问题编号: 3372

问题主题: pix的预置安全机制问题

提问者: ea110297

提问时间: 2006-3-26 18:17:50

提问内容: 我一直有一个比较大的疑惑是关于pix的安全机制问题,虽然讲pix有内置的asa自适应安全算法,但是我看过很多的pix配置 部暑,如果用作router mode时,很多都只是简单的作nat和静态路由还有一些acl,如果是transparent mode则更为简单。
我有以下几个疑问:
1. 对于pix来讲,如果我不配置一些高级的安全策略的话,单纯作路由和nat和acl的话,它真能够有效阻挡那些常规的网络安全攻 击么?还是需要配置pix的工程师对安全***本身要有比较深入的认识然后比较有针对性的部暑安全策略呢?

2. 如果只在pix中应用简单的nat以及acl的话,那pix的比路由器的优势在哪里呢?

3. 在dmz里有台服务器,配合nat 0发布出去,并且使用fixup protocol http 8080,但我发觉只要dmz里服务器使用的是80来接受http的话,fixup 8080并不起作用呀,outside的机器也只能通过80来访问服务器的web呀?是什么原因呢?还是我理解fixup错误了 ?

4. 由于不太了解***的手段和原理,在配置安全产品时心里也不是很踏实,对安全和防***能力究竟到了哪个深度也没办法作评估,专家建 议网络安全初学者应该从哪个角度入手呢?谢谢!

5. 再问个额外的问题,在gsr12xxx上有个alarm的接口,76xx的c 东西,甲方问我这两个东西是怎么用的?顺道请教一下,谢谢!





回答者: lifeng_cisco

回答时间: 2006-3-26 19:53:56

回答内容: 问题1,2: 简单的fix acl和路由上的acl功能类似,但并非pix的安全功能和路由相同. pix对接口有安全级别的定义, 不同安全级别有不同的缺省规则, 而且pix有基于连接状态和上下文的安全检查功能,这是路由器不能做到的,例如对http中url/java等内容的检查, 例如fixup的功能等等. pix是有些高级命令,但为了使用方便, 缺省规则已经可以解决大部分问题.
问题3. 不太理解你的意思.如果只用80端口, 则不需要额外的8080的配置.

问题4. 其实你的想法是比较普遍的,实际上: 1)没有人能了解所有的安全***类型.2)并没有一种'绝对安全'的方案. 因此对网络安全的焦虑的心理是普遍存在的, 我们能做的,就是在现有条件下尽可能的增强安全性. 有一些文章可以看看, 例如: [url]http://www.cisco.com/global/cn/soluti urity/summarize/products_security_sum3.shtml

问题5. gsr alarm card:
[url]http://www.cisco.com/univercd/cc/td/doc/product/core/cis1200[/url] 0/cis12016/icg/hfricgpo.htm#1015550
7600 的c plane 是指控制平面,也就是引擎的处理模块,在c plane policying, 实现对控制平面的保护.




问题编号: 3371

问题主题: 我现在网络怎样进行部署能够达到安全的目的

提问者: mccna

提问时间: 2006-3-25 15:12:59

提问内容: 我的目的就是我是一个城域网,我要防止"傻b功",还有需要对***的内容进行检索.只需要我需要的信息.我现在网络中已经有ne tscreen 500 防火墙.我需要用上该设备.





回答者: lifeng_cisco

回答时间: 2006-3-26 17:29:02

回答内容: 采用cisco的设备,例如ids/ips,能够对http等应用中的字段做定义和告警,甚至中断连接.这从理论上是可行的.
如果必须采用netscreen的防火墙, 请到netscreen那边的专家论坛上去问问吧.
在实际情况中想传播'傻b功'的人是很卑鄙的, 他们通常不用直接写, 而是写成'法.*.功'或'大&法'等各种古怪写法, 增加了检查的难度.




问题编号: 3370

问题主题: 想了解如何比较系统的实现接入安全

提问者: iwanthome

提问时间: 2006-3-24 16:39:29

提问内容: 比如我想有几个功能:
1、动态分配ip --这个应该使用dhcp吧
2、用户接入网络需要使用用户、密码 ---这个使用802.1x
3、用户接入网络后自动检查防病毒等情况 --这个使用nac吗?
4、用户接入网络的accounting信息,比如什么mac、什么ip、什么交换机端口的日志信息 ----这个用什么呢?

