问题编号:1
提问内容: ASA5510做client***,5510的内网地址与client***用户的本地地址重叠,请问怎么解决?
192.168.1.0/24inside--ASA5510--ISP--ROUTER--192.168.1.0/24 client***
回答内容: ×××接入用户可以自行安排一段IP, 内部L3设备设置静态路由指向ASA内部接口即可
问题编号:2
提问内容: 请问PIX 535和ASA系列,能否做到将两个端口绑定在一起,作用与SWITCH的PORT-CHANNEL,路由器的channel-group?
回答内容: ASA/pix没有ether channel功能
问题编号:3
提问内容: 我们学校互联网出口使用了一台PIX535防火墙,目前通过MRTG监测软件发现连接数已达到70万,但实际我们的用户也就四千人,此种情况是否代表有安全***存在,有什么命令可以在设备上查看具体连接细节吗,是不是TCP半连接太多,在PIX上使用什么命令可以防范半连接***?
回答内容: 利用 show connection以及show local-host, 建议限制内部IP对外的会话数量,启用外部连接的tcp syn cookie功能
问题编号:4
提问内容: 请问asa5500的冗余工作模式A/S是否通过hello包的机制来检测对端故障?检测时间是多少,hello包的传递是通过failover link吗?还有,asa5500工作在a/s时,是否可直接连接路由器,如果只能通过交换机连接路由器,那交换机的作用是什么?
回答内容: ASA的冗余有两类数据,一个是hello,一个是状态信息.所以可以做到完全切换,用户连接无需中断.最好将两类数据分别置入不同的冗余VLAN进行传输.
ASA的冗余连接建议通过交换机,也就是L2的连接方式
问题编号:5
提问内容: asa5500支持A/A工作模式,是否通过context实现?如果是,在物理接口侧是不是启用子接口方式将不同子接口划入不同的Context实现A/A?
回答内容: ASA5500的A/A是通过虚拟防火墙的方式实现, 具体连接支持物理与逻辑线路等多种方式
问题编号:6
提问内容:现在的情况是这样的,我有一台内网服务器的WEB服务要对外发布,我在ASA5520上面做了静态NAT:static (dmz,outside) tcp 10.1.1.1 80 192.168.1.1 80 netmask 255.255.255.255 0 0
conduit permit tcp host 10.1.1.1 eq 80 any但是却不起作用(排除WEB服务器及应用的故障可能)
回答内容: 应该设置outside端口的ACL, 允许外部用户访问 permit tcp any host 10.1.1.1 eq 80
问题编号:7
提问内容:
A点PIX上有一固定IP
B点PIX无固定IP,使用ADSL拨号
现在想使用×××让两个网络互相访问
目前为止找到的site to site例子都有固定IP的
回答内容: 在总部一端设置动态crptomap即可,连接由分支设备发起.
问题编号:8
提问内容: Cisco ASA 5520有几个功能模块?
回答内容: IPS功能的AIP SSM以及Anti-X功能的CSC SSM模块,另外还有4GE的端口扩展模块
问题编号:9
提问内容: 一根网通,一根电信。
能否实现数据(基于目的地址)的自动分流?
回答内容: 可以通过虚拟防火墙的方式支持多ISP的接入
问题编号:10
提问内容: ASDM想比PDM是否有更多功能?和PDM相比,ASDM的配置是否可以达到更细致的配置?哪些配置是ASDM不能完成的?
回答内容: ASDM比PDM要强大许多, 也更为细致, 安装ASDM之后有演示功能,建议尝试一下
问题编号:11
提问内容: ASA的命令格式和PIX有无区别?ASA默认是否支持透明模式?
回答内容: ASA与PIX配置保持一致,可以支持透明模式
问题编号:12
提问内容: 我对UTM产品非常感兴趣,比如cisco的ASA产品系列。现在想问一下专家ASA的防病毒模块是用的哪一家的产品,cisco怎样提供升级?
回答内容: TrendMicro, 由TM提供在线升级,可以通过思科购买升级服务
问题编号:13
提问内容: ASA5510中UTM防病毒为什么有用户数限制?
回答内容: 最多1000在线用户
问题编号:14
提问内容: 我在配置asa的时候发现,在应用acl到接口上时多了一个out选项,而pix上只有in选项,请问asa防火墙为什么要做出这样的改变,它的好处在哪里?
回答内容: 在一个端口上提供双向ACL的选择
问题编号:15
提问内容: 请问如果某个在INSIDE接口内的设备(使用私有地址),在连接INERNET的 OUTSIDE接口做了映射(static),配合ACL命令实现了安全等级从低向高的访问,但假设不配置NAT命令能否实现对INTERNET的访问。
回答内容: 可以, 只要在FW的xlate中有翻译表项即可
问题编号:16
提问内容: 一个有300个节点的网络,同时有5台服务器,对外提供WEB,FTP,MAIL,ERP,CRM,OA服务,这样的一个网络,CISCO的哪种防火墙产品比较合适,需要多大的吞吐量,并发连接数和安全带宽
回答内容: 5510/5520都可以,5510的FW吞吐量为300,总连接数为50000或130000, 新建连接数为6000/秒,5520的指标分别为450,280,000与9,000
问题编号:17
提问内容: 现所有LAN内主机缺省网关指向一台ASA5520,现需通过另一台与ASA在同一网段的路由器访问另一网段的分支机构,在ASA上增加指向分支机构网段的静态路由,但是LAN内主机无法访问分支机构网段,经查发现数据包到ASA后,ASA根本没发路由重定向的包给LAN内主机。请问专家应如何解决以上问题?
回答内容: 基于安全,ASA禁止ip redirect,因此不会发重定向。
ASA缺省也不会让从一个interface进入的数据再从这个interface出去,所以ASA把你的数据包丢弃了。可以配置以下命令:
same-security-traffic permit intra-interface
这样ASA就可以允许数据从同一个接口进出,解决你的问题。
问题编号:18
提问内容: 每秒连接数大概是多少?
FWSM的cpu主要处理哪些任务,硬件完成哪些任务?cpu利用率在什么值以下比较安全?
回答内容: FWSM每秒新建连接数为10万,这是Cisco防火墙的优势所在,FWSM还支持100万的并发连接数。FWSM是NP架构,共有3个NP做处理。
问题编号:19
提问内容: 我以前对PIX比较熟悉,我想问一下,ASA和PIX的主要区别在哪里?配置有多大的区别?
回答内容: ASA全新硬件设计,同等档次下,实际性能比PIX高。所使用的软件版本区别不大,配置命令一样。
问题编号:20
提问内容: 现公司有cisco ASA 5510 一台,怎么使用它来封QQ?
回答内容: 比较麻烦,QQ有很多服务器端端口,要逐个查出来封住,也可以根据QQ软件中列出的服务器IP做策略。但网上有很多私设的QQ代理服务器,如果用户用这种方式登录,则很难封住。ASA暂时还没有关于QQ的应用检测。
提问内容: ASA5510做client***,5510的内网地址与client***用户的本地地址重叠,请问怎么解决?
192.168.1.0/24inside--ASA5510--ISP--ROUTER--192.168.1.0/24 client***
回答内容: ×××接入用户可以自行安排一段IP, 内部L3设备设置静态路由指向ASA内部接口即可
问题编号:2
提问内容: 请问PIX 535和ASA系列,能否做到将两个端口绑定在一起,作用与SWITCH的PORT-CHANNEL,路由器的channel-group?
