商业源码 CISCO防火墙配置及详细介绍
这条命令是启用防火墙中的基础IPS特性
配置方法如下
Step
1
To
define
an
IP
audit
policy
for
informational
signatures,
enter
the
following
command:
hostname(config)#
ip
audit
name
name
info
[action
[alarm]
[drop]
[reset]]
Where
alarm
generates
a
system
message
showing
that
a
packet
matched
a
signature,
drop
drops
the
packet,
and
reset
drops
the
packet
and
closes
the
connection
If
you
do
not
define
an
action,
then
the
default
action
is
to
generate
an
alarm
Step
2
To
define
an
IP
audit
policy
for
attack
signatures,
enter
the
following
command:
hostname(config)#
ip
audit
name
name
attack
[action
[alarm]
[drop]
[reset]]
Where
alarm
generates
a
system
message
showing
that
a
packet
matched
a
signature,
drop
drops
the
packet,
and
reset
drops
the
packet
and
closes
the
connection
If
you
do
not
define
an
action,
then
the
default
action
is
to
generate
an
alarm
Step
3
To
assign
the
policy
to
an
interface,
enter
the
following
command:
ip
audit
interface
interface_name
policy_name
目 录
一,阿姆瑞特公司简介
阿姆瑞特是一家专业从事网络安全产品研发和服务的跨国IT企业,属于阿姆瑞特(国际)集团在亚洲的分支机构集团总部设在瑞典,拥有强大的公司实力及技术优势,多年来一直致力于网络安全产品的研发和服务,在全球范围设有多个研发机构和销售网络,为不同的客户提供最先进的,特色化的安全产品和服务目前,阿姆瑞特已经在北京,西安,南京,广州,成都等地先后建立办事处,并将销售延伸到全国各个省市,建立起遍及全国的销售和服务平台在金融,电信,教育,广电,电力,制造和政府等行业已经有广泛的应用,客户的一致好评和在玛赛,联想,赛迪等国内大型实验室优异的测试结果,显示了阿姆瑞特产品的卓越品质和公司雄厚的技术实力
阿姆瑞特人愿通过不懈的努力,与合作伙伴共同为中国网络安全发展尽自己的微薄之力阿姆瑞特的目标是:服务于中国的信息安全产业,为用户提供全球领先的安全产品和完善的服务
二,阿姆瑞特防火墙的产品线及性能
21 阿姆瑞特防火墙性能参数
性能
F50-NP
F100-NP
F100UP
F100Pro
F300Pro
F600-UP
F600Pro
F600+
F1800
F3000
F5000
F5000Pro
并发连接数
4,000
16,000
128,000
200,000
320,000
512,000
1,000,000
1,000,000
2,000,000
3,000,000
5,000,000
80,000,000
吞吐量(Mbps)
50
100
120
200
400
800
1,000
1,5000
2,000
3,000
4,000
16,000
延时( μs )
≤30
≤30
≤30
≤30
≤25
≤25
≤25
≤25
≤19
≤19
≤19
≤19
防火墙接口数量
4+6
4+6
4
6
8
6-14
6-14
6-14
6-14
6-14
6-14
5-40
用户数量
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
VLAN数量
无
无
256
256
512
1,024
1,024
1,024
2,048
4,096
4,096
32,768
规则数量
500
1,000
1,000
1,000
2,000
8,000
16,000
16,000
16,000
32,000
32,000
250,000
路由数量
64
128
128
128
512
1,024
2,048
2,048
2,048
4,096
4,096
32,768
***隧道数
15
30
120
120
1,200
1,600
2,000
2,000
2,000
2,000
2,000
400,000
MTBF(小时)
30000
30000
30000
30000
40000
40000
40000
40000
50000
50000
50000
50000
规格(长宽高)
15721030
15721030
23843544
23843544
23843544
43543544
43543544
17025540
43543588
43543544
43543588
43543588
22 SME级别F50-NP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F50-NP
50M
4000
4+6
Unlimited
20M
25
NetScreen
NS-5XT
70
2,000
5
10
20M
10
NS-5GT
75
2,000
5
10
20M
10
NS-5GT_Ex
75
4,000
5
Unlimited
20M
25
Cisco
PIX-501-50
60M
7,500
2+4
50
6M
10
PIX-501-10
60M
7,500
2+4