不知道这些是否属于nac的范畴?另外可以同时实现吗?记得看到过dhcp snooping不能和802.1x同时使用。

多谢!





回答者: litao_cisco

回答时间: 2006-3-25 0:03:56

回答内容: 1. 一般来说是 dhcp.
2. .要看您采用什么形式接入网络。802.1x 主要适用与 lan/ wlan模式。其它方式也支持用户/口令模式。
3. nac是控制用户对网络资源的访问控制。nac 可以和防病毒软件配合使用。
4. 采用 cisco access server 可以记录一些用户信息。思科的cnr可以支持这些信息。需要script 实现。
5. nac 是一个不断丰富的解决方案。用户的需求肯定会满足的。




问题编号: 3369

问题主题: asa-ssm-aip对该产品进行签名库的升级问题?

提问者: lcschina

提问时间: 2006-3-24 16:29:59

提问内容: asa-ssm-aip模块签名库升级我时候必须购买思科服务?如果没有license模块则时候还是执行现在本身具有的签名库 ,如果我连demo的license也没有,ips功能相当于没有打开?

该产品思科的服务对应的产品编号是那个?





回答者: yuchao_cisco

回答时间: 2006-3-24 22:59:56

回答内容: 如果没有买服务,签名库可以工作,只是不能升级新的签名库

购买的服务是

什么是针对***防御系统的思科服务(cisco service for ips)?



思科ips服务是思科技术支持服务的一个组成部分,它将 cisco smartnet® 或 cisco smartnet onsite 提供的支持与签名文件更新相结合,为用户运行思科ips解决方案提供最前沿的技术支持与持续的安全***防御、提高解决方案性能, 以及提供维护支持。



思科针对ips解决方案有两种不同的服务形式。第一种是将 cisco smartnet® 与签名文件更新及可用性通知相结合的服务,称为“cisco services for ips”,服务代码为“con-suxx”;第二种是只提供签名文件更新及可用性通知的服务,成为“cisco services for ips standal shared support服务捆绑销售。



针对***防御系统的思科服务(cisco service for ips)含那些支持?



• 新的或更新签名文件的可用性通知

• 访问每个已注册 ips 的签名文件库和新签名文件

• 为每个注册过的 ips提供 经许可使用的*作系统软件支持。软件更新包括维护、次要版 本和主要版本提供

• 对思科技术支持中心(technical assistance center,tac)的访问

• 对 cisco.com 及其在线技术信息的注册访问、安全知识库以及服务请求管理工具

• 从远程获得思科技术支持中心(tac)安全工程师的支持

• 多种硬件备件先行更换,取决于客户需求和所选范围





针对***防御系统的思科服务(cisco service for ips)含哪些服务级别?



c - cisco services for ips 8x5xnbd

c - cisco services for ips 8x5x4

c - cisco services for ips 7x24x4

c - cisco services for ips onsite engineer, 8x5xnbd

c - cisco services for ips onsite engineer, 8x5x4

c - cisco services for ips onsite engineer, 7x24x4





cisco smartnet服务是否仍支持ips 设备、ips 路由器模块和 catalyst ips 服务模块?



cisco smartnet服务不再支持ips 设备、ips 路由器模块和 catalyst ips 服务模块,而代之以针对ips解决方案的思科服务。思科 smartnet 支持适用于保护大多数必须以最佳性能运行的网络解决方案。但是,思科 smartnet支持不包括适用于确保 ips 设备、ips 交换机模块或 ips 路由器模块以最高性能运行的所有服务组件。

思科的合作伙伴不能够再转售以前用于这些解决方案的smartnet服务,而必须转售面思科ips服务,服务代码为:c uxx。

举例说明:如果客户欲购买“ids-4215-k9",客户不能选择购买smartnet,而需要购买ips service.如果客户选择购买c



针对***防御系统的思科服务级别与smartnet服务级别对比如下:



备件更换选项
smartnet skus
对应的ips service skus

8x5xnbd
c
c

8x5x4
c
c

7x24x4
c
c

7x24x2
c
c

8x5xnbd on-site
c
c

8x5x4 on-site
c
c

7x24x2 on-site
c
c






shared support合作伙伴在购买ips设备,ips路由器模块和catalyst ips服务模块的时候,应该购买什么样的服务?



shared support合作伙伴应该为此类产品购买思科shared support服务,同时还应该购买ips-standal



举例说明:

如果shared support合作伙伴想订购“ids-4250-sx-k9”, 它至少应该购买 “con-csspd-ids4250s” shared support服务和ips standal 。



客户为什么应该购买思科ips服务?