回答内容: ASA/pix没有ether channel功能
问题编号:3
提问内容: 我们学校互联网出口使用了一台PIX535防火墙,目前通过MRTG监测软件发现连接数已达到70万,但实际我们的用户也就四千人,此种情况是否代表有安全***存在,有什么命令可以在设备上查看具体连接细节吗,是不是TCP半连接太多,在PIX上使用什么命令可以防范半连接***?
回答内容: 利用 show connection以及show local-host, 建议限制内部IP对外的会话数量,启用外部连接的tcp syn cookie功能
问题编号:4
提问内容: 请问asa5500的冗余工作模式A/S是否通过hello包的机制来检测对端故障?检测时间是多少,hello包的传递是通过failover link吗?还有,asa5500工作在a/s时,是否可直接连接路由器,如果只能通过交换机连接路由器,那交换机的作用是什么?
回答内容: ASA的冗余有两类数据,一个是hello,一个是状态信息.所以可以做到完全切换,用户连接无需中断.最好将两类数据分别置入不同的冗余VLAN进行传输.
ASA的冗余连接建议通过交换机,也就是L2的连接方式
问题编号:5
提问内容: asa5500支持A/A工作模式,是否通过context实现?如果是,在物理接口侧是不是启用子接口方式将不同子接口划入不同的Context实现A/A?
回答内容: ASA5500的A/A是通过虚拟防火墙的方式实现, 具体连接支持物理与逻辑线路等多种方式
问题编号:6
提问内容:现在的情况是这样的,我有一台内网服务器的WEB服务要对外发布,我在ASA5520上面做了静态NAT:static (dmz,outside) tcp 10.1.1.1 80 192.168.1.1 80 netmask 255.255.255.255 0 0
conduit permit tcp host 10.1.1.1 eq 80 any但是却不起作用(排除WEB服务器及应用的故障可能)
回答内容: 应该设置outside端口的ACL, 允许外部用户访问 permit tcp any host 10.1.1.1 eq 80
问题编号:7
提问内容:
A点PIX上有一固定IP
B点PIX无固定IP,使用ADSL拨号
现在想使用×××让两个网络互相访问
目前为止找到的site to site例子都有固定IP的
回答内容: 在总部一端设置动态crptomap即可,连接由分支设备发起.
问题编号:8
提问内容: Cisco ASA 5520有几个功能模块?
回答内容: IPS功能的AIP SSM以及Anti-X功能的CSC SSM模块,另外还有4GE的端口扩展模块
问题编号:9
提问内容: 一根网通,一根电信。
能否实现数据(基于目的地址)的自动分流?
回答内容: 可以通过虚拟防火墙的方式支持多ISP的接入
问题编号:10
提问内容: ASDM想比PDM是否有更多功能?和PDM相比,ASDM的配置是否可以达到更细致的配置?哪些配置是ASDM不能完成的?
回答内容: ASDM比PDM要强大许多, 也更为细致, 安装ASDM之后有演示功能,建议尝试一下
问题编号:11
提问内容: ASA的命令格式和PIX有无区别?ASA默认是否支持透明模式?
回答内容: ASA与PIX配置保持一致,可以支持透明模式
问题编号:12
提问内容: 我对UTM产品非常感兴趣,比如cisco的ASA产品系列。现在想问一下专家ASA的防病毒模块是用的哪一家的产品,cisco怎样提供升级?
回答内容: TrendMicro, 由TM提供在线升级,可以通过思科购买升级服务
问题编号:13
提问内容: ASA5510中UTM防病毒为什么有用户数限制?
回答内容: 最多1000在线用户
问题编号:14
提问内容: 我在配置asa的时候发现,在应用acl到接口上时多了一个out选项,而pix上只有in选项,请问asa防火墙为什么要做出这样的改变,它的好处在哪里?
回答内容: 在一个端口上提供双向ACL的选择
问题编号:15
提问内容: 请问如果某个在INSIDE接口内的设备(使用私有地址),在连接INERNET的 OUTSIDE接口做了映射(static),配合ACL命令实现了安全等级从低向高的访问,但假设不配置NAT命令能否实现对INTERNET的访问。
回答内容: 可以, 只要在FW的xlate中有翻译表项即可
问题编号:16
提问内容: 一个有300个节点的网络,同时有5台服务器,对外提供WEB,FTP,MAIL,ERP,CRM,OA服务,这样的一个网络,CISCO的哪种防火墙产品比较合适,需要多大的吞吐量,并发连接数和安全带宽
回答内容: 5510/5520都可以,5510的FW吞吐量为300,总连接数为50000或130000, 新建连接数为6000/秒,5520的指标分别为450,280,000与9,000
问题编号:17
提问内容: 现所有LAN内主机缺省网关指向一台ASA5520,现需通过另一台与ASA在同一网段的路由器访问另一网段的分支机构,在ASA上增加指向分支机构网段的静态路由,但是LAN内主机无法访问分支机构网段,经查发现数据包到ASA后,ASA根本没发路由重定向的包给LAN内主机。请问专家应如何解决以上问题?
回答内容: 基于安全,ASA禁止ip redirect,因此不会发重定向。
ASA缺省也不会让从一个interface进入的数据再从这个interface出去,所以ASA把你的数据包丢弃了。可以配置以下命令:
same-security-traffic permit intra-interface
这样ASA就可以允许数据从同一个接口进出,解决你的问题。
问题编号:18
提问内容: 每秒连接数大概是多少?
FWSM的cpu主要处理哪些任务,硬件完成哪些任务?cpu利用率在什么值以下比较安全?
回答内容: FWSM每秒新建连接数为10万,这是Cisco防火墙的优势所在,FWSM还支持100万的并发连接数。FWSM是NP架构,共有3个NP做处理。
问题编号:19
提问内容: 我以前对PIX比较熟悉,我想问一下,ASA和PIX的主要区别在哪里?配置有多大的区别?
回答内容: ASA全新硬件设计,同等档次下,实际性能比PIX高。所使用的软件版本区别不大,配置命令一样。
问题编号:20
提问内容: 现公司有cisco ASA 5510 一台,怎么使用它来封QQ?
回答内容: 比较麻烦,QQ有很多服务器端端口,要逐个查出来封住,也可以根据QQ软件中列出的服务器IP做策略。但网上有很多私设的QQ代理服务器,如果用户用这种方式登录,则很难封住。ASA暂时还没有关于QQ的应用检测。
问题编号:21
提问内容: 现在很多防火墙基本都提供了大量的路由功能,路由器有的功能基本防火墙也都有了,那么路由器相对来讲还有存在的意思?
回答内容: 防火墙本身是个功能相对单一的策略控制设备,它更专注于安全控制。而路由器则有更广泛得多的功能要求。何况,并不是所有地方都需要使用策略控制手段的。根本上讲,这两种设备有不同的使用目的。
问题编号:22
提问内容:
现在网络中病毒很多,而且不断有新的病毒出来,我在使用防火墙的过程中,觉得防火墙的功能总是要慢病毒一步,现在很多厂家都说自己的墙如何如何强,其实对新病毒很难有一个好的办法的。所以请教一下,对这种新的病毒,我们的防火墙怎么应对?cisco的墙有哪些特殊针对新病毒的功能?谢谢
回答内容: 没有任何一种工具是无所不能的,防病毒需要从多个层面,运用多种手段。
ASA防火墙防病毒有很多手段,比如增加一个CSC防病毒模块,CSC模块本身是一个网关型防病毒设备,可以检查SMTP、POP3、HTTP、FTP四种协议的流量。或可以增加一个AIM模块,AIM是运行Cisco IPS软件的IPS模块,通常IPS设备都能有效防止蠕虫的传播和爆发。
另外,举一个例子,ASA可以限制每个IP的TCP或UDP的最大连接数,或者其NAT的最大连接数,这种方法也能有效地减轻病毒爆发后对网络性能、设备性能的冲击。
问题编号:23
提问内容: 在内部网络设置安全网关保护重点网络,请问CISCO的那种产品比较适合?
