|
|
|
安全产品部分问题解答
+ n Q& U7 n0 r' `8 l, j% }
6 w. O) @% S% n8 g& x0 N [( n$ d 1.ciscopix放火墙采用的是何种算法?数据是如何通过防火墙进行转发?7 }; @8 i- [; [8 p8 `
9 \5 z7 v0 ~. a Ciscopix放火墙采用的是自适应安全算法,这是一种同设备连接状态密切相关的安全检测的方法。每一个进入放火墙的数据包都要通过自适应安全算法和内存中的连接状态信息的检查。通过这种面向连接的动态防火墙设备,能同时处理500000个并发的连接和高达1Gbps的吞吐量。可想而知这种同连接状态有关的方法比仅仅检查数据包(如访问列表)筛选的方法安全的多。当一个向外发送的包到达一个Pix放火墙较高级别接口时,不管前一个包是否来自哪个主机,Pix放火墙用自适应安全算法检察该包是否有效。如果不是,该包属于一个新的连接,Pix放火墙会为该连接在状态表中创建转换槽。Pix放火墙存储在转换槽中的信息包括内部的IP地址和全局唯一的IP地址,该地址由NAT,PAT,或身份分配。Pix放火墙接着改变包的源地址为全局唯一地址,按照要求修改校验和以及其他域的地址,并将包转发给较低的安全级别借口。6 _1 @9 Z' [7 w# y0 X+ V2 p4 z' k/ D
- x4 C/ K- D4 a" e% s- A
2.Ciscopixfailover的作用?
/ D3 l s: p- R% F+ N D$ ] 5 E- c; }& j! p; A9 ` M4 M, C
使用pix版本5.0,如果你有100Mbps的LAN接口,你可以选择与StatefulFailover选项。这样一使连接状态自动地在两个放火墙部件之间传递。在failover偶对中的两个部件通过failover线缆通信。failover线缆是修改过的RS-232串行线缆,它以9600的速率传输数据。数据提供主部件或从部件的标识号,另外一个部件电源状态,并作为两个部件不同的failover之间的通信链路。+ x" C7 W7 m% a& Y7 @9 K, r: c
9 x# W- C' Q5 H" ^; c7 t9 S. [ 3.AAA的作用?
" u8 _, Q) l4 x8 b3 e! n 5 Y. B6 ~1 J4 z- Y, k, Y
访问控制是用来控制允许何种人访问服务器,以及一旦他们能够访问该服务器,以及一旦他们能够访问该服务器,允许他们使用何种服务的方法。AAA是使用相同方式配置三种独立的安全功能的一种结构。它提供了完成下列服务的模块化方法:认证—一种提供识别用户的方法,包括注册和口令对话框,询问和响应,消息支持以及根据所选择的安全协议进行加密。授权—一种提供远程访问控制的方法包括一次性授权或者单项服务服务授权,每个用户帐户列表和简介,用户包支持以及IP,IPX,ARP和Telnet支持。记帐—一种给安全服务器收集,发送信息提供服务的方法,这些信息用来开列帐单,审计和形成报表,如用户标识,开始时间和停止时间,执行的命令,包的数量以及字节数。
: h' G# A( |! }% y * j1 f5 x1 K+ n1 [/ X
4.RADIUS?