网络防护的范围与签名文件及时更新有关。针对ips解决方案的思科服务在最新的签名文件可用时会预先提醒客户。这样一来,该服务 在客户关注于以下方面时可以为其提供帮助:



• 通过减少对企业的破坏,加上有效的智能化工具、应用程序和流程,提高企业生产力。

• 通过预防性地检测并阻止安全威胁,提高企业弹性

• 通过减少资本支出并降低运营成本保护其网络投资,提供市场最低的总体拥有成本 (tco)

• 通过保护网络免受安全***来保持敏感业务、员工和客户信息的完整性和隐私。



思科ips服务报价



•思科ips服务的列表价能在pricing tool上下载。网址如下:

[url]http://www.cisco.com/cgi-bin/front.x/pricing?request=viewdow[/url] nloadlistpage&listtype=service



•c service and support price list文件中,而ips standal service,即c support price list中。



c

c



订购思科ips服务



思科ips服务既可通过ipc系统,亦可通过scc系统下单。





问题编号: 3368

问题主题: netflow流量分析与网络安全设备的联动问题

提问者: ea110297

提问时间: 2006-3-24 16:06:54

提问内容: 专家,您好,请教两个问题:

1. 目前我网络中的7609只是将netflow导出至cisco info center usm中作流量监控与分析,我的想法是能不能将netflow导出至如idsm2的ip或者fwsm中作一些ids检测或者ip s安全流量过滤的功能呢?谢谢!

2. 还有一个问题是我查6500 whole book里原文是这样描述的:"nde on the msfc does not support sampled netflow",但同时又讲:“mls netflow sampling”--enable sampled netflow on the 3 layer interface",我觉得非常矛盾,请专家指点,谢谢!





回答者: yuchao_cisco

回答时间: 2006-3-24 22:55:15

回答内容: 1。不行。netflow送出的是包头信息,没有整个数据包的信息
2。•release 12.1(13)e and later releases support sampled netflow on the pfc.

•nde on the msfc does not support sampled netflow.

应该是讲sampled netflow必须要在pfc上实现,只是msfc是不能做sampled netflow的

 

问题编号: 3372

问题主题: pix的预置安全机制问题

提问者: ea110297

提问时间: 2006-3-26 18:17:50

提问内容: 我一直有一个比较大的疑惑是关于pix的安全机制问题,虽然讲pix有内置的asa自适应安全算法,但是我看过很多的pix配置 部暑,如果用作router mode时,很多都只是简单的作nat和静态路由还有一些acl,如果是transparent mode则更为简单。
我有以下几个疑问:
1. 对于pix来讲,如果我不配置一些高级的安全策略的话,单纯作路由和nat和acl的话,它真能够有效阻挡那些常规的网络安全攻 击么?还是需要配置pix的工程师对安全***本身要有比较深入的认识然后比较有针对性的部暑安全策略呢?

2. 如果只在pix中应用简单的nat以及acl的话,那pix的比路由器的优势在哪里呢?

3. 在dmz里有台服务器,配合nat 0发布出去,并且使用fixup protocol http 8080,但我发觉只要dmz里服务器使用的是80来接受http的话,fixup 8080并不起作用呀,outside的机器也只能通过80来访问服务器的web呀?是什么原因呢?还是我理解fixup错误了 ?

4. 由于不太了解***的手段和原理,在配置安全产品时心里也不是很踏实,对安全和防***能力究竟到了哪个深度也没办法作评估,专家建 议网络安全初学者应该从哪个角度入手呢?谢谢!

5. 再问个额外的问题,在gsr12xxx上有个alarm的接口,76xx的c 东西,甲方问我这两个东西是怎么用的?顺道请教一下,谢谢!





回答者: lifeng_cisco

回答时间: 2006-3-26 19:53:56

回答内容: 问题1,2: 简单的fix acl和路由上的acl功能类似,但并非pix的安全功能和路由相同. pix对接口有安全级别的定义, 不同安全级别有不同的缺省规则, 而且pix有基于连接状态和上下文的安全检查功能,这是路由器不能做到的,例如对http中url/java等内容的检查, 例如fixup的功能等等. pix是有些高级命令,但为了使用方便, 缺省规则已经可以解决大部分问题.
问题3. 不太理解你的意思.如果只用80端口, 则不需要额外的8080的配置.

