本文是對Cisco代理商培訓資料的收集整理,涉及路由器、交換機、IP/TV、防火墻、VPN、網絡管理、HFC、VOIP及設備采購等方面的售前疑問解答,也可以用來作為入門資料。
106 問題:CacheEngine是否具有URL過濾功能?
答案:CacheEngine1.7-2.0版本的軟件支持一種叫URL Blocking的功能,該功能是在 CacheEngine的適配器接口上進行配置實現的,它可以將由特定地址來的流量阻斷。CacheEngine2.1版本的軟件可以通過與基于 WindowsNT、UNIX系統的Websense軟件結合使用實現支持URL Filtering功能。
107 問題:PIX-520-FO-BUN在購買時是否需要額外定購License?
答案:PIX-520-FO-BUN本身已經包含有無限制版本的License,因而不需額外定購 軟件。
108 問題:對于能夠支持IPSec的PIX 防火墻,客戶端的VPN軟件是否有特殊要求?
答案:Cisco公司有自己的客戶端VPN軟件,它可與PIX防火墻進行完美的互操作。
109 問題:PIX防火墻如果要實現URL過濾功能,需要額外的軟件嗎?
答案:需要購買第三方軟件產品,Websense。
110 問題:Netsonar上的軟件可以應用于哪些操作系統?
答案:Netsonar具有以下軟件系統:NS-20-NT;NS-201-S-2500。前者用于WindowsNT 環境中,后者用于Solaris環境中。
111 問題:目前Cisco 公司PIX防火墻系列產品有那些型號,有何區別?
答案:在目前的PIX防火墻系列產品中,主要有兩種型號PIX515和PIX520。其主要區別如下: PIX515適合在中小型企業應用,最大可提供128,000同時連接數。網絡接口卡只支持以太網網卡,最大可支持到6個以太網網卡。其機箱上帶有2個固定的10/100M 以太網網卡,并帶有兩個擴展插槽。 PIX520適合在電信行業和大型的企業中應用,最大能提供256,000個同時連接數。可支持多種介質類型:以太網,令牌環和FDDI。最多能夠提供6 個以太網接口,最大支持3個令牌環接口和2個FDDI網絡接口,并且以太網接口卡只能和令牌環接口混合使用。FDDI接口卡只能單獨使用。PIX520的機箱上沒有固定配置的接口卡,但帶有4個擴展插槽。
112 問題:Cisco 公司的PIX防火墻和路由器防火墻有何區別?
答案:CiscoPIX防火墻采用集成的軟件和硬件平臺,是一種專用的防火墻產品。它采用專用的、實時的、安全的、非UNIX和非NT的操作系統,能夠在不影響網絡性能的情況下,提供極其高的安全性。 Cisco路由器防火墻產品是通過在路由器上運行帶有防火墻特性集的IOS軟件來實現的。它是在低價位的基礎上實現經濟有效的防火墻解決方案。但由于這個產品在執行傳統的路由器選路工作的同時又作為防火墻來提供安全保障,所以在安全性能和數據流的處理性能上面沒有專用的PIX防火墻產品高。當進行選擇時,如果用戶更多考慮的是網絡的安全性和產品性能時,我們建議采用專用的PIX防火墻;當用戶對產品價格更為關心時,則建議采用經濟有效的基于 Cisco IOS防火墻特性集的路由器防火墻產品。
113 問題:CiscoPIX防火墻產品與軟件防火墻產品(如Checkpoint Firewall-1)相比有何 優勢?
答案:首先,CiscoPIX是一個集成的硬件/軟件產品,用戶能夠得到一個廠家-Cisco公司全球化的一流的技術服務支持,Checkpoint Firewall-1是一個軟件產品,使用時還需要另外購買第三方廠家的硬件平臺,因此還需要第三方廠家的技術支持。其次,PIX防火墻采用了專有、實時的IOS操作系統,安全性好。 Checkpoint Firewall-1運行在開放的UNIX或WindowsNT平臺上,因而容易受到攻擊。第三,PIX防火墻對多媒體技術具有廣泛的支持, Checkpoint Firewall-1對多 媒體技術的支持功能非常有限。此外,PIX防火墻與Checkpoint Firewall-1相比具有更高的數據包轉發性能和 更高的安全性能。
114 問題:Cisco PIX防火墻和IOS Firewall相比有何區別?
