CISCO ASA安全应用问题集锦全集(1-50)
问题编号:21 提问内容: 现在很多防火墙基本都提供了大量的路由功能,路由器有的功能基本防火墙也都有了,那么路由器相对来讲还有存在的意思?回答内容: 防火墙本身是个功能相对单一的策略控制设备,它更专注于安全控制。而路由器则有更广泛得多的功能要求。何况,并不是所有地方都需要使用策略控制手段的。根本上讲,这两种设备有不同的使用目的。
问题编号:22
提问内容:
现在网络中病毒很多,而且不断有新的病毒出来,我在使用防火墙的过程中,觉得防火墙的功能总是要慢病毒一步,现在很多厂家都说自己的墙如何如何强,其实对新病毒很难有一个好的办法的。所以请教一下,对这种新的病毒,我们的防火墙怎么应对?cisco的墙有哪些特殊针对新病毒的功能?谢谢
回答内容: 没有任何一种工具是无所不能的,防病毒需要从多个层面,运用多种手段。
ASA防火墙防病毒有很多手段,比如增加一个CSC防病毒模块,CSC模块本身是一个网关型防病毒设备,可以检查SMTP、POP3、HTTP、FTP四种协议的流量。或可以增加一个AIM模块,AIM是运行Cisco IPS软件的IPS模块,通常IPS设备都能有效防止蠕虫的传播和爆发。
另外,举一个例子,ASA可以限制每个IP的TCP或UDP的最大连接数,或者其NAT的最大连接数,这种方法也能有效地减轻病毒爆发后对网络性能、设备性能的冲击。
问题编号:23
提问内容: 在内部网络设置安全网关保护重点网络,请问CISCO的那种产品比较适合?
回答内容: 取决于性能、端口、扩展能力等要求。可以使用ASA系列产品,或6500系列交换机上的FWSM模块。
问题编号:24
提问内容: Cisco ASA 5500系列作为自适应安全设备,是否能够在windows本身漏洞百出的情况下也能提供安全防护,保护单位的业务关键服务和基础设施免遭蠕虫、***和其他威胁的影响,抵御病毒、间谍软件和泄密等恶意的网站威胁和基于内容的威胁。毕竟windows本身已知或还未知但已被***利用的漏洞太多。补订与杀毒软件都是滞后的。
回答内容: ASA有一定的主动防御功能,本身通过audit命令就可以防止很多IPS***。如果配置IPS模块,可以利用Cisco IPS的基于行为检测的功能,能够防止day-zero***,那么一些新出的蠕虫也可以防范。但根本还是整个安全体系的建设,不应该只依靠单个设备做抵御。配置的严谨性也非常重要。
问题编号:25
提问内容: 思科ASA5500 ips如何升级他的信息库
回答内容: 如果是指ASA上面的AIM模块,那么需要购买相应模块的IPS signature服务,购买后设备会获得license,有这个license后你可以从CCO网站下载最新的签名库安装。
ASA本身audit命令方式的IPS功能相对固定,升级较慢。
问题编号:26
提问内容: 我想问一下,关于Cisco ASA 5520 在Flash 中应该有那几个文件,我们公司的ASA我之前误操作把Flash清空了。而且提供的光盘上就只有两个模块可以用。时不时应该还有其它的一个或者两个文件?我应该怎么获得?谢谢!
回答内容: 至少要有一个操作系统文件,其格式通常是这样:asa721-k8.bin,还可以外加一个ASDM的文件,其格式通常是:asdm521.bin,有这个文件后你就可以用图形的方式配置ASA。
问题编号:27
提问内容: 两台ASA5520做Active/Active Failover
router 下连两台ASA5520
/ \
asa5520 asa5520
\ /
\ /
switch 上连两台ASA5520
\
pc
我是按照PIX722配置文档配置的。请问现在我的PC应该设那个ASA的网关 急!!!!
回答内容: A/A方式实际上是配置两组有A/S功能的context,每组负责一部分用户,所以你的PC设置哪一个网关都可以,前提是你的PC的子网地址分配符合你防火墙A/A的设计。
问题编号:28
提问内容: 我公司防火墙(PIX-515E)上有1个DMZ区、1个web区、inside、outside区,inside的机器通过域名方式访问该web区的某些映射公网服务器可以访问;但我现在有个新需求有1台服务器在indside区需要公网访问他,我按照原有的方式配置好后,公网可以通过域名地址等方式访问到这台服务器,但是我的inside区域其他机器无法通过访问公网地址和域名解析的方式访问这他服务器,只能已真实IP的方式访问这台服务器。是pix防火墙的不只支持统一区域的公网映射访问还是我配置有问题?如果是我配置的问题请做配置指导,谢谢!
我的防火墙OS的版本是:
PIX Version 6.3(4)
回答内容: 这是一个NAT doctoring的问题,6.3版本可以用alias命令解决,参见以下链接:
http://www.cisco.com/en/US/docs/security/pix/pix63/command/reference/ab.html#wp1083304
问题编号:29
提问内容: 两台pix做***,一边有固定IP,一边是PPPOE,是否能实现,链路稳定么?如果PPPOE这边掉线***是否能再连上?
