如何选择高防服务器？

1、带宽大小
现有的很多网络攻击采取的攻击方式都是消耗带宽型，所以带宽大小是判定是否为高防服务器的标准之一，带宽资源越大，支持服务器的防御能力就越大。
2、防御范围大小
高防服务器的数据中心都会安装防火墙设备，观测防火墙设备是否在100G以上。现如今非常少服务提供商能提供的总硬防会超出100G，在挑选的时候要擦亮眼睛，服务提供商的真正防御能力标准还是要客户利用测试工具来开展具体的测试。
3、看高防服务器可防御的攻击类型
选择高防服务器的时候要注意可否应对常见的网络层SYN、UDP、IMCP等泛洪攻击类型，可否支持>对于公司网络安全来说，防火墙起的是关键性的作用，只有它，才可以防止来自互联网上永不停止的各种威胁。防火墙的选择对远程终端连接到中心系统获取必要资源或完成重要任务的影响也非常大。当选择基于硬件的防火墙时，应当考虑以下十个方面的因素，以确保企业实现投资、安全性和生产力的最大化
1、必须可以提供值得信赖的安全
在市面上，UTM的种类非常多。根据商业模式的不同，一些网络安全设备可以提供大量的功能和全面的服务，但是需要公司承担高昂的价格，而另一些则只包含了基本的服务，但采购的成本也很低。
2、具有良好的易用性
在安全方面，全球跨国企业需要多级控制管理，但即使是这些需要大量保护的企业也不应该将设备配置方式限定在命令行模式下。很多防火墙都可以在提供高度安全性的同时，提供友好的图形界面以方便管理。
这样做的优点有几个方面。图形用户界面有助于防止安装时间出现错误。在图形用户界面下，更容易地诊断和纠正故障。图形用户界面也更易于培训工作人员，并进行调整、升级和更新。
在选择基于硬件的防火墙时，考虑到易用性也会带来很大的好处。一个平台越容易进行管理，就越容易找到可以进行安装、维护和故障处理等工作的专业人士。
3、必须包含支持
防火墙存在的目的并不限于防止网络黑客的攻击和非法数据输出。一个好的防火墙还应该可以在为远程连接建立安全通道，并对其进行监测。在选择基于硬件的防火墙时，应该确保其支持同类设备的基于SSL-和IPSec-保护的连接（以保护点至点或站点到站点），让员工可以实现安全连接。

防火墙是目前使用最为广泛的网络安全产品之一，用户在选购时应该注意以下几点：\x0d\一、防火墙自身的安全性\x0d\防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于 *** 作系统，只有自身具有完整信任关系的 *** 作系统才可以谈论系统的安全性。而应用系统的安全是以 *** 作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。\x0d\二、系统的稳定性\x0d\目前，由于种种原因，有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场，其稳定性可想而知。防火墙的稳定性可以通过几种方法判断：\x0d\1．从权威的测评认证机构获得。例如，你可以通过与其它产品相比，考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明（书），来间接了解其稳定性。\x0d\3．自己试用。在自己的网络上进行一段时间的试用（一个月左右）。\x0d\4．厂商开发研制的历史。一般来说，如果没有两年以上的开发经历，很难保证产品的稳定性。\x0d\5．厂商实力，如资金、技术开发人员、市场销售人员和技术支持人员多少等等。\x0d\三、是否高效\x0d\高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性能较大幅度的下降，就意味着安全代价过高。一般来说，防火墙加载上百条规则，其性能下降不应超过5％（指包过滤防火墙）。\x0d\四、是否可靠\x0d\可靠性对防火墙类访问控制设备来说尤为重要，直接影响受控网络的可用性。从系统设计上，提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件，这要求有较高的生产标准和设计冗余度。\x0d\五、是否功能灵活\x0d\对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同用户的各类安全控制需求的控制注意。例如对普通用户，只要对IP地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问。\x0d\六、是否配置方便\x0d\在网络入口和出口处安装新的网络设备是每个网管员的恶梦,因为这意味着必须修改几乎全部现有设备的配置。支持透明通信的防火墙，在安装时不需要对原网络配置做任何改动，所做的工作只相当于接一个网桥或Hub。\x0d\七、是否管理简便\x0d\网络技术发展很快，各种安全事件不断出现，这就要求安全管理员经常调整网络安全注意。对于防火墙类访问控制设备，除安全控制注意的不断调整外，业务系统访问控制的调整也很频繁，这些都要求防火墙的管理在充分考虑安全需要的前提下，必须提供方便灵活的管理方式和方法，这通常体现为管理途径、管理工具和管理权限。\x0d\八、是否可以抵抗拒绝服务攻击\x0d\在当前的网络攻击中,拒绝服务攻击是使用频率最高的方法。抵抗拒绝服务攻击应该是防火墙的基本功能之一。目前有很多防火墙号称可以抵御拒绝服务攻击，但严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。在采购防火墙时，网管人员应该详细考察这一功能的真实性和有效性。\x0d\九、是否可以针对用户身份过滤\x0d\防火墙过滤报文，需要一个针对用户身份而不是IP地址进行过滤的办法。目前常用的是一次性口令验证机制,保证用户在登录防火墙时,口令不会在网络上泄露,这样，防火墙就可以确认登录上来的用户确实和他所声称的一致。\x0d\十、是否可扩展、可升级\x0d\用户的网络不是一成不变的，和防病毒产品类似，防火墙也必须不断地进行升级，此时支持软件升级就很重要了。如果不支持软件升级的话，为了抵御新的攻击手段，用户就必须进行硬件上的更换，而在更换期间网络是不设防的，同时用户也要为此花费更多的钱。

