问题编号:1
提问内容: ASA5510做clientvpn,5510的内网地址与clientvpn用户的本地地址重叠,请问怎么解决?
192.168.1.0/24inside--ASA5510--ISP--ROUTER--192.168.1.0/24 clientvpn
回答内容: VPN接入用户可以自行安排一段IP, 内部L3设备设置静态路由指向ASA内部接口即可
问题编号:2
提问内容: 请问PIX 535和ASA系列,能否做到将两个端口绑定在一起,作用与SWITCH的PORT-CHANNEL,路由器的channel-group?
回答内容: ASA/pix没有ether channel功能
问题编号:3
提问内容: 我们学校互联网出口使用了一台PIX535防火墙,目前通过MRTG监测软件发现连接数已达到70万,但实际我们的用户也就四千人,此种情况是否代表有安全攻击存在,有什么命令可以在设备上查看具体连接细节吗,是不是TCP半连接太多,在PIX上使用什么命令可以防范半连接攻击?
回答内容: 利用 show connection以及show local-host, 建议限制内部IP对外的会话数量,启用外部连接的tcp syn cookie功能
问题编号:4
提问内容: 请问asa5500的冗余工作模式A/S是否通过hello包的机制来检测对端故障?检测时间是多少,hello包的传递是通过failover link吗?还有,asa5500工作在a/s时,是否可直接连接路由器,如果只能通过交换机连接路由器,那交换机的作用是什么?
回答内容: ASA的冗余有两类数据,一个是hello,一个是状态信息.所以可以做到xx切换,用户连接无需中断.{zh0}将两类数据分别置入不同的冗余VLAN进行传输.
ASA的冗余连接建议通过交换机,也就是L2的连接方式
问题编号:5
提问内容: asa5500支持A/A工作模式,是否通过context实现?如果是,在物理接口侧是不是启用子接口方式将不同子接口划入不同的Context实现A/A?
回答内容: ASA5500的A/A是通过虚拟防火墙的方式实现, 具体连接支持物理与逻辑线路等多种方式
问题编号:6
提问内容:现在的情况是这样的,我有一台内网服务器的WEB服务要对外发布,我在ASA5520上面做了静态NAT:static (dmz,outside) tcp 10.1.1.1 80 192.168.1.1 80 netmask 255.255.255.255 0 0
conduit permit tcp host 10.1.1.1 eq 80 any但是却不起作用(排除WEB服务器及应用的故障可能)
回答内容: 应该设置outside端口的ACL, 允许外部用户访问 permit tcp any host 10.1.1.1 eq 80
问题编号:7
提问内容:
A点PIX上有一固定IP
B点PIX无固定IP,使用ADSL拨号
现在想使用VPN让两个网络互相访问
目前为止找到的site to site例子都有固定IP的
回答内容: 在总部一端设置动态crptomap即可,连接由分支设备发起.
问题编号:8
提问内容: Cisco ASA 5520有几个功能模块?
回答内容: IPS功能的AIP SSM以及Anti-X功能的CSC SSM模块,另外还有4GE的端口扩展模块
问题编号:9
提问内容: 一根网通,一根电信。
能否实现数据(基于目的地址)的自动分流?
回答内容: 可以通过虚拟防火墙的方式支持多ISP的接入
问题编号:10
提问内容: ASDM想比PDM是否有更多功能?和PDM相比,ASDM的配置是否可以达到更细致的配置?哪些配置是ASDM不能完成的?
回答内容: ASDM比PDM要强大许多, 也更为细致, 安装ASDM之后有演示功能,建议尝试一下
问题编号:11
提问内容: ASA的命令格式和PIX有无区别?ASA默认是否支持透明模式?
回答内容: ASA与PIX配置保持一致,可以支持透明模式
问题编号:12
提问内容: 我对UTM产品非常感兴趣,比如cisco的ASA产品系列。现在想问一下专家ASA的防病毒模块是用的哪一家的产品,cisco怎样提供升级?
回答内容: TrendMicro, 由TM提供在线升级,可以通过思科购买升级服务
问题编号:13
提问内容: ASA5510中UTM防病毒为什么有用户数限制?
回答内容: 最多1000在线用户
问题编号:14
提问内容: 我在配置asa的时候发现,在应用acl到接口上时多了一个out选项,而pix上只有in选项,请问asa防火墙为什么要做出这样的改变,它的好处在哪里?