10
6M
10
Nokia
IP40-U
70M
3
Unlimited
15M
10
F50-NP吞吐量可升级至75M
23 SME级别F100-NP&F100-UP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F100-NP
100M
16,000
4+6
Unlimited
40M
100
F100-UP
120M
128,000
4
Unlimited
95M
120
NetScreen
NS-25
100M
32,000
4
Unlimited
20M
125
Cisco
Pix-506E
100M
25,000
2
Unlimited
16M
25
Nokia
IP130
102M
100,000
3
Unlimited
13M
F100-NP吞吐量可升级至200M
24 CorpXpres系列F100-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F100-Pro
200M
200,000
6
Unlimited
95M
120
NetScreen
NS-25
170M
64,000
4
Unlimited
45M
500
Cisco
Pix-515E-UR
188M
130,000
2-6
Unlimited
63M
2,000
Nokia
Nokia无此档产品
25 CorpXpres系列F300-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F300-Pro
400M
320,000
8
Unlimited
130M
1,200
NetScreen
NS-204
400M
128,,000
4
Unlimited
200M
1,000
Cisco
Pix-525-UR
330M
280,000
2-6
Unlimited
145M
2,000
Nokia
IP350
400M
128,000
4
Unlimited
60M
2,000
26 EntXpress系列F600-UP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F600-UP
800M
512,000
6-14
Unlimited
600M
1,600
NetScreen
NS-208
550M
128,000
8
Unlimited
200M
1,000
NS-500
700M
250,000
12
Unlimited
250M
5,000
Cisco
Cisco无此档产品
Nokia
IP530
507M
128,000
4
Unlimited
115M
2,000
IP380
600M
128,000
6
Unlimited
90M
2,000
27 EntXpress系列F600-Pro&F600+性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F600-Pro
1,000M
1,000,000
6-14
Unlimited
800M
2,000
F600+
1,500M
1,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
ISG1000
1,000M
250,000
4 -8
Unlimited
1,000M
2,000
Cisco
PIX-535-UR
1,700M
500,000
2-8
Unlimited
440M
2,000
Nokia
IP710
1,300M
128,000
4
Unlimited
139M
2,000
28 TelcoXpress系列F1800&F3000性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F1800
2,000M
2,000,000
6-14
Unlimited
1,000M
2,000
F3000
3,000M
3,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
ISG2000
2,000M
512,000
8
Unlimited
1,000M
10,000
Cisco
Cisco无此档产品
Nokia
IP740
2,000M
500,000
4
Unlimited
139M
10,000
29 TelcoXpress系列F5000性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F5000
4,000M
5,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
Netscreen无此档产品
Cisco
Cisco无此档产品
Nokia
IP1260
4,200M
1,000,000
4
Unlimited
800M
210超级电信级产品F5000-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
***吞吐量
***隧道数
Amaranten
F5000-Pro
16,000M
5,000,000
5-40
Unlimited
16,000M
400,000
NetScreen
NS-5200
10,000M
1,000,000
8
Unlimited
5,000M
30,000
NetScreen
NS-5400
30,000M
1,000,000
24
Unlimited
15,000M
30,000
Cisco
FWSM模块
5,000
1,000,000
100(VLAN)
Unlimited
n/a
n/a
Nokia
Nokia无此档产品
阿姆瑞特现已推出的5000Pro防火墙,是当今世界上最快的防火墙产品已经在欧洲的各大电信运营商网络成功的开始了应用
下面是它图样:
平台架构
最多支持八块高性能的基于ASIC加速的板卡
每块板卡支持2G的明通和密通吞吐量
每块板卡支持4+1个网口, 四个千兆口, 一个SFP