106 问题：CacheEngine是否具有URL过滤功能？

答案：CacheEngine17-20版本的软件支持一种叫URL Blocking的功能，该功能是在 CacheEngine的适配器接口上进行配置实现的，它可以将由特定地址来的流量阻断。CacheEngine21版本的软件可以通过与基于WindowsNT、UNIX系统的Websense软件结合使用实现支持URL Filtering功能。
107 问题：PIX-520-FO-BUN在购买时是否需要额外定购License

答案：PIX-520-FO-BUN本身已经包含有无限制版本的License，因而不需额外定购 软件。

108 问题：对于能够支持IPSec的PIX 防火墙，客户端的软件是否有特殊要求？

答案：Cisco公司有自己的客户端软件，它可与PIX防火墙进行完美的互 *** 作。

109 问题：PIX防火墙如果要实现URL过滤功能，需要额外的软件吗？

答案：需要购买第三方软件产品，Websense。

110 问题：Netsonar上的软件可以应用于哪些 *** 作系统？

答案：Netsonar具有以下软件系统：NS-20-NT；NS-201-S-2500。前者用于WindowsNT 环境中，后者用于Solaris环境中。

111 问题：目前Cisco 公司PIX防火墙系列产品有那些型号，有何区别？

答案：在目前的PIX防火墙系列产品中，主要有两种型号PIX515和PIX520。其主要区别如下： PIX515适合在中小型企业应用，可提供128，000同时连接数。网络接口卡只支持以太网网卡，可支持到6个以太网网卡。其机箱上带有2个固定的10/100M 以太网网卡，并带有两个扩展插槽。 PIX520适合在电信行业和大型的企业中应用，能提供256，000个同时连接数。可支持多种介质类型：以太网，令牌环和FDDI。最多能够提供6个以太网接口，支持3个令牌环接口和2个FDDI网络接口，并且以太网接口卡只能和令牌环接口混合使用。FDDI接口卡只能单独使用。PIX520的机箱上没有固定配置的接口卡，但带有4个扩展插槽。

112 问题：Cisco 公司的PIX防火墙和路由器防火墙有何区别？

答案：CiscoPIX防火墙采用集成的软件和硬件平台，是一种专用的防火墙产品。它采用专用的、实时的、安全的、非UNIX和非NT的 *** 作系统，能够在不影响网络性能的情况下，提供极其高的安全性。 Cisco路由器防火墙产品是通过在路由器上运行带有防火墙特性集的IOS软件来实现的。它是在低价位的基础上实现经济有效的防火墙解决方案。但由于这个产品在执行传统的路由器选路工作的同时又作为防火墙来提供安全保障，所以在安全性能和数据流的处理性能上面没有专用的PIX防火墙产品高。 当进行选择时，如果用户更多考虑的是网络的安全性和产品性能时，我们建议采用专用的PIX防火墙；当用户对产品价格更为关心时，则建议采用经济有效的基于Cisco IOS防火墙特性集的路由器防火墙产品。

