【正文】 :00:00　　timeout conn 1:00:00 halfclosed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00　　timeout uauth 0:05:00 absolute　　aaaserver TACACS+ protocol tacacs+　　aaaserver RADIUS protocol radius　　aaaserver LOCAL protocol local　　no snmpserver location　　no snmpserver contact　　snmpserver munity public　　no snmpserver enable traps　　floodguard enable　　sysopt connection permitipsec　　no sysopt route dnat　　crypto ipsec transformset strong espdes espshahmac　　crypto map tohyjt 20 ipsecisakmp　　crypto map tohyjt 20 match address 101　　crypto map tohyjt 20 set peer 　　crypto map tohyjt 20 set peer 　　crypto map tohyjt 20 set peer 　　crypto map tohyjt 20 set transformset strong　　crypto map tohyjt interface outside　　isakmp enable outside　　isakmp key cisco address netmask 　　isakmp key cisco address netmask 　　isakmp key cisco address netmask 　　isakmp identity address　　isakmp policy 9 authentication preshare　　isakmp policy 9 encryption des　　isakmp policy 9 hash sha　　isakmp policy 9 group 1　　isakmp policy 9 lifetime 86400　　telnet inside　　telnet inside　　telnet timeout 5　　ssh timeout 5　　terminal width 80　　Cryptochecksum:8982919a8bfa10ba09cddee3f2da0e6a　　: end　　pix2配置：　　: Saved　　: Written by enable_15 at 00:00: UTC Fri Apr 25 2003　　PIX Version (2)　　nameif ethernet0 outside security0　　nameif ethernet1 inside security100　　enable password encrypted　　passwd encrypted　　hostname HYZCrc　　fixup protocol ftp 21　　fixup protocol 80　　fixup protocol h323 h225 1720　　fixup protocol h323 ras 17181719　　fixup protocol ils 389　　fixup protocol rsh 514　　fixup protocol rtsp 554　　fixup protocol smtp 25　　fixup protocol sqlnet 1521　　fixup protocol sip 5060　　fixup protocol skinny 2000　　names　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist hyzc permit icmp any any　　accesslist hyzc permit tcp any any　　accesslist hyzc permit udp any any　　pager lines 24　　interface ethernet0 auto　　interface ethernet1 auto　　mtu outside 1500　　mtu inside 1500　　ip address outside 　　ip address inside 　　ip audit info action alarm　　ip audit attack action alarm　　pdm history enable　　arp timeout 14400　　nat (outside) 1 0 0　　nat (inside) 0 accesslist 101　　nat (inside) 1 0 0　　route outside 1　　timeout xlate 3:00:00　　timeout conn 1:00:00 halfclosed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00　　timeout uauth 0:05:00 absolute　　aaaserver TACACS+ protocol tacacs+　　