答案:CiscoPIX防火墻是基于硬件的專用設備,它能夠在不影響網絡性能的情況下對網絡實施基于策略的安全管理功能。IOS Firewall是基于軟件的防火墻產品,它一般是作為IOS軟件的附帶性能安裝在路由器中的。路由器在執行常規選路運算的同時執行防火墻的安全認證工作,因而在性能上比PIX專用防火墻要低。一般來說,帶IOS Firewall軟件的路由器在執行安全認證任務 時比PIX防火墻的性能低30-40%左右。
115 問題:用戶在購買了具有比較小的最大連接數PIX防火墻產品后,能否通過升級的方法支持更多的最大連接數?
答案:PIX防火墻可以支持最大連接數的升級。當用戶購買具有較小連接數的PIX防火墻產品后,可以通過購買相應最大連接數的授權許可的方式進行最大連接數的升級。對于PIX515來說,當升級最大連接數時,一方面需要購買非限制級別軟件的授權許可,另一方面需要增加相應的FLASH和DRAM內存。對于 PIX520來說,當升級最大連接數時,只需要購買相應的最大連接數的軟件授權許可。
116 問題:什么是OSPF On-Demand Circuit,在不同網絡中應該如何的配置?
答案: OSPF On-Demand Circuit—OSPF On-Demand Circuit is an enhancement to the OSPF protocol, as described in RFC 1793, that allows efficient operation over demand circuits such as ISDN, X.25 SVCs, and dial-up lines. Previously, the period nature of OSPF routing traffic mandated that the underlying data-link connection needed to be open constantly, resulting in unwanted usage charges. With this feature, OSPF Hellos and the refresh of OSPF routing information is suppressed for on-demand circuits (and reachability is presumed), allowing the underlying data-link connections to be closed when not carrying application traffic. The feature allows the consolidation on a single routing protocol and the benefits of the OSPF routing protocol across the entire network, without incurring excess connection costs. If the router is part of a point-to-point topology, only one end of the demand circuit needs to be configured for OSPF On-Demand Circuit operation. In point-to-multipoint topologies, all appropriate routers must be configured with OSPF On-Demand Circuit. All routers in an area must support this feature—that is, be running Cisco IOS Software Release 11.2 or greater.
117 問題:使用網管軟件是否可以管理PIX防火墻以外的網絡設備?
答案:如果有特殊需要,可以實現管理PIX防火墻以外的設備,但是出于安全考慮,一般不推薦這種應用。這是因為若要實現這種應用,首先必須建立固定的TCP連接,這樣就會增加網絡的不安全因素。
118 問題:Cisco PIX防火墻的軟件是否能夠支持VPN功能?
答案:只有在PIX5.0版本的軟件上可以支持VPN的PKI和IKE驗證協議,從而支持VPN功能。
119 問題:Cisco 公司的PIX防火墻與實現傳統路由選擇算法的路由器相比有何特點?
答案:首先,從功能上講,PIX防火墻并不等同于路由器。事實上,路由器自身不具備安全性,這是因為路由器的軟件使用的是動態路由選擇算法,并對外不斷廣播自身的鏈路狀態,這樣網絡上所有節點都可以獲得其網絡地址,從而使路由器有被攻擊的可能。與此相比,PIX防火墻并不對外廣播其鏈路狀態,它使用靜態地址映射與外界建立聯系,因而大大減少了本身遭受攻擊的風險。其次,PIX防火墻僅僅是在其內部網絡段上使用一個簡化的RIP進行動態路由選擇運算,實現內部網絡的路由選擇。
120 問題:PIX防火墻所使用的ASA算法有哪些基本特性?
答案:ASA算法是PIX防火墻安全驗證算法的核心。ASA算法采用了一種基于狀態和面向TCP連接的安全設計體系。ASA基于源和目的地地址創建一個會話流,同時在一個連接完成之前將其TCP序列號、TCP端口號和附帶的TCP識別標記隨機地加入會話序列。該功能主要用來監視從目的地址返回的數據包,并保證其合法性。同時,ASA算法還可以實現基于策略的安全體系,例如每一個內部系統和相關應用在未經過明確的安全配置的情況下只允許單一方向的連接(由內部到外部)。使用隨機生成的TCP序列號可以減少黑客利用 TCP序列號進行攻擊的可能性。
121 問題:PIX防火墻具有哪些高級特性?
