【正文】 　　在防火墻的日志功能方面，要注意的包括?！　∪罩竟δ堋　∪罩竟δ苁欠阑饓Φ闹匾匦灾弧＜用苓^(guò)程需要額外的處理能力，如果用戶準(zhǔn)備為電信級(jí)網(wǎng)絡(luò)建立VPN，這就需要捆綁具有密碼加速器或允許添加密碼加速器的VPN防火墻。如果用戶沒(méi)有第二個(gè)端點(diǎn)連接至VPN，就沒(méi)有購(gòu)買具有VPN功能的防火墻的必要。VPN能夠確保隱私和數(shù)據(jù)的完整性?！　PN　　大部分企業(yè)級(jí)防火墻具有VPN功能。如果用戶需要部署一個(gè)龐大、復(fù)雜的電信級(jí)網(wǎng)絡(luò)，這就需要使用NAT的高級(jí)特性。如果用戶準(zhǔn)備把一組DHCP作用域映射到另一組DHCP作用域，這就需要采用多對(duì)多NAT尋址。 多對(duì)一尋址意味著多個(gè)內(nèi)部IP地址可以映射到一個(gè)外部IP地址，如果用戶有一個(gè)內(nèi)部DHCP作用域，并想把它映射到一個(gè)外部IP地址，建議這類用戶采用多對(duì)一尋址。 NAT結(jié)構(gòu)可分為四類：一對(duì)一尋址、多對(duì)一尋址、一對(duì)多尋址和多對(duì)多尋址。　　NAT　　如今，幾乎所有防火墻都捆綁了網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能。此外，安全信息管理（SIM）設(shè)備也可以作為第三方管理控制臺(tái)使用?！　∑髽I(yè)防火墻往往具有管理多個(gè)防火墻的功能，即企業(yè)防火墻能夠與中央管理控制臺(tái)進(jìn)行通信。從最簡(jiǎn)單的分類上來(lái)說(shuō)，要加以保護(hù)的結(jié)點(diǎn)數(shù)決定了采用企業(yè)級(jí)防火墻還是采用SOHO防火墻。另一個(gè)適用硬件防火墻的場(chǎng)合是，用戶希望隔離防火墻服務(wù)，不把防火墻安裝在其他應(yīng)用中?！　≠?gòu)買硬件設(shè)備防火墻，往往意味著獲得了一個(gè)捆綁在硬盒子里的“交鑰匙”系統(tǒng)。防火墻“軟”與“硬”的折衷　　一般說(shuō)來(lái)，軟件防火墻具有比硬件防火墻更靈活的性能，但是安裝軟件防火墻需要用戶選擇硬件平臺(tái)和操作系統(tǒng)。目前，市場(chǎng)上有一類防火墻是專門為過(guò)濾內(nèi)容而設(shè)計(jì)的，MailMarshal和WebMarshal就是側(cè)重于消息發(fā)送與內(nèi)容過(guò)濾的特殊防火墻?；谟布姆阑饓σ卜譃榧彝マk公型和企業(yè)型兩種款式。如果用戶是一家小企業(yè)，并且想把防火墻與應(yīng)用服務(wù)器（如網(wǎng)站服務(wù)器）結(jié)合起來(lái)， 添加一個(gè)基于軟件的防火墻就是合理之舉?！　』谲浖姆阑饓?: 指能夠安裝在操作系統(tǒng)和硬件平臺(tái)上的防火墻軟件包。嵌入式防火墻工作于IP層，所以無(wú)法保護(hù)網(wǎng)絡(luò)免受病毒、 蠕蟲(chóng)和特洛伊木馬程序等來(lái)自應(yīng)用層的威脅?！　∏度胧椒阑饓σ脖环Q為阻塞點(diǎn)防火墻。嵌入式防火墻是某些路由器的標(biāo)準(zhǔn)配置。目前，市場(chǎng)有六種基本類型的防火墻，分別是嵌入式防火墻、 基于企業(yè)軟件的防火墻、基于企業(yè)硬件的防火墻、SOHO軟件防火墻、SOHO硬件防火墻和特殊防火墻。那么，如何選擇合適的防火墻呢？本文從技術(shù)角度出發(fā)，談?wù)勂髽I(yè)級(jí)防火墻的選購(gòu)要點(diǎn)。四臺(tái)Cisco防火墻實(shí)現(xiàn)VPN網(wǎng)絡(luò)其實(shí)四臺(tái)Cisco防火墻的VPN同兩臺(tái)防火墻做VPN沒(méi)什么大的區(qū)別，只是一定要注意路由的配置；在四臺(tái)Cisco pix做VPN中，有兩種方式，一種是采用一個(gè)中心的方式，另一種就是分散式的，前者，也就是說(shuō)以一個(gè)PIX點(diǎn)為中心，其它的機(jī)器都 連到本機(jī)上，在通過(guò)本機(jī)做路由；后者，則是在每一個(gè)路由上都要寫(xiě)出到另外三臺(tái)的加密方式，這里采用的就是第一種類型；　　以下，是施工圖以及四個(gè)Cisco pix的詳細(xì)配置：　　詳細(xì)配置如下：　　中心pix1：　　: Saved　　: Written by enable_15 at 23:10: UTC Thu Apr 24 2003　　PIX Version (2)　　nameif ethernet0 outside security0　　nameif ethernet1 inside security100　　enable password NHvIO9dsDwOK8b/k encrypted　　passwd NHvIO9dsDwOK8b/k encrypted　　hostname pixfirewall　　fixup protocol ftp 21　　fixup protocol 80　　fixup protocol h323 h225 1720　　fixup protocol h323 ras 17181719　　fixup protocol ils 389　　fixup protocol rsh 514　　fixup protocol rtsp 554　　fixup protocol smtp 25　　fixup protocol sqlnet 1521　　fixup protocol sip 5060　　fixup protocol skinny 2000　　names　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist hyzc permit icmp any any　　accesslist hyzc permit tcp any any　　accesslist hyzc permit udp any any　　pager lines 24　　interface ethernet0 auto　　interface ethernet1 auto　　mtu outside 1500　　mtu inside 1500　　ip address outside 　　ip address inside 　　ip audit info action alarm　　ip audit attack action alarm　　pdm history enable　　arp timeout 14400　　nat (outside) 1 0 0　　nat (inside) 1 0 0　　accessgroup hyzc in interface outside　　route outside 1　　