。

　110 问题：Netsonar上的软件可以应用于哪些操作系统？

　答案：Netsonar具有以下软件系统：NS-20-NT；NS-201-S-2500。前者用于WindowsNT 环境中，后者用于Solaris环境中。

　111 问题：目前Cisco 公司PIX防火墙系列产品有那些型号，有何区别？

　答案：在目前的PIX防火墙系列产品中，主要有两种型号PIX515和PIX520。其主要区别如下： PIX515适合在中小型企业应用，可提供128，000同时连接数。网络接口卡只支持以太网网卡，可支持到6个以太网网卡。其机箱上带有2个固定的10/100M 以太网网卡，并带有两个扩展插槽。 PIX520适合在电信行业和大型的企业中应用，能提供256，000个同时连接数。可支持多种介质类型：以太网，令牌环和FDDI。最多能够提供6个以太网接口，支持3个令牌环接口和2个FDDI网络接口，并且以太网接口卡只能和令牌环接口混合使用。FDDI接口卡只能单独使用。PIX520的机箱上没有固定配置的接口卡，但带有4个扩展插槽。

　112 问题：Cisco 公司的PIX防火墙和路由器防火墙有何区别？

　答案：CiscoPIX防火墙用集成的软件和硬件平台，是一种专用的防火墙产品。它用专用的、实时的、安全的、非UNIX和非NT的操作系统，能够在不影响网络性能的情况下，提供极其高的安全性。 Cisco路由器防火墙产品是通过在路由器上运行带有防火墙特性集的IOS软件来实现的。它是在低价位的基础上实现经济有效的防火墙解决方案。但由于这个产品在执行传统的路由器选路工作的同时又作为防火墙来提供安全保障，所以在安全性能和数据流的处理性能上面没有专用的PIX防火墙产品高。 当进行选择时，如果用户更多考虑的是网络的安全性和产品性能时，我们建议用专用的PIX防火墙；当用户对产品价格更为关心时，则建议用经济有效的基于Cisco IOS防火墙特性集的路由器防火墙产品。

　113 问题：CiscoPIX防火墙产品与软件防火墙产品(如Checkpoint Firewall-1)相比有何 优势？

　答案：首先，CiscoPIX是一个集成的硬件/软件产品，用户能够得到一个厂家-Cisco公司全球化的一流的技术服务支持，Checkpoint Firewall-1是一个软件 产品，使用时还需要另外购买第三方厂家的硬件平台，因此还需要第三方厂家的技术支持。其次，PIX防火墙用了专有、实时的IOS操作系统，安全性好。Checkpoint Firewall-1运行在开放的UNIX或WindowsNT平台上，因而容易受到攻击。第三，PIX防火墙对多媒体技术具有广泛的支持，Checkpoint Firewall-1对多 媒体技术的支持功能非常有限。此外，PIX防火墙与Checkpoint Firewall-1相比具有更高的数据包转发性能和 更高的安全性能。

　114 问题：Cisco PIX防火墙和IOS Firewall相比有何区别？

　答案：CiscoPIX防火墙是基于硬件的专用设备，它能够在不影响网络性能的情况下对网络实施基于策略的安全管理功能。IOS Firewall是基于软件的防火墙 产品，它一般是作为IOS软件的附带性能安装在路由器中的。路由器在执行常规选路运算的同时执行防火墙的安全认证工作，因而在性能上比PIX专用防火墙要低。一般来说，带IOS Firewall软件的路由器在执行安全认证任务 时比PIX防火墙的性能低30-40%左右。

　115 问题：用户在购买了具有比较小的连接数PIX防火墙产品后，能否通过升级的方法支持更多的连接数？

　答案：PIX防火墙可以支持连接数的升级。当用户购买具有较小连接数的PIX防火墙产品后，可以通过购买相应连接数的授权许可的方式进行连接数的升级。对于PIX515来说，当升级连接数时，一方面需要购买非别软件的授权许可，另一方面需要增加相应的FLASH和DRAM内存。对于PIX520来说，当升级连接数时，只需要购买相应的连接数的软件授权许可。