问题4. 其实你的想法是比较普遍的,实际上: 1)没有人能了解所有的安全***类型.2)并没有一种'绝对安全'的方案. 因此对网络安全的焦虑的心理是普遍存在的, 我们能做的,就是在现有条件下尽可能的增强安全性. 有一些文章可以看看, 例如: [url]http://www.cisco.com/global/cn/soluti urity/summarize/products_security_sum3.shtml

问题5. gsr alarm card:
[url]http://www.cisco.com/univercd/cc/td/doc/product/core/cis1200[/url] 0/cis12016/icg/hfricgpo.htm#1015550
7600 的c plane 是指控制平面,也就是引擎的处理模块,在c plane policying, 实现对控制平面的保护.




问题编号: 3371

问题主题: 我现在网络怎样进行部署能够达到安全的目的

提问者: mccna

提问时间: 2006-3-25 15:12:59

提问内容: 我的目的就是我是一个城域网,我要防止"傻b功",还有需要对***的内容进行检索.只需要我需要的信息.我现在网络中已经有ne tscreen 500 防火墙.我需要用上该设备.





回答者: lifeng_cisco

回答时间: 2006-3-26 17:29:02

回答内容: 采用cisco的设备,例如ids/ips,能够对http等应用中的字段做定义和告警,甚至中断连接.这从理论上是可行的.
如果必须采用netscreen的防火墙, 请到netscreen那边的专家论坛上去问问吧.
在实际情况中想传播'傻b功'的人是很卑鄙的, 他们通常不用直接写, 而是写成'法.*.功'或'大&法'等各种古怪写法, 增加了检查的难度.




问题编号: 3370

问题主题: 想了解如何比较系统的实现接入安全

提问者: iwanthome

提问时间: 2006-3-24 16:39:29

提问内容: 比如我想有几个功能:
1、动态分配ip --这个应该使用dhcp吧
2、用户接入网络需要使用用户、密码 ---这个使用802.1x
3、用户接入网络后自动检查防病毒等情况 --这个使用nac吗?
4、用户接入网络的accounting信息,比如什么mac、什么ip、什么交换机端口的日志信息 ----这个用什么呢?

不知道这些是否属于nac的范畴?另外可以同时实现吗?记得看到过dhcp snooping不能和802.1x同时使用。

多谢!





回答者: litao_cisco

回答时间: 2006-3-25 0:03:56

回答内容: 1. 一般来说是 dhcp.
2. .要看您采用什么形式接入网络。802.1x 主要适用与 lan/ wlan模式。其它方式也支持用户/口令模式。
3. nac是控制用户对网络资源的访问控制。nac 可以和防病毒软件配合使用。
4. 采用 cisco access server 可以记录一些用户信息。思科的cnr可以支持这些信息。需要script 实现。
5. nac 是一个不断丰富的解决方案。用户的需求肯定会满足的。




问题编号: 3369

问题主题: asa-ssm-aip对该产品进行签名库的升级问题?

提问者: lcschina

提问时间: 2006-3-24 16:29:59

提问内容: asa-ssm-aip模块签名库升级我时候必须购买思科服务?如果没有license模块则时候还是执行现在本身具有的签名库 ,如果我连demo的license也没有,ips功能相当于没有打开?

该产品思科的服务对应的产品编号是那个?





回答者: yuchao_cisco

回答时间: 2006-3-24 22:59:56

回答内容: 如果没有买服务,签名库可以工作,只是不能升级新的签名库

购买的服务是

什么是针对***防御系统的思科服务(cisco service for ips)?



思科ips服务是思科技术支持服务的一个组成部分,它将 cisco smartnet® 或 cisco smartnet onsite 提供的支持与签名文件更新相结合,为用户运行思科ips解决方案提供最前沿的技术支持与持续的安全***防御、提高解决方案性能, 以及提供维护支持。



思科针对ips解决方案有两种不同的服务形式。第一种是将 cisco smartnet® 与签名文件更新及可用性通知相结合的服务,称为“cisco services for ips”,服务代码为“con-suxx”;第二种是只提供签名文件更新及可用性通知的服务,成为“cisco services for ips standal shared support服务捆绑销售。



针对***防御系统的思科服务(cisco service for ips)含那些支持?