管理卡位于工控机的背板,不占用插槽
背板还拥有一个网口汇聚卡, 可以支持八个百兆电口,SFP,或者万兆口
重要技术参数
防火墙明通吞吐量16Gbps
IPSEC密通吞吐量16Gbps
同时并发连接8千万
55万大包PPS
四十万最大***通道数
支持32768个VLAN接口
支持最多8000个虚拟路由系统
GAN兼容,支持3G网络安全需求
完全支持IKEv2和EIP-SIM
三,阿姆瑞特防火墙的组成
31 阿姆瑞特防火墙硬件
阿姆瑞特防火墙采用专有的硬件,采用高性能的CPU和大容量的内存保证硬件的高性能其中,阿姆瑞特NP系列采用NP的硬件架构;600UP以上的产品采用ASIC技术
32 阿姆瑞特防火墙内核
阿姆瑞特防火墙为"无系统内核",即:防火墙没有操作系统,因此不会存在通用操作系统的漏洞,从而在底层保证防火墙的安全性;同时,因为操作系统需要不断地去维护,升级,无操作系统就不存在此类问题,这也排除了因为系统升级,打补丁破坏防火墙功能,性能的问题
阿姆瑞特防火墙内核启动后,可直接管理防火墙的所有硬件(CPU,网卡,总线等),它可以在底层从硬件设备中接管进出防火墙数据并进行处理,利用了所有可能的硬件性能,同时减少了操作系统的开销,因此可以最快的处理数据,使其成为市场上现有的最快的防火墙之一
33 阿姆瑞特防火墙管理器
阿姆瑞特防火墙管理器的作用是对防火墙进行管理,配置,日志的查询,同时可以集中管理到多达3万台防火墙
34 阿姆瑞特防火墙日志服务器
阿姆瑞特防火墙日志服务器的作用是接收并存储防火墙的日志
35 其它防火墙硬件和内核简介
厂家
介绍
阿姆瑞特防火墙的优势
Juniper
Juniper防火墙采用专用的操作系统平台,而且把操作系统固化在专用芯片(ASIC)上
阿姆瑞特防火墙内核文件到目前为止都是小于2M,比Juniper小,所以在性能上两者相差不大;但是在灵活性和扩展性上比Juniper强
Cisco
Cisco PIX防火墙采用安全的黑盒子,非UNIX系统,是X86结构
阿姆瑞特600系列采用ASIC架构,NP系列采用NP架构
阿姆瑞特防火墙内核文件到目前为止都是小于2M,比Cisco小,所以在性能上比Cisco强;在功能上和管理的方便性上都比Cisco强;而Cisco防火墙在***加密算法的不同(如DES和3DES)则要不同的License和不同内存大小来支持,阿姆瑞特防火墙没有这样的限制
NOKIA
NOKIA防火墙采用NOKIA的硬件平台,而软件采用Check Point的
阿姆瑞特防火墙内核文件到目前为止都是小于2M,远远小于NOKIA防火墙,所以在性能和延迟比NOKIA强;在功能上和管理的方便性上比NOKIA的强;而NOKIA防火墙按照接口类型,接口数量,软件和用户数量来购买,阿姆瑞特防火墙没有这样的限制
四,阿姆瑞特防火墙的技术特点
阿姆瑞特防火墙除了是一款专业的防火墙设备以外,还具有强大得的路由功能以及专业级带宽管理功能具体对其技术特点概括如下:
全方位安全防护
强大的路由功能
专业的带宽管理
灵活的网络接入
丰富的***功能
便捷的图形管理
细微的网络日志
41 全方位安全防护
阻断入侵者的攻击,保护用户的网络正常运行是防火墙的最基本职责阿姆瑞特防火墙提供者全方位的安全防护例如:
411 全状态检测防火墙
阿姆瑞特防火墙对所有的协议都可以进行状态检测进行过滤,直接对分组里的数据进行处理;具有完备的状态检测表追踪连接会话状态,并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过,通过连接状态进行更迅速更安全的过滤因此可以防止假冒IP攻击,防止非正常连接同时提高防火墙工作效率
412灵活的访问控制
阿姆瑞特防火墙所能控制的颗粒度非常细,可以对以下的信息作出访问控制:
源和目的地址
源和目的接口
IP协议号
TCP和UDP端口号
端口范围
ICMP信息类型
IP和TCP中都有的选项类型
IP和TCP标记组合
VLAN信息
时间
防火墙的接口(包括物理和逻辑接口)
访问内容
访问的文件类型
访问控制可以说是防火墙的基本功能,不同的是Juniper,Nokia和PIX无法支持防火墙的接口,IP和TCP中的选项和用户访问文件类型进行访问控制
413 用户认证
阿姆瑞特防火墙支持本地用户库认证,RADIUS认证,LDAP认证
Juniper支持本地用户库认证,RADIUS认证,LDAP认证,RSA,SecurIP
Cisco支持本地用户库认证,RADIUS认证,TACACS
NOKIA支持本地用户库认证,RADIUS认证
不同的是阿姆瑞特防火墙做用户认证的时候,可以设置每用户名多次登陆,也可以设置每用户名一次登陆,此功能如下图所示:
414 强大的抵御攻击能力
阿姆瑞特防火墙提供针对黑客攻击的强大防御功能:
防止黑客对OS Fingerprinting 和 Firewalking的企图
防止黑客对网络的TCP/UDP端口扫描
防止黑客对网络的同步攻击
防止黑客对网络的ICMP flood攻击
防止黑客对网络的UDP flood攻击
防止黑客对网络的死ping(Ping of death)攻击
防止黑客对网络的IP欺骗(IP spoofing)攻击
防止黑客对网络的端口扫描(Port scan)
防止黑客对网络的陆地攻击(Land attack)
防止黑客对网络的撕毁攻击(Tear drop attack)
防止黑客对网络的过滤IP源路由选项(Filter IP source route option)
防止黑客对网络的IP地址扫描攻击(IP address sweep attack)
防止黑客对网络的WinNuke attack攻击
防止黑客对网络的Java/ActiveX/Zip/EXE
防止黑客对网络的默认分组拒绝(Default packet deny)攻击
防止黑客对网络的Dos & DDoS攻击
用户定义的不良URL
防止黑客对网络的Per-source session limiting攻击
防止黑客对网络的Syn fragments攻击
防止黑客对网络的Syn and Fin bit set攻击
防止黑客对网络的No flags in TCP攻击
