浅析如何让Cisco防火墙启动密钥更安全

核心提示： 二是当防火墙不能够激活故障切换功能时，就需要采用这些方法来结局问题，浅析如何让Cisco防火墙启动密钥更安全(2)，如在思科的PIX535防火墙中，就有故障切换软件许可，当前的PIX防火墙都支持基于特性集的许可证，若防火墙管理员把许可从给予连接的许可证升级到一个基于特性的许可证的话，即包含

二是当防火墙不能够激活故障切换功能时，就需要采用这些方法来结局问题。如在思科的PIX535防火墙中，就有故障切换软件许可。即包含故障切换软件许可的PIX535 工作在热备用模式下。作为维护当前对话的完整的冗余系统，他能够以很低的价格提供非常高的可用性。故对于防火墙依赖比较高的企业，故障切换功能是一个很实用的功能。若企业在日常的维护中，发现防火墙不能够成功激活故障切换功能的话(前提是防火墙支持这个功能)，则最好对防火墙的启动密码进行重新设置或者升级。通常情况下，如此处理后，就可能解决这个问题。

三是防火墙从一个基于连接的许可证升级到一个基于特性的许可证时，需要升级或者更改启动密码。PIX 防火墙的许可有Unrestricted, Restricted, and Fail-Over三种配置。这些基本的配置都可以用DES 和3DES来加强虚拟专用网的安全性。Unrestricted许可操作在UR模式下的PIX 防火墙答应支持最大数目的接口和最大可支持的内存。UR的许可支持热备份冗余，最小化网络当机的时间。Restricted许可操作在R模式下的PIX 防火墙限制支持的接口数和支持的内存大小。限制的许可特性提供对那些小网络的应用价格优化的防火墙方案。限制的许可特性不支持冗余的FO特性。Fail-Ove许可操作在FO模式下的PIX 防火墙跟另一台带UR许可证的防火墙协同工作，提供一个热冗余备份的结构。FO许可证提供基于状态的容错特性，从而使能高可用性的网络结构。在FO模式下的PIX 防火墙维护跟主放火强完全一样的连接实时状态，从而最小化因为设备或网络失败而引起连接失败的几率。　　UR和FO的许可证有完全一样的特征和性能指数。UR和FO的防火墙中间需要Fail-over的电缆线。当前的PIX防火墙是基于特性集的许可证，这类许可秘匙限定哪些特性可用，哪些特性不可用。以前的PIX放火墙支持基于连接数的秘匙系统，它是限定PIX放火墙支持的最大连接数。为了统一和易于治理的目的，当前的PIX防火墙都支持基于特性集的许可证。若防火墙管理员把许可从给予连接的许可证升级到一个基于特性的许可证的话，就需要对启动密码进行更改或者升级。