• 新的或更新签名文件的可用性通知

• 访问每个已注册 ips 的签名文件库和新签名文件

• 为每个注册过的 ips提供 经许可使用的*作系统软件支持。软件更新包括维护、次要版 本和主要版本提供

• 对思科技术支持中心(technical assistance center,tac)的访问

• 对 cisco.com 及其在线技术信息的注册访问、安全知识库以及服务请求管理工具

• 从远程获得思科技术支持中心(tac)安全工程师的支持

• 多种硬件备件先行更换,取决于客户需求和所选范围





针对***防御系统的思科服务(cisco service for ips)含哪些服务级别?



c - cisco services for ips 8x5xnbd

c - cisco services for ips 8x5x4

c - cisco services for ips 7x24x4

c - cisco services for ips onsite engineer, 8x5xnbd

c - cisco services for ips onsite engineer, 8x5x4

c - cisco services for ips onsite engineer, 7x24x4





cisco smartnet服务是否仍支持ips 设备、ips 路由器模块和 catalyst ips 服务模块?



cisco smartnet服务不再支持ips 设备、ips 路由器模块和 catalyst ips 服务模块,而代之以针对ips解决方案的思科服务。思科 smartnet 支持适用于保护大多数必须以最佳性能运行的网络解决方案。但是,思科 smartnet支持不包括适用于确保 ips 设备、ips 交换机模块或 ips 路由器模块以最高性能运行的所有服务组件。

思科的合作伙伴不能够再转售以前用于这些解决方案的smartnet服务,而必须转售面思科ips服务,服务代码为:c uxx。

举例说明:如果客户欲购买“ids-4215-k9",客户不能选择购买smartnet,而需要购买ips service.如果客户选择购买c



针对***防御系统的思科服务级别与smartnet服务级别对比如下:



备件更换选项
smartnet skus
对应的ips service skus

8x5xnbd
c
c

8x5x4
c
c

7x24x4
c
c

7x24x2
c
c

8x5xnbd on-site
c
c

8x5x4 on-site
c
c

7x24x2 on-site
c
c






shared support合作伙伴在购买ips设备,ips路由器模块和catalyst ips服务模块的时候,应该购买什么样的服务?



shared support合作伙伴应该为此类产品购买思科shared support服务,同时还应该购买ips-standal



举例说明:

如果shared support合作伙伴想订购“ids-4250-sx-k9”, 它至少应该购买 “con-csspd-ids4250s” shared support服务和ips standal 。



客户为什么应该购买思科ips服务?



网络防护的范围与签名文件及时更新有关。针对ips解决方案的思科服务在最新的签名文件可用时会预先提醒客户。这样一来,该服务 在客户关注于以下方面时可以为其提供帮助:



• 通过减少对企业的破坏,加上有效的智能化工具、应用程序和流程,提高企业生产力。

• 通过预防性地检测并阻止安全威胁,提高企业弹性

• 通过减少资本支出并降低运营成本保护其网络投资,提供市场最低的总体拥有成本 (tco)

• 通过保护网络免受安全***来保持敏感业务、员工和客户信息的完整性和隐私。



思科ips服务报价



•思科ips服务的列表价能在pricing tool上下载。网址如下:

[url]http://www.cisco.com/cgi-bin/front.x/pricing?request=viewdow[/url] nloadlistpage&listtype=service



•c service and support price list文件中,而ips standal service,即c support price list中。



c

c



订购思科ips服务



思科ips服务既可通过ipc系统,亦可通过scc系统下单。





问题编号: 3368

问题主题: netflow流量分析与网络安全设备的联动问题

提问者: ea110297

提问时间: 2006-3-24 16:06:54

提问内容: 专家,您好,请教两个问题:

1. 目前我网络中的7609只是将netflow导出至cisco info center usm中作流量监控与分析,我的想法是能不能将netflow导出至如idsm2的ip或者fwsm中作一些ids检测或者ip s安全流量过滤的功能呢?谢谢!

2. 还有一个问题是我查6500 whole book里原文是这样描述的:"nde on the msfc does not support sampled netflow",但同时又讲:“mls netflow sampling”--enable sampled netflow on the 3 layer interface",我觉得非常矛盾,请专家指点,谢谢!





回答者: yuchao_cisco

回答时间: 2006-3-24 22:55:15

回答内容: 1。不行。netflow送出的是包头信息,没有整个数据包的信息
2。•release 12.1(13)e and later releases support sampled netflow on the pfc.

•nde on the msfc does not support sampled netflow.

应该是讲sampled netflow必须要在pfc上实现,只是msfc是不能做sampled netflow的