回答内容: 取决于性能、端口、扩展能力等要求。可以使用ASA系列产品,或6500系列交换机上的FWSM模块。
问题编号:24
提问内容: Cisco ASA 5500系列作为自适应安全设备,是否能够在windows本身漏洞百出的情况下也能提供安全防护,保护单位的业务关键服务和基础设施免遭蠕虫、***和其他威胁的影响,抵御病毒、间谍软件和泄密等恶意的网站威胁和基于内容的威胁。毕竟windows本身已知或还未知但已被***利用的漏洞太多。补订与杀毒软件都是滞后的。
回答内容: ASA有一定的主动防御功能,本身通过audit命令就可以防止很多IPS***。如果配置IPS模块,可以利用Cisco IPS的基于行为检测的功能,能够防止day-zero***,那么一些新出的蠕虫也可以防范。但根本还是整个安全体系的建设,不应该只依靠单个设备做抵御。配置的严谨性也非常重要。
问题编号:25
提问内容: 思科ASA5500 ips如何升级他的信息库
回答内容: 如果是指ASA上面的AIM模块,那么需要购买相应模块的IPS signature服务,购买后设备会获得license,有这个license后你可以从CCO网站下载最新的签名库安装。
ASA本身audit命令方式的IPS功能相对固定,升级较慢。
问题编号:26
提问内容: 我想问一下,关于Cisco ASA 5520 在Flash 中应该有那几个文件,我们公司的ASA我之前误操作把Flash清空了。而且提供的光盘上就只有两个模块可以用。时不时应该还有其它的一个或者两个文件?我应该怎么获得?谢谢!
回答内容: 至少要有一个操作系统文件,其格式通常是这样:asa721-k8.bin,还可以外加一个ASDM的文件,其格式通常是:asdm521.bin,有这个文件后你就可以用图形的方式配置ASA。
问题编号:27
提问内容: 两台ASA5520做Active/Active Failover
router 下连两台ASA5520
/ \
asa5520 asa5520
\ /
\ /
switch 上连两台ASA5520
\
pc
我是按照PIX722配置文档配置的。请问现在我的PC应该设那个ASA的网关 急!!!!
回答内容: A/A方式实际上是配置两组有A/S功能的context,每组负责一部分用户,所以你的PC设置哪一个网关都可以,前提是你的PC的子网地址分配符合你防火墙A/A的设计。
问题编号:28
提问内容: 我公司防火墙(PIX-515E)上有1个DMZ区、1个web区、inside、outside区,inside的机器通过域名方式访问该web区的某些映射公网服务器可以访问;但我现在有个新需求有1台服务器在indside区需要公网访问他,我按照原有的方式配置好后,公网可以通过域名地址等方式访问到这台服务器,但是我的inside区域其他机器无法通过访问公网地址和域名解析的方式访问这他服务器,只能已真实IP的方式访问这台服务器。是pix防火墙的不只支持统一区域的公网映射访问还是我配置有问题?如果是我配置的问题请做配置指导,谢谢!
我的防火墙OS的版本是:
PIX Version 6.3(4)
回答内容: 这是一个NAT doctoring的问题,6.3版本可以用alias命令解决,参见以下链接:
[url]http://www.cisco.com/en/US/docs/security/pix/pix63/command/reference/ab.html#wp1083304[/url]
问题编号:29
提问内容: 两台pix做***,一边有固定IP,一边是PPPOE,是否能实现,链路稳定么?如果PPPOE这边掉线***是否能再连上?
回答内容: 可以。链路稳定性取决于拨号线路而不是×××本身。PPPoE掉线再上线后,×××会自动重连。
问题编号:30
提问内容: 为什么我的配置做完静态映射后就无法上外网了呢?而且外网也无法PING到它,有没有存在和其他防火墙冲突的问题?映射外网前都还可以上,配置如下:(PIX506E)
User Access Verification
Password:
Type help or '?' for a list of available commands.
pixfirewall> en
Password:
Invalid password
Password: **************
pixfirewall# config t
pixfirewall(config)# show run
: Saved
:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password I14Z5BrmVtH5Vt/M encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.104.107 255.255.255.224
ip address inside 172.16.100.107 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 172.16.100.0 255.255.255.0 0 0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 192.168.104.111 172.16.100.111 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.113 172.16.100.113 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.110 172.16.100.104 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.122 172.16.100.66 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.124 172.16.100.105 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.109 172.16.100.155 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.102 172.16.100.102 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.103 172.16.100.103 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.112 172.16.100.109 netmask 255.255.255.255 0
0
conduit permit icmp any any
conduit permit tcp host 192.168.104.111 eq 776 any
conduit permit tcp host 192.168.104.111 eq 777 any
conduit permit tcp host 192.168.104.111 eq 800 any
conduit permit tcp host 192.168.104.111 eq 3724 any
conduit permit tcp host 192.168.104.111 eq 5800 any
conduit permit tcp host 192.168.104.111 eq 5801 any
conduit permit tcp host 192.168.104.111 eq 5890 any
conduit permit tcp host 192.168.104.111 eq 5891 any
conduit permit tcp host 192.168.104.111 eq 5892 any
conduit permit tcp host 192.168.104.111 eq 5900 any
conduit permit tcp host 192.168.104.111 eq pcanywhere-data any
conduit permit udp host 192.168.104.111 eq pcanywhere-status any
conduit permit tcp host 192.168.104.111 eq ftp any
conduit permit tcp host 192.168.104.111 eq www any
conduit permit tcp host 192.168.104.111 eq https any
conduit permit tcp host 192.168.104.113 any
conduit permit udp host 192.168.104.113 any
conduit permit tcp host 192.168.104.110 eq 5900 any
conduit permit tcp host 192.168.104.110 eq 5800 any
conduit permit tcp host 192.168.104.110 eq 5801 any
conduit permit tcp host 192.168.104.110 eq 5802 any
conduit permit tcp host 192.168.104.110 eq 5890 any
conduit permit tcp host 192.168.104.110 eq 5891 any
conduit permit tcp host 192.168.104.110 eq 5892 any
conduit permit tcp host 192.168.104.110 eq pcanywhere-data any
conduit permit udp host 192.168.104.110 eq pcanywhere-status any
conduit permit tcp host 192.168.104.122 any
conduit permit udp host 192.168.104.122 any
conduit permit tcp host 192.168.104.124 any
conduit permit udp host 192.168.104.124 any
conduit permit tcp host 192.168.104.109 any
conduit permit udp host 192.168.104.109 any
conduit permit tcp host 192.168.104.102 eq 3724 any
conduit permit tcp host 192.168.104.102 eq 5800 any
conduit permit tcp host 192.168.104.102 eq 5801 any
conduit permit tcp host 192.168.104.102 eq 5802 any
conduit permit tcp host 192.168.104.102 eq 5890 any
conduit permit tcp host 192.168.104.102 eq 5891 any
conduit permit tcp host 192.168.104.102 eq 5892 any
conduit permit tcp host 192.168.104.102 eq 5900 any
conduit permit tcp host 192.168.104.102 eq pcanywhere-data any
conduit permit udp host 192.168.104.102 eq pcanywhere-status any
conduit permit tcp host 192.168.104.103 eq 3724 any
conduit permit tcp host 192.168.104.103 eq 5800 any
conduit permit tcp host 192.168.104.103 eq 5801 any
conduit permit tcp host 192.168.104.103 eq 5890 any
conduit permit tcp host 192.168.104.103 eq 5891 any
conduit permit tcp host 192.168.104.103 eq 5892 any
conduit permit tcp host 192.168.104.103 eq 5900 any
conduit permit tcp host 192.168.104.103 eq pcanywhere-data any
conduit permit udp host 192.168.104.103 eq pcanywhere-status any
conduit permit tcp host 192.168.104.103 eq www any
conduit permit tcp host 192.168.104.102 eq www any
conduit permit tcp host 192.168.104.112 any
conduit permit udp host 192.168.104.112 any
route outside 0.0.0.0 0.0.0.0 192.168.104.97 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
http 172.16.100.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 172.16.100.17 /xmga2.conf
floodguard enable
telnet 172.16.100.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
username pico password I14Z5BrmVtH5Vt/M encrypted privilege 15
terminal width 80
Cryptochecksum:fd1149beeb7e811df470d340e6f10b5f
: end
外网是与另一台防火墙共用的,二者是平行的,
回答内容: 做静态映射后,相应内部主机对外访问时翻译的地址就已经不是防火墙外网口的地址,而是你静态映射指定的地址,请确认你的外网路由指向正确,而且不存在地址冲突。
提问内容: 现在很多防火墙基本都提供了大量的路由功能,路由器有的功能基本防火墙也都有了,那么路由器相对来讲还有存在的意思?
