深圳市眾誠鑫科技有限公司

BSBY_f007

思科防火墻第一品牌【眾誠鑫，王先生，13724320505】在廣大客戶的認(rèn)可和支持下，眾誠鑫科技的業(yè)績一直保持良好增長，公司年銷售額從成立初期的數(shù)百萬元增長到近年來的近億元規(guī)模，并持續(xù)快速增長；為了深入拓展國內(nèi)市場，公司還在廣州、海南、湖南、、東莞等地成立了分公司，為更多客戶提供優(yōu)質(zhì)完善的服務(wù)。

　　防火墻是企業(yè)網(wǎng)絡(luò)很好的“看門狗”。有了防火墻的保護(hù)，可以大大減少企業(yè)內(nèi)部網(wǎng)絡(luò)的外部攻擊事件。從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)與數(shù)據(jù)的安全。不過最好的工具還是需要網(wǎng)絡(luò)安全人員去管理。若管理不當(dāng)?shù)脑?，思科防火墻就好象一堆舊銅爛鐵，沒有起到絲毫的安全保護(hù)作用。

　　而啟動密鑰的管理，則是思科防火墻安全性配置中的一個重要環(huán)節(jié)。啟動密鑰是防火墻操作系統(tǒng)的許可密鑰，它跟服務(wù)器的用戶名與口令相同的重要。若這個密鑰泄露的話，則防火墻的任何配置如同虛設(shè)。為此，防火墻啟動密鑰的管理，就顯得格外的重要。

　　一、啟動密鑰更改的方法

　　Cisco防火墻啟動密鑰更改主要有三種方式。根據(jù)其版本的不同，略有所不同。在6.2版本以前的防火墻中，若要對啟動密鑰進(jìn)行更改或者升級，則需要在監(jiān)控模式下更改。在6.2以后的防火墻中，思科引入了一些更加安全的解決方案，即遠(yuǎn)程升級或者更改防火墻的許可證。這種方法不需要進(jìn)入到防火墻的監(jiān)控模式，更不需要替代軟件印象。防火墻管理員若采用這種新型的解決方案，就可以從CLI為一個不同的PIX防火墻許可證輸入一個新的啟動密鑰。所以其實現(xiàn)起來相對來說比較簡單，同時又不降低其安全性。

　　以上這三種方法雖然其實現(xiàn)方式有所差異，但是其目的都是相同的。就是達(dá)到實現(xiàn)更改或者升級啟動密鑰的目的。通常情況下，若出現(xiàn)以下狀況時，往往需要采用這些方法對啟 動密鑰進(jìn)行更改或者升級。

　　一是防火墻當(dāng)前沒有啟動虛擬專用網(wǎng)數(shù)據(jù)加密標(biāo)準(zhǔn)或者虛擬專用網(wǎng)加密功能?，F(xiàn)在不少的思科防火墻中，除了傳統(tǒng)的防火墻功能之外，還提供了對虛擬專用網(wǎng)數(shù)據(jù)的支持。也就是說，防火墻提供了DES或者3DES等解決方案來應(yīng)對虛擬專用網(wǎng)與防火墻傳統(tǒng)功能的融合問題。從而實現(xiàn)把虛擬專用網(wǎng)安全也納入到防火墻的管理之中。

　　二是當(dāng)防火墻不能夠激活故障切換功能時，就需要采用這些方法來結(jié)局問題。如在思科的PIX535防火墻中，就有故障切換軟件許可。即包含故障切換軟件許可的PIX535 工作在熱備用模式下。作為維護(hù)當(dāng)前對話的完整的冗余系統(tǒng)，他能夠以很低的價格提供非常高的可用性。故對于防火墻依賴比較高的企業(yè)，故障切換功能是一個很實用的功能。若企業(yè)在日常的維護(hù)中，發(fā)現(xiàn)防火墻不能夠成功激活故障切換功能的話(前提是防火墻支持這個功能)，則最好對防火墻的啟動密碼進(jìn)行重新設(shè)置或者升級。通常情況下，如此處理后，就可能解決這個問題。

　　三是防火墻從一個基于連接的許可證升級到一個基于特性的許可證時，需要升級或者更改啟動密碼。PIX 防火墻的許可有Unrestricted， Restricted， and Fail-Over三種配置。這些基本的配置都可以用DES 和3DES來加強(qiáng)虛擬專用網(wǎng)的安全性。Unrestricted許可操作在UR模式下的PIX 防火墻答應(yīng)支持最大數(shù)目的接口和最大可支持的內(nèi)存。UR的許可支持熱備份冗余，最小化網(wǎng)絡(luò)當(dāng)機(jī)的時間。Restricted許可操作在R模式下的PIX 防火墻限制支持的接口數(shù)和支持的內(nèi)存大小。限制的許可特性提供對那些小網(wǎng)絡(luò)的應(yīng)用價格優(yōu)化的防火墻方案。限制的許可特性不支持冗余的FO特性。Fail-Ove許可操作在FO模式下的PIX 防火墻跟另一臺帶UR許可證的防火墻協(xié)同工作，提供一個熱冗余備份的結(jié)構(gòu)。FO許可證提供基于狀態(tài)的容錯特性，從而使能高可用性的網(wǎng)絡(luò)結(jié)構(gòu)。在FO模式下的PIX 防火墻維護(hù)跟主放火強(qiáng)完全一樣的連接實時狀態(tài)，從而最小化因為設(shè)備或網(wǎng)絡(luò)失敗而引起連接失敗的幾率?！　R和FO的許可證有完全一樣的特征和性能指數(shù)。UR和FO的防火墻中間需要Fail-over的電纜線。當(dāng)前的PIX防火墻是基于特性集的許可證，這類許可秘匙限定哪些特性可用，哪些特性不可用。以前的PIX放火墻支持基于連接數(shù)的秘匙系統(tǒng)，它是限定PIX放火墻支持的最大連接數(shù)。為了統(tǒng)一和易于治理的目的，當(dāng)前的PIX防火墻都支持基于特性集的許可證。若防火墻管理員把許可從給予連接的許可證升級到一個基于特性的許可證的話，就需要對啟動密碼進(jìn)行更改或者升級。

公司名稱：深圳市眾誠鑫科技有限公司
cisco防火墻：http://www.zcxtec.com　http://www.zcxtec.com.cn　http://www.zcxtec.cn　
負(fù)責(zé)人：王先生 
電話：0755-82840597     
手機(jī)：13724320505 13631600109 
傳真：0755-82840507 
郵箱：wangbinliang@zcxtec.com                   
Q  Q：2230716125       
地址：深圳市福田區(qū)車公廟天安數(shù)碼城天濟(jì)大廈4棟A座302

　　本文出處：http://www.zcxtec.com.cn/news/555.shtml