113 问题：CiscoPIX防火墙产品与软件防火墙产品(如Checkpoint Firewall-1)相比有何 优势？
答案：首先，CiscoPIX是一个集成的硬件/软件产品，用户能够得到一个厂家-Cisco公司全球化的一流的技术服务支持，Checkpoint Firewall-1是一个软件 产品，使用时还需要另外购买第三方厂家的硬件平台，因此还需要第三方厂家的技术支持。其次，PIX防火墙采用了专有、实时的IOS *** 作系统，安全性好。Checkpoint Firewall-1运行在开放的UNIX或WindowsNT平台上，因而容易受到攻击。第三，PIX防火墙对多媒体技术具有广泛的支持，Checkpoint Firewall-1对多 媒体技术的支持功能非常有限。此外，PIX防火墙与Checkpoint Firewall-1相比具有更高的数据包转发性能和 更高的安全性能。

114 问题：Cisco PIX防火墙和IOS Firewall相比有何区别？

答案：CiscoPIX防火墙是基于硬件的专用设备，它能够在不影响网络性能的情况下对网络实施基于策略的安全管理功能。IOS Firewall是基于软件的防火墙 产品，它一般是作为IOS软件的附带性能安装在路由器中的。路由器在执行常规选路运算的同时执行防火墙的安全认证工作，因而在性能上比PIX专用防火墙要低。一般来说，带IOS Firewall软件的路由器在执行安全认证任务 时比PIX防火墙的性能低30-40%左右。

115 问题：用户在购买了具有比较小的连接数PIX防火墙产品后，能否通过升级的方法支持更多的连接数？

答案：PIX防火墙可以支持连接数的升级。当用户购买具有较小连接数的PIX防火墙产品后，可以通过购买相应连接数的授权许可的方式进行连接数的升级。对于PIX515来说，当升级连接数时，一方面需要购买非限制级别软件的授权许可，另一方面需要增加相应的FLASH和DRAM内存。对于PIX520来说，当升级连接数时，只需要购买相应的连接数的软件授权许可。
116 问题：什么是OSPF On-Demand Circuit，在不同网络中应该如何的配置？

答案： OSPF On-Demand Circuit—OSPF On-Demand Circuit is an enhancement to the OSPF protocol, as described in RFC 1793, that allows efficient operation over demand circuits such as ISDN, X25 SVCs, and dial-up lines Previously, the period nature of OSPF routing traffic mandated that the underlying data-link connection needed to be open constantly, resulting in unwanted usage charges With this feature, OSPF Hellos and the refresh of OSPF routing information is suppressed for on-demand circuits (and reachability is presumed), allowing the underlying data-link connections to be closed when not carrying application traffic The feature allows the consolidation on a single routing protocol and the benefits of the OSPF routing protocol across the entire network, without incurring excess connection costs If the router is part of a point-to-point topology, only one end of the demand circuit needs to be configured for OSPF On-Demand Circuit operation In point-to-multipoint topologies, all appropriate routers must be configured with OSPF On-Demand Circuit All routers in an area must support this feature—that is, be running Cisco IOS Software Release 112 or greater
117 问题：使用网管软件是否可以管理PIX防火墙以外的网络设备？

答案：如果有特殊需要，可以实现管理PIX防火墙以外的设备，但是出于安全考虑，一般不推荐这种应用。这是因为若要实现这种应用，首先必须建立固定的TCP连接，这样就会增加网络的不安全因素。

118 问题：Cisco PIX防火墙的软件是否能够支持功能？
答案：只有在PIX50版本的软件上可以支持的PKI和IKE验证协议，从而支持功能。

119 问题：Cisco 公司的PIX防火墙与实现传统路由选择算法的路由器相比有何特点？

答案：首先，从功能上讲，PIX防火墙并不等同于路由器。事实上，路由器自身不具备安全性，这是因为路由器的软件使用的是动态路由选择算法，并对外不断广播自身的链路状态，这样网络上所有节点都可以获得其网络地址，从而使路由器有被攻击的可能。与此相比，PIX防火墙并不对外广播其链路状态，它使用静态地址映射与外界建立联系，因而大大减少了本身遭受攻击的风险。其次，PIX防火墙仅仅是在其内部网络段上使用一个简化的RIP进行动态路由选择运算，实现内部网络的路由选择。