回答内容: 防火墙本身是个功能相对单一的策略控制设备,它更专注于安全控制。而路由器则有更广泛得多的功能要求。何况,并不是所有地方都需要使用策略控制手段的。根本上讲,这两种设备有不同的使用目的。
问题编号:22
提问内容:
现在网络中病毒很多,而且不断有新的病毒出来,我在使用防火墙的过程中,觉得防火墙的功能总是要慢病毒一步,现在很多厂家都说自己的墙如何如何强,其实对新病毒很难有一个好的办法的。所以请教一下,对这种新的病毒,我们的防火墙怎么应对?cisco的墙有哪些特殊针对新病毒的功能?谢谢
回答内容: 没有任何一种工具是无所不能的,防病毒需要从多个层面,运用多种手段。
ASA防火墙防病毒有很多手段,比如增加一个CSC防病毒模块,CSC模块本身是一个网关型防病毒设备,可以检查SMTP、POP3、HTTP、FTP四种协议的流量。或可以增加一个AIM模块,AIM是运行Cisco IPS软件的IPS模块,通常IPS设备都能有效防止蠕虫的传播和爆发。
另外,举一个例子,ASA可以限制每个IP的TCP或UDP的最大连接数,或者其NAT的最大连接数,这种方法也能有效地减轻病毒爆发后对网络性能、设备性能的冲击。
问题编号:23
提问内容: 在内部网络设置安全网关保护重点网络,请问CISCO的那种产品比较适合?
回答内容: 取决于性能、端口、扩展能力等要求。可以使用ASA系列产品,或6500系列交换机上的FWSM模块。
问题编号:24
提问内容: Cisco ASA 5500系列作为自适应安全设备,是否能够在windows本身漏洞百出的情况下也能提供安全防护,保护单位的业务关键服务和基础设施免遭蠕虫、***和其他威胁的影响,抵御病毒、间谍软件和泄密等恶意的网站威胁和基于内容的威胁。毕竟windows本身已知或还未知但已被***利用的漏洞太多。补订与杀毒软件都是滞后的。
回答内容: ASA有一定的主动防御功能,本身通过audit命令就可以防止很多IPS***。如果配置IPS模块,可以利用Cisco IPS的基于行为检测的功能,能够防止day-zero***,那么一些新出的蠕虫也可以防范。但根本还是整个安全体系的建设,不应该只依靠单个设备做抵御。配置的严谨性也非常重要。
问题编号:25
提问内容: 思科ASA5500 ips如何升级他的信息库
回答内容: 如果是指ASA上面的AIM模块,那么需要购买相应模块的IPS signature服务,购买后设备会获得license,有这个license后你可以从CCO网站下载最新的签名库安装。
ASA本身audit命令方式的IPS功能相对固定,升级较慢。
问题编号:26
提问内容: 我想问一下,关于Cisco ASA 5520 在Flash 中应该有那几个文件,我们公司的ASA我之前误操作把Flash清空了。而且提供的光盘上就只有两个模块可以用。时不时应该还有其它的一个或者两个文件?我应该怎么获得?谢谢!
回答内容: 至少要有一个操作系统文件,其格式通常是这样:asa721-k8.bin,还可以外加一个ASDM的文件,其格式通常是:asdm521.bin,有这个文件后你就可以用图形的方式配置ASA。
问题编号:27
提问内容: 两台ASA5520做Active/Active Failover
router 下连两台ASA5520
/ \
asa5520 asa5520
\ /
\ /
switch 上连两台ASA5520
\
pc
我是按照PIX722配置文档配置的。请问现在我的PC应该设那个ASA的网关 急!!!!
回答内容: A/A方式实际上是配置两组有A/S功能的context,每组负责一部分用户,所以你的PC设置哪一个网关都可以,前提是你的PC的子网地址分配符合你防火墙A/A的设计。
问题编号:28
提问内容: 我公司防火墙(PIX-515E)上有1个DMZ区、1个web区、inside、outside区,inside的机器通过域名方式访问该web区的某些映射公网服务器可以访问;但我现在有个新需求有1台服务器在indside区需要公网访问他,我按照原有的方式配置好后,公网可以通过域名地址等方式访问到这台服务器,但是我的inside区域其他机器无法通过访问公网地址和域名解析的方式访问这他服务器,只能已真实IP的方式访问这台服务器。是pix防火墙的不只支持统一区域的公网映射访问还是我配置有问题?如果是我配置的问题请做配置指导,谢谢!
我的防火墙OS的版本是:
PIX Version 6.3(4)
回答内容: 这是一个NAT doctoring的问题,6.3版本可以用alias命令解决,参见以下链接:
[url]http://www.cisco.com/en/US/docs/security/pix/pix63/command/reference/ab.html#wp1083304[/url]
问题编号:29
提问内容: 两台pix做***,一边有固定IP,一边是PPPOE,是否能实现,链路稳定么?如果PPPOE这边掉线***是否能再连上?