防止黑客对网络的FIN with no ACK攻击
防止黑客对网络的ICMP fragment攻击
防止黑客对网络的Large ICMP
防止黑客对网络的IP source route
防止黑客对网络的IP record route
防止黑客对网络的IP security options
防止黑客对网络的IP timestamp
防止黑客对网络的IP stream
防止黑客对网络的IP bad options
防止黑客对网络的Unknown protocols
抵御黑客的攻击也是防火墙的基本功能,但阿姆瑞特防火墙在抵御攻击的时候,原理于其他防火墙不同
其他的防火墙
通过设定阈值进行攻击防范,例如每个IP每秒2000个SYN报文以下才认为是正常的,超出视为攻击因此比较难慢性抵御DDOS攻击(例如:很多IP每秒1500个SYN攻击)
依托通用OS,OS对攻击的抵御能力不足;且防火墙软件与OS间必然存在开销,消耗系统资源
阿姆瑞特防火墙
采用类似代理技术进行攻击防范,必须首先与防火墙建立起连接,防火墙才会再与主机进行连接,攻击不会通过防火墙到达主机
专用内核,没有OS开销,提高了自身抵御攻击能力
设计中充分考虑了系统抗攻击的能力,预留防火墙系统资源,任何情况下CPU利用率都不会达到100%
415 URL过滤
阿姆瑞特防火墙支持URL过滤
Juniper支持URL过滤
NOKIA不支持URL过滤
Cisco PIX Firewall URL过滤与NetPartners Websense产品一起提供PIX Firewall用Websense服务器上制定的政策检查外出的URL请求,这些政策在Windows NT或UNIX上运行PIX Firewall 53版本及更高版本中支持Websensen第4版本
根据NetPartners Websense服务器的答复,PIX Firewall接受或拒绝连接这台服务器检查请求,保证这些请求不具备不适合商业用途的17种Web站点特征由于URL过滤在独立平台上处理,因此,不会给PIX Firewall带来其它性能负担
42 强大的路由功能
阿姆瑞特防火墙的路由功能非常强大的路由功能,最大可以支持4096条静态路由此外还支持策略路由,动态路由以及虚拟路由等
421 策略路由
阿姆瑞特防火墙可以基于不同的策略定义不同的路由,因此可以根据源地址,服务,时间等定义不同的路由从而达到不需要其他设备可以连接多个ISP,应用在多个出口的环境,同时,可以对数据包的路由方向进行选择此功能如下图所示:
不同的是通过策略路由可以支持WEB Cache(例如:免费的Squid)从而达到利用免费的软件实现URL过滤,应用代理的目的,同时可用作支持病毒扫描服务器等
Juniper支持策略路由,只是做到源地址,源IP,源端口,目的地址,目的IP,目的端口但无法对时间,数据包路由的方向作策略路由
Cisco不支持策略路由
NOKIA支持策略路由
422 路由备份
阿姆瑞特防火墙可以做到端口之间的冗余,这样可以保证不会因为一条链路的中断而造成业务的中断,此功能如下图所示:
423支持OSPF V2动态路由
阿姆瑞特防火墙全面支持OSPF路由协议,完全符合RFC文档对OSPF协议的规定因此可以于专业的路由器的OSPF媲美,同时支持透明下起OSPF协议,OSPF OVER IPSEC等
阿姆瑞特防火墙的OSPF根据RFC 2328来定义,支持OSPF版本2,也可以支持早期版本RFC 1538,可以和CISCO,北电等设备之间做OSPF
不同的是通过阿姆瑞特防火墙自带的日志软件,可以对OSPF HELLO包做分析;即使防火墙工作在透明模式下,也可以运行OSPF协议;在***网络环境下也支持OSPF协议的运行
Juniper防火墙OSPF基于虚拟路由器而启用的,根据RFC 2328的定义,支持OSPF版本2,也可以支持早期版本RFC 1538在***网络环境下也支持OSPF协议的运行
NOKIA支持OSPF协议,采用的标准是RFC 2328,不支持早期版本RFC 1538
Cisco PIX防火墙不支持OSPF协议
424 支持虚拟路由器/系统
阿姆瑞特防火墙支持虚拟防火墙功能,是通过回环接口组的方式实现的,要求防火墙的版本在85以上
NOKIA支持虚拟防火墙功能
Juniper虚拟防火墙逻辑划分了多个虚拟系统,以提供多客户式托管服务,每个虚拟系统(VSYS)都是一个唯一的安全域,并且可以拥有自己的管理源,管理员可以设置自己的地址薄,用户列表,自定义服务,***,策略以使自己的安全个性化可以通过两种方式实现虚拟系统:基于VLAN和基于IP要在204以上的才支持,5200和5400最多可以做到500个
Cisco PIX支持虚拟防火墙功能,但要求防火墙版本是70以上
425 对VLAN的支持
阿姆瑞特防火墙全系列型号都支持VLAN
Cisco防火墙要在515型号以上的才支持VLAN
Juniper防火墙要在25 高级版本型号以上的才支持VLAN
NOKIA防火墙要在130型号以上的才支持VLAN
43 专业的带宽管理
阿姆瑞特防火墙除了具有全方位的安全防护和强大的路由功能以外,还具备专业的带宽管理功能
阿姆瑞特防火墙支持阿姆瑞特防火墙可以基于IP,基于服务,基于接口,基于组信息,基于VLAN信息,***连接等信息进行带宽管理并且在管道内部可以实现数据包的负载均衡,从而保证重要数据的服务质量通过QoS/CoS设置,可以进行:
· 带宽限制
· 带宽保证
· 优先级控制 (0-7,有8个优先级别)
· 动态流量均衡
此功能如下图所示:
总体来说,阿姆瑞特防火墙在作带宽管理的时候,具有如下特点:
通过定义管道的方式提供CoS/QoS功能
管道没有数量的限制
带宽管理设置精度为1Kbps
可进行带宽限制,带宽保证,动态均衡带宽
大差别带宽管理时,不存在"饿死"现象
可对上传和下载数据分别进行带宽管理
明通,密通数据均可以作带宽管理
带宽管理可基于接口,VLAN,IP地址,服务,时间等设定
Juniper,Cisco,NOKIA防火墙做不到带宽保证,动态流量均衡同时带宽管理的精度也比较粗糙(为64kbps)
