【正文】 rewall以便使用IKE和數(shù)字證書(shū)的步驟，請(qǐng)參見(jiàn)“基本VPN配置”中的“使用認(rèn)證機(jī)構(gòu)”。使用站點(diǎn)到站點(diǎn)VPN（Using a SitetoSite VPN）站點(diǎn)到站點(diǎn)VPN是一種WAN基礎(chǔ)設(shè)施，能夠代替和增強(qiáng)使用租用線路、幀中繼或ATM連接遠(yuǎn)程和分支辦公室和中央站點(diǎn)的現(xiàn)有專(zhuān)用網(wǎng)絡(luò)。對(duì)于站點(diǎn)到站點(diǎn)VPN，PIX Firewall可以與任何Cisco VPN型網(wǎng)絡(luò)設(shè)備互操作，例如Cisco VPN路由器。站點(diǎn)到站點(diǎn)VPN在PIX Firewall與遠(yuǎn)程IPSec安全網(wǎng)關(guān)之間建立。遠(yuǎn)程IPSec安全網(wǎng)關(guān)可以是PIX Firewall、Cisco VPN集中器或者VPN型路由器，也可以是符合IPSec的任何第三方設(shè)備。要想了解配置指令，請(qǐng)參考“基本VPN配置”；要想了解配置實(shí)例，請(qǐng)參考“站點(diǎn)到站點(diǎn)VPN配置實(shí)例”。使用遠(yuǎn)程接入VPN（Using a Remote Access VPN）PIX Firewall支持混合型VPN部署，包括站點(diǎn)到站點(diǎn)流量和遠(yuǎn)程接入流量。遠(yuǎn)程接入VPN使用模擬、數(shù)字、ISDN、DSL、移動(dòng)IP和有線技術(shù)將移動(dòng)用戶(hù)、遠(yuǎn)程員工及其他獨(dú)立系統(tǒng)與PIX Firewall保護(hù)的網(wǎng)絡(luò)安全地連接在一起。借助以下Cisco遠(yuǎn)程接入VPN應(yīng)用，可以接入到受PIX Firewall保護(hù)的網(wǎng)絡(luò)中： Secure VPN Client， Cisco VPN 3000 Client， Cisco VPN Client，注意建議您使用Cisco VPN 。要了解常用的配置指令，請(qǐng)參考“基本VPN配置”；要了解具體步驟和配置實(shí)例，請(qǐng)參考“配置VPN客戶(hù)機(jī)遠(yuǎn)程接入”。PIX Firewall的系統(tǒng)管理（PIX Firewall System Management）本節(jié)將介紹用于管理PIX Firewall的特性和工具，包含以下內(nèi)容： ice Manager Telnet界面 SSH第1版本 使用SNMP TFTP配置服務(wù)器 XDMCP 使用系統(tǒng)日志服務(wù)器 FTP和URL登錄 與IDS集成PIX Device ManagerCisco PIX Device Manager（PDM）是基于瀏覽器的配置工具，用戶(hù)無(wú)需深入了解PIX Firewall命令行界面（CLI）就能從圖形用戶(hù)界面（GUI）建立、設(shè)置和監(jiān)控PIX Firewall。PDM從Windows NT、Windows 9Windows 2000或Solaris web瀏覽器提供管理界面。PDM只允許內(nèi)部網(wǎng)絡(luò)內(nèi)的某些客戶(hù)機(jī)系統(tǒng)訪問(wèn)HTML接口（根據(jù)源地址），其密碼受到保護(hù)。Telnet界面（Telnet Interface）PIX Firewall Telnet界面提供與Cisco IOS軟件類(lèi)似的命令行界面。借助Telnet界面，可以通過(guò)控制臺(tái)界面遠(yuǎn)程管理PIX Firewall。Telnet界面只允許內(nèi)部網(wǎng)絡(luò)內(nèi)的某些客戶(hù)機(jī)系統(tǒng)訪問(wèn)Telnet界面（根據(jù)源地址），而且密碼能受到保護(hù)。如果內(nèi)部網(wǎng)絡(luò)不安全，且LAN上的通話可以被竊聽(tīng)，就應(yīng)該限制使用Telnet界面。如果配置了IPSec，還可以從外部界面訪問(wèn)PIX Firewall控制臺(tái)。SSH第1版（SSH Version 1）PIX Firewall支持SSH第1版中提供的SSH遠(yuǎn)程殼功能。SSH可以安全地遠(yuǎn)程配置PIX Firewall，因而能提供加密和認(rèn)證功能。使用SNMP（Using SNMP）PIX Firewall通過(guò)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）支持網(wǎng)絡(luò)監(jiān)控。SNMP界面允許通過(guò)傳統(tǒng)網(wǎng)絡(luò)管理系統(tǒng)監(jiān)控PIX Firewall。PIX Firewall只支持SNMP GET命令，此命令只允許執(zhí)行只讀接入。