回答内容: 可以。链路稳定性取决于拨号线路而不是×××本身。PPPoE掉线再上线后,×××会自动重连。
问题编号:30
提问内容: 为什么我的配置做完静态映射后就无法上外网了呢?而且外网也无法PING到它,有没有存在和其他防火墙冲突的问题?映射外网前都还可以上,配置如下:(PIX506E)
User Access Verification
Password:
Type help or '?' for a list of available commands.
pixfirewall> en
Password:
Invalid password
Password: **************
pixfirewall# config t
pixfirewall(config)# show run
: Saved
:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password I14Z5BrmVtH5Vt/M encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.104.107 255.255.255.224
ip address inside 172.16.100.107 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 172.16.100.0 255.255.255.0 0 0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 192.168.104.111 172.16.100.111 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.113 172.16.100.113 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.110 172.16.100.104 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.122 172.16.100.66 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.124 172.16.100.105 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.109 172.16.100.155 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.102 172.16.100.102 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.103 172.16.100.103 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.112 172.16.100.109 netmask 255.255.255.255 0
0
conduit permit icmp any any
conduit permit tcp host 192.168.104.111 eq 776 any
conduit permit tcp host 192.168.104.111 eq 777 any
conduit permit tcp host 192.168.104.111 eq 800 any
conduit permit tcp host 192.168.104.111 eq 3724 any
conduit permit tcp host 192.168.104.111 eq 5800 any
conduit permit tcp host 192.168.104.111 eq 5801 any
conduit permit tcp host 192.168.104.111 eq 5890 any
conduit permit tcp host 192.168.104.111 eq 5891 any
conduit permit tcp host 192.168.104.111 eq 5892 any
conduit permit tcp host 192.168.104.111 eq 5900 any
conduit permit tcp host 192.168.104.111 eq pcanywhere-data any
conduit permit udp host 192.168.104.111 eq pcanywhere-status any
conduit permit tcp host 192.168.104.111 eq ftp any
conduit permit tcp host 192.168.104.111 eq www any
conduit permit tcp host 192.168.104.111 eq https any
conduit permit tcp host 192.168.104.113 any
conduit permit udp host 192.168.104.113 any
conduit permit tcp host 192.168.104.110 eq 5900 any
conduit permit tcp host 192.168.104.110 eq 5800 any
conduit permit tcp host 192.168.104.110 eq 5801 any
conduit permit tcp host 192.168.104.110 eq 5802 any
conduit permit tcp host 192.168.104.110 eq 5890 any
conduit permit tcp host 192.168.104.110 eq 5891 any
conduit permit tcp host 192.168.104.110 eq 5892 any
conduit permit tcp host 192.168.104.110 eq pcanywhere-data any
conduit permit udp host 192.168.104.110 eq pcanywhere-status any
conduit permit tcp host 192.168.104.122 any
conduit permit udp host 192.168.104.122 any
conduit permit tcp host 192.168.104.124 any
conduit permit udp host 192.168.104.124 any
conduit permit tcp host 192.168.104.109 any
conduit permit udp host 192.168.104.109 any
conduit permit tcp host 192.168.104.102 eq 3724 any
conduit permit tcp host 192.168.104.102 eq 5800 any
conduit permit tcp host 192.168.104.102 eq 5801 any
conduit permit tcp host 192.168.104.102 eq 5802 any
conduit permit tcp host 192.168.104.102 eq 5890 any
conduit permit tcp host 192.168.104.102 eq 5891 any
conduit permit tcp host 192.168.104.102 eq 5892 any
conduit permit tcp host 192.168.104.102 eq 5900 any
conduit permit tcp host 192.168.104.102 eq pcanywhere-data any
conduit permit udp host 192.168.104.102 eq pcanywhere-status any
conduit permit tcp host 192.168.104.103 eq 3724 any
conduit permit tcp host 192.168.104.103 eq 5800 any
conduit permit tcp host 192.168.104.103 eq 5801 any
conduit permit tcp host 192.168.104.103 eq 5890 any
conduit permit tcp host 192.168.104.103 eq 5891 any
conduit permit tcp host 192.168.104.103 eq 5892 any
conduit permit tcp host 192.168.104.103 eq 5900 any
conduit permit tcp host 192.168.104.103 eq pcanywhere-data any
conduit permit udp host 192.168.104.103 eq pcanywhere-status any
conduit permit tcp host 192.168.104.103 eq www any
conduit permit tcp host 192.168.104.102 eq www any
conduit permit tcp host 192.168.104.112 any
conduit permit udp host 192.168.104.112 any
route outside 0.0.0.0 0.0.0.0 192.168.104.97 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
http 172.16.100.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 172.16.100.17 /xmga2.conf
floodguard enable
telnet 172.16.100.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
username pico password I14Z5BrmVtH5Vt/M encrypted privilege 15
terminal width 80
Cryptochecksum:fd1149beeb7e811df470d340e6f10b5f
: end
外网是与另一台防火墙共用的,二者是平行的,
回答内容: 做静态映射后,相应内部主机对外访问时翻译的地址就已经不是防火墙外网口的地址,而是你静态映射指定的地址,请确认你的外网路由指向正确,而且不存在地址冲突。
问题编号:31
提问内容:
目前,防火墙在企业内部广泛应用。防火墙是一个工作在7层的设备,需要保存session。
在下一代防火墙内,提供session资源的保护,包括Session总数和每秒钟能建立的Session数,以防止非关键业务影响生产?
谢谢!
回答内容: 在ASA 7.2版本以后,可以做到对每个client的连接数限制,如以下命令就是一个例子(最多50个):
nat (inside) 1 172.16.0.0 255.255.0.0 tcp 50 50 udp 50 con enb
配置可以参考以下链接:
[url]http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_7_2/cmd_ref/no_711.htm#wp1657546[/url]
问题编号:32
提问内容: 1、作为下一代防火墙产品的ASA5500,集成了防火墙、IPS、×××、Anti-X等功能于一身,集成了这么多的功能,他的性能是如何保证的?
2、ASA5500产品是否能够替代IPS产品?
回答内容: ASA的IPS和Anti-X功能都是依靠SSM模块实现,这个模块有单独的处理器,不需要占用ASA资源,ASA只需要把相关流量送给SSM模块即可。ASA有内置专用×××加密模块。
各种应用下的性能ASA的Datasheet写得很清楚,请按其参数选择合适型号。
问题编号:33
提问内容: 目前CISCO 安全产品市场占有率不是很高,我们用的是Netscreen+Lucent's Brick 产品。我想问下,ASA的到来,到底意味着什么,真的有这么强大的功能吗?能替代或者可以取代多少种类型的设备呢? 我作为CISCO的工程师,一直认为QOS+security 这2个scopes比较残疾点,相对路由这块而言,所以对安全这块产品没什么关心。对ASA不是特别熟悉,想通过你们了解下,说不定能上报个proposal做设备调整,呵呵
回答内容: ASA用于替代PIX系列和×××3000系列,是Cisco未来防火墙和×××的主打产品。
ASA相对于PIX有更高的应用检测能力和更好的实际性能,并且支持IPS和防病毒。
ASA相对于×××3000,有更好的性能,且对SSL ×××的支持非常好。SSL ×××也是×××未来的方向,我们的8.0版本已经出来,对SSL ×××有完美的支持。建议你了解一下我们的any connect客户端。
问题编号:34
提问内容: pix515做透明模式,上连路由器下连交换机没有划分VLAN配完毕后,无法PING通网关和上网,配置是否正确
pixfirewall(config)# show run
: Saved
:
PIX Version 7.2(2)
!
firewall transparent
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
!
interface Ethernet1
nameif inside
security-level 100
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 100 extended permit ip any any
access-list 100 extended permit icmp any any
pager lines 24
mtu outside 1500
mtu inside 1500
no ip address
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group 100 in interface outside
access-group 100 out interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
!