aaaserver RADIUS protocol radius　　aaaserver LOCAL protocol local　　no snmpserver location　　no snmpserver contact　　snmpserver munity public　　no snmpserver enable traps　　floodguard enable　　sysopt connection permitipsec　　no sysopt route dnat　　crypto ipsec transformset strong espdes espshahmac　　crypto map tohyzc 20 ipsecisakmp　　crypto map tohyzc 20 match address 101　　crypto map tohyzc 20 set peer 　　crypto map tohyzc 20 set transformset strong　　crypto map tohyzc interface outside　　isakmp enable outside　　isakmp key cisco address netmask 　　isakmp identity address　　isakmp policy 9 authentication preshare　　isakmp policy 9 encryption des　　isakmp policy 9 hash sha　　isakmp policy 9 group 1　　isakmp policy 9 lifetime 86400　　telnet inside　　telnet timeout 5　　ssh timeout 5　　terminal width 80　　Cryptochecksum:f63109daf8abcaf74a4f3b30ab01b48a　　: end　　　　　　pix3配置：　　: Saved　　:　　PIX Version (1)　　nameif ethernet0 outside security0　　nameif ethernet1 inside security100　　enable password X8QPBTnOSyX6X9Y9 encrypted　　passwd X8QPBTnOSyX6X9Y9 encrypted　　hostname pixfirewall　　fixup protocol ftp 21　　fixup protocol 80　　fixup protocol h323 1720　　fixup protocol rsh 514　　fixup protocol smtp 25　　fixup protocol sqlnet 1521　　fixup protocol sip 5060 企業(yè)級(jí)防火墻選購(gòu)熱點(diǎn)防火墻是主要的網(wǎng)絡(luò)安全設(shè)備，一個(gè)配置良好的防火墻，能夠有效地防止外來(lái)的入侵，控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包，提供使用和流量的日志和審計(jì)，隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)，以及提供VPN功能等等?！　?duì)于企業(yè)網(wǎng)絡(luò)而言，一個(gè)沒(méi)有配備防火墻的網(wǎng)絡(luò)無(wú)異于“開(kāi)門(mén)揖盜”，安全性無(wú)從談起。那么，如何選擇合適的防火墻呢？本文從技術(shù)角度出發(fā)，談?wù)勂髽I(yè)級(jí)防火墻的選購(gòu)要點(diǎn)。防火墻種類(lèi)　　在選購(gòu)之前，企業(yè)用戶(hù)首先需要弄清防火墻的種類(lèi)。目前，市場(chǎng)有六種基本類(lèi)型的防火墻，分別是嵌入式防火墻、 基于企業(yè)軟件的防火墻、基于企業(yè)硬件的防火墻、SOHO軟件防火墻、SOHO硬件防火墻和特殊防火墻。　　嵌入式防火墻 : 就是內(nèi)嵌于路由器或交換機(jī)的防火墻。嵌入式防火墻是某些路由器的標(biāo)準(zhǔn)配置。用戶(hù)也可以購(gòu)買(mǎi)防火墻模塊，安裝到已有的路由器或交換機(jī)中。　　嵌入式防火墻也被稱(chēng)為阻塞點(diǎn)防火墻。由于互聯(lián)網(wǎng)使用的協(xié)議多種多樣， 所以不是所有的網(wǎng)絡(luò)服務(wù)都能得到嵌入式防火墻的有效處理。嵌入式防火墻工作于IP層，所以無(wú)法保護(hù)網(wǎng)絡(luò)免受病毒、 蠕蟲(chóng)和特洛伊木馬程序等來(lái)自應(yīng)用層的威脅。就本質(zhì)而言，嵌入式防火墻常常是無(wú)監(jiān)控狀態(tài)的，它在傳遞信息包時(shí)并不考慮以前的連接狀態(tài)?！　』谲浖姆阑饓?: 指能夠安裝在操作系統(tǒng)和硬件平臺(tái)上的防火墻軟件包。如果用戶(hù)的服務(wù)器裝有企業(yè)級(jí)操作系統(tǒng)，購(gòu)買(mǎi)基于軟件的防火墻則是合理的選擇。如果用戶(hù)是一家小企業(yè)，并且想把防火墻與應(yīng)用服務(wù)器（如網(wǎng)站服務(wù)器）結(jié)合起來(lái)， 添加一個(gè)基于軟件的防火墻就是合理之舉?！　