　116 问题：什么是OSPF On-Demand Circuit，在不同网络中应该如何的配置？

　答案： OSPF On-Demand Circuit—OSPF On-Demand Circuit is an enhancement to the OSPF protocol, as described in RFC 1793, that allows efficient operation over demand circuits such as ISDN, X.25 SVCs, and dial-up lines. Previously, the period nature of OSPF routing traffic mandated that the underlying data-link connection needed to be open constantly, resulting in unwanted usage charges. With this feature, OSPF Hellos and the refresh of OSPF routing information is suppressed for on-demand circuits (and reachability is presumed), allowing the underlying data-link connections to be closed when not carrying lication traffic. The feature allows the consolidation on a single routing protocol and the benefits of the OSPF routing protocol across the entire network, without incurring excess connection costs. If the router is part of a point-to-point topology, only one end of the demand circuit needs to be configured for OSPF On-Demand Circuit operation. In point-to-multipoint topologies, all ropriate routers must be configured with OSPF On-Demand Circuit. All routers in an area must support this feature—that is, be running Cisco IOS Software Release 11.2 or greater.

117 问题：使用网管软件是否可以管理PIX防火墙以外的网络设备？

　答案：如果有特殊需要，可以实现管理PIX防火墙以外的设备，但是出于安全考虑，一般不推荐这种应用。这是因为若要实现这种应用，首先必须建立固定的TCP连接，这样就会增加网络的不安全因素。

　118 问题：Cisco PIX防火墙的软件是否能够支持***功能？

　答案：只有在PIX5.0版本的软件上可以支持***的PKI和IKE验证协议，从而支持***功能。

　119 问题：Cisco 公司的PIX防火墙与实现传统路由选择算法的路由器相比有何特点？

　答案：首先，从功能上讲，PIX防火墙并不等同于路由器。事实上，路由器自身不具备安全性，这是因为路由器的软件使用的是动态路由选择算法，并对外不断广播自身的链路状态，这样网络上所有节点都可以获得其网络地址，从而使路由器有被攻击的可能。与此相比，PIX防火墙并不对外广播其链路状态，它使用静态地址映射与外界建立联系，因而大大减少了本身遭受攻击的风险。其次，PIX防火墙仅仅是在其内部网络段上使用一个简化的RIP进行动态路由选择运算，实现内部网络的路由选择。

　120 问题：PIX防火墙所使用的ASA算法有哪些基本特性？

　答案：ASA算法是PIX防火墙安全验证算法的核心。ASA算法用了一种基于状态和面向TCP连接的安全设计体系。ASA基于源和目的地地址创建一个会话流，同时在一个连接完成之前将其TCP序列号、TCP端口号和附带的TCP识别标记随机地加入会话序列。该功能主要用来监视从目的地址返回的数据包，并保证其合法性。同时，ASA算法还可以实现基于策略的安全体系 ，例如每一个内部系统和相关应用在未经过明确的安全配置的情况下只允许单一方向的连接(由内部到外部)。使用随机生成的TCP序列号可以减少黑客利用TCP序列号进行攻击的可能性。

　121 问题：PIX防火墙具有哪些高级特性？

　答案：PIX防火墙具有DNS防护、MAIL防护、JAVA阻断、ActiveX过滤、URL过滤、支持H.323以及扫描等高级特性。

　122 问题：PIX防火墙的备份设备是否具有主设备的一切功能？

　答案：PIX防火墙的备份功能为网络提供了冗余备份机制，它允许两台相同的设备执行相同的功能，当主设备工作时，备份设备负责监视主设备的工作状态。当主设备发生故障时，备份设备将会在30至45秒内接替主设备进行安全验证工作。需要注意的是，首先主设备与备份设备必须运行相同版本的软件，其次备份设备只能做备份用，它无法脱离PIX主设备单独使用。