回答内容: 可以。链路稳定性取决于拨号线路而不是***本身。PPPoE掉线再上线后,***会自动重连。
问题编号:30
提问内容: 为什么我的配置做完静态映射后就无法上外网了呢?而且外网也无法PING到它,有没有存在和其他防火墙冲突的问题?映射外网前都还可以上,配置如下:(PIX506E)
User Access Verification
Password:
Type help or '?' for a list of available commands.
pixfirewall> en
Password:
Invalid password
Password: **************
pixfirewall# config t
pixfirewall(config)# show run
: Saved
:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password I14Z5BrmVtH5Vt/M encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.104.107 255.255.255.224
ip address inside 172.16.100.107 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 172.16.100.0 255.255.255.0 0 0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 192.168.104.111 172.16.100.111 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.113 172.16.100.113 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.110 172.16.100.104 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.122 172.16.100.66 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.124 172.16.100.105 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.109 172.16.100.155 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.102 172.16.100.102 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.103 172.16.100.103 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.112 172.16.100.109 netmask 255.255.255.255 0
0
conduit permit icmp any any
conduit permit tcp host 192.168.104.111 eq 776 any
conduit permit tcp host 192.168.104.111 eq 777 any
conduit permit tcp host 192.168.104.111 eq 800 any
conduit permit tcp host 192.168.104.111 eq 3724 any
conduit permit tcp host 192.168.104.111 eq 5800 any
conduit permit tcp host 192.168.104.111 eq 5801 any
conduit permit tcp host 192.168.104.111 eq 5890 any
conduit permit tcp host 192.168.104.111 eq 5891 any
conduit permit tcp host 192.168.104.111 eq 5892 any
conduit permit tcp host 192.168.104.111 eq 5900 any
conduit permit tcp host 192.168.104.111 eq pcanywhere-data any
conduit permit udp host 192.168.104.111 eq pcanywhere-status any
conduit permit tcp host 192.168.104.111 eq ftp any
conduit permit tcp host 192.168.104.111 eq www any
conduit permit tcp host 192.168.104.111 eq https any
conduit permit tcp host 192.168.104.113 any
conduit permit udp host 192.168.104.113 any
conduit permit tcp host 192.168.104.110 eq 5900 any
conduit permit tcp host 192.168.104.110 eq 5800 any
conduit permit tcp host 192.168.104.110 eq 5801 any
conduit permit tcp host 192.168.104.110 eq 5802 any
conduit permit tcp host 192.168.104.110 eq 5890 any
conduit permit tcp host 192.168.104.110 eq 5891 any
conduit permit tcp host 192.168.104.110 eq 5892 any
conduit permit tcp host 192.168.104.110 eq pcanywhere-data any
conduit permit udp host 192.168.104.110 eq pcanywhere-status any
conduit permit tcp host 192.168.104.122 any
conduit permit udp host 192.168.104.122 any
conduit permit tcp host 192.168.104.124 any
conduit permit udp host 192.168.104.124 any
conduit permit tcp host 192.168.104.109 any
conduit permit udp host 192.168.104.109 any
conduit permit tcp host 192.168.104.102 eq 3724 any
conduit permit tcp host 192.168.104.102 eq 5800 any
conduit permit tcp host 192.168.104.102 eq 5801 any
conduit permit tcp host 192.168.104.102 eq 5802 any
conduit permit tcp host 192.168.104.102 eq 5890 any
conduit permit tcp host 192.168.104.102 eq 5891 any
conduit permit tcp host 192.168.104.102 eq 5892 any
conduit permit tcp host 192.168.104.102 eq 5900 any
conduit permit tcp host 192.168.104.102 eq pcanywhere-data any
conduit permit udp host 192.168.104.102 eq pcanywhere-status any
conduit permit tcp host 192.168.104.103 eq 3724 any
conduit permit tcp host 192.168.104.103 eq 5800 any
conduit permit tcp host 192.168.104.103 eq 5801 any
conduit permit tcp host 192.168.104.103 eq 5890 any
conduit permit tcp host 192.168.104.103 eq 5891 any
conduit permit tcp host 192.168.104.103 eq 5892 any
conduit permit tcp host 192.168.104.103 eq 5900 any
conduit permit tcp host 192.168.104.103 eq pcanywhere-data any
conduit permit udp host 192.168.104.103 eq pcanywhere-status any
conduit permit tcp host 192.168.104.103 eq www any
conduit permit tcp host 192.168.104.102 eq www any
conduit permit tcp host 192.168.104.112 any
conduit permit udp host 192.168.104.112 any
route outside 0.0.0.0 0.0.0.0 192.168.104.97 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
http 172.16.100.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 172.16.100.17 /xmga2.conf
floodguard enable
telnet 172.16.100.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
username pico password I14Z5BrmVtH5Vt/M encrypted privilege 15
terminal> Cryptochecksum:fd1149beeb7e811df470d340e6f10b5f
: end
外网是与另一台防火墙共用的,二者是平行的,
回答内容: 做静态映射后,相应内部主机对外访问时翻译的地址就已经不是防火墙外网口的地址,而是你静态映射指定的地址,请确认你的外网路由指向正确,而且不存在地址冲突。
页:
[1]