回答内容: 在一个端口上提供双向ACL的选择
问题编号:15
提问内容: 请问如果某个在INSIDE接口内的设备(使用私有地址),在连接INERNET的 OUTSIDE接口做了映射(static),配合ACL命令实现了安全等级从低向高的访问,但假设不配置NAT命令能否实现对INTERNET的访问。
回答内容: 可以, 只要在FW的xlate中有翻译表项即可
问题编号:16
提问内容: 一个有300个节点的网络,同时有5台服务器,对外提供WEB,FTP,MAIL,ERP,CRM,OA服务,这样的一个网络,CISCO的哪种防火墙产品比较合适,需要多大的吞吐量,并发连接数和安全带宽
回答内容: 5510/5520都可以,5510的FW吞吐量为300,总连接数为50000或130000, 新建连接数为6000/秒,5520的指标分别为450,280,000与9,000
问题编号:17
提问内容: 现所有LAN内主机缺省网关指向一台ASA5520,现需通过另一台与ASA在同一网段的路由器访问另一网段的分支机构,在ASA上增加指向分支机构网段的静态路由,但是LAN内主机无法访问分支机构网段,经查发现数据包到ASA后,ASA根本没发路由重定向的包给LAN内主机。请问专家应如何解决以上问题?
回答内容: 基于安全,ASA禁止ip redirect,因此不会发重定向。
ASA缺省也不会让从一个interface进入的数据再从这个interface出去,所以ASA把你的数据包丢弃了。可以配置以下命令:
same-security-traffic permit intra-interface
这样ASA就可以允许数据从同一个接口进出,解决你的问题。
问题编号:18
提问内容: 每秒连接数大概是多少?
FWSM的cpu主要处理哪些任务,硬件完成哪些任务?cpu利用率在什么值以下比较安全?
回答内容: FWSM每秒新建连接数为10万,这是Cisco防火墙的优势所在,FWSM还支持100万的并发连接数。FWSM是NP架构,共有3个NP做处理。
问题编号:19
提问内容: 我以前对PIX比较熟悉,我想问一下,ASA和PIX的主要区别在哪里?配置有多大的区别?
回答内容: ASA全新硬件设计,同等档次下,实际性能比PIX高。所使用的软件版本区别不大,配置命令一样。
问题编号:20
提问内容: 现公司有cisco ASA 5510 一台,怎么使用它来封QQ?
回答内容: 比较麻烦,QQ有很多服务器端端口,要逐个查出来封住,也可以根据QQ软件中列出的服务器IP做策略。但网上有很多私设的QQ代理服务器,如果用户用这种方式登录,则很难封住。ASA暂时还没有关于QQ的应用检测。
问题编号:21
提问内容: 现在很多防火墙基本都提供了大量的路由功能,路由器有的功能基本防火墙也都有了,那么路由器相对来讲还有存在的意思?
回答内容: 防火墙本身是个功能相对单一的策略控制设备,它更专注于安全控制。而路由器则有更广泛得多的功能要求。何况,并不是所有地方都需要使用策略控制手段的。根本上讲,这两种设备有不同的使用目的。
问题编号:22
提问内容:
现在网络中病毒很多,而且不断有新的病毒出来,我在使用防火墙的过程中,觉得防火墙的功能总是要慢病毒一步,现在很多厂家都说自己的墙如何如何强,其实对新病毒很难有一个好的办法的。所以请教一下,对这种新的病毒,我们的防火墙怎么应对?cisco的墙有哪些特殊针对新病毒的功能?谢谢
回答内容: 没有任何一种工具是无所不能的,防病毒需要从多个层面,运用多种手段。
ASA防火墙防病毒有很多手段,比如增加一个CSC防病毒模块,CSC模块本身是一个网关型防病毒设备,可以检查SMTP、POP3、HTTP、FTP四种协议的流量。或可以增加一个AIM模块,AIM是运行Cisco IPS软件的IPS模块,通常IPS设备都能有效防止蠕虫的传播和爆发。
另外,举一个例子,ASA可以限制每个IP的TCP或UDP的{zd0}连接数,或者其NAT的{zd0}连接数,这种方法也能有效地减轻病毒爆发后对网络性能、设备性能的冲击。
问题编号:23
提问内容: 在内部网络设置安全网关保护重点网络,请问CISCO的那种产品比较适合?
