浅析如何让Cisco防火墙启动密钥更安全

    毋庸置疑，防火墙是企业网络很好的“看门狗”。有了防火墙的保护，可以大大减少企业内部网络的外部攻击事件。从而保护企业内部网络与数据的安全。不过最好的工具还是需要网络安全人员去管理。若管理不当的话，思科防火墙就好象一堆旧铜烂铁，没有起到丝毫的安全保护作用。

　　而启动密钥的管理，则是思科防火墙安全性配置中的一个重要环节。启动密钥是防火墙操作系统的许可密钥，它跟服务器的用户名与口令相同的重要。若这个密钥泄露的话，则防火墙的任何配置如同虚设。为此，防火墙启动密钥的管理，就显得格外的重要。

　　一、启动密钥更改的方法

　　Cisco防火墙启动密钥更改主要有三种方式。根据其版本的不同，略有所不同。在6.2版本以前的防火墙中，若要对启动密钥进行更改或者升级，则需要在监控模式下更改。在6.2以后的防火墙中，思科引入了一些更加安全的解决方案，即远程升级或者更改防火墙的许可证。这种方法不需要进入到防火墙的监控模式，更不需要替代软件印象。防火墙管理员若采用这种新型的解决方案，就可以从CLI为一个不同的PIX防火墙许可证输入一个新的启动密钥。所以其实现起来相对来说比较简单，同时又不降低其安全性。

　　以上这三种方法虽然其实现方式有所差异，但是其目的都是相同的。就是达到实现更改或者升级启动密钥的目的。通常情况下，若出现以下状况时，往往需要采用这些方法对启 动密钥进行更改或者升级。

　　一是防火墙当前没有启动虚拟专用网数据加密标准或者虚拟专用网加密功能。现在不少的思科防火墙中，除了传统的防火墙功能之外，还提供了对虚拟专用网数据的支持。也就是说，防火墙提供了DES或者3DES等解决方案来应对虚拟专用网与防火墙传统功能的融合问题。从而实现把虚拟专用网安全也纳入到防火墙的管理之中。

　　二是当防火墙不能够激活故障切换功能时，就需要采用这些方法来结局问题。如在思科的PIX535防火墙中，就有故障切换软件许可。即包含故障切换软件许可的PIX535 工作在热备用模式下。作为维护当前对话的完整的冗余系统，他能够以很低的价格提供非常高的可用性。故对于防火墙依赖比较高的企业，故障切换功能是一个很实用的功能。若企业在日常的维护中，发现防火墙不能够成功激活故障切换功能的话(前提是防火墙支持这个功能)，则最好对防火墙的启动密码进行重新设置或者升级。通常情况下，如此处理后，就可能解决这个问题。

　　三是防火墙从一个基于连接的许可证升级到一个基于特性的许可证时，需要升级或者更改启动密码。PIX 防火墙的许可有Unrestricted, Restricted, and Fail-Over三种配置。这些基本的配置都可以用DES 和3DES来加强虚拟专用网的安全性。Unrestricted许可操作在UR模式下的PIX 防火墙答应支持最大数目的接口和最大可支持的内存。UR的许可支持热备份冗余，最小化网络当机的时间。Restricted许可操作在R模式下的PIX 防火墙限制支持的接口数和支持的内存大小。限制的许可特性提供对那些小网络的应用价格优化的防火墙方案。限制的许可特性不支持冗余的FO特性。Fail-Ove许可操作在FO模式下的PIX 防火墙跟另一台带UR许可证的防火墙协同工作，提供一个热冗余备份的结构。FO许可证提供基于状态的容错特性，从而使能高可用性的网络结构。在FO模式下的PIX 防火墙维护跟主放火强完全一样的连接实时状态，从而最小化因为设备或网络失败而引起连接失败的几率。　　UR和FO的许可证有完全一样的特征和性能指数。UR和FO的防火墙中间需要Fail-over的电缆线。当前的PIX防火墙是基于特性集的许可证，这类许可秘匙限定哪些特性可用，哪些特性不可用。以前的PIX放火墙支持基于连接数的秘匙系统，它是限定PIX放火墙支持的最大连接数。为了统一和易于治理的目的，当前的PIX防火墙都支持基于特性集的许可证。若防火墙管理员把许可从给予连接的许可证升级到一个基于特性的许可证的话，就需要对启动密码进行更改或者升级。

　　二、防火墙启动密码升级或者更改注意事项

　　在防火墙启动密码管理中，最重要的就是区分不同的应用情况。因为不同的应用场景，其需要不同的操作方式。

　　如正常情况下，企业安全管理人员更改启动密钥之后，必须重新启动防火墙才能够启用新的许可证，即更改后的启动密钥才能够生效。但是，若安全管理人员正在升级一个较新的版本并且在升级的同时更改启动密码，则往往需要把防火墙重新启动两次才能够成功应用新的许可证。第一次重新启动之后防火墙会安装新的印象;第二次重新启动之后才会采用新的许可证书。这是思科防火墙管理者在实际工作中经常容易犯错的地方。

　　另外，若防火墙管理员发现新版本的防火墙操作系统用的不习惯，就好像大家用不惯Vista操作系统，而重新采用XP操作系统一样，有时会也难免会把防火墙操作系统从高版本降低到低版本。此时，企业网络安全人员就需要特别注意。在安装低版本的软件印象之前，要确保正在系统上使用的启动密钥不是在较高版本中使用的。如果启动密钥真的是在高版本中使用的，则设置起来就需要多个步骤，即在安装与重新启动防火墙之前，要首先将启动密钥改为与低版本防火墙兼容的启动密钥。若不怎么处理的话，防火墙重新启动之后，防火墙操作系统将会拒绝重新加载。

　　所以虽然说启动密钥只是防火墙安全中的第一个关口，但是，其管理起来可是一点都不轻松。作为一个合格的防火墙管理人员，需要非常手续各种不同状况下的注意点与操作方法。否则的话，可能会到处碰壁。

　　三、启动密钥不同的应用情形

　　启动密钥的状态往往有以下三种不同的应用情形。一是比较正常的情况，即运行在防火墙闪存中的启动密钥与运行在防火墙上的启动密钥相同;二是运行在防火墙闪存中的启动密钥与运行在防火墙上的启动密钥不相同;三是防火墙闪存中的软件印象版本与运行在防火墙软件版本印象不同。这都是因为启动密钥的应用情形不同所造成的。若企业安全管理人员需要了解启动密钥的不同使用状态，则可以利用命令Show ACTIVATION-KEY命令来查看启动密钥的当前状态。通过系统的英文提示，企业安全管理人员就会了解启动密钥的当前状态。

　　总之，无论是专业的思科防火墙管理人员，还是企业安全管理专家，都需要非常深入的了解防火墙启动密钥的管理与注意事项。而千万不能够不把启动密钥当作一回事情，不然的话，企业早晚会受到其惩罚。笔者在日常工作中，对此可是一点都不敢马虎;对于思科的防火墙启动密钥可是好好呵护着，一点都不敢大意。其实，启动密钥的管理没有多少难度，只是需要清楚在什么时候需要更改或者升级启动密钥;在不同的应用背景下各需要注意什么，如什么时候需要重新启动两次后新的许可证才能够启动或者从较高版本降到较低版本时要注意密钥的兼容性等等。掌握这些内容之后，防火墙启动密钥的管理就会简单许多。

　　总之，防火墙的启动密钥是企业防火墙安全与网络安全的一个重要组成部分。作为一个网络安全专家，千万不能够把启动密钥当作摆设。