120 问题：PIX防火墙所使用的ASA算法有哪些基本特性？

答案：ASA算法是PIX防火墙安全验证算法的核心。ASA算法采用了一种基于状态和面向TCP连接的安全设计体系。ASA基于源和目的地地址创建一个会话流，同时在一个连接完成之前将其TCP序列号、TCP端口号和附带的TCP识别标记随机地加入会话序列。该功能主要用来监视从目的地址返回的数据包，并保证其合法性。同时，ASA算法还可以实现基于策略的安全体系 ，例如每一个内部系统和相关应用在未经过明确的安全配置的情况下只允许单一方向的连接(由内部到外部)。使用随机生成的TCP序列号可以减少黑客利用TCP序列号进行攻击的可能性。

121 问题：PIX防火墙具有哪些高级特性？

答案：PIX防火墙具有DNS防护、MAIL防护、JAVA阻断、ActiveX过滤、URL过滤、支持H323以及病毒扫描等高级特性。

122 问题：PIX防火墙的备份设备是否具有主设备的一切功能？

答案：PIX防火墙的备份功能为网络提供了冗余备份机制，它允许两台相同的设备执行相同的功能，当主设备工作时，备份设备负责监视主设备的工作状态。当主设备发生故障时，备份设备将会在30至45秒内接替主设备进行安全验证工作。需要注意的是，首先主设备与备份设备必须运行相同版本的软件，其次备份设备只能做备份用，它无法脱离PIX主设备单独使用。
248 问题：PIX 防火墙系列产品中有那些型号，有何区别？

答案：PIX 515,，PIX 525，PIX535。515适合在中小型企业应用，只支持以太网网卡，支持6个以太网网卡。其机箱上带有2个固定的10/100M以太网网卡，并带有两个扩展插槽。 PIX 525，535适合在电信行业或大企业中应用，提供256000个同时连接。
249 问题：Pix防火墙缺省状态下如果不设置access-list 列表是否就意味着将所有的流量阻断？
答案：分两种情况。 1如果数据从较高安全级流向较低安全级的端口时，如果不设置任何外出访问控制列表（outbound access-list）所有的数据流是允许通过的。 2如果数据从较底安全级流向较高安全级的端口时，如果不特别设置任何特定访问控制列表（或conduit permit ）是全部禁止通过的。只有通过设置允许（permit）通过访问命令才可以允许特定的数据通过。

250 问题：Pix 防火墙能否执行安全检查而不使用NAT？

答案：可以通过使用命令

251 问题：CISCO IOS 中的软件防火墙与硬件防火墙PIX有什么区别？

答案：CISCO IOS 中的软件防火墙集成度高，成本低，维护相对简单，但同时由于用软件完成防火墙功能，对路由器的性能会有一定影响。硬件防火墙PIX使用一套独立的 *** 作系统，并由单独的硬件完成防火墙功能，从而不会对路由器性能有影响，但成本较高，维护相对复杂。

252 问题：怎样判别PIX防火墙的FLASH 的大小？

答案：使用SHOW VERSION 命令。

253 问题：PIX防火墙在什么时候需要ACTIVATION KEY？

答案：在软件升级新增加特性时（FLASH升级），需要，如Ristrict 到 UnRistricted时，DES到3DES时。

254 问题：配置防火墙时需要何种配置转换线？

答案：配置两头为db9 ，中间为非MODEM连接线。

255 问题：PIX 525-FO-BUN在购买时还需要额外定制LICENSE？

答案：PIX-525-FO-BUN本身已经包含有无限制版本的LICENSE，因而不需要额外订购软件。

260 问题：哪些版本软件的PIX防火墙支持功能？

答案：在PIX50和51版本以后的PIX IOS IPSEC软件都支持功能。
261 问题：PIX 防火墙密码恢复方法，步骤分解。

答案：monitor> interface 0 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 005054ff82b9 设置本端口地址 monitor> address 1021199 address 1021199 设置服务器地址 monitor> server 172181253 server 172181253 获取文件 monitor> file np52bin file np52bin 设置网关 monitor> gateway 102111 gateway 102111 monitor> ping 172181253 Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172181253, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) 执行下载传输命令 tor> tftp tftp np52bin@172181253 via 102111
Received 73728 bytes Cisco Secure PIX Firewall password tool (30) 0: Tue Aug 22 23:22:19 PDT 2000 Flash=i28F640J5 @ 0x300 BIOS Flash=AT29C257 @ 0xd8000 Do you wish to erase the passwords [yn] y Passwords have been erased Rebooting
262 问题：PIX防火墙中可选千兆板卡中常见有两种普通GE，GE-66如何鉴别？