44灵活的网络接入
阿姆瑞特防火墙在网络接入方面非常灵活,具体的特点如下:
透明,路由,混合接入
同一接口下的透明+路由
源地址,目标地址同时转换
对称式接口设计
441 路由,透明和混合的工作模式
阿姆瑞特防火墙支持路由,透明和混合的工作模式
Juniper只支持路由和透明模式
Cisco只支持路由的工作模式和透明模式(需要防火墙的版本在70以上)
NOKIA只支持路由和透明模式
不同的是阿姆瑞特防火墙可以在透明模式下实现和路由模式下相同的功能,如在透明模式下支持NAT,VLAN,***,OSPF,HA和虚拟防火墙等功能
442 同一接口下的透明+路由
阿姆瑞特防火墙支持同一的网络接口下的透明+NAT,如图:
防火墙if2接了2个网段,同时if2也配置了2个不同网段的地址,if1同if2其中一个地址在同一网段上,于另一个地址在不同网段上这样防火墙的if1于if2同时处于透明+路由的情况
Juniper,Cisco和NOKIA均不支持这个功能
443对称式接口设计
阿姆瑞特防火墙的接口都是对称试设计,因此任何一个接口都可以是内网,外网或者DMZ区因此可以作多个内网,多个外网或者多个DMZ区
444 接入模式
阿姆瑞特防火墙支持ADSL,DHCP Client,固定IP地址,支持多条ADSL线路拨号,支持ADSL按需拨号,此功能如下图所示:
Juniper不支持多条ADSL线路拨号
Cisco不支持多条ADSL线路拨号,ADSL按需拨号
NOKIA不支持多条ADSL线路拨号,ADSL按需拨号但NOKIA支持FDDI,ISDN,Token Ring,Serial(X35和X21),T1,E1,HSSI接口
45 丰富的***功能
阿姆瑞特防火墙***有如下功能:
1, ***__Client 的NAT设备的穿越
2, ***__Client 拨号上来可以通过DHCP服务器动态得到地址
3, ***__Client 拨号上来也可以自己手动设定一个虚拟IP地址,并可以和内网用户做双向通讯
4, ***__Client 拨号上来不仅可以通过Pre-Share KEY 的方式验证,同时还可以做用户名和密码的XAuth验证(通过RADIUS数据库)
5, ***__Client 拨号上来也可以通过证书的方式做用户认证,并且支持 CA服务器颁发的证书 或 自己生成的自签名证书
6, ***__Client 不仅可以拨号防火墙的外口公网IP地址建立***隧道,也可以拨号一个动态域名建立隧道,
7, 站点之间的*** 支持Pre-Share KEY 的方式验证身份,也可以支持CA服务器颁发的证书 或 自己生成的自签名证书
8, 站点之间的*** 支持星型***的互连
9, 站点之间的*** 支持NAT设备的穿越
10, 站点之间的*** 支持ADSL的动态地址的***隧道的建立
11, 站点之间的*** 支持全开放的加密协议和生命周期的调试,IKE提议和IPSec的加密和传输方法都可以调试,可以和其他***设备建立***隧道
12, 全面支持PPTP,L2TP和GRE封装形式的***技术
13,支持2个站点之间建立多台***隧道,并且做到隧道之间的备份
Juniper, Cisco和NOKIA不支持站点之间的*** 支持ADSL的动态地址的***隧道的建立
Cisco和NOKIA不支持2个站点之间建立多台***隧道,并且做到隧道之间的备份
Cisco防火墙在国内销售的防火墙加密算法只支持DES,不支持3DES,主要是美国政府不允许,而且要收费,但是在欧洲销售的防火墙都支持DES和3DES,而且还免费
这种情况可进行的操作如下:
1、查看防火墙的状态和日志:可以通过命令查看防火墙的当前状态,包括连接状态、安全设置、性能指标等。还可以查看防火墙的日志文件,以获取详细信息。
2、配置防火墙:可以通过命令行界面或图形用户界面来配置防火墙。
3、监视网络流量:可以通过网络监控工具来监视防火墙后的网络流量,以了解哪些流量被允许通过防火墙,哪些流量被阻止。
具体如下:
IOSFW(config)#ipaccess-listextendedoutside-list。IOSFW(config-ext-nacl)#denyipanyany。IOSFW(config)#ipinspectnamelisttcp。IOSFW(config)#ipinspectnamelistudp。IOSFW(config)#interfacefastEthernet0/1。IOSFW(config-if)#ipinspectlistout。IOSFW(config-if)#exit。
思科公司是全球领先的网络解决方案供应商。Cisco的名字取自SanFrancisco(旧金山),那里有座闻名于世界的金门大桥。
106 问题:CacheEngine是否具有URL过滤功能?
答案:CacheEngine17-20版本的软件支持一种叫URL Blocking的功能,该功能是在 CacheEngine的适配器接口上进行配置实现的,它可以将由特定地址来的流量阻断。CacheEngine21版本的软件可以通过与基于WindowsNT、UNIX系统的Websense软件结合使用实现支持URL Filtering功能。
107 问题:PIX-520-FO-BUN在购买时是否需要额外定购License
答案:PIX-520-FO-BUN本身已经包含有无限制版本的License,因而不需额外定购 软件。
108 问题:对于能够支持IPSec的PIX 防火墙,客户端的***软件是否有特殊要求?
答案:Cisco公司有自己的客户端***软件,它可与PIX防火墙进行完美的互操作。
109 问题:PIX防火墙如果要实现URL过滤功能,需要额外的软件吗?
答案:需要购买第三方软件产品,Websense。
110 问题:Netsonar上的软件可以应用于哪些操作系统?
答案:Netsonar具有以下软件系统:NS-20-NT;NS-201-S-2500。前者用于WindowsNT 环境中,后者用于Solaris环境中。
111 问题:目前Cisco 公司PIX防火墙系列产品有那些型号,有何区别?
