防火墙配置问答（下）

　　11、rsa 公钥／私钥对中为什么只看到公钥，私钥放在哪里？

　　私钥放在防火墙里，绝对需要保密的，公钥不需要保密，任何人都需要得到它。

　　12、vpn 联接不能建立的原因有哪些？

　　系统两边物理上不能连通；vpn 联接配置桉树不完全相同；vpn 联接的加密认证参数不同，连接是用手东方式，连接超时。

　　13、netst 防火墙支持h.323 ？

　　可以。打开tcp 端口的1720 　1503即可，并支持nat方式。

　　14、当两个内部网络都使用保留ip 地址时，通过vpn 通信，可以直接访问对方的ip  吗？

　　可以。Vpn 功能就是实现这个功能，在公共网络上传输的实际地址是两边防火墙的外网地址，真正的通讯数据封存。

　　15、配置代理时要注意什么？

　　防火墙只支持http ftp 协议

　　（１） 设置安全选项的“proxy ”,允许是用代理功能；

　　（２） 设置代理参数（set proxy ）,设置是否是用代理模式（缺省为否）和http 代理的端口（８０８０）；设置正确的dns ;然后启动防火墙时自动启动代理；
　　（３） 非透明模式下不要设置与代理相关的特别规则，客户机的ie正确设置代理，可以不设置dns ,dns功能都有防火墙处理；

　　（４） 透明模式下，客户端不需要设置代理，但需要将缺省网关设为防火墙，同时要求客户端处理自己的dns，如果没有内部网络的dns服务器的话，在防火墙上配置响应的nat和过虑规则允许内部网络的dns请求通过；

　　（５） 如果安全选项“drop ”需要使用add   iplist 添加允许使用代理的内部ip 网段表，不再此表中的内部ip 不使用代理；

　　（６） 如果没有“drop ”，则此ip 网段表表示的是不允许使用代理的地址表；

　　（７） 代理模式下，只能进行http 协议的url 过虑，但需要在http 内容设置中设置http的代理端口。