CISCO: Preguntas frecuentes y respuestas sobre firewalls
106 Pregunta: ¿CacheEngine tiene función de filtrado de URL?
Respuesta: El software de la versión CacheEngine1.7-2.0 admite una función llamada Bloqueo de URL. Esta función se configura en la interfaz del adaptador de CacheEngine. Puede bloquear el tráfico desde una dirección específica. El software de la versión CacheEngine2.1 se puede utilizar junto con el software Websense basado en sistemas Windows NT y UNIX para admitir la función de filtrado de URL.
107 Pregunta: ¿Necesito solicitar una licencia adicional al comprar PIX-520-FO-BUN?
Respuesta: PIX-520-FO-BUN ya incluye una versión ilimitada de la licencia , por lo que no es necesario solicitar software adicional.
108 Pregunta: Para los firewalls PIX que pueden admitir IPSec, ¿existen requisitos especiales para el software VPN del cliente?
Respuesta: Cisco tiene su propio software cliente VPN, que interopera perfectamente con el firewall PIX.
109 Pregunta: Si el firewall PIX desea implementar la función de filtrado de URL, ¿necesita software adicional?
Respuesta: Debe adquirir un producto de software de terceros, Websense.
110 Pregunta: ¿A qué sistemas operativos se puede aplicar el software de Netsonar?
Respuesta: Netsonar cuenta con los siguientes sistemas de software: NS-20-NT; El primero se utiliza en el entorno Windows NT y el segundo en el entorno Solaris.
111 Pregunta: ¿Qué modelos están disponibles actualmente en los productos de la serie de firewalls PIX de Cisco y cuáles son las diferencias?
Respuesta: En la serie actual de firewalls PIX, hay dos modelos principales: PIX515 y PIX520. Las principales diferencias son las siguientes: PIX515 es adecuado para su uso en pequeñas y medianas empresas y puede proporcionar 128.000 conexiones simultáneas. La tarjeta de interfaz de red solo admite tarjetas de red Ethernet y puede admitir hasta 6 tarjetas de red Ethernet. El chasis tiene dos tarjetas de red Ethernet 10/100M fijas y dos ranuras de expansión. PIX520 es adecuado para aplicaciones en la industria de las telecomunicaciones y grandes empresas, y puede proporcionar 256.000 conexiones simultáneas. Se admiten varios tipos de medios: Ethernet, Token Ring y FDDI. Puede proporcionar hasta 6 interfaces Ethernet, admite 3 interfaces Token Ring y 2 interfaces de red FDDI, y la tarjeta de interfaz Ethernet solo se puede combinar con interfaces Token Ring. La tarjeta de interfaz FDDI sólo se puede utilizar sola. No hay una tarjeta de interfaz de configuración fija en el chasis PIX520, pero tiene 4 ranuras de expansión.
112 Pregunta: ¿Cuál es la diferencia entre el firewall PIX de Cisco y el firewall del enrutador?
Respuesta: El firewall CiscoPIX utiliza una plataforma integrada de software y hardware y es un producto de firewall dedicado. Utiliza un sistema operativo dedicado, en tiempo real, seguro, que no es UNIX ni NT para proporcionar una seguridad extremadamente alta sin afectar el rendimiento de la red. Los productos de firewall del enrutador Cisco se implementan ejecutando el software IOS con una función de firewall configurada en el enrutador. Es una solución de firewall rentable a un precio bajo. Sin embargo, dado que este producto realiza el trabajo de enrutamiento de enrutador tradicional y también sirve como firewall para brindar seguridad, su rendimiento de seguridad y procesamiento de flujo de datos no son tan altos como los del producto de firewall PIX dedicado. Al tomar una decisión, si los usuarios consideran más la seguridad de la red y el rendimiento del producto, recomendamos usar un firewall PIX dedicado; cuando los usuarios están más preocupados por el precio del producto, recomendamos usar funciones de firewall rentables basadas en Cisco IOS Una colección de firewall de enrutador; productos.
113 Pregunta: ¿Cuáles son las ventajas de los productos de firewall CiscoPIX en comparación con los productos de firewall de software (como Checkpoint Firewall-1)?