SNMP Firewall和Memeory Pool MIB增加了用于識(shí)別PIX Firewall狀態(tài)的其它信息的陷阱數(shù)量，包括以下事件： lock命令的緩沖區(qū)使用情況 ow conn命令的連接數(shù)量 狀態(tài) memory命令的內(nèi)存使用情況TFTP配置服務(wù)器（TFTP Configuration Server）用戶(hù)可以使用復(fù)雜文件傳輸協(xié)議（TFTP）配置服務(wù)器從一個(gè)地點(diǎn)獲得多個(gè)PIX Firewall的配置。但是，TFTP是不安全的，如果網(wǎng)絡(luò)安全政策不允許通過(guò)網(wǎng)絡(luò)傳輸未加密的信息，就不能使用TFTP。 Firewall，以便升級(jí)或者更換PIX Firewall上的軟件圖像。傳輸文件時(shí)，TFTP不執(zhí)行任何認(rèn)證，因此不需要遠(yuǎn)程主機(jī)的用戶(hù)名和密碼。XDMCPPIX Firewall通過(guò)established命令支持使用XDMCP（X顯示管理器控制協(xié)議）的連接。這個(gè)特性使用Xwindows TCP向后連接修復(fù)，即協(xié)商Xwindows對(duì)話，并在目標(biāo)端口6000上建立初始連接。與其它UDP修復(fù)相同，在默認(rèn)狀態(tài)下，將打開(kāi)XDMCP處理功能。使用系統(tǒng)日志服務(wù)器（Using a 系統(tǒng)日志 Server）PIX Firewall將TCP和UDP 系統(tǒng)日志消息中的消息發(fā)送到任何現(xiàn)有系統(tǒng)日志服務(wù)器，并提供系統(tǒng)日志服務(wù)器，供Windows NT系統(tǒng)使用。Windows NT 系統(tǒng)日志服務(wù)器可以提供有時(shí)間標(biāo)記的系統(tǒng)日志消息，接收替代端口上的消息，還可以在不能收到消息時(shí)擋住PIX Firewall流量。當(dāng)Windows NT記錄磁盤(pán)已滿(mǎn)，或者服務(wù)器出現(xiàn)故障時(shí)，用戶(hù)還可以讓W(xué)indows NT 系統(tǒng)日志服務(wù)器終止PIX Firewall連接。FTP和URL登錄（FTP and URL Logging）借助FTP和URL登錄特性，用戶(hù)可以查看用戶(hù)輸入的向內(nèi)和向外FTP命令，以及用于訪問(wèn)其站點(diǎn)的URL。用戶(hù)可以利用這個(gè)功能監(jiān)控用戶(hù)對(duì)內(nèi)部和外部站點(diǎn)的訪問(wèn)。借助它提供的數(shù)據(jù)，用戶(hù)可以阻擋對(duì)有問(wèn)題的站點(diǎn)的訪問(wèn)。這個(gè)特性可以用logging trap debugging命令打開(kāi)。注意，這個(gè)特性可能會(huì)產(chǎn)生關(guān)于高流量PIX Firewall的大量系統(tǒng)日志數(shù)據(jù)。與IDS集成（Integration with IDS）PIX Firewall可以與Cisco入侵檢測(cè)系統(tǒng)互操作。PIX Firewall將檢查IDS簽名并將其作為系統(tǒng)日志信息發(fā)送給系統(tǒng)日志服務(wù)器。這個(gè)特性只支持單包IDS簽名。PIX Firewall故障恢復(fù)（PIX Firewall Failover）借助PIX故障恢復(fù)特性，用戶(hù)可以用一條專(zhuān)用故障恢復(fù)線纜連接兩個(gè)相同的PIX Firewall設(shè)備，以便實(shí)現(xiàn)完全冗余的防火墻解決方案。各種PIX Firewall提供的故障恢復(fù)特性如表11所示。表11：故障恢復(fù)支持PIX Firewall型號(hào) 故障恢復(fù)支持PIX Firewall 501不支持PIX Firewall 506不支持PIX Firewall 515需要其它許可證PIX Firewall 525全面支持PIX Firewall 535全面支持 返回頂部實(shí)施故障恢復(fù)時(shí)，一個(gè)設(shè)備作為主用設(shè)備，另一個(gè)作為備用設(shè)備。兩個(gè)設(shè)備的配置相同，而且運(yùn)行相同的軟件版本。故障恢復(fù)線纜將兩個(gè)PIX Firewall設(shè)備連接在一起，使兩個(gè)設(shè)備能實(shí)現(xiàn)配置同步和通話狀態(tài)信息同步，這樣，當(dāng)主用設(shè)備出現(xiàn)故障時(shí)，備用設(shè)備無(wú)需中斷網(wǎng)絡(luò)連接和破壞安全性就能接替主用設(shè)備的工作。要想配置PIX Firewall故障恢復(fù)功能，請(qǐng)參考“使用PIX Firewall故障恢復(fù)”。