prompt hostname context
Cryptochecksum:00000000000000000000000000000000
: end
回答内容: 在transparent mode方式下需要配置一个管理地址,另外你的access list 100不需要设置在outside端口的outband方向上。
问题编号:35
提问内容: PIX怎样做到应用层的防御,如某些***程序 可以写访问策略禁止访问内网,即在外部接口就把他丢掉
回答内容: 防火墙对应用层的安全保护主要是对一些已知的广泛使用的网络应用进行协议层的分析,确保其不被滥用,这是依靠内置的30多个inspec engine实现的,可保护Multimedia / Voice over IP
、Core Internet Protocols
、Database / OS Services、Security Services等几类应用。如果是Cisco的新一代安全网关ASA通过加挂AIP-SSM安全服务模块可以实现对多种恶意软件的防护,包括Spyware/Adware、网络蠕虫和病毒、***和后门程序等等。但是需要经常保持Signature库的更新才能更有效地防范已知世界的恶意程序。
问题编号:36
提问内容: 发现内网的IP地址与MAC绑定后,局内出现10%以上人员不能上网,放开后,所有人员都可以上网,为什么?是不是防火墙不能绑定完好!我局有120多台机子
回答内容: 对不起,这里主要是解答Cisco新一代防火墙产品的技术问题。您所提到的东软防火墙的具体型号和技术特性并不清楚,如果可能的话,请提供网络连接拓扑和IP地址分配等细节(用户和防火墙内网口都在同一个二层VLAN吗?),才能进行下一步分析。
问题编号:37
提问内容: 小区共有500栋别墅,千兆到桌面,ISP百兆光纤独享接入,应该选用什么型号防火墙?几台?(保证高稳定、高速、高安全)
回答内容: 防火墙如果是用于控制小区用户通过ISP网络去互联网的流量,在性能上能满足ISP的连接带宽即可。所以,ASA5520以上的型号都可以。两台相同型号的ASA可以实现冗余和负载均衡的要求。
问题编号:38
提问内容: ASA产品支不支持让用户访问网络时输入用用户名及密码,并对用户分级,如果支持,最多能支持多少用户?谢谢
回答内容: 支持。但访问的内容应该使用允许交互方式的协议,比如http,telnet,ftp,smtp等。
如果使用外部认证服务器,比如RADIUS服务器,那么理论上没有用户数量的限制。
问题编号:39
提问内容: 在企业网络的哪些地方针对性使用这三款产品?
回答内容: Cisco ASA 5500系列自适应安全设备本身是一个模块化平台,可以提供IPS/Antix/×××功能,这三个版本是为了您不同的需求量身定制的。因此,当您的企业需要应用安全和***防御服务,保护业务关键服务和基础设施免遭蠕虫、***和其他威胁的影响,建议配置IPS版。当你想帮助客户端系统抵御病毒、间谍软件和泄密等恶意的网站威胁和基于内容的威胁时,建议配置AntiX版。当您的目的是使远程用户可安全访问内部网络系统和服务,支持用于大型企业部署的×××集群时,建议配置×××版本。同时,这三个版本都具备firewall功能和IP sec ×××功能。
Cisco ASA 5500系列中提供了全面的服务,通过面向企业的定制产品版本:防火墙、IPS、Anti-X和×××版,支持针对特定地点需求的定制。
问题编号:40
提问内容: 两台PIX535,一台是UR license,有一块GE卡,四块一口FE卡;
另一台是FO license,有一块GE卡,一块四口FE卡;
这两台是否能做cable-based failover?
回答内容: 做failover的两台防火墙必须硬件和软件配置完全一样,否则配置文件复制会出问题,请把两台PIX535的硬件调整成一致。
提问内容:
目前,防火墙在企业内部广泛应用。防火墙是一个工作在7层的设备,需要保存session。
在下一代防火墙内,提供session资源的保护,包括Session总数和每秒钟能建立的Session数,以防止非关键业务影响生产?
谢谢!
回答内容: 在ASA 7.2版本以后,可以做到对每个client的连接数限制,如以下命令就是一个例子(最多50个):
nat (inside) 1 172.16.0.0 255.255.0.0 tcp 50 50 udp 50 con enb
配置可以参考以下链接:
[url]http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_7_2/cmd_ref/no_711.htm#wp1657546[/url]
问题编号:32
提问内容: 1、作为下一代防火墙产品的ASA5500,集成了防火墙、IPS、×××、Anti-X等功能于一身,集成了这么多的功能,他的性能是如何保证的?
2、ASA5500产品是否能够替代IPS产品?
回答内容: ASA的IPS和Anti-X功能都是依靠SSM模块实现,这个模块有单独的处理器,不需要占用ASA资源,ASA只需要把相关流量送给SSM模块即可。ASA有内置专用×××加密模块。
各种应用下的性能ASA的Datasheet写得很清楚,请按其参数选择合适型号。
问题编号:33
提问内容: 目前CISCO 安全产品市场占有率不是很高,我们用的是Netscreen+Lucent's Brick 产品。我想问下,ASA的到来,到底意味着什么,真的有这么强大的功能吗?能替代或者可以取代多少种类型的设备呢? 我作为CISCO的工程师,一直认为QOS+security 这2个scopes比较残疾点,相对路由这块而言,所以对安全这块产品没什么关心。对ASA不是特别熟悉,想通过你们了解下,说不定能上报个proposal做设备调整,呵呵
回答内容: ASA用于替代PIX系列和×××3000系列,是Cisco未来防火墙和×××的主打产品。
ASA相对于PIX有更高的应用检测能力和更好的实际性能,并且支持IPS和防病毒。
ASA相对于×××3000,有更好的性能,且对SSL ×××的支持非常好。SSL ×××也是×××未来的方向,我们的8.0版本已经出来,对SSL ×××有完美的支持。建议你了解一下我们的any connect客户端。
问题编号:34
提问内容: pix515做透明模式,上连路由器下连交换机没有划分VLAN配完毕后,无法PING通网关和上网,配置是否正确
pixfirewall(config)# show run
: Saved
:
PIX Version 7.2(2)
!
firewall transparent
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
!
interface Ethernet1
nameif inside
security-level 100
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 100 extended permit ip any any
access-list 100 extended permit icmp any any
pager lines 24
mtu outside 1500
mtu inside 1500
no ip address
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group 100 in interface outside
access-group 100 out interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
!
prompt hostname context
Cryptochecksum:00000000000000000000000000000000
: end
回答内容: 在transparent mode方式下需要配置一个管理地址,另外你的access list 100不需要设置在outside端口的outband方向上。
问题编号:35
提问内容: PIX怎样做到应用层的防御,如某些***程序 可以写访问策略禁止访问内网,即在外部接口就把他丢掉
回答内容: 防火墙对应用层的安全保护主要是对一些已知的广泛使用的网络应用进行协议层的分析,确保其不被滥用,这是依靠内置的30多个inspec engine实现的,可保护Multimedia / Voice over IP
、Core Internet Protocols
、Database / OS Services、Security Services等几类应用。如果是Cisco的新一代安全网关ASA通过加挂AIP-SSM安全服务模块可以实现对多种恶意软件的防护,包括Spyware/Adware、网络蠕虫和病毒、***和后门程序等等。但是需要经常保持Signature库的更新才能更有效地防范已知世界的恶意程序。
问题编号:36
提问内容: 发现内网的IP地址与MAC绑定后,局内出现10%以上人员不能上网,放开后,所有人员都可以上网,为什么?是不是防火墙不能绑定完好!我局有120多台机子
回答内容: 对不起,这里主要是解答Cisco新一代防火墙产品的技术问题。您所提到的东软防火墙的具体型号和技术特性并不清楚,如果可能的话,请提供网络连接拓扑和IP地址分配等细节(用户和防火墙内网口都在同一个二层VLAN吗?),才能进行下一步分析。
问题编号:37
提问内容: 小区共有500栋别墅,千兆到桌面,ISP百兆光纤独享接入,应该选用什么型号防火墙?几台?(保证高稳定、高速、高安全)
回答内容: 防火墙如果是用于控制小区用户通过ISP网络去互联网的流量,在性能上能满足ISP的连接带宽即可。所以,ASA5520以上的型号都可以。两台相同型号的ASA可以实现冗余和负载均衡的要求。
问题编号:38
提问内容: ASA产品支不支持让用户访问网络时输入用用户名及密码,并对用户分级,如果支持,最多能支持多少用户?谢谢
回答内容: 支持。但访问的内容应该使用允许交互方式的协议,比如http,telnet,ftp,smtp等。
如果使用外部认证服务器,比如RADIUS服务器,那么理论上没有用户数量的限制。
问题编号:39
提问内容: 在企业网络的哪些地方针对性使用这三款产品?