Respuesta: En primer lugar, CiscoPIX es un producto de hardware/software integrado. Los usuarios pueden obtener soporte técnico global de primera clase de un solo fabricante: Checkpoint Firewall-1 es un producto de software que se puede utilizar. al usarlo, debe comprar una plataforma de hardware de un fabricante externo, por lo que también necesita soporte técnico de un fabricante externo. En segundo lugar, el firewall PIX utiliza un sistema operativo IOS propietario en tiempo real, que tiene buena seguridad. Checkpoint Firewall-1 se ejecuta en plataformas abiertas UNIX o Windows NT y, por lo tanto, es vulnerable. En tercer lugar, el firewall PIX tiene un amplio soporte para la tecnología multimedia, mientras que Checkpoint Firewall-1 tiene un soporte muy limitado para la tecnología multimedia. Además, PIX Firewall tiene un mayor rendimiento de reenvío de paquetes y mayor rendimiento de seguridad que Checkpoint Firewall-1.
114 Pregunta: ¿Cuál es la diferencia entre Cisco PIX Firewall y IOS Firewall?
Respuesta: El firewall CiscoPIX es un dispositivo dedicado basado en hardware que puede implementar funciones de administración de seguridad basadas en políticas en la red sin afectar el rendimiento de la red. IOS Firewall es un producto de firewall basado en software, que generalmente se instala en enrutadores como una característica incidental del software IOS. El enrutador realiza la autenticación de seguridad del firewall mientras realiza operaciones de selección de ruta convencionales, por lo que su rendimiento es menor que el del firewall dedicado PIX. En términos generales, el rendimiento de los enrutadores con software IOS Firewall es aproximadamente entre un 30 y un 40 % menor que el de los firewalls PIX al realizar tareas de autenticación de seguridad.
115 Pregunta: Después de comprar un producto de firewall PIX con una cantidad relativamente pequeña de conexiones, ¿puede el usuario admitir más conexiones mediante la actualización?
Respuesta: El firewall PIX puede admitir la actualización del número de conexiones. Cuando los usuarios compran un producto de firewall PIX con una cantidad menor de conexiones, pueden actualizar la cantidad de conexiones comprando una licencia para la cantidad correspondiente de conexiones. Para PIX515, al actualizar la cantidad de conexiones, por un lado, debe comprar una licencia de software sin restricciones y, por otro lado, debe aumentar la memoria FLASH y DRAM correspondiente. Para PIX520, al actualizar la cantidad de conexiones, solo necesita comprar la licencia de software para la cantidad correspondiente de conexiones.
116 Pregunta: ¿Qué es el circuito bajo demanda OSPF y cómo se debe configurar en diferentes redes?
Respuesta: Circuito bajo demanda OSPF: el circuito bajo demanda OSPF es una mejora del protocolo OSPF, como se describe en RFC 1793, que permite una operación eficiente sobre circuitos bajo demanda como ISDN, X.25. SVC y líneas de acceso telefónico Anteriormente, la naturaleza periódica del tráfico de enrutamiento OSPF exigía que la conexión de enlace de datos subyacente tuviera que estar abierta constantemente, lo que generaba cargos por uso no deseados. Con esta característica, OSPF Hellos y la actualización de la información de enrutamiento OSPF. se suprime para los circuitos bajo demanda (y se presume la accesibilidad), lo que permite que las conexiones de enlace de datos subyacentes se cierren cuando no transportan tráfico de aplicaciones. La característica permite la consolidación en un único protocolo de enrutamiento y los beneficios del protocolo de enrutamiento OSPF en todo el sistema. toda la red, sin incurrir en costos excesivos de conexión. Si el enrutador es parte de una topología punto a punto, solo es necesario configurar un extremo del circuito de demanda para el funcionamiento del circuito bajo demanda OSPF. todos los enrutadores apropiados deben configurarse con OSPF On-Demand Circuit. Todos los enrutadores en un área deben admitir esta característica, es decir, ejecutar la versión 11.2 del software Cisco IOS o superior.
117 Pregunta: ¿Se puede administrar? ¿Utiliza software de administración de red? ¿Dispositivo de red que no sea el firewall PIX?
Respuesta: Si tiene necesidades especiales, puede administrar dispositivos distintos del firewall PIX. Sin embargo, debido a consideraciones de seguridad, generalmente no se recomienda esta aplicación. Esto se debe a que para implementar esta aplicación primero se debe establecer una conexión TCP fija, lo que aumentará la inseguridad de la red.
118 Pregunta: ¿Puede el software de firewall Cisco PIX admitir la función VPN?
Respuesta: Sólo la versión PIX5.0 del software puede admitir los protocolos de autenticación PKI e IKE de la VPN, por lo que admite la función VPN.
119 Pregunta: ¿Cuáles son las características del firewall PIX de Cisco en comparación con los enrutadores que implementan algoritmos de enrutamiento tradicionales?