　248 问题：PIX 防火墙系列产品中有那些型号，有何区别？

　答案：PIX 515,，PIX 525，PIX535。515适合在中小型企业应用，只支持以太网网卡，支持6个以太网网卡。其机箱上带有2个固定的10/100M以太网网卡，并带有两个扩展插槽。 PIX 525，535适合在电信行业或大企业中应用，提供256000个同时连接。

249 问题：Pix防火墙缺省状态下如果不设置access-list 列表是否就意味着将所有的流量阻断？

　答案：分两种情况。 1.如果数据从较高安全级流向较低安全级的端口时，如果不设置任何外出访问控制列表（outbound access-list）所有的数据流是允许通过的。 2.如果数据从较底安全级流向较高安全级的端口时，如果不特别设置任何特定访问控制列表（或conduit permit ）是全部禁止通过的。只有通过设置允许（permit）通过访问命令才可以允许特定的数据通过。

　250 问题：Pix 防火墙能否执行安全检查而不使用NAT？

　答案：可以通过使用命令

　251 问题：CISCO IOS 中的软件防火墙与硬件防火墙PIX有什么区别？

　答案：CISCO IOS 中的软件防火墙集成度高，成本低，维护相对简单，但同时由于用软件完成防火墙功能，对路由器的性能会有一定影响。硬件防火墙PIX使用一套独立的操作系统，并由单独的硬件完成防火墙功能，从而不会对路由器性能有影响，但成本较高，维护相对复杂。

　252 问题：怎样判别PIX防火墙的FLASH 的大小？

　答案：使用SHOW VERSION 命令。

　253 问题：PIX防火墙在什么时候需要ACTIVATION KEY？

　答案：在软件升级新增加特性时（FLASH升级），需要，如Ristrict 到 UnRistricted时，DES到3DES时。

　254 问题：配置防火墙时需要何种配置转换线？

　答案：配置两头为db9 ，中间为非MODEM连接线。

　255 问题：PIX 525-FO-BUN在购买时还需要额外定制LICENSE？

　答案：PIX-525-FO-BUN本身已经包含有无限制版本的LICENSE，因而不需要额外订购软件。

　260 问题：哪些版本软件的PIX防火墙支持***功能？

　答案：在PIX5.0和5.1版本以后的PIX IOS IPSEC软件都支持***功能。

　261 问题：PIX 防火墙密码恢复方法，步骤分解。

　答案：monitor> interface 0 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9 设置本端口地址 monitor> address 10.21.1.99 address 10.21.1.99 设置服务器地址 monitor> server 172.18.125.3 server 172.18.125.3 获取文件 monitor> file np52.bin file np52.bin 设置网关 monitor> gateway 10.21.1.1 gateway 10.21.1.1 monitor> ping 172.18.125.3 Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) 执行下载传输命令 tor> tftp tftp np52.bin@172.18.125.3 via 10.21.1.1.................................................................

Received 73728 bytes Cisco Secure PIX Firewall password tool (3.0) 0: Tue Aug 22 23:22:19 PDT 2000 Flash=i28F640J5 @ 0x300 BIOS Flash=AT29C257 @ 0xd8000 Do you wish to erase the passwords? [yn] y Passwords he been erased. Rebooting....

262 问题：PIX防火墙中可选千兆板卡中常见有两种普通GE，GE-66如何鉴别？

　答案：执行命令 show interface 显示如下 Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX or Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX 显示i82542代表 33MHz; 显示 i82543 代表 66MHz.

