Cisco常见十大经典问题解答之防火墙

　　问题六:用户在购买了具有比较小的最大连接数PIX防火墙产品后，能否通过升级的方法支持更多的最大连接数？

　　回答:PIX防火墙可以支持最大连接数的升级。当用户购买具有较小连接数的PIX防火墙产品后，可以通过购买相应最大连接数的授权许可的方式进行最大连接数的升级。对于PIX515来说，当升级最大连接数时，一方面需要购买非限制级别软件的授权许可，另一方面需要增加相应的FLASH和DRAM内存。对于PIX520来说，当升级最大连接数时，只需要购买相应的最大连接数的软件授权许可。

　　问题七:使用网管软件是否可以管理PIX防火墙以外的网络设备？

　　回答:如果有特殊需要，可以实现管理PIX防火墙以外的设备，但是出于安全考虑，一般不推荐这种应用。这是因为若要实现这种应用，首先必须建立固定的TCP连接，这样就会增加网络的不安全因素。

　　问题八:Cisco PIX防火墙的软件是否能够支持VPN功能？

　　回答:只有在PIX5.0版本的软件上可以支持VPN的PKI和IKE验证协议，从而支持VPN功能。

　　问题九:Cisco 公司的PIX防火墙与实现传统路由选择算法的路由器相比有何特点？

　　回答:首先，从功能上讲，PIX防火墙并不等同于路由器。事实上，路由器自身不具备安全性，这是因为路由器的软件使用的是动态路由选择算法，并对外不断广播自身的链路状态，这样网络上所有节点都可以获得其网络地址，从而使路由器有被攻击的可能。与此相比，PIX防火墙并不对外广播其链路状态，它使用静态地址映射与外界建立联系，因而大大减少了本身遭受攻击的风险。其次，PIX防火墙仅仅是在其内部网络段上使用一个简化的RIP进行动态路由选择运算，实现内部网络的路由选择。

　　问题十:PIX防火墙所使用的ASA算法有哪些基本特性？

　　回答:ASA算法是PIX防火墙安全验证算法的核心。ASA算法采用了一种基于状态和面向TCP连接的安全设计体系。ASA基于源和目的地地址创建一个会话流，同时在一个连接完成之前将其TCP序列号、TCP端口号和附带的TCP识别标记随机地加入会话序列。该功能主要用来监视从目的地址返回的数据包，并保证其合法性。同时，ASA算法还可以实现基于策略的安全体系 ，例如每一个内部系统和相关应用在未经过明确的安全配置的情况下只允许单一方向的连接(由内部到外部)。使用随机生成的TCP序列号可以减少黑客利用TCP序列号进行攻击的可能性。

上一页  [1] [2] 

【责编:Zenghui】