答案:在目前的PIX防火墙系列产品中,主要有两种型号PIX515和PIX520。其主要区别如下: PIX515适合在中小型企业应用,可提供128,000同时连接数。网络接口卡只支持以太网网卡,可支持到6个以太网网卡。其机箱上带有2个固定的10/100M 以太网网卡,并带有两个扩展插槽。 PIX520适合在电信行业和大型的企业中应用,能提供256,000个同时连接数。可支持多种介质类型:以太网,令牌环和FDDI。最多能够提供6个以太网接口,支持3个令牌环接口和2个FDDI网络接口,并且以太网接口卡只能和令牌环接口混合使用。FDDI接口卡只能单独使用。PIX520的机箱上没有固定配置的接口卡,但带有4个扩展插槽。
112 问题:Cisco 公司的PIX防火墙和路由器防火墙有何区别?
答案:CiscoPIX防火墙采用集成的软件和硬件平台,是一种专用的防火墙产品。它采用专用的、实时的、安全的、非UNIX和非NT的操作系统,能够在不影响网络性能的情况下,提供极其高的安全性。 Cisco路由器防火墙产品是通过在路由器上运行带有防火墙特性集的IOS软件来实现的。它是在低价位的基础上实现经济有效的防火墙解决方案。但由于这个产品在执行传统的路由器选路工作的同时又作为防火墙来提供安全保障,所以在安全性能和数据流的处理性能上面没有专用的PIX防火墙产品高。 当进行选择时,如果用户更多考虑的是网络的安全性和产品性能时,我们建议采用专用的PIX防火墙;当用户对产品价格更为关心时,则建议采用经济有效的基于Cisco IOS防火墙特性集的路由器防火墙产品。
113 问题:CiscoPIX防火墙产品与软件防火墙产品(如Checkpoint Firewall-1)相比有何 优势?
答案:首先,CiscoPIX是一个集成的硬件/软件产品,用户能够得到一个厂家-Cisco公司全球化的一流的技术服务支持,Checkpoint Firewall-1是一个软件 产品,使用时还需要另外购买第三方厂家的硬件平台,因此还需要第三方厂家的技术支持。其次,PIX防火墙采用了专有、实时的IOS操作系统,安全性好。Checkpoint Firewall-1运行在开放的UNIX或WindowsNT平台上,因而容易受到攻击。第三,PIX防火墙对多媒体技术具有广泛的支持,Checkpoint Firewall-1对多 媒体技术的支持功能非常有限。此外,PIX防火墙与Checkpoint Firewall-1相比具有更高的数据包转发性能和 更高的安全性能。
114 问题:Cisco PIX防火墙和IOS Firewall相比有何区别?
答案:CiscoPIX防火墙是基于硬件的专用设备,它能够在不影响网络性能的情况下对网络实施基于策略的安全管理功能。IOS Firewall是基于软件的防火墙 产品,它一般是作为IOS软件的附带性能安装在路由器中的。路由器在执行常规选路运算的同时执行防火墙的安全认证工作,因而在性能上比PIX专用防火墙要低。一般来说,带IOS Firewall软件的路由器在执行安全认证任务 时比PIX防火墙的性能低30-40%左右。
115 问题:用户在购买了具有比较小的连接数PIX防火墙产品后,能否通过升级的方法支持更多的连接数?
答案:PIX防火墙可以支持连接数的升级。当用户购买具有较小连接数的PIX防火墙产品后,可以通过购买相应连接数的授权许可的方式进行连接数的升级。对于PIX515来说,当升级连接数时,一方面需要购买非限制级别软件的授权许可,另一方面需要增加相应的FLASH和DRAM内存。对于PIX520来说,当升级连接数时,只需要购买相应的连接数的软件授权许可。
116 问题:什么是OSPF On-Demand Circuit,在不同网络中应该如何的配置?
答案: OSPF On-Demand Circuit—OSPF On-Demand Circuit is an enhancement to the OSPF protocol, as described in RFC 1793, that allows efficient operation over demand circuits such as ISDN, X25 SVCs, and dial-up lines Previously, the period nature of OSPF routing traffic mandated that the underlying data-link connection needed to be open constantly, resulting in unwanted usage charges With this feature, OSPF Hellos and the refresh of OSPF routing information is suppressed for on-demand circuits (and reachability is presumed), allowing the underlying data-link connections to be closed when not carrying application traffic The feature allows the consolidation on a single routing protocol and the benefits of the OSPF routing protocol across the entire network, without incurring excess connection costs If the router is part of a point-to-point topology, only one end of the demand circuit needs to be configured for OSPF On-Demand Circuit operation In point-to-multipoint topologies, all appropriate routers must be configured with OSPF On-Demand Circuit All routers in an area must support this feature—that is, be running Cisco IOS Software Release 112 or greater
117 问题:使用网管软件是否可以管理PIX防火墙以外的网络设备?
答案:如果有特殊需要,可以实现管理PIX防火墙以外的设备,但是出于安全考虑,一般不推荐这种应用。这是因为若要实现这种应用,首先必须建立固定的TCP连接,这样就会增加网络的不安全因素。
118 问题:Cisco PIX防火墙的软件是否能够支持***功能?
答案:只有在PIX50版本的软件上可以支持***的PKI和IKE验证协议,从而支持***功能。
119 问题:Cisco 公司的PIX防火墙与实现传统路由选择算法的路由器相比有何特点?