Respuesta: En primer lugar, funcionalmente hablando, el firewall PIX no es equivalente a un enrutador. De hecho, el enrutador en sí no tiene seguridad. Esto se debe a que el software del enrutador utiliza un algoritmo de enrutamiento dinámico y transmite continuamente su propio estado de enlace al mundo exterior, de modo que todos los nodos de la red puedan obtener su dirección de red, lo que facilita el proceso. enrutador seguro. Posibilidad de ser atacado. Por el contrario, el firewall PIX no transmite el estado de su enlace al mundo exterior. Utiliza un mapeo de direcciones estáticas para establecer contacto con el mundo exterior, lo que reduce en gran medida su propio riesgo de ataques. En segundo lugar, el firewall PIX solo utiliza un RIP simplificado para realizar cálculos de enrutamiento dinámicos en su segmento de red interna para implementar la selección de enrutamiento para la red interna.
120 Pregunta: ¿Cuáles son las características básicas del algoritmo ASA utilizado por el firewall PIX?
Respuesta: El algoritmo ASA es el núcleo del algoritmo de verificación de seguridad del firewall PIX. El algoritmo ASA adopta un sistema de diseño de seguridad basado en estados y orientado a conexiones TCP. El ASA crea un flujo de sesión basado en las direcciones de origen y destino y agrega aleatoriamente su número de secuencia TCP, número de puerto TCP y la etiqueta de identificación TCP adjunta a la secuencia de sesión antes de que se complete una conexión. Esta función se utiliza principalmente para monitorear los paquetes de datos devueltos desde la dirección de destino y garantizar su legalidad. Al mismo tiempo, el algoritmo ASA también puede implementar un sistema de seguridad basado en políticas. Por ejemplo, cada sistema interno y aplicación relacionada solo permite una conexión unidireccional (de interna a externa) sin una configuración de seguridad explícita. El uso de números de secuencia TCP generados aleatoriamente puede reducir la posibilidad de que los piratas informáticos utilicen números de secuencia TCP para llevar a cabo ataques.
121 Pregunta: ¿Qué funciones avanzadas tiene el firewall PIX?
Respuesta: El firewall PIX tiene funciones avanzadas como protección DNS, protección de CORREO, bloqueo de JAVA, filtrado ActiveX, filtrado de URL, soporte para H.323 y escaneo de virus.
122 Pregunta: ¿El dispositivo de respaldo del firewall PIX tiene todas las funciones del dispositivo principal?
Respuesta: La función de respaldo del firewall PIX proporciona un mecanismo de respaldo redundante para la red. Permite que dos dispositivos idénticos realicen la misma función. Cuando el dispositivo principal está funcionando, el dispositivo de respaldo es responsable de monitorear. Estado de funcionamiento del dispositivo principal. Cuando el dispositivo principal falla, el dispositivo de respaldo se hará cargo del trabajo de verificación de seguridad del dispositivo principal en un plazo de 30 a 45 segundos. Cabe señalar que, en primer lugar, el dispositivo principal y el dispositivo de respaldo deben ejecutar la misma versión de software. En segundo lugar, el dispositivo de respaldo solo se puede usar para respaldo y no se puede usar independientemente del dispositivo principal PIX.
248 Pregunta: ¿Qué modelos hay de la serie de cortafuegos PIX y cuáles son las diferencias?
Respuesta: PIX 515, PIX 525, PIX535. El 515 es adecuado para su uso en pequeñas y medianas empresas. Solo admite tarjetas de red Ethernet y admite 6 tarjetas de red Ethernet. El chasis tiene dos tarjetas de red Ethernet 10/100M fijas y dos ranuras de expansión. PIX 525 y 535 son adecuados para aplicaciones en la industria de las telecomunicaciones o grandes empresas y proporcionan 256.000 conexiones simultáneas.
249 Pregunta: ¿El firewall Pix bloquea todo el tráfico si la lista de acceso no está configurada de forma predeterminada?
Respuesta: Hay dos situaciones. 1. Si los datos fluyen desde un nivel de seguridad superior a un puerto de nivel de seguridad inferior, se permite el paso de todos los flujos de datos si no se establece una lista de control de acceso saliente (lista de acceso saliente). 2. Si los datos fluyen desde un nivel de seguridad inferior a un puerto de nivel de seguridad superior, se prohibirá el paso de todos los datos a menos que se establezca una lista de control de acceso específica (o permiso de conducto). Solo se puede permitir el paso de datos específicos configurando el comando permitir acceso.