route inside 1　　route outside 1　　route outside 1　　route outside 1　　route outside 1　　route outside 1　　route outside 1　　timeout xlate 3:00:00　　timeout conn 1:00:00 halfclosed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00　　timeout uauth 0:05:00 absolute　　aaaserver TACACS+ protocol tacacs+　　aaaserver RADIUS protocol radius　　aaaserver LOCAL protocol local　　no snmpserver location　　no snmpserver contact　　snmpserver munity public　　no snmpserver enable traps　　floodguard enable　　sysopt connection permitipsec　　no sysopt route dnat　　crypto ipsec transformset strong espdes espshahmac　　crypto map tohyjt 20 ipsecisakmp　　crypto map tohyjt 20 match address 101　　crypto map tohyjt 20 set peer 　　crypto map tohyjt 20 set peer 　　crypto map tohyjt 20 set peer 　　crypto map tohyjt 20 set transformset strong　　crypto map tohyjt interface outside　　isakmp enable outside　　isakmp key cisco address netmask 　　isakmp key cisco address netmask 　　isakmp key cisco address netmask 　　isakmp identity address　　isakmp policy 9 authentication preshare　　isakmp policy 9 encryption des　　isakmp policy 9 hash sha　　isakmp policy 9 group 1　　isakmp policy 9 lifetime 86400　　telnet inside　　telnet inside　　telnet timeout 5　　ssh timeout 5　　terminal width 80　　Cryptochecksum:8982919a8bfa10ba09cddee3f2da0e6a　　: end　　pix2配置：　　: Saved　　: Written by enable_15 at 00:00: UTC Fri Apr 25 2003　　PIX Version (2)　　nameif ethernet0 outside security0　　nameif ethernet1 inside security100　　enable password encrypted　　passwd encrypted　　hostname HYZCrc　　fixup protocol ftp 21　　fixup protocol 80　　fixup protocol h323 h225 1720　　fixup protocol h323 ras 17181719　　fixup protocol ils 389　　fixup protocol rsh 514　　fixup protocol rtsp 554　　fixup protocol smtp 25　　fixup protocol sqlnet 1521　　fixup protocol sip 5060　　fixup protocol skinny 2000　　names　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist hyzc permit icmp any any　　accesslist hyzc permit tcp any any　　accesslist hyzc permit udp any any　　pager lines 24　　interface ethernet0 auto　　interface ethernet1 auto　　mtu outside 1500　　mtu inside 1500　　ip address outside 　　ip address inside 　　ip audit info action alarm　　ip audit attack action alarm　　pdm history enable　　arp timeout 14400　　nat (outside) 1 0 0　　nat (inside) 0 accesslist 101　　nat (inside) 1 0 0　　route outside 1　　timeout xlate 3:00:00　　timeout conn 1:00:00 halfclosed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00　　timeout uauth 0:05:00 absolute　　aaaserver TACACS+ protocol tacacs+　　aaaserver RADIUS protocol radius　　aaaserver LOCAL protocol local　　no snmpserver location　　no snmpserver contact　　snmpserver munity public　　no snmpserver enable traps　　floodguard enable　　sysopt connection permitipsec　　no sysopt route dnat　　crypto ipsec transformset strong espdes espshahmac　　crypto map tohyzc 20 ipsecisakmp　　crypto map tohyzc 20 match address 101　　crypto map tohyzc 20 set peer 　　crypto map tohyzc 20 set transformset strong　　crypto map tohyzc interface outside　　isakmp enable outside　　isakmp key cisco address netmask 　　isakmp iden