答案:PIX防火墻具有DNS防護、MAIL防護、JAVA阻斷、ActiveX過濾、URL過濾、支持H.323以及病毒掃描等高級特性。
122 問題:PIX防火墻的備份設備是否具有主設備的一切功能?
答案:PIX防火墻的備份功能為網絡提供了冗余備份機制,它允許兩臺相同的設備執行相同的功能,當主設備工作時,備份設備負責監視主設備的工作狀態。當主設備發生故障時,備份設備將會在30至45秒內接替主設備進行安全驗證工作。需要注意的是,首先主設備與備份設備必須運行相同版本的軟件,其次備份設備只能做備份用,它無法脫離PIX主設備單獨使用。
248 問題:PIX 防火墻系列產品中有那些型號,有何區別?
答案:PIX 515,,PIX 525,PIX535。515適合在中小型企業應用,只支持以太網網卡,最大支持6個以太網網卡。其機箱上帶有2個固定的10/100M以太網網卡,并帶有兩個擴展插槽。 PIX 525,535適合在電信行業或大企業中應用,最大提供256000個同時連接。
249 問題:Pix防火墻缺省狀態下如果不設置access-list 列表是否就意味著將所有的流量阻斷?
答案:分兩種情況。 1.如果數據從較高安全級流向較低安全級的端口時,如果不設置任何外出訪問控制列表(outbound access-list)所有的數據流是允許通過的。 2.如果數據從較底安全級流向較高安全級的端口時,如果不特別設置任何特定訪問控制列表(或conduit permit )是全部禁止通過的。只有通過設置允許(permit)通過訪問命令才可以允許特定的數據通過。
250 問題:Pix 防火墻能否執行安全檢查而不使用NAT?
答案:可以通過使用命令
251 問題:CISCO IOS 中的軟件防火墻與硬件防火墻PIX有什么區別?
答案:CISCO IOS 中的軟件防火墻集成度高,成本低,維護相對簡單,但同時由于用軟件完成防火墻功能,對路由器的性能會有一定影響。硬件防火墻PIX使用一套獨立的操作系統,并由單獨的硬件完成防火墻功能,從而不會對路由器性能有影響,但成本較高,維護相對復雜。
252 問題:怎樣判別PIX防火墻的FLASH 的大小?
答案:使用SHOW VERSION 命令。
253 問題:PIX防火墻在什么時候需要ACTIVATION KEY?
答案:在軟件升級新增加特性時(FLASH升級),需要,如Ristrict 到 UnRistricted時,DES到3DES時。
254 問題:配置防火墻時需要何種配置轉換線?
答案:配置兩頭為db9 ,中間為非MODEM連接線。
255 問題:PIX 525-FO-BUN在購買時還需要額外定制LICENSE?
答案:PIX-525-FO-BUN本身已經包含有無限制版本的LICENSE,因而不需要額外訂購軟件。
260 問題:哪些版本軟件的PIX防火墻支持VPN功能?
答案:在PIX5.0和5.1版本以后的PIX IOS IPSEC軟件都支持VPN功能。
261 問題:PIX 防火墻密碼恢復方法,步驟分解。
答案:monitor> interface 0 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9 設置本端口地址 monitor> address 10.21.1.99 address 10.21.1.99 設置服務器地址 monitor> server 172.18.125.3 server 172.18.125.3 獲取文件 monitor> file np52.bin file np52.bin 設置網關 monitor> gateway 10.21.1.1 gateway 10.21.1.1 monitor> ping 172.18.125.3 Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) 執行下載傳輸命令 tor> tftp tftp np52.bin@172.18.125.3 via 10.21.1.1.................................................................
Received 73728 bytes Cisco Secure PIX Firewall password tool (3.0) 0: Tue Aug 22 23:22:19 PDT 2000 Flash=i28F640J5 @ 0x300 BIOS Flash=AT29C257 @ 0xd8000 Do you wish to erase the passwords? [yn] y Passwords have been erased. Rebooting....
262 問題:PIX防火墻中可選千兆板卡中常見有兩種普通GE,GE-66如何鑒別?
答案:執行命令 show interface 顯示如下 Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX or Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX 顯示i82542代表 33MHz; 顯示 i82543 代表 66MHz.