250 Pregunta: ¿Puede Pix Firewall realizar comprobaciones de seguridad sin utilizar NAT?
Respuesta: Puede usar el comando
251 Pregunta: ¿Cuál es la diferencia entre el firewall de software en CISCO IOS y el firewall de hardware PIX?
Respuesta: El software firewall en CISCO IOS tiene alta integración, bajo costo y mantenimiento relativamente simple. Sin embargo, debido a que se utiliza software para completar la función del firewall, tendrá un cierto impacto en el rendimiento del mismo. enrutador. Firewall de hardware PIX utiliza un sistema operativo independiente y utiliza hardware separado para completar la función de firewall, lo que no afectará el rendimiento del enrutador, pero el costo es alto y el mantenimiento es relativamente complicado.
252 Pregunta: ¿Cómo determinar el tamaño de FLASH del firewall PIX?
Respuesta: Utilice el comando MOSTRAR VERSIÓN.
253 Pregunta: ¿Cuándo el firewall PIX necesita CLAVE DE ACTIVACIÓN?
Respuesta: Es necesario cuando se agregan nuevas funciones en la actualización del software (actualización FLASH), como cuando se aplica de Rístrict a UnRistricted, de DES a 3DES.
254 Pregunta: ¿Qué tipo de línea de conversión de configuración se necesita al configurar un firewall?
Respuesta: Configure db9 en ambos extremos y un cable que no sea MÓDEM en el medio.
255 Pregunta: ¿Necesito personalizar la LICENCIA al comprar PIX 525-FO-BUN?
Respuesta: PIX-525-FO-BUN ya contiene una versión ilimitada de LICENCIA, por lo que no es necesario solicitar software adicional.
260 Pregunta: ¿Qué versiones del software de firewall PIX admiten la función VPN?
Respuesta: El software PIX IOS IPSEC posterior a las versiones PIX5.0 y 5.1 admite la función VPN.
261 Pregunta: Método de recuperación de contraseña del firewall PIX, desglose paso a paso.
Respuesta: monitor> interfaz 0 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7) Usando 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9 Configure la dirección del puerto monitor> dirección 10.21.1.99 dirección 10.21.1.99 Configure la dirección del servidor monitor> servidor 172.18.125.3 servidor 172.18.125.3 Obtenga el archivo monitor> archivo np52.bin archivo np52.bin Establecer puerta de enlace monitor> puerta de enlace 10.21.1.1 puerta de enlace 10.21.1.1 monitor> ping 172.18.125.3 Envío de 5 ecos ICMP 0xf8d3 de 100 bytes a 172.18.125.3, el tiempo de espera es de 4 segundos: !!! !! La tasa de éxito es del 100 por ciento (5/5) Ejecute el comando de transferencia de descarga tor> tftp tftp np52.bin@172.18.125.3 a través de 10.21.1.1........ ............................
Recibió 73728 bytes Herramienta de contraseña de Cisco Secure PIX Firewall (3.0) 0: martes 22 de agosto 23:22:19 PDT 2000 Flash=i28F640J5 @ 0x300 BIOS Flash=AT29C257 @ 0xd8000 ¿Desea borrar las contraseñas [yn] y Se han borrado las contraseñas?
262 Pregunta: Hay dos tipos comunes de GE ordinario entre las placas Gigabit opcionales en el firewall PIX. ¿Cómo identificar GE-66?
Respuesta: Ejecute el comando show interface y la pantalla será la siguiente. El hardware es i82542 rev03 gigabit ethernet, la dirección es XXXX.XXXX.XXXX o el hardware es i82543 rev02 gigabit ethernet, la dirección es XXXX.XXXX. XXXX. i82542 representa 33MHz; la pantalla i82543 representa 66MHz
263 Pregunta: Al intentar usar TFTP para descargar PIXNNN.exe, siempre aparece el error "NÚMERO MÁGICO MAL".
Respuesta: Debes descargar el archivo .bin en lugar del archivo .exe. Los archivos .exe pueden autoextraerse en archivos .bin.
Pregunta 264: Cuando intento agregar un firewall entre el enrutador original y la LAN, todo en el firewall está configurado normalmente, pero no se puede usar normalmente, no sé por qué.
Respuesta: La razón más probable es que la tabla ARP del enrutador externo o del enrutador circundante esté dañada. Todos sabemos que el principio de funcionamiento del enrutador es seleccionar la ruta según la dirección MAC. conserva la dirección MAC de 2 a 3 horas, la solución es utilizar el comando CLEAR ARP-CACHE.