回答内容: 取决于性能、端口、扩展能力等要求。可以使用ASA系列产品,或6500系列交换机上的FWSM模块。
问题编号:24
提问内容: Cisco ASA 5500系列作为自适应安全设备,是否能够在windows本身漏洞百出的情况下也能提供安全防护,保护单位的业务关键服务和基础设施免遭蠕虫、黑客和其他威胁的影响,抵御病毒、间谍软件和泄密等恶意的网站威胁和基于内容的威胁。毕竟windows本身已知或还未知但已被黑客利用的漏洞太多。补订与杀毒软件都是滞后的。
回答内容: ASA有一定的主动防御功能,本身通过audit命令就可以防止很多IPS攻击。如果配置IPS模块,可以利用Cisco IPS的基于行为检测的功能,能够防止day-zero攻击,那么一些新出的蠕虫也可以防范。但根本还是整个安全体系的建设,不应该只依靠单个设备做抵御。配置的严谨性也非常重要。
问题编号:25
提问内容: 思科ASA5500 ips如何升级他的信息库
回答内容: 如果是指ASA上面的AIM模块,那么需要购买相应模块的IPS signature服务,购买后设备会获得license,有这个license后你可以从CCO网站下载{zx1}的签名库安装。
ASA本身audit命令方式的IPS功能相对固定,升级较慢。
问题编号:26
提问内容: 我想问一下,关于Cisco ASA 5520 在Flash 中应该有那几个文件,我们公司的ASA我之前误操作把Flash清空了。而且提供的光盘上就只有两个模块可以用。时不时应该还有其它的一个或者两个文件?我应该怎么获得?谢谢!
回答内容: 至少要有一个操作系统文件,其格式通常是这样:asa721-k8.bin,还可以外加一个ASDM的文件,其格式通常是:asdm521.bin,有这个文件后你就可以用图形的方式配置ASA。
问题编号:27
提问内容: 两台ASA5520做Active/Active Failover
router 下连两台ASA5520
/ \
asa5520 asa5520
\ /
\ /
switch 上连两台ASA5520
\
pc
我是按照PIX722配置文档配置的。请问现在我的PC应该设那个ASA的网关 急!!!!
回答内容: A/A方式实际上是配置两组有A/S功能的context,每组负责一部分用户,所以你的PC设置哪一个网关都可以,前提是你的PC的子网地址分配符合你防火墙A/A的设计。
问题编号:28
提问内容: 我公司防火墙(PIX-515E)上有1个DMZ区、1个web区、inside、outside区,inside的机器通过域名方式访问该web区的某些映射公网服务器可以访问;但我现在有个新需求有1台服务器在indside区需要公网访问他,我按照原有的方式配置好后,公网可以通过域名地址等方式访问到这台服务器,但是我的inside区域其他机器无法通过访问公网地址和域名解析的方式访问这他服务器,只能已真实IP的方式访问这台服务器。是pix防火墙的不只支持统一区域的公网映射访问还是我配置有问题?如果是我配置的问题请做配置指导,谢谢!
我的防火墙OS的版本是:
PIX Version 6.3(4)
回答内容: 这是一个NAT doctoring的问题,6.3版本可以用alias命令解决,参见以下链接:
问题编号:29
提问内容: 两台pix做vpn,一边有固定IP,一边是PPPOE,是否能实现,链路稳定么?如果PPPOE这边掉线vpn是否能再连上?
回答内容: 可以。链路稳定性取决于拨号线路而不是VPN本身。PPPoE掉线再上线后,VPN会自动重连。
问题编号:31
提问内容:
目前,防火墙在企业内部广泛应用。防火墙是一个工作在7层的设备,需要保存session。
在下一代防火墙内,提供session资源的保护,包括Session总数和每秒钟能建立的Session数,以防止非关键业务影响生产?
谢谢!
回答内容: 在ASA 7.2版本以后,可以做到对每个client的连接数限制,如以下命令就是一个例子(最多50个):
nat (inside) 1 172.16.0.0 255.255.0.0 tcp 50 50 udp 50 con enb
配置可以参考以下链接:
问题编号:32
提问内容: 1、作为下一代防火墙产品的ASA5500,集成了防火墙、IPS、VPN、Anti-X等功能于一身,集成了这么多的功能,他的性能是如何保证的?
2、ASA5500产品是否能够替代IPS产品?