答案:首先,从功能上讲,PIX防火墙并不等同于路由器。事实上,路由器自身不具备安全性,这是因为路由器的软件使用的是动态路由选择算法,并对外不断广播自身的链路状态,这样网络上所有节点都可以获得其网络地址,从而使路由器有被攻击的可能。与此相比,PIX防火墙并不对外广播其链路状态,它使用静态地址映射与外界建立联系,因而大大减少了本身遭受攻击的风险。其次,PIX防火墙仅仅是在其内部网络段上使用一个简化的RIP进行动态路由选择运算,实现内部网络的路由选择。
120 问题:PIX防火墙所使用的ASA算法有哪些基本特性?
答案:ASA算法是PIX防火墙安全验证算法的核心。ASA算法采用了一种基于状态和面向TCP连接的安全设计体系。ASA基于源和目的地地址创建一个会话流,同时在一个连接完成之前将其TCP序列号、TCP端口号和附带的TCP识别标记随机地加入会话序列。该功能主要用来监视从目的地址返回的数据包,并保证其合法性。同时,ASA算法还可以实现基于策略的安全体系 ,例如每一个内部系统和相关应用在未经过明确的安全配置的情况下只允许单一方向的连接(由内部到外部)。使用随机生成的TCP序列号可以减少黑客利用TCP序列号进行攻击的可能性。
121 问题:PIX防火墙具有哪些高级特性?
答案:PIX防火墙具有DNS防护、MAIL防护、JAVA阻断、ActiveX过滤、URL过滤、支持H323以及病毒扫描等高级特性。
122 问题:PIX防火墙的备份设备是否具有主设备的一切功能?
答案:PIX防火墙的备份功能为网络提供了冗余备份机制,它允许两台相同的设备执行相同的功能,当主设备工作时,备份设备负责监视主设备的工作状态。当主设备发生故障时,备份设备将会在30至45秒内接替主设备进行安全验证工作。需要注意的是,首先主设备与备份设备必须运行相同版本的软件,其次备份设备只能做备份用,它无法脱离PIX主设备单独使用。
248 问题:PIX 防火墙系列产品中有那些型号,有何区别?
答案:PIX 515,,PIX 525,PIX535。515适合在中小型企业应用,只支持以太网网卡,支持6个以太网网卡。其机箱上带有2个固定的10/100M以太网网卡,并带有两个扩展插槽。 PIX 525,535适合在电信行业或大企业中应用,提供256000个同时连接。
249 问题:Pix防火墙缺省状态下如果不设置access-list 列表是否就意味着将所有的流量阻断?
答案:分两种情况。 1如果数据从较高安全级流向较低安全级的端口时,如果不设置任何外出访问控制列表(outbound access-list)所有的数据流是允许通过的。 2如果数据从较底安全级流向较高安全级的端口时,如果不特别设置任何特定访问控制列表(或conduit permit )是全部禁止通过的。只有通过设置允许(permit)通过访问命令才可以允许特定的数据通过。
250 问题:Pix 防火墙能否执行安全检查而不使用NAT?
答案:可以通过使用命令
251 问题:CISCO IOS 中的软件防火墙与硬件防火墙PIX有什么区别?
答案:CISCO IOS 中的软件防火墙集成度高,成本低,维护相对简单,但同时由于用软件完成防火墙功能,对路由器的性能会有一定影响。硬件防火墙PIX使用一套独立的操作系统,并由单独的硬件完成防火墙功能,从而不会对路由器性能有影响,但成本较高,维护相对复杂。
252 问题:怎样判别PIX防火墙的FLASH 的大小?
答案:使用SHOW VERSION 命令。
253 问题:PIX防火墙在什么时候需要ACTIVATION KEY?
答案:在软件升级新增加特性时(FLASH升级),需要,如Ristrict 到 UnRistricted时,DES到3DES时。
254 问题:配置防火墙时需要何种配置转换线?
答案:配置两头为db9 ,中间为非MODEM连接线。
255 问题:PIX 525-FO-BUN在购买时还需要额外定制LICENSE?
答案:PIX-525-FO-BUN本身已经包含有无限制版本的LICENSE,因而不需要额外订购软件。
260 问题:哪些版本软件的PIX防火墙支持***功能?
答案:在PIX50和51版本以后的PIX IOS IPSEC软件都支持***功能。
261 问题:PIX 防火墙密码恢复方法,步骤分解。
答案:monitor> interface 0 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 005054ff82b9 设置本端口地址 monitor> address 1021199 address 1021199 设置服务器地址 monitor> server 172181253 server 172181253 获取文件 monitor> file np52bin file np52bin 设置网关 monitor> gateway 102111 gateway 102111 monitor> ping 172181253 Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172181253, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) 执行下载传输命令 tor> tftp tftp np52bin@172181253 via 102111
Received 73728 bytes Cisco Secure PIX Firewall password tool (30) 0: Tue Aug 22 23:22:19 PDT 2000 Flash=i28F640J5 @ 0x300 BIOS Flash=AT29C257 @ 0xd8000 Do you wish to erase the passwords [yn] y Passwords have been erased Rebooting
262 问题:PIX防火墙中可选千兆板卡中常见有两种普通GE,GE-66如何鉴别?