回答内容: Cisco ASA 5500系列自适应安全设备本身是一个模块化平台,可以提供IPS/Antix/×××功能,这三个版本是为了您不同的需求量身定制的。因此,当您的企业需要应用安全和***防御服务,保护业务关键服务和基础设施免遭蠕虫、***和其他威胁的影响,建议配置IPS版。当你想帮助客户端系统抵御病毒、间谍软件和泄密等恶意的网站威胁和基于内容的威胁时,建议配置AntiX版。当您的目的是使远程用户可安全访问内部网络系统和服务,支持用于大型企业部署的×××集群时,建议配置×××版本。同时,这三个版本都具备firewall功能和IP sec ×××功能。
Cisco ASA 5500系列中提供了全面的服务,通过面向企业的定制产品版本:防火墙、IPS、Anti-X和×××版,支持针对特定地点需求的定制。
问题编号:40
提问内容: 两台PIX535,一台是UR license,有一块GE卡,四块一口FE卡;
另一台是FO license,有一块GE卡,一块四口FE卡;
这两台是否能做cable-based failover?
回答内容: 做failover的两台防火墙必须硬件和软件配置完全一样,否则配置文件复制会出问题,请把两台PIX535的硬件调整成一致。
问题编号:41
提问内容: 我单位打算配一性价比高的硬件防火墙,主要来保护WEB服务器的安全,请予以推荐,谢谢
回答内容: 建议您配置一台ASA5520或者5540,这两款设备性能依次提升,根据您的需求进行配置。本身ASA具有很出色的Firewall功能,具体性能指标见Cisco网站,因此一台ASA足以满足您保护公司Web服务器的需求。同时,在ASA5520或者40上可以启用IP sec ×××/SSL ×××/Easy ×××。考虑到今后的扩展,这两款设备都有一个插槽,今后可配置思科高级检测和防御安全服务模块或者内容安全和控制安全服务模块(CSC-SSM)
问题编号:42
提问内容: 我公司防火墙(PIX525)上有几个DMZ区,inside的机器访问该DMZ的某些机器时,有时会出现中断,中断的时间几分钟不等,有时也有丢十几个包的情况,然后就能自动恢复。当访问中断时,登陆该DMZ区的其它机器ping中断的机器是通的,上防火墙上ping中断的机器,第一个包会丢掉,然后才通,通了之后,从inside ping那台中断的机器也就通了,这是不是防火墙的bug?我的防火墙OS的版本是:
Cisco PIX Firewall Version 6.3(3)
Cisco PIX Device Manager Version 3.0(1)
回答内容: 请检查DMZ接口有无错误信息,检查与交换机互联的双工状态及速率设定,最好两边强制匹配一下。另外 如果可能可以考虑升级系统到OS 7.2.2 是相对最稳定的OS系统目前。
问题编号:43
提问内容: 近来,时不时在我公司防火墙上看到如下日志记录:
Apr 18 2007 15:17:47: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface inside
Apr 18 2007 15:17:47: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface outside
Apr 18 2007 15:17:47: %PIX-1-105008: (Primary) Testing Interface inside
Apr 18 2007 15:17:47: %PIX-1-105008: (Primary) Testing Interface outside
Apr 18 2007 15:17:47: %PIX-1-105009: (Primary) Testing on interface outside Passed
Apr 18 2007 15:17:47: %PIX-1-105009: (Primary) Testing on interface inside Passed
Apr 18 2007 15:24:02: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface inside
Apr 18 2007 15:24:02: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface outside
Apr 18 2007 15:24:02: %PIX-1-105008: (Primary) Testing Interface inside
Apr 18 2007 15:24:02: %PIX-1-105008: (Primary) Testing Interface outside
Apr 18 2007 15:24:02: %PIX-1-105009: (Primary) Testing on interface inside Passed
Apr 18 2007 15:24:02: %PIX-1-105009: (Primary) Testing on interface outside Passed
我们的防火墙是两台PIX-535,做Failover,这是说设备有故障么?
回答内容: 以上面的信息还不能完全确定故障问题所在,请检查您的防火墙日志看看有没有防火墙的故障切换记录,确保前后端连接交换机没有重启记录。
问题编号:44
提问内容: 是不是我用这个NO INSPECT ESMTP命令,就可以修复Dispatch Unit这个BUG?
回答内容: 这个BUG 应该在OS 7.2.2 已经被修复了。
问题编号:45
提问内容: 我以前受朋友所托,去一个客户那里捣鼓ASA 但是我是第一次见到ASA 还是按照PIX的方式去做的,但是有些功能无法实现.
所以CISCO的网站上那里有ASA的指导书一类的文档?
回答内容: 由于ASA是OS 7.X的操作系统,PIX 6.X 版本与OS 7.X 又比较大的改动因此您惠感觉很多地方不一样,但是当您的PIX 升级到OS 7.X 基本配置就与ASA 基本一致的。具体配置操作手册,可以访问如下URL获取:
[url]http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_7_2/conf_gd/index.htm[/url]
问题编号:46
提问内容: 506E 的地址池中已经有一个地址在局域网中已经用在某个计算机上了,但在对×××拨入用户进行地址分配时,还是会将这个地址分配出去,拨入的用户和局域网内使用同IP的计算机用户均无法正常工作。此种问题,现有情况下何简易解决。
由于地址有限,不便于再扩充地址池,只想排除局域网中在用的某几个地址。
如果有解决方案,请与我联系,谢谢
回答内容: 几种方式都可以实现,
建议为×××集中器单独设定一个IP地址段,没有必要与内网公用一个地址段,单独配置地址段更加合理,管理更加方便因此建议如此使用。
问题编号:47
提问内容: ASA工作在透明模式是不是不支持×××功能?同时NAT也不能做吗?
想问一下出于什么考虑,在透明模式下不支持上述功能?
回答内容: ASA在透明模式 是不支持×××及NAT功能的。透明模式防火墙 设计意图是对于用户前后端网络完全透明,设备本身接口不设定互联地址,因此不会用于×××使用。再FWSM防火墙模块我们最新版本支持透明模式下NAT特性,但是目前ASA还不支持此特性。
问题编号:48
提问内容: 有一台ASA防火墙和一台cisco 路由器,路由器用来作为×××连接,上网用ASA,内部主机网关为ASA。现想把路由器接在防火墙下,怎样才能实现×××和上网都?需要把ASA改成透明模式,还是有更好的解决方法?谢谢
回答内容: 如果您想让ASA工作再透明模式,那么ASA不可以作为×××集中器使用,也不可以进行NAT操作。您可以配置您的路由器作为×××集中器,以及NAT上网使用,没有任何问题,为了允许IPSEC ×××业务通过ASA,只是需要OPEN如下端口:PROTOCOL 50,51,UDP 500,4500即可。
问题编号:49
问题主题:如何在ASA外口配置基于两个IP地址的远程×××服务器?