回答内容: ASA的IPS和Anti-X功能都是依靠SSM模块实现,这个模块有单独的处理器,不需要占用ASA资源,ASA只需要把相关流量送给SSM模块即可。ASA有内置专用VPN加密模块。
各种应用下的性能ASA的Datasheet写得很清楚,请按其参数选择合适型号。
问题编号:33
提问内容: 目前CISCO 安全产品市场占有率不是很高,我们用的是Netscreen+Lucent's Brick 产品。我想问下,ASA的到来,到底意味着什么,真的有这么强大的功能吗?能替代或者可以取代多少种类型的设备呢? 我作为CISCO的工程师,一直认为QOS+security 这2个scopes比较残疾点,相对路由这块而言,所以对安全这块产品没什么关心。对ASA不是特别熟悉,想通过你们了解下,说不定能上报个proposal做设备调整,呵呵
回答内容: ASA用于替代PIX系列和VPN3000系列,是Cisco未来防火墙和VPN的主打产品。
ASA相对于PIX有更高的应用检测能力和更好的实际性能,并且支持IPS和防病毒。
ASA相对于VPN3000,有更好的性能,且对SSL VPN的支持非常好。SSL VPN也是VPN未来的方向,我们的8.0版本已经出来,对SSL VPN有xx的支持。建议你了解一下我们的any connect客户端。
问题编号:35
提问内容: PIX怎样做到应用层的防御,如某些木马程序 可以写访问策略禁止访问内网,即在外部接口就把他丢掉
回答内容: 防火墙对应用层的安全保护主要是对一些已知的广泛使用的网络应用进行协议层的分析,确保其不被滥用,这是依靠内置的30多个inspec engine实现的,可保护Multimedia / Voice over IP
、Core Internet Protocols
、Database / OS Services、Security Services等几类应用。如果是Cisco的新一代安全网关ASA通过加挂AIP-SSM安全服务模块可以实现对多种恶意软件的防护,包括Spyware/Adware、网络蠕虫和病毒、木马和后门程序等等。但是需要经常保持Signature库的更新才能更有效地防范已知世界的恶意程序。
问题编号:36
提问内容: 发现内网的IP地址与MAC绑定后,局内出现10%以上人员不能上网,放开后,所有人员都可以上网,为什么?是不是防火墙不能绑定完好!我局有120多台机子
回答内容: 对不起,这里主要是解答Cisco新一代防火墙产品的技术问题。您所提到的东软防火墙的具体型号和技术特性并不清楚,如果可能的话,请提供网络连接拓扑和IP地址分配等细节(用户和防火墙内网口都在同一个二层VLAN吗?),才能进行下一步分析。
问题编号:37
提问内容: 小区共有500栋别墅,千兆到桌面,ISP百兆光纤独享接入,应该选用什么型号防火墙?几台?(保证高稳定、高速、高安全)
回答内容: 防火墙如果是用于控制小区用户通过ISP网络去互联网的流量,在性能上能满足ISP的连接带宽即可。所以,ASA5520以上的型号都可以。两台相同型号的ASA可以实现冗余和负载均衡的要求。
问题编号:38
提问内容: ASA产品支不支持让用户访问网络时输入用用户名及密码,并对用户分级,如果支持,最多能支持多少用户?谢谢
回答内容: 支持。但访问的内容应该使用允许交互方式的协议,比如http,telnet,ftp,smtp等。
如果使用外部认证服务器,比如RADIUS服务器,那么理论上没有用户数量的限制。
问题编号:39
提问内容: 在企业网络的哪些地方针对性使用这三款产品?
回答内容: Cisco ASA 5500系列自适应安全设备本身是一个模块化平台,可以提供IPS/Antix/VPN功能,这三个版本是为了您不同的需求量身定制的。因此,当您的企业需要应用安全和入侵防御服务,保护业务关键服务和基础设施免遭蠕虫、黑客和其他威胁的影响,建议配置IPS版。当你想帮助客户端系统抵御病毒、间谍软件和泄密等恶意的网站威胁和基于内容的威胁时,建议配置AntiX版。当您的目的是使远程用户可安全访问内部网络系统和服务,支持用于大型企业部署的VPN集群时,建议配置VPN版本。同时,这三个版本都具备firewall功能和IP sec VPN功能。
Cisco ASA 5500系列中提供了全面的服务,通过面向企业的定制产品版本:防火墙、IPS、Anti-X和VPN版,支持针对特定地点需求的定制。
问题编号:40
提问内容: 两台PIX535,一台是UR license,有一块GE卡,四块一口FE卡;
另一台是FO license,有一块GE卡,一块四口FE卡;
这两台是否能做cable-based failover?
回答内容: 做failover的两台防火墙必须硬件和软件配置xx一样,否则配置文件复制会出问题,请把两台PIX535的硬件调整成一致