答案：执行命令 show interface 显示如下 Hardware is i82542 rev03 gigabit ethernet, address is XXXXXXXXXXXX or Hardware is i82543 rev02 gigabit ethernet, address is XXXXXXXXXXXX 显示i82542代表 33MHz; 显示 i82543 代表 66MHz

263 问题：当试图使用TFTP下载PIXNNNexe时，总是提示错误'BAD MAGIC NUMBER'，不知是何原因？

答案：你应该下载的是 bin 文件而不是 exe 文件。exe 文件可以自解压成 bin文件。

264 问题：当我试图增加一个防火墙在原有的路由器与局域网之间时，防火墙一切配置正常，但是无法正常使用不知是何原因？

答案：最有可能的原因是因为外连路由器或周边路由器破损的ARP表，我们都知道路由器的工作原理是根据MAC地址来选择路径，路由器通常会保留MAC地址2-3个小时，解决方法是用CLEAR ARP-CACHE 命令。检查INSIDE侧的主机的缺省网关是否指向PIX的INSIDE接口，检查PIX防火墙的缺省网关是否只有一条，多个缺省网关会引起不稳定或不能工作。

265 问题：如何确定PIX防火墙的FLASH容量的大小？

答案：执行SHOW VERSION 命令后显示对照表如下。 i28F020 512 KB AT29C040A 2 MB atmel 2 MB i28F640J5 8 MB - PIX 506 16 MB - all other PIXes strata 16 MB
266 问题：我在试图在PIX防火墙上使用NAT/GLOBAL命令时，发现防火墙外面的用户与内部的主机间无法保持持续的连接。

答案：NAT，GLOBAL命令建立的总是从高优先级到低优先级临时连接，都是由内向外发起的，无法直接建立由外而内的

267 问题：什么是IPSEC，其工作原理如何？

答案：IPSec包括了一组安全和认证协议，最重要的是包括了Internet密钥交换(IKE)协议。IKE使两个地点能够建立安全的连接，方法是使用事先共享的密钥或由一家认证机构管理的公钥基础结构(PKI)数字证书，后者是一种进行公钥登记的内部或外购服务。通过使用签名数字ID来确认端点的身份，IKE能够将的规模扩展到数以千计的端点。 为确保安全的数据加密，Cisco在路由器和PIX上对IPSec的实施过程中既支持数据加密标准(DES) ，也支持三重DES算法。
268 问题：PIX防火墙如何实现其url过滤功能？

答案：PIX防火墙能够主动过滤URL，从而控制用户能够访问哪些Web站点。URL过滤是通过与NetPartners WebSENSE服务器软件的集成来实现的，该软件现在有一个专用于Cisco PIX Firewall的版本。WebSENSE服务器软件既可以运行在Windows NT服务器上，也可以运行在UNIX服务器上。这些服务器可以是网络内部的，也可以来自PIX防火墙外部受到保护的周边网络。

269 问题：PIX防火墙支持的会话数？

答案：Cisco Secure PIX 防火墙 515-R(软件受限)可同时支持最多64000个会话，PIX 515-UR(不受限)可同时支持128000个会话，PIX 520可同时支持256000个会话。

270 问题：PIX防火墙系列支持软件的最低版本？

答案：PIX506------51(2) PIX515------44(1) PIX525------52(1) PIX535-------53(1)

271 问题：PIX防火墙通过何种技术来解决地址短缺问题？

答案：Cisco Secure PIX 防火墙系列产品具备一种特性，能够在不引起IP地址短缺的情况下对IP网络进行扩展和重新配置。利用NAT，既可以使用现有的IP地址，也可以使用Internet分配号授权(IANA)储备库(RFC 1918)保留的地址。Cisco Secure PIX 防火墙系列产品还可以根据需要有选择性地允许对混合地址进行转换或不进行转换。另外，Cisco还保证NAT能够与其它PIX防火墙功能兼容，如支持多媒体应用。而在竞争对手的防火墙产品中，NAT和多媒体功能可能是相互排斥的。 Cisco Secure PIX 防火墙系列产品通过"端口级多路技术"支持端口地址转换(PAT)，这种方法可以进一步节省IP地址。利用PAT，用户内部本地地址能够自动被转换为的外部本地地址，使用不同的端口号就可以对每个转换进行区分。使用PAT，一个外部IP地址可以为64000个内部主机提供服务。

防火墙的作用是：
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。
在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

---