』谟布姆阑饓?: 多捆綁于“交鑰匙”系統(tǒng)(Turnkey system)中，是一個(gè)已經(jīng)裝有軟件的硬件設(shè)備?；谟布姆阑饓σ卜譃榧彝マk公型和企業(yè)型兩種款式?！　√厥夥阑饓?: 側(cè)重于某一應(yīng)用的防火墻產(chǎn)品。目前，市場(chǎng)上有一類(lèi)防火墻是專(zhuān)門(mén)為過(guò)濾內(nèi)容而設(shè)計(jì)的，MailMarshal和WebMarshal就是側(cè)重于消息發(fā)送與內(nèi)容過(guò)濾的特殊防火墻。OKENA的StormWatch雖然沒(méi)有標(biāo)明是防火墻， 但也具有防火墻類(lèi)規(guī)則和應(yīng)用防范禁閉功能。防火墻“軟”與“硬”的折衷　　一般說(shuō)來(lái)，軟件防火墻具有比硬件防火墻更靈活的性能，但是安裝軟件防火墻需要用戶(hù)選擇硬件平臺(tái)和操作系統(tǒng)。而硬件防火墻經(jīng)過(guò)廠(chǎng)商的預(yù)先包裝，啟動(dòng)及運(yùn)作要比軟件防火墻快得多?！　≠?gòu)買(mǎi)硬件設(shè)備防火墻，往往意味著獲得了一個(gè)捆綁在硬盒子里的“交鑰匙”系統(tǒng)。如果用戶(hù)對(duì)防火墻運(yùn)行的硬件平臺(tái)沒(méi)有特殊要求，硬件防火墻則是這類(lèi)用戶(hù)理想的選擇。另一個(gè)適用硬件防火墻的場(chǎng)合是，用戶(hù)希望隔離防火墻服務(wù)，不把防火墻安裝在其他應(yīng)用中。防火墻的功能與性能考慮　　用戶(hù)節(jié)點(diǎn)數(shù)　　在選購(gòu)防火墻時(shí)，用戶(hù)需要考慮保護(hù)的節(jié)點(diǎn)數(shù)。從最簡(jiǎn)單的分類(lèi)上來(lái)說(shuō)，要加以保護(hù)的結(jié)點(diǎn)數(shù)決定了采用企業(yè)級(jí)防火墻還是采用SOHO防火墻。大多數(shù)情況下，SOHO防火墻能夠應(yīng)付50個(gè)以?xún)?nèi)的用戶(hù)連接請(qǐng)求，如果需要保護(hù)50個(gè)以上用戶(hù)，就必須采用企業(yè)防火墻?！　∑髽I(yè)防火墻往往具有管理多個(gè)防火墻的功能，即企業(yè)防火墻能夠與中央管理控制臺(tái)進(jìn)行通信。生產(chǎn)企業(yè)防火墻的供應(yīng)商大都提供作為選件的中央管理控制臺(tái)。此外，安全信息管理（SIM）設(shè)備也可以作為第三方管理控制臺(tái)使用。 大多數(shù)防火墻都標(biāo)明了用戶(hù)連接數(shù)?！　AT　　如今，幾乎所有防火墻都捆綁了網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能。NAT使用戶(hù)能夠把專(zhuān)用或非法IP地址轉(zhuǎn)換成合法的公共地址。 NAT結(jié)構(gòu)可分為四類(lèi)：一對(duì)一尋址、多對(duì)一尋址、一對(duì)多尋址和多對(duì)多尋址?！　∫粚?duì)一尋址是NAT最基本的形式，可以把內(nèi)部IP地址映射到不同的外部公共IP地址。 多對(duì)一尋址意味著多個(gè)內(nèi)部IP地址可以映射到一個(gè)外部IP地址，如果用戶(hù)有一個(gè)內(nèi)部DHCP作用域，并想把它映射到一個(gè)外部IP地址，建議這類(lèi)用戶(hù)采用多對(duì)一尋址。多對(duì)多尋址將其他網(wǎng)絡(luò)上幾組不同的IP地址映射成內(nèi)部或外部的IP地址。如果用戶(hù)準(zhǔn)備把一組DHCP作用域映射到另一組DHCP作用域，這就需要采用多對(duì)多NAT尋址。一對(duì)多尋址則使用于需要把一個(gè)IP地址分成兩個(gè)地址的負(fù)載均衡場(chǎng)合。如果用戶(hù)需要部署一個(gè)龐大、復(fù)雜的電信級(jí)網(wǎng)絡(luò)，這就需要使用NAT的高級(jí)特性?！　?duì)簡(jiǎn)單網(wǎng)絡(luò)而言，一對(duì)一NAT功能就已足夠?！　PN　　大部分企業(yè)級(jí)防火墻具有VPN功能。這類(lèi)防火墻通常被用作VPN的端點(diǎn)。VPN能夠確保隱私和數(shù)據(jù)的完整性。用戶(hù)要牢記VPN必須有兩個(gè)端點(diǎn)。如果用戶(hù)沒(méi)有第二個(gè)端點(diǎn)連接至VPN，就沒(méi)有購(gòu)買(mǎi)具有VPN功能的防火墻的必要。VPN通過(guò)加密隧道發(fā)送數(shù)據(jù)，從而把數(shù)據(jù)與外界隔離開(kāi)來(lái)。加密過(guò)程需要額外的處理能力，如果用戶(hù)準(zhǔn)備為電信級(jí)網(wǎng)絡(luò)建立VPN，這就需要捆綁具有密碼加速器或允許添加密碼加速器的VPN防火墻。捆綁密碼加速器是為了提高VPN的速度。　　日志功能　　日志功能是防火墻的重要特性之一。為更好地管理網(wǎng)絡(luò)，用戶(hù)最好選購(gòu)能夠記錄多種事件的日志、過(guò)濾多種事件的防火墻。　　在防火墻的日志功能方面，要注意