提问内容: 现在的需求是这样:
1)在ASA外口上配置两个IP地址, 地址A和地址B.
2)配置ASA为远程拨入×××服务器,并运用到外口.
3)当员工在国外时,使用A地址拨入.
4)当员工在国内时,使用B地址拨入.
问题:只用一个×××配置,可否实现这样的需求?谢谢!
回答内容: 这个问题的关键不再ASA 而是再路由问题上面,ASA是支持的,但是再ASA上面的路由你必须指定把远程访问的路由例如国内、国外地址段发送给相应的ASA 接口。实际操作性差些。
问题编号:50
提问内容: 我的pix os是7.22
pix525# sh ver
Cisco PIX Security Appliance Software Version 7.2(2)
但是没有DISABLE ESMTP这条命令
pix525(config)# disable ?
exec mode commands/options:
回答内容:
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
入上面所示,进入policy-map global_policy,然后NO INSPECT ESMTP即可。
提问内容: 我单位打算配一性价比高的硬件防火墙,主要来保护WEB服务器的安全,请予以推荐,谢谢
回答内容: 建议您配置一台ASA5520或者5540,这两款设备性能依次提升,根据您的需求进行配置。本身ASA具有很出色的Firewall功能,具体性能指标见Cisco网站,因此一台ASA足以满足您保护公司Web服务器的需求。同时,在ASA5520或者40上可以启用IP sec ×××/SSL ×××/Easy ×××。考虑到今后的扩展,这两款设备都有一个插槽,今后可配置思科高级检测和防御安全服务模块或者内容安全和控制安全服务模块(CSC-SSM)
问题编号:42
提问内容: 我公司防火墙(PIX525)上有几个DMZ区,inside的机器访问该DMZ的某些机器时,有时会出现中断,中断的时间几分钟不等,有时也有丢十几个包的情况,然后就能自动恢复。当访问中断时,登陆该DMZ区的其它机器ping中断的机器是通的,上防火墙上ping中断的机器,第一个包会丢掉,然后才通,通了之后,从inside ping那台中断的机器也就通了,这是不是防火墙的bug?我的防火墙OS的版本是:
Cisco PIX Firewall Version 6.3(3)
Cisco PIX Device Manager Version 3.0(1)
回答内容: 请检查DMZ接口有无错误信息,检查与交换机互联的双工状态及速率设定,最好两边强制匹配一下。另外 如果可能可以考虑升级系统到OS 7.2.2 是相对最稳定的OS系统目前。
问题编号:43
提问内容: 近来,时不时在我公司防火墙上看到如下日志记录:
Apr 18 2007 15:17:47: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface inside
Apr 18 2007 15:17:47: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface outside
Apr 18 2007 15:17:47: %PIX-1-105008: (Primary) Testing Interface inside
Apr 18 2007 15:17:47: %PIX-1-105008: (Primary) Testing Interface outside
Apr 18 2007 15:17:47: %PIX-1-105009: (Primary) Testing on interface outside Passed
Apr 18 2007 15:17:47: %PIX-1-105009: (Primary) Testing on interface inside Passed
Apr 18 2007 15:24:02: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface inside
Apr 18 2007 15:24:02: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface outside
Apr 18 2007 15:24:02: %PIX-1-105008: (Primary) Testing Interface inside
Apr 18 2007 15:24:02: %PIX-1-105008: (Primary) Testing Interface outside
Apr 18 2007 15:24:02: %PIX-1-105009: (Primary) Testing on interface inside Passed
Apr 18 2007 15:24:02: %PIX-1-105009: (Primary) Testing on interface outside Passed
我们的防火墙是两台PIX-535,做Failover,这是说设备有故障么?
回答内容: 以上面的信息还不能完全确定故障问题所在,请检查您的防火墙日志看看有没有防火墙的故障切换记录,确保前后端连接交换机没有重启记录。
问题编号:44
提问内容: 是不是我用这个NO INSPECT ESMTP命令,就可以修复Dispatch Unit这个BUG?
回答内容: 这个BUG 应该在OS 7.2.2 已经被修复了。
问题编号:45
提问内容: 我以前受朋友所托,去一个客户那里捣鼓ASA 但是我是第一次见到ASA 还是按照PIX的方式去做的,但是有些功能无法实现.
所以CISCO的网站上那里有ASA的指导书一类的文档?
回答内容: 由于ASA是OS 7.X的操作系统,PIX 6.X 版本与OS 7.X 又比较大的改动因此您惠感觉很多地方不一样,但是当您的PIX 升级到OS 7.X 基本配置就与ASA 基本一致的。具体配置操作手册,可以访问如下URL获取:
[url]http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_7_2/conf_gd/index.htm[/url]
问题编号:46
提问内容: 506E 的地址池中已经有一个地址在局域网中已经用在某个计算机上了,但在对×××拨入用户进行地址分配时,还是会将这个地址分配出去,拨入的用户和局域网内使用同IP的计算机用户均无法正常工作。此种问题,现有情况下何简易解决。
由于地址有限,不便于再扩充地址池,只想排除局域网中在用的某几个地址。
如果有解决方案,请与我联系,谢谢
回答内容: 几种方式都可以实现,
建议为×××集中器单独设定一个IP地址段,没有必要与内网公用一个地址段,单独配置地址段更加合理,管理更加方便因此建议如此使用。
问题编号:47
提问内容: ASA工作在透明模式是不是不支持×××功能?同时NAT也不能做吗?
想问一下出于什么考虑,在透明模式下不支持上述功能?
回答内容: ASA在透明模式 是不支持×××及NAT功能的。透明模式防火墙 设计意图是对于用户前后端网络完全透明,设备本身接口不设定互联地址,因此不会用于×××使用。再FWSM防火墙模块我们最新版本支持透明模式下NAT特性,但是目前ASA还不支持此特性。
问题编号:48
提问内容: 有一台ASA防火墙和一台cisco 路由器,路由器用来作为×××连接,上网用ASA,内部主机网关为ASA。现想把路由器接在防火墙下,怎样才能实现×××和上网都?需要把ASA改成透明模式,还是有更好的解决方法?谢谢
回答内容: 如果您想让ASA工作再透明模式,那么ASA不可以作为×××集中器使用,也不可以进行NAT操作。您可以配置您的路由器作为×××集中器,以及NAT上网使用,没有任何问题,为了允许IPSEC ×××业务通过ASA,只是需要OPEN如下端口:PROTOCOL 50,51,UDP 500,4500即可。
问题编号:49
问题主题:如何在ASA外口配置基于两个IP地址的远程×××服务器?
提问内容: 现在的需求是这样:
1)在ASA外口上配置两个IP地址, 地址A和地址B.
2)配置ASA为远程拨入×××服务器,并运用到外口.
3)当员工在国外时,使用A地址拨入.
4)当员工在国内时,使用B地址拨入.
问题:只用一个×××配置,可否实现这样的需求?谢谢!
回答内容: 这个问题的关键不再ASA 而是再路由问题上面,ASA是支持的,但是再ASA上面的路由你必须指定把远程访问的路由例如国内、国外地址段发送给相应的ASA 接口。实际操作性差些。
问题编号:50
提问内容: 我的pix os是7.22
pix525# sh ver
Cisco PIX Security Appliance Software Version 7.2(2)
但是没有DISABLE ESMTP这条命令
pix525(config)# disable ?
exec mode commands/options:
回答内容:
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
入上面所示,进入policy-map global_policy,然后NO INSPECT ESMTP即可。
转载于:https://blog.51cto.com/ipwireless/121518
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