　263 问题：当试图使用TFTP下载PIXNNN.exe时，总是提示错误'BAD MIC NUMBER'，不知是何原因？

　答案：你应该下载的是 .bin 文件而不是 .exe 文件。.exe 文件可以自解压成 .bin文件。

　264 问题：当我试图增加一个防火墙在原有的路由器与局域网之间时，防火墙一切配置正常，但是无法正常使用不知是何原因？

　答案：最有可能的原因是因为外连路由器或周边路由器破损的ARP表，我们都知道路由器的工作原理是根据MAC地址来选择路径，路由器通常会保留MAC地址2-3个小时，解决方法是用CLEAR ARP-CACHE 命令。检查INSIDE侧的主机的缺省网关是否指向PIX的INSIDE接口，检查PIX防火墙的缺省网关是否只有一条，多个缺省网关会引起不稳定或不能工作。

　265 问题：如何确定PIX防火墙的FLASH容量的大小？

　答案：执行SHOW VERSION 命令后显示对照表如下。 i28F020 512 KB AT29C040A 2 MB atmel 2 MB i28F640J5 8 MB - PIX 506 16 MB - all other PIXes strata 16 MB

　266 问题：我在试图在PIX防火墙上使用NAT/GLOBAL命令时，发现防火墙外面的用户与内部的主机间无法保持持续的连接。

　答案：NAT，GLOBAL命令建立的总是从高优先级到低优先级临时连接，都是由内向外发起的，无法直接建立由外而内的.

　267 问题：什么是IPSEC，其工作原理如何？

　答案：IPSec包括了一组安全和认证协议，最重要的是包括了Internet密钥交换(IKE)协议。IKE使两个地点能够建立安全的连接，方法是使用事先共享的密钥或由一家认证机构管理的公钥基础结构(PKI)数字证书，后者是一种进行公钥登记的内部或外购服务。通过使用签名数字ID来确认端点的身份，IKE能够将***的规模扩展到数以千计的端点。 为确保安全的数据加密，Cisco在路由器和PIX上对IPSec的实施过程中既支持数据加密标准(DES) ，也支持三重DES算法。

268 问题：PIX防火墙如何实现其url过滤功能？

　答案：PIX防火墙能够主动过滤URL，从而控制用户能够访问哪些Web站点。URL过滤是通过与NetPartners WebSENSE服务器软件的集成来实现的，该软件现在有一个专用于Cisco PIX Firewall的版本。WebSENSE服务器软件既可以运行在Windows NT服务器上，也可以运行在UNIX服务器上。这些服务器可以是网络内部的，也可以来自PIX防火墙外部受到保护的周边网络。

　269 问题：PIX防火墙支持的会话数？

　答案：Cisco Secure PIX 防火墙 515-R(软件受限)可同时支持最多64000个会话，PIX 515-UR(不受限)可同时支持128000个会话，PIX 520可同时支持256000个会话。

　270 问题：PIX防火墙系列支持软件的最低版本？

　答案：PIX506------5.1(2) PIX515------4.4(1) PIX525------5.2(1) PIX535-------5.3(1)

　271 问题：PIX防火墙通过何种技术来解决地址短缺问题？

　答案：Cisco Secure PIX 防火墙系列产品具备一种特性，能够在不引起IP地址短缺的情况下对IP网络进行扩展和重新配置。利用NAT，既可以使用现有的IP地址，也可以使用Internet分配号授权(IANA)储备库(RFC 1918)保留的地址。Cisco Secure PIX 防火墙系列产品还可以根据需要有选择性地允许对混合地址进行转换或不进行转换。另外，Cisco还保证NAT能够与其它PIX防火墙功能兼容，如支持多媒体应用。而在竞争对手的防火墙产品中，NAT和多媒体功能可能是相互排斥的。 Cisco Secure PIX 防火墙系列产品通过"端口级多路技术"支持端口地址转换(PAT)，这种方法可以进一步节省IP地址。利用PAT，用户内部本地地址能够自动被转换为的外部本地地址，使用不同的端口号就可以对每个转换进行区分。使用PAT，一个外部IP地址可以为64000个内部主机提供服务。