問題一:CacheEngine是否具有URL過濾功能？

　　回答:CacheEngine1.7-2.0版本的軟件支持一種叫URL Blocking的功能，該功能是在 CacheEngine的適配器接口上進行配置實現的，它可以將由特定地址來的流量阻斷。CacheEngine2.1版本的軟件可以通過與基于WindowsNT、UNIX系統的Websense軟件結合使用實現支持URL Filtering功能。

　　問題二:目前Cisco 公司PIX防火墻系列產品有那些型號，有何區別？

　　回答:在目前的PIX防火墻系列產品中，主要有兩種型號PIX515和PIX520。其主要區別如下：PIX515適合在中小型企業應用，最大可提供128，000同時連接數。網絡接口卡只支持以太網網卡，最大可支持到6個以太網網卡。其機箱上帶有2個固定的10/100M 以太網網卡，并帶有兩個擴展插槽。 PIX520適合在電信行業和大型的企業中應用，最大能提供256，000個同時連接數。可支持多種介質類型：以太網，令牌環和FDDI。最多能夠提供6個以太網接口，最大支持3個令牌環接口和2個FDDI網絡接口，并且以太網接口卡只能和令牌環接口混合使用。FDDI接口卡只能單獨使用。PIX520的機箱上沒有固定配置的接口卡，但帶有4個擴展插槽。

　　問題三:Cisco 公司的PIX防火墻和路由器防火墻有何區別？

　　回答:CiscoPIX防火墻采用集成的軟件和硬件平臺，是一種專用的防火墻產品。它采用專用的、實時的、安全的、非UNIX和非NT的操作系統，能夠在不影響網絡性能的情況下，提供極其高的安全性。 Cisco路由器防火墻產品是通過在路由器上運行帶有防火墻特性集的IOS軟件來實現的。它是在低價位的基礎上實現經濟有效的防火墻解決方案。但由于這個產品在執行傳統的路由器選路工作的同時又作為防火墻來提供安全保障，所以在安全性能和數據流的處理性能上面沒有專用的PIX防火墻產品高。 當進行選擇時，如果用戶更多考慮的是網絡的安全性和產品性能時，我們建議采用專用的PIX防火墻；當用戶對產品價格更為關心時，則建議采用經濟有效的基于Cisco IOS防火墻特性集的路由器防火墻產品。

　　問題四:CiscoPIX防火墻產品與軟件防火墻產品(如Checkpoint Firewall-1)相比有何優勢？

　　回答:首先，CiscoPIX是一個集成的硬件/軟件產品，用戶能夠得到一個廠家-Cisco公司全球化的一流的技術服務支持，Checkpoint Firewall-1是一個軟件產品，使用時還需要另外購買第三方廠家的硬件平臺，因此還需要第三方廠家的技術支持。其次，PIX防火墻采用了專有、實時的IOS操作系統，安全性好。Checkpoint Firewall-1運行在開放的UNIX或WindowsNT平臺上，因而容易受到攻擊。第三，PIX防火墻對多媒體技術具有廣泛的支持，Checkpoint Firewall-1對多 媒體技術的支持功能非常有限。此外，PIX防火墻與Checkpoint Firewall-1相比具有更高的數據包轉發性能和 更高的安全性能。

　　問題五:Cisco PIX防火墻和IOS Firewall相比有何區別？

　　回答:CiscoPIX防火墻是基于硬件的專用設備，它能夠在不影響網絡性能的情況下對網絡實施基于策略的安全管理功能。IOS Firewall是基于軟件的防火墻 產品，它一般是作為IOS軟件的附帶性能安裝在路由器中的。路由器在執行常規選路運算的同時執行防火墻的安全認證工作，因而在性能上比PIX專用防火墻要低。一般來說，帶IOS Firewall軟件的路由器在執行安全認證任務 時比PIX防火墻的性能低30-40%左右。

　　問題六:用戶在購買了具有比較小的最大連接數PIX防火墻產品后，能否通過升級的方法支持更多的最大連接數？

　　回答:PIX防火墻可以支持最大連接數的升級。當用戶購買具有較小連接數的PIX防火墻產品后，可以通過購買相應最大連接數的授權許可的方式進行最大連接數的升級。對于PIX515來說，當升級最大連接數時，一方面需要購買非限制級別軟件的授權許可，另一方面需要增加相應的FLASH和DRAM內存。對于PIX520來說，當升級最大連接數時，只需要購買相應的最大連接數的軟件授權許可。

　　問題七:使用網管軟件是否可以管理PIX防火墻以外的網絡設備？

　　回答:如果有特殊需要，可以實現管理PIX防火墻以外的設備，但是出于安全考慮，一般不推薦這種應用。這是因為若要實現這種應用，首先必須建立固定的TCP連接，這樣就會增加網絡的不安全因素。

　　問題八:Cisco PIX防火墻的軟件是否能夠支持VPN功能？

　　回答:只有在PIX5.0版本的軟件上可以支持VPN的PKI和IKE驗證協議，從而支持VPN功能。

　　問題九:Cisco 公司的PIX防火墻與實現傳統路由選擇算法的路由器相比有何特點？

　　回答:首先，從功能上講，PIX防火墻并不等同于路由器。事實上，路由器自身不具備安全性，這是因為路由器的軟件使用的是動態路由選擇算法，并對外不斷廣播自身的鏈路狀態，這樣網絡上所有節點都可以獲得其網絡地址，從而使路由器有被攻擊的可能。與此相比，PIX防火墻并不對外廣播其鏈路狀態，它使用靜態地址映射與外界建立聯系，因而大大減少了本身遭受攻擊的風險。其次，PIX防火墻僅僅是在其內部網絡段上使用一個簡化的RIP進行動態路由選擇運算，實現內部網絡的路由選擇。

　　問題十:PIX防火墻所使用的ASA算法有哪些基本特性？

　　回答:ASA算法是PIX防火墻安全驗證算法的核心。ASA算法采用了一種基于狀態和面向TCP連接的安全設計體系。ASA基于源和目的地地址創建一個會話流，同時在一個連接完成之前將其TCP序列號、TCP端口號和附帶的TCP識別標記隨機地加入會話序列。該功能主要用來監視從目的地址返回的數據包，并保證其合法性。同時，ASA算法還可以實現基于策略的安全體系 ，例如每一個內部系統和相關應用在未經過明確的安全配置的情況下只允許單一方向的連接(由內部到外部)。使用隨機生成的TCP序列號可以減少黑客利用TCP序列號進行攻擊的可能性。