答案:执行命令 show interface 显示如下 Hardware is i82542 rev03 gigabit ethernet, address is XXXXXXXXXXXX or Hardware is i82543 rev02 gigabit ethernet, address is XXXXXXXXXXXX 显示i82542代表 33MHz; 显示 i82543 代表 66MHz
263 问题:当试图使用TFTP下载PIXNNNexe时,总是提示错误'BAD MAGIC NUMBER',不知是何原因?
答案:你应该下载的是 bin 文件而不是 exe 文件。exe 文件可以自解压成 bin文件。
264 问题:当我试图增加一个防火墙在原有的路由器与局域网之间时,防火墙一切配置正常,但是无法正常使用不知是何原因?
答案:最有可能的原因是因为外连路由器或周边路由器破损的ARP表,我们都知道路由器的工作原理是根据MAC地址来选择路径,路由器通常会保留MAC地址2-3个小时,解决方法是用CLEAR ARP-CACHE 命令。检查INSIDE侧的主机的缺省网关是否指向PIX的INSIDE接口,检查PIX防火墙的缺省网关是否只有一条,多个缺省网关会引起不稳定或不能工作。
265 问题:如何确定PIX防火墙的FLASH容量的大小?
答案:执行SHOW VERSION 命令后显示对照表如下。 i28F020 512 KB AT29C040A 2 MB atmel 2 MB i28F640J5 8 MB - PIX 506 16 MB - all other PIXes strata 16 MB
266 问题:我在试图在PIX防火墙上使用NAT/GLOBAL命令时,发现防火墙外面的用户与内部的主机间无法保持持续的连接。
答案:NAT,GLOBAL命令建立的总是从高优先级到低优先级临时连接,都是由内向外发起的,无法直接建立由外而内的
267 问题:什么是IPSEC,其工作原理如何?
答案:IPSec包括了一组安全和认证协议,最重要的是包括了Internet密钥交换(IKE)协议。IKE使两个地点能够建立安全的连接,方法是使用事先共享的密钥或由一家认证机构管理的公钥基础结构(PKI)数字证书,后者是一种进行公钥登记的内部或外购服务。通过使用签名数字ID来确认端点的身份,IKE能够将***的规模扩展到数以千计的端点。 为确保安全的数据加密,Cisco在路由器和PIX上对IPSec的实施过程中既支持数据加密标准(DES) ,也支持三重DES算法。
268 问题:PIX防火墙如何实现其url过滤功能?
答案:PIX防火墙能够主动过滤URL,从而控制用户能够访问哪些Web站点。URL过滤是通过与NetPartners WebSENSE服务器软件的集成来实现的,该软件现在有一个专用于Cisco PIX Firewall的版本。WebSENSE服务器软件既可以运行在Windows NT服务器上,也可以运行在UNIX服务器上。这些服务器可以是网络内部的,也可以来自PIX防火墙外部受到保护的周边网络。
269 问题:PIX防火墙支持的会话数?
答案:Cisco Secure PIX 防火墙 515-R(软件受限)可同时支持最多64000个会话,PIX 515-UR(不受限)可同时支持128000个会话,PIX 520可同时支持256000个会话。
270 问题:PIX防火墙系列支持软件的最低版本?
答案:PIX506------51(2) PIX515------44(1) PIX525------52(1) PIX535-------53(1)
271 问题:PIX防火墙通过何种技术来解决地址短缺问题?
答案:Cisco Secure PIX 防火墙系列产品具备一种特性,能够在不引起IP地址短缺的情况下对IP网络进行扩展和重新配置。利用NAT,既可以使用现有的IP地址,也可以使用Internet分配号授权(IANA)储备库(RFC 1918)保留的地址。Cisco Secure PIX 防火墙系列产品还可以根据需要有选择性地允许对混合地址进行转换或不进行转换。另外,Cisco还保证NAT能够与其它PIX防火墙功能兼容,如支持多媒体应用。而在竞争对手的防火墙产品中,NAT和多媒体功能可能是相互排斥的。 Cisco Secure PIX 防火墙系列产品通过"端口级多路技术"支持端口地址转换(PAT),这种方法可以进一步节省IP地址。利用PAT,用户内部本地地址能够自动被转换为的外部本地地址,使用不同的端口号就可以对每个转换进行区分。使用PAT,一个外部IP地址可以为64000个内部主机提供服务。
web服务器置于防火墙之内:
将web服务器放在防火墙内部的好处是它得到了很好的安全保护,不容易被黑客所入侵,但缺点是,不容易被外界所应用。
举个例子,如果web服务器是对外宣传自己的,那么这样配置显然是不合理的,这样客户就不能很好的去访问你们的web服务器,所以具体情况还要具体的分析。
web服务器置于防火墙之外:
这个的好处是解决了上述所说的这个问题。这样配置的好处是内部网被很好的保护,就算是黑客入侵了你们的web服务器,内部网络还是安全的。缺点就是这种配置对web服务器起不到任何防护作用。
web服务器置于防火墙之上:
一些管理者为了提高web服务器的安全性能,将防火墙加在web服务器上,以增强web服务器的安全性能,这样做的缺点就是,一旦web服务器出现问题,整个组织网络就暴露在危险之中了。
所有的防火墙配置都要根据实际情况来操作,不能一概而论,也可以综合多种情况出一个合理的规划。
0条评论