263 問題:當試圖使用TFTP下載PIXNNN.exe時,總是提示錯誤'BAD MAGIC NUMBER',不知是何原因?
答案:你應該下載的是 .bin 文件而不是 .exe 文件。.exe 文件可以自解壓成 .bin文件。
264 問題:當我試圖增加一個防火墻在原有的路由器與局域網之間時,防火墻一切配置正常,但是無法正常使用不知是何原因?
答案:最有可能的原因是因為外連路由器或周邊路由器破損的ARP表,我們都知道路由器的工作原理是根據MAC地址來選擇路徑,路由器通常會保留MAC地址 2-3個小時,解決方法是用CLEAR ARP-CACHE 命令。檢查INSIDE側的主機的缺省網關是否指向PIX的INSIDE接口,檢查PIX防火墻的缺省網關是否只有一條,多個缺省網關會引起不穩定或不能工作。
265 問題:如何確定PIX防火墻的FLASH容量的大小?
答案:執行SHOW VERSION 命令后顯示對照表如下。 i28F020 512 KB AT29C040A 2 MB atmel 2 MB i28F640J5 8 MB - PIX 506 16 MB - all other PIXes strata 16 MB
266 問題:我在試圖在PIX防火墻上使用NAT/GLOBAL命令時,發現防火墻外面的用戶與內部的主機間無法保持持續的連接。
答案:NAT,GLOBAL命令建立的總是從高優先級到低優先級臨時連接,都是由內向外發起的,無法直接建立由外而內的.
267 問題:什么是IPSEC,其工作原理如何?
答案:IPSec包括了一組安全和認證協議,最重要的是包括了Internet密鑰交換(IKE)協議。IKE使兩個地點能夠建立安全的連接,方法是使用事先共享的密鑰或由一家認證機構管理的公鑰基礎結構(PKI)數字證書,后者是一種進行公鑰登記的內部或外購服務。通過使用簽名數字ID來確認端點的身份,IKE能夠將VPN的規模擴展到數以千計的端點。為確保安全的數據加密,Cisco在路由器和PIX上對IPSec的實施過程中既支持數據加密標準(DES) ,也支持三重DES算法。
268 問題:PIX防火墻如何實現其url過濾功能?
答案:PIX防火墻能夠主動過濾URL,從而控制用戶能夠訪問哪些Web站點。URL過濾是通過與NetPartners WebSENSE服務器軟件的集成來實現的,該軟件現在有一個專用于Cisco PIX Firewall的版本。WebSENSE服務器軟件既可以運行在Windows NT服務器上,也可以運行在UNIX服務器上。這些服務器可以是網絡內部的,也可以來自PIX防火墻外部受到保護的周邊網絡。
269 問題:PIX防火墻支持的最大會話數?
答案:Cisco Secure PIX 防火墻 515-R(軟件受限)可同時支持最多64000個會話,PIX 515-UR(不受限)可同時支持128000個會話,PIX 520可同時支持256000個會話。
270 問題:PIX防火墻系列支持軟件的最低版本?
答案:PIX506------5.1(2) PIX515------4.4(1) PIX525------5.2(1) PIX535-------5.3(1)
271 問題:PIX防火墻通過何種技術來解決地址短缺問題?
答案:Cisco Secure PIX 防火墻系列產品具備一種特性,能夠在不引起IP地址短缺的情況下對IP網絡進行擴展和重新配置。利用NAT,既可以使用現有的IP地址,也可以使用 Internet分配號授權(IANA)儲備庫(RFC 1918)保留的地址。Cisco Secure PIX 防火墻系列產品還可以根據需要有選擇性地允許對混合地址進行轉換或不進行轉換。另外,Cisco還保證NAT能夠與其它PIX防火墻功能兼容,如支持多媒體應用。而在競爭對手的防火墻產品中,NAT和多媒體功能可能是相互排斥的。 Cisco Secure PIX 防火墻系列產品通過"端口級多路技術"支持端口地址轉換(PAT),這種方法可以進一步節省IP地址。利用PAT,用戶內部本地地址能夠自動被轉換為唯一的外部本地地址,使用不同的端口號就可以對每個轉換進行區分。使用PAT,一個外部IP地址可以為64000個內部主機提供服務。(責任編輯:liucl)
