硬件防火墙

需求：想通过pix做snat使内网用户上网，再做dnat使访问本公网IP的http服务、ssh服务转换为192.168.4.2的http服务、ssh服务，对192.168.4.2开放本pix的telnet服务

Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的组成部分，能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全（IPsec）虚拟专网（VPN）能力使特别适合于保护企业总部的边界。

Cisco PIX 515E的"故障恢复"（PIX 515E-FO）型号采用了独特的设计，可以与一个PIX 515E-UR协作，提供一个成本非常低廉的、高可用性的解决方案。它工作在热备份模式下，所扮演的角色是一个用于保存当前进程的完整的冗余系统。它的硬件配置与PIX 515E-UR相同，并能够以低廉的价格提供最高等级的可用性。

Cisco PIX 506E防火墙是应用极为广泛的Cisco PIX 506防火墙的增强版本，可以通过一个可靠的、强大的安全设备为远程办公室和分支机构提供企业级的安全性。Cisco PIX 506E防火墙是市场领先的Cisco PIX防火墙系列的一部分，可以通过一个经济有效的、高性能的解决方案提供丰富的安全功能和强大的远程管理功能，尤其适用于为远程/分支机构保障互联网连接。PIX 506E还提供了更高的3DES VPN性能，在使用某些应用时，性能比PIX 506高出70％。

Cisco PIX 501防火墙的50名用户使用许可证最多可以支持50个并发的源IP地址从您的内部网络经过PIX 501。集成的DHCP服务器最多可以支持128个DHCP出租。随着您的需求的增长，您还可以购买一个将用户数量从10名增加到50名用户的升级使用许可证，从而增加您对PIX 501设备的投资。

并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。

以下我建了两个组，如果要为每个组分配一个固定IP的话，只有为每个用户建立一个Group了

用随机带的CONSOLE线，一头接计算机串口，一头接E1端口，在计算机上打开超级终端进行配置，用户名，密码都是NETSCREEN。

Cisco PIX防火墙的安装流程如下

这里给大家介绍的是FortiGate公司的防火墙产品，这是一家致力于发展新型的解决应用级安全的高性能防火墙公司，利用专业定制的ASIC芯片技术把多种安全功能集成到一起。Fortinet创建新的体系结构并已取得了专利，该项技术融合了安全策略控制、VPN加密处理、流量控制、内容安全、病毒防护等安全技术，解决了数据加密和内容处理时的性能瓶颈，并能实现最高级别的IP安全（Ipsec），先进的系统级的设计允许产品提供多种功能。

这个文档说明了在路由器和思科防火墙之间的IPSec配置。在总部和分公司之间的流量使用的是私有IP地址，当分公司的局域网用户访问互联网时，需要进行地址转换。

在默认情况下,PIX鉴别每个输出的DNS请求,并且只允许一个对这些请求的响应.随后所有对原始查询的响应会被丢弃.所以有时候我们在pix使用show conn看到有很多去DNS的响应都被丢掉,这个是合理的现象.

随着Internet的飞速发展，电子商务、电子政务的推出，越来越多网络与Internet联网，在网上设置提供公众服务的主机系统,如：WEB Server、EMAIL Server、FTP Server等。同时，越来越多的用户利用Web获取、发布信息，使Internet上的信息量迅速增长。然而，一些非法侵入他人系统、窃取机密、破坏系统等恶性行为也悄然而至，如果不采取必要的安全措施加以自我保护，后果不堪设想。 人们采用了许多安全技术来提高网络的安全性，最具代表性的安全技术有：数据加密、容错技术、端口保护与主体验证及防火墙(Firewall)技术。其中，防火墙技术是近年来提出并推广的一项网络安全技术。

可以通过FireWall-1的管理工作站对企业范围内的路由器提供集中的安全管理： 　　● 通过图形用户界面生成路由器的过滤和配置； 　　● 引入、维护路由器的访问控制列表； 　　● 记录路由器事件（需要路由器支持日志功能）； 　　● 在路由器上执行通过图形用户界面制定的安全策略。

安全。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。在信息安全的发展与对抗过程中，防火墙的技术一定会不断更新、日新月异，在信息安全的防御体系中，起到堡垒的作用。

这三种防火墙在市场上将长期保持共存的局面。未来，在低端千兆市场上，x86架构的防火墙将成为主流；在高端千兆市场上，基于NP的防火墙将占有较大的市场分额。

网络病毒肆虐，可以在极短的时间内传遍全球，并造成了无法估量的损失，而启明星辰公司天清汉马防火墙中独特的网关病毒过滤功能，可以通过防火墙和网关病毒过滤的协同工作，有效地防治和查杀病毒，让企业不再承受病毒之苦。

本方案中，Check Point的安全管理架构可对防火墙、VPN乃至其它网络设备进行集中式管理，方便、快捷且节约成本。Check Point开放式安全平台(OPSEC?)伙伴i-Security SP-5500 提供3.2G的防火墙吞吐率;其热插拔电源冗余/硬盘镜像冗余/端口热备份使得系统不会因为硬件故障而中断运行，而Check Point VPN-1 Pro不单为该电信公司智能化及可靠性程度最高的安全保护，同时也简化了其互联网通信管理工作，i-Security SP-5500及 Check Point VPN-1 Pro配合使用可谓相得益彰。

广东省电信计费结算中心运营着中国第一个省级电信网络集中计费结算系统。该中心负责广东电信的所有话音电信业务的计费结算工作。

除了保护网络的边缘位置不受外部威胁的侵害，防火墙还可以在企业网内部阻止用户访问特殊的子网、工作组或者局域网(LAN)。XB网络为荷兰保险公司CZ提供可管理的安全服务，而该公司由于交互医疗保险信息的需要，必须同许多不同合作伙伴的网络进行互联。XB网络还为一家豪华轿车经销商Kroymans提供安全VPN服务，同样，Kroymans必须同Jaguar、Cadillac、Saab、Ferrari、Aston Martin和其它轿车制造商及经销商伙伴进行通信。XB网络还为荷兰很多地方政府提供安全服务，其中，具备以太网和数字用户线(DSL)接口的思科2600系列路由器上运行着思科IOS防火墙，可以保证流量的安全和子网的分离。