CISCO ASA安全应用问题集锦全集(51-69)
问题编号:50 提问内容: 我的pix os是7.22pix525# sh ver
Cisco PIX Security Appliance Software Version 7.2(2)
但是没有DISABLE ESMTP这条命令
pix525(config)# disable ?
exec mode commands/options:
回答内容:
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
入上面所示,进入policy-map global_policy,然后NO INSPECT ESMTP即可。
问题编号:51
提问内容: 我们公司新购了一台ASA5520和5510的IPS模块,现在不知道IPS如何配置才能充分发挥这台新设备的功能,请专家指导。
回答内容: 如果您考虑发挥IPS的功能,首先需要您了解IPS的功能,目前ASA 5500 系列产品的IPS模块可以支持旁路和串联两种模式,在旁路模式中可以通过防火墙实现联动防护,在串联中可以对***和恶意流量进行直接的丢弃。同时最新的IPS OSV6 版本可以支持主机水印识别,这样可以对网络主机环境全面了解,实现针对性的安全防护。同时最新的AD功能加强了对蠕虫***的防护,在不进行Signature更新的情况下,有效的防护最新的蠕虫病毒的***。所以建议您可以综合使用这些功能,以实现最大发挥IPS的作用。另外,推荐您和客户进一步沟通,加入我们的Mars产品,现行的网络中仅依靠IPS 是不能真正保护网络安全的,Mars产品可以实现***路径定位,最佳***缓解建议,实现正在意义上的网络安全及防护。
IPS模块 配置指南可以参考下面的链接:
http://www.cisco.com/en/US/products/hw/***devc/ps4077/products_configuration_guide_book09186a008055dbb1.html
问题编号:52
提问内容: 据悉,asa共有四个版本,即anti-x,***,ips,firewall,请问这四个版本的功能能否集成到一台asa设备上。如果可以的话,是不是插aip和csc module 就可以实现了?而且asa各个系列是不是就一个扩展口插槽(只能csc/aip两者选其一)。
回答内容: ASA系列本身是一个"ALL IN ONE"的设备。其中5510/5520/5540只具备一个插槽,5550无额外插槽。ASA最基本的功能就是Firewall功能,***功能。注意,缺省状态下有2个SSL *** license,如需更多则需要购买license。ASA本身有两种功能性模块,就是您提到的AIP 和 CSC。因为5510/20/40系列本身只有一个插槽,因此我们只能插入AIP模块或者CSC模块。但本身ASA内置就已经具备了IPS功能和防病毒功能,只不过他们是soft实现的。因此,这四个功能是可以集成到一台ASA上的。
问题编号:53
提问内容: 请问asa采用的是什么架构?
回答内容: 目前主流的防火墙平台主要有一下几类:
第一类是基于x86平台的,这种平台通常使用一颗或多颗主CPU来处理业务数据,网卡芯片和CPU通过PCI总线来传输数据。由于传统的32位PCI总线频率为33MHZ,所以,理论通讯速率为:132 MB/s即:1056 Mb/s。
第二类,基于ASIC架构的防火墙、UTM产品。但ASIC架构做为UTM就不是理想的选择,因为ASIC架构不可能把像网关杀毒、垃圾邮件过滤、网络监控等这些功能做到芯片一级去。
第三类,基于NP架构的防火墙。NP架构实现的原理和ASIC类似,但升级、维护远远好于ASIC 架构。NP架构在每个网口上都有一个网络处理器,即:NPE,用来处理来自网口的数据。每个网络处理器上所运行的程序使用微码编程,其软件实现的难度比较大,开发周期比ASIC短,但比x86长。作为UTM,由于NP架构每个网口上的网络处理器性能不高,所以同样无法完成像网关杀毒、垃圾邮件、过滤、访问监控等复杂功能。
X86架构是下一代防火墙理想的硬件平台,目前来看,没有其他平台可以代替。Cisco ASA 5500 is x86 based!
问题编号:54
提问内容: 我的PIX 525就做的透明模式,其中Dispatch Unit这个进程就占了200M的内存,重启PIX能够恢复现状,但之后20来天又来了,这是怎么回事呢?造成这种情况的原因?
回答内容: CSCse47150 这个是BUG> Traceback in Thread Name: Dispatch Unit with ESMTP Inspect enabled
您可以配置您的防火墙 DISABLE ESMTP 然后观察结果。同时请确认您的OS版本,尽可能升级道OS 7.2.2
问题编号:55
提问内容: 前一段了解过5540,听说防毒模块不能用于5540,不知道现在解决了吗?还是现在高端的ASA可以用所有的扩展卡了?
回答内容: 您询问的应该是Anti-X 模块吧, 可以适用于ASA 5510/5520/5540 目前不支持外接模块的ASA产品只有,ASA5505及5550.
但是目前下单的时候不能购买BUNDLE方式下单ASA5540+CSC 因此 你可以通过备件方式定购CSC模块 然后安装到ASA 5540上面即可.