: U2 V/ P- w4 U) j+ p/ Z
% }1 z* n4 q: G RADIUS是分布式客户机/服务器系统,它保护网络不受未授权访问的干扰。在Cisco实现中,Radius客户机运行于路由器上,并向中央RADIUS服务器发出认证请求,这里的中央服务器包含了所有的用户认证和网络服务访问信息。Cisco利用其AAA安全模式支持RADIUS,RADIUS也可以用于其他AAA安全协议,比如,TACACS,KERBEROS或本地用户名查找,所有Cisco平台都支持RADIUS。
# n/ T7 A5 ]2 z0 e) v) E, K
( i, P" h1 J* v N 5.Cisco加密技术如何实现?$ U0 H/ o- m# o+ G; z
0 D/ @8 o; l) x/ H1 x3 H
网络数据加密是在IP包一级提供的,只有IP包可以被加密。只有当包满足在路由器上配置加密时所建立的条件时,这个数据包才会被加密/解密。当加密以后,单个数据包在传输时可以被检测到,但IP包的内容不能被读取。IP头和上层协议头没有被加密,但TCP或UDP包内所有的净荷数据都被加密,因此,在传输过程中不能被读取。
8 ?8 n9 Q8 i* l% M" s ~6 Z3 E8 c8 _$ b
6.IPSec如何工作?
/ ]% E" W8 }4 z; X0 |6 r
/ G( L4 o. T* }! f' M: S IPSec为两个同位体(路由器),提供安全隧道。由用户来定义哪些包将被认为是敏感信息,并将由这些安全隧道传送。并且通过指定这些隧道的参数来定义用于保护这些敏感的参数。然后,当IPSec看到这样的一个敏感包时,它将建立起相应的安全隧道,通过这隧道将这份数据包传送给远端同位体。
; W# s& |8 z9 z6 Y' S% w- t K * R8 r+ q- q' X
7.TACACS+的作用?
/ ^2 o% N. L" I7 y & m4 p5 f0 n9 Q
TACACS+是一种安全应用程序,它为用户获得对路由器或网络访问服务器的访问提供集中化的验证。TACACS+服务在TACACS+后台程序的数据库中进行维护,这种后台程序典型地运行在UNIX或WindowsNT工作站上。在为网络访问服务器配置的TACACS+特性可用之前,必须能够访问并配置TACACS+服务器。7 n1 m2 f! G8 Q
0 D( k4 g! z! x) F. o 8.CiscoIOS软件支持哪几种授权类型?
+ C; J8 Q8 [; n+ H9 M _
8 F7 d6 o9 t+ N- D' \: U 1)EXEC授权—适用于与用户EXEC终端对话相关的属性。
h% `4 V5 S9 [! @ r 2)命令授权—适用于用户发出的EXEC模式命令。命令授权试图给所有的EXEC模式命令使用指定的特权级别授权。; K7 H( z( e2 v- e
3)网络授权—适用于网络连接,包括PPP,SLIP或ARAP连接。
) ?* q; K+ e x; s( u- F$ ] $ S6 a& l9 g( W2 z# w' G" u
9.CiscoIOS在网络上管理记帐?( Q t. O' k: G# c
, w0 i, l1 Q5 t- ^
在网络上管理记帐的命令。使用记帐管理可以跟踪单个用户使用的网络资源和群组用户的网络资源。使用AAA记账功能,不仅可以跟踪用户所访问的服务,还可以跟踪他们所消耗的网络资源的数量。5 C4 U2 G. D o) z) j6 S) p7 X
9 T: K$ m! [- d
10.Kerberos的作用?
* b7 B: @8 E/ P. f' E
' b) ~+ m, C& t8 Z Kerberos是秘密密钥网络认证协议,使用数据加密标准加密算法进行加密和认证。Kerberos是为对网络资源的请求进行认证而设计的。与其他秘密密钥系统一样,Kerberos基于可信任的第三方概念,这个第三方对用户和服务执行安全认证。
7 }& e- y) U8 ?) M' p: U- k
6 e1 U$ f% y2 M! D 11.锁定和密钥的作用?
$ z: A" o6 K* B. `5 A2 R ) T2 a' z- u! z
锁定和密钥是一种流量过滤安全特性,它动态过滤IP协议流量。锁定和密钥是使用IP动态扩展访问列表进行配置的,它可以与其他标准访列表或静态访问列表结合起来一起使用。
7 J3 j0 A2 {7 |5 B% W( E# K* X
, a) w* }% j8 K2 M; s2 W 12.CiscoSecureScanner的作用?