Verifique si la puerta de enlace predeterminada del host en el lado INTERIOR apunta a la interfaz INTERIOR del PIX y verifique si el firewall PIX tiene solo una puerta de enlace predeterminada. Múltiples puertas de enlace predeterminadas pueden causar inestabilidad o fallas en el funcionamiento.
265 Pregunta: ¿Cómo determinar el tamaño de la capacidad FLASH del firewall PIX?
Respuesta: Después de ejecutar el comando MOSTRAR VERSIÓN, la tabla de comparación se muestra de la siguiente manera. i28F020 512 KB AT29C040A 2 MB atmel 2 MB i28F640J5 8 MB - PIX 506 16 MB - todos los demás estratos PIX 16 MB
266 Problema: cuando intento usar comandos NAT/GLOBAL en el firewall PIX, encuentro que el firewall No existe una conexión continua entre los usuarios externos y los hosts internos.
Respuesta: Los comandos NAT y GLOBAL siempre establecen conexiones temporales de alta prioridad a baja prioridad. Todos se inician desde adentro hacia afuera y no se pueden establecer directamente desde afuera hacia adentro.
267. Pregunta: ¿Qué es IPSEC y cómo funciona?
Respuesta: IPSec incluye un conjunto de protocolos de seguridad y autenticación, el más importante el protocolo Internet Key Exchange (IKE). IKE permite que dos ubicaciones establezcan una conexión segura utilizando una clave previamente compartida o un certificado digital de Infraestructura de clave pública (PKI) administrado por una autoridad de certificación, que es un registro interno de claves públicas o servicios de subcontratación. Al utilizar identificaciones digitales firmadas para confirmar la identidad de los puntos finales, IKE puede escalar las VPN a miles de puntos finales. Para garantizar un cifrado de datos seguro, Cisco admite tanto el estándar de cifrado de datos (DES) como el algoritmo Triple DES durante la implementación de IPSec en enrutadores y PIX.
268 Pregunta: ¿Cómo implementa el firewall PIX su función de filtrado de URL?
Respuesta: El firewall PIX puede filtrar activamente las URL para controlar a qué sitios web pueden acceder los usuarios. El filtrado de URL se logra mediante la integración con el software de servidor WebSENSE de NetPartners, que ahora tiene una versión dedicada para Cisco PIX Firewall. El software del servidor WebSENSE puede ejecutarse tanto en servidores Windows NT como en servidores UNIX. Estos servidores pueden ser internos a la red o desde una red perimetral protegida fuera del firewall PIX.
269 Pregunta: ¿Cuántas sesiones admite el firewall PIX?
Respuesta: Cisco Secure PIX Firewall 515-R (software limitado) puede admitir hasta 64 000 sesiones al mismo tiempo, PIX 515-UR (ilimitado) puede admitir 128 000 sesiones al mismo tiempo y PIX 520 puede soportar al mismo tiempo 256.000 sesiones.
270 Pregunta: ¿Cuál es la versión mínima de software compatible con la serie de firewalls PIX?
Respuesta: PIX506------5.1(2) PIX515------4.4(1) PIX525------5.2(1) PIX535------- 5.3(1)
271 Pregunta: ¿Qué tecnología utiliza el firewall PIX para resolver el problema de escasez de direcciones?
Respuesta: La familia de productos de firewall Cisco Secure PIX tiene una función que permite expandir y reconfigurar las redes IP sin causar escasez de direcciones IP. Con NAT, puede utilizar una dirección IP existente o una dirección reservada por la reserva de la Autoridad de Números Asignados de Internet (IANA) (RFC 1918). La familia de productos Cisco Secure PIX Firewall también puede permitir selectivamente que se traduzcan o no direcciones mixtas según sea necesario. Además, Cisco también garantiza que NAT sea compatible con otras funciones del firewall PIX, como la compatibilidad con aplicaciones multimedia. En productos de firewall de la competencia, las capacidades NAT y multimedia pueden ser mutuamente excluyentes.
La familia de productos de firewall Cisco Secure PIX admite la traducción de direcciones de puertos (PAT) a través de una "tecnología de multiplexación a nivel de puerto", que conserva aún más las direcciones IP. Con PAT, la dirección local interna de un usuario se puede traducir automáticamente a una dirección local externa y cada traducción se puede distinguir mediante el uso de un número de puerto diferente. Usando PAT, una única dirección IP externa puede dar servicio a 64.000 hosts internos.