问题编号:56
提问内容: 我在你们的宣传资料里看ASA有四种版本,分别是防火墙版、IPS版、Anti-X版和SSL/IPsec ***版。请问这四种是硬件设计不一样,还是功能卡不一样?是否可以通过更换功能卡来实现其他版本的特性。另外是否可以同时支持这路个版本的特性。
回答内容: ASA的四种版本是思科专门为满足不同需求定制的。ASA硬件设计是一致的,都采用了AIM框架(Adaptive> 问题编号:57
提问内容: 我们公司网络这600-800个人上网,跑个OA和一个财务软件!是用路由3825+ASA5510,还是不用路由直接用ASA5520不用路由啊!
回答内容: ASA 看您公司的需求而定,如果您是以太网接口入户那么选择ASA就可以了,但是如果考虑一些安全因素,可以如下考虑:
单一网关设备兼作防火墙使用:
那么可以配置ISR作为用户接入GATEWAY,配合启用IOS IPS功能对于网络中蠕虫及病毒的控制. 当然这一功能也可以使用ASA+AIP模块实现.
如果用户想使用IPS并且使用应用层防护的化(比如应用层过虑/病毒/垃圾邮件管理等
配置ISR作为IOS IPS使用,并且配置ASA+CSC 和并使用.
问题编号:58
提问内容: ASA产品与MARS两者的产品如何联动?对于网络***如何自动防护?
回答内容: MARS是通过SNMP实现与ASA及其它设备的联动的。
MARS如何自动防护网络***,首先MARS作为安全事件响应中心,可以从网络设备和多种安全设备上收集安全信息,然后描绘出***的路线图,即***者经过了哪些交换机、路由器、防火墙,到达***目标,MARS据此生成解决方案,需要控制的点一定应是最靠近***源的地方。
所以,如果***者来自于外部,就应该在FW上进行防护;如果***来自内部,MARS就会自动识别出它接入的交换机,在相关端口上进行控制,并给交换机发指令。
问题编号:59
1. 请问ASA除了anti-x,ips/ids,firewall,***这四个版本外,是不是还有个企业版,具备上面四种功能的整合呢?谢谢!
2. ASA是不是例如如果我购买***版的话,它就不具备FIREWALL的功能了呢?不可以像以往PIX一样我既可以作FIREWALL同时又可以使用普通的***?
3. CISCO目前是否有PIX的停产计划?ASA的配置是否与PIX OS 7.0相同呢?
4. 一直不明白Guard XT拿来防止DDOS***的,但为什么像下面的URL中figure2所示:
http://www.cisco.com/en/US/products/ps5888/products_data_sheet0900aecd800fa55e.html
这个Guard XT是旁挂在core switch的旁边,那怎么起到由INTERNET过来的流量先经过GUARD XT的清洗然后从DDOS中过滤出正常访问流量后再流入网络的作用呢?我的理解是应该INTERNET-CORE SWITCH-GUARD XT-LAN这样部署,我想知道GUARD XT在实际应用中真的是旁挂吗?如果是的话它怎么实现清洗流量的功能呢?谢谢!
5. ASA如何防止DDOS***呢?有这样的功能吗?还是还需要购买其它的设备来实现?
6. 目前CISCO关于网络安全的产品太多了,除了ASA和PIX外,还有像MARS,SIMS和CTA,CSA,CCA等,能不能简单讲一下这些组件的主要用途?谢谢!
回答内容: -请参见问题3598的回答
-ASA可以既做FW,同时又可以使用***,并且还可以同时做IpSec ***和 SSL ***
-Cisco的策略是将PIX迁移到ASA自适应安全这新一代产品上来,ASA的FW配置与PIX相同
-Guard XT旁挂是最好的解决方案,基本原理是:Guard和异常流量检测器配合,流量异常检测器发现一个潜在***后,将向异常防护模块发出警报,通知其开始动态转移,重导向发往***目标资源的流量,以进行检测和清理,所有其它流量则继续直接发往目的地。异常防护模块启动转移过程,即利用Cisco Catalyst设备内的思科路径状态注入(RHI)协议将路由更新信息插入到交换管理引擎中,使异常防护模块成为下一跳地址。流量被转向到guard,在那里接受清理,并删除恶意流量。
-更多的内容请访问思科站点了解详细信息
问题编号:60
问题主题:如何有效控制客户端安全
提问内容: 面对公司内部用户群和接入模式多样化,如何有效控制客户端安全:
1:如何有效安全控制客户端?
2:如何有效保护公司内部服务器等生产数据和服务?
3:如何有效控制***或者感染区域,使受灾范围最小?
4:如何控制不合法(补丁和病毒)用户接入办公网?
回答内容: 保障客户端的安全需要综合的安全解决方案,针对不同的威胁采取不同的防范手段,思科提供了多种防护产品供用户按需选择:
1:CSA-思科安全代理,基于行为特征的主机保护产品
2: 保护服务器涉及多个层面的安全,可综合考虑ASA,IPS,CSA
3: MARS+IPS,MARS-思科监控、分析、响应系统,能快速定位***者,可视化描绘***路线图,提供建议的解决方案,可迅速消除威胁
4: NAC-思科网络准入控制,用户身份认证、机器安全状态认证结合网络接入控制实现
页:
[1]