- x) D) Y- J2 f3 t8 S
) a/ Q+ m1 b' _* `& g CiscoSecureScanner是一种企业级的软件工具,提供卓越的网络系统识别,革新性数据管理,灵活的用户定义脆弱性规则,全面的安全报告功能以及Cisco24*7的全球支持。' `1 ~' `& d9 V( M/ W3 T( M2 n
' e% |/ _. r' {5 g) U8 A 13.CiscoSecurePolicyManager的作用?
- ~8 B! z4 \& o0 \/ s( e! u
, i9 A% ^- d- t0 Y- I \7 c1 x CiscoSecurePolicyManager是一个用于Cisco放火墙,IPSec虚拟网关路由器和入侵检测系统Sensor的强大,可伸缩的安全政策管理系统。
5 _5 H& y: U$ i3 T. {/ N; U# j& { / R8 i3 |4 R( B1 S
14.Cisco安全入侵检测系统的作用?
! |! @2 b9 @7 ]8 V5 M: T+ K
" p- w* Q* y& ~) ]/ D; H7 E1 R Cisco安全入侵检测系统可以为企业和服务提供商网络提供一系列高性能的安全监视监控方案。
8 k, v0 L- H- |( S7 |7 X 1 F! r# }, W6 t8 _" e) h# g8 K5 {
15.CiscoSecure访问控制服务器的作用?
/ G5 G# g8 s' v5 l- I# a% R g 5 h" k4 z, i6 `, y2 d1 p
CiscoSecure访问控制服务器是为了解决Internet和所有共用的,专用的网络或外部企业网等网络的快速发展为用户如何对网络访问进行控制,授权和记费提出的安全方面的具体解决工具。
8 b5 [) R: a, P {1 S; p+ ?2 m( M 8 C: K# U$ r4 c( f4 s) [( W1 ~
16.CiscoIos防火墙的作用?
- ]2 S% B9 A: Z/ v' n * N2 {; ~' {1 }4 I( n5 M
CiscoIos防火墙为每一个网络周边集成了稳健的放火墙功能性和入侵检测,丰富了Cisco软件的安全功能。
& q& u! E8 X) R/ g* c" N8 V 7 N* O& o1 U1 i9 s: L, A! k# w
17.PIX防火墙的关于license信息。
+ {8 p5 z, \$ A: S0 ?) h3 }; K- h
* w* a, i( ^% g$ t: i* n) E% _! l PIX防火墙的license有Unrestricted,Restricted,andFail-Over三种配置。这些基本的配置都可以用VPNDES和3DES来加强安全性。Unrestricted—操作在UR模式下的PIX防火墙允许支持最大数目的接口和最大可支持的内存。UR的License支持热备份冗余,最小化down网络的时间。Restricted—操作在R模式下的PIX防火墙限制支持的接口数和支持的内存大小。限制的许可特性提供对那些小网络的应用价格优化的防火墙方案。限制的许可特性不支持冗余的FO特性。Fail-Over—操作在FO模式下的PIX防火墙跟另一台带UR许可证的防火墙协同工作,提供一个热冗余备份的结构。FO许可证提供基于状态的容错特性,从而使能高可用性的网络结构。在FO模式下的PIX防火墙维护跟主放火强完全一样的连接实时状态,从而最小化因为设备或网络失败而引起的连接失败。UR和FO的许可证有完全一样的特征和性能指数。UR和FO的防火墙中间需要Fail-over的电缆线。当前的PIX防火墙是基于特性集的许可证,这类许可秘匙限定哪些特性可用,哪些特性不可用。以前的PIX放火墙支持基于连接数的秘匙系统,它是限定PIX放火墙支持的最大连接数。为了统一和易于管理的目的,当前的PIX防火墙都支持基于特性集的许可证。 |
|
狗仔卡
发表于 2008-12-6 21:32:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