浅析如何让Cisco防火墙启动密钥更安全

核心提示： 毋庸置疑，防火墙是企业网络很好的“看门狗”，浅析如何让Cisco防火墙启动密钥更安全，有了防火墙的保护，可以大大减少企业内部网络的外部攻击事件，也就是说，防火墙提供了DES或者3DES等解决方案来应对虚拟专用网与防火墙传统功能的融合问题，从而保护企业内部网络与数据的安全，不过最好的工具还是需要

毋庸置疑，防火墙是企业网络很好的“看门狗”。有了防火墙的保护，可以大大减少企业内部网络的外部攻击事件。从而保护企业内部网络与数据的安全。不过最好的工具还是需要网络安全人员去管理。若管理不当的话，思科防火墙就好象一堆旧铜烂铁，没有起到丝毫的安全保护作用。

而启动密钥的管理，则是思科防火墙安全性配置中的一个重要环节。启动密钥是防火墙操作系统的许可密钥，它跟服务器的用户名与口令相同的重要。若这个密钥泄露的话，则防火墙的任何配置如同虚设。为此，防火墙启动密钥的管理，就显得格外的重要。

一、启动密钥更改的方法

Cisco防火墙启动密钥更改主要有三种方式。根据其版本的不同，略有所不同。在6.2版本以前的防火墙中，若要对启动密钥进行更改或者升级，则需要在监控模式下更改。在6.2以后的防火墙中，思科引入了一些更加安全的解决方案，即远程升级或者更改防火墙的许可证。这种方法不需要进入到防火墙的监控模式，更不需要替代软件印象。防火墙管理员若采用这种新型的解决方案，就可以从CLI为一个不同的PIX防火墙许可证输入一个新的启动密钥。所以其实现起来相对来说比较简单，同时又不降低其安全性。

以上这三种方法虽然其实现方式有所差异，但是其目的都是相同的。就是达到实现更改或者升级启动密钥的目的。通常情况下，若出现以下状况时，往往需要采用这些方法对启 动密钥进行更改或者升级。

一是防火墙当前没有启动虚拟专用网数据加密标准或者虚拟专用网加密功能。现在不少的思科防火墙中，除了传统的防火墙功能之外，还提供了对虚拟专用网数据的支持。也就是说，防火墙提供了DES或者3DES等解决方案来应对虚拟专用网与防火墙传统功能的融合问题。从而实现把虚拟专用网安全也纳入到防火墙的管理之中。