问题编号:1
提问内容: ASA5510做clientvpn,5510的内网地址与clientvpn用户的本地地址重叠,请问怎么解决?
192.168.1.0/24inside–ASA5510–ISP–ROUTER–192.168.1.0/24 clientvpn
回答内容: VPN接入用户可以自行安排一段IP, 内部L3设备设置静态路由指向ASA内部接口即可
问题编号:2
提问内容: 请问PIX 535和ASA系列,能否做到将两个端口绑定在一起,作用与SWITCH的PORT-CHANNEL,路由器的channel-group?
回答内容: ASA/PIX没有ether channel功能
问题编号:3
提问内容: 我们学校互联网出口使用了一台PIX535防火墙,目前通过MRTG监测软件发现连接数已达到70万,但实际我们的用户也就四千人,此种情况是否代表有安全攻击存在,有什么命令可以在设备上查看具体连接细节吗,是不是TCP半连接太多,在PIX上使用什么命令可以防范半连接攻击?
回答内容: 利用 show connection以及show local-host, 建议限制内部IP对外的会话数量,启用外部连接的tcp syn cookie功能
问题编号:4
提问内容: 请问ASA5500的冗余工作模式A/S是否通过hello包的机制来检测对端故障?检测时间是多少,hello包的传递是通过failover link吗?还有,ASA5500工作在a/s时,是否可直接连接路由器,如果只能通过交换机连接路由器,那交换机的作用是什么?
回答内容: ASA的冗余有两类数据,一个是hello,一个是状态信息.所以可以做到完全切换,用户连接无需中断.最好将两类数据分别置入不同的冗余VLAN进行传输.
ASA的冗余连接建议通过交换机,也就是L2的连接方式
问题编号:5
提问内容: ASA5500支持A/A工作模式,是否通过context实现?如果是,在物理接口侧是不是启用子接口方式将不同子接口划入不同的Context实现A/A?
回答内容: ASA5500的A/A是通过虚拟防火墙的方式实现, 具体连接支持物理与逻辑线路等多种方式
问题编号:6
提问内容:现在的情况是这样的,我有一台内网服务器的WEB服务要对外发布,我在ASA5520上面做了静态NAT:static (dmz,outside) tcp 10.1.1.1 80 192.168.1.1 80 netmask 255.255.255.255 0 0
conduit permit tcp host 10.1.1.1 eq 80 any但是却不起作用(排除WEB服务器及应用的故障可能)
回答内容: 应该设置outside端口的ACL, 允许外部用户访问 permit tcp any host 10.1.1.1 eq 80
问题编号:7
提问内容: A点PIX上有一固定IP
B点PIX无固定IP,使用ADSL拨号
现在想使用VPN让两个网络互相访问
目前为止找到的site to site例子都有固定IP的
回答内容: 在总部一端设置动态crptomap即可,连接由分支设备发起.
问题编号:8
提问内容: Cisco ASA 5520有几个功能模块?
回答内容: IPS功能的AIP SSM以及Anti-X功能的CSC SSM模块,另外还有4GE的端口扩展模块
问题编号:9
提问内容: 一根网通,一根电信。
能否实现数据(基于目的地址)的自动分流?
回答内容: 可以通过虚拟防火墙的方式支持多ISP的接入
问题编号:10
提问内容: ASDM想比PDM是否有更多功能?和PDM相比,ASDM的配置是否可以达到更细致的配置?哪些配置是ASDM不能完成的?
回答内容: ASDM比PDM要强大许多,也更为细致,安装ASDM之后有演示功能,建议尝试一下
问题编号:11
提问内容: ASA的命令格式和PIX有无区别?ASA默认是否支持透明模式?
回答内容: ASA与PIX配置保持一致,可以支持透明模式
问题编号:12
提问内容: 我对UTM产品非常感兴趣,比如cisco的ASA产品系列。现在想问一下专家ASA的防病毒模块是用的哪一家的产品,cisco怎样提供升级?
回答内容: TrendMicro, 由TM提供在线升级,可以通过思科购买升级服务
问题编号:13
提问内容: ASA5510中UTM防病毒为什么有用户数限制?
回答内容: 最多1000在线用户
问题编号:14
提问内容: 我在配置ASA的时候发现,在应用acl到接口上时多了一个out选项,而pix上只有in选项,请问asa防火墙为什么要做出这样的改变,它的好处在哪里?
回答内容: 在一个端口上提供双向ACL的选择
问题编号:15
提问内容: 请问如果某个在INSIDE接口内的设备(使用私有地址),在连接INERNET的 OUTSIDE接口做了映射(static),配合ACL命令实现了安全等级从低向高的访问,但假设不配置NAT命令能否实现对INTERNET的访问。
回答内容: 可以, 只要在FW的xlate中有翻译表项即可
问题编号:16
提问内容:一个有300个节点的网络,同时有5台服务器,对外提供
WEB,FTP,MAIL,ERP,CRM,OA服务,这样的一个网络,CISCO的哪种防火墙产品
比较合适,需要多大的吞吐量,并发连接数和安全带宽
回答内容: 5510/5520都可以,5510的FW吞吐量为300,总连接数为50000或130000, 新建连接数为6000/秒,5520的指标分别为450,280,000与9,000
问题编号:17
提问内容:现所有LAN内主机缺省网关指向一台ASA5520,现需通过另一台与ASA在同一网段的路由器访问另一网段的分支机构,在ASA上增加指向分支机构网段的静态路由,但是LAN内主机无法访问分支机构网段,经查发现数据包到ASA后,ASA根本没发路由重定向的包给LAN内主机。请问专家应如何解决以上问题?
回答内容:基于安全,ASA禁止ip redirect,因此不会发重定向。
ASA缺省也不会让从一个interface进入的数据再从这个interface出去,所以ASA把你的数据包丢弃了。可以配置以下命令:
same-security-traffic permit intra-interface
这样ASA就可以允许数据从同一个接口进出,解决你的问题。
问题编号:18
提问内容: 每秒连接数大概是多少?
FWSM的cpu主要处理哪些任务,硬件完成哪些任务?cpu利用率在什么值以下比较安全?
回答内容: FWSM每秒新建连接数为10万,这是Cisco防火墙的优势所在,FWSM还支持100万的并发连接数。FWSM是NP架构,共有3个NP做处理。
问题编号:19
提问内容: 我以前对PIX比较熟悉,我想问一下,ASA和PIX的主要区别在哪里?配置有多大的区别?
回答内容: ASA全新硬件设计,同等档次下,实际性能比PIX高。所使用的软件版本区别不大,配置命令一样。
问题编号:20
提问内容: 现公司有cisco ASA 5510 一台,怎么使用它来封QQ?
回答内容: 比较麻烦,QQ有很多服务器端端口,要逐个查出来封住,也可以根据QQ软件中列出的服务器IP做策略。但网上有很多私设的QQ代理服务器,如果用户用这种方式登录,则很难封住。ASA暂时还没有关于QQ的应用检测。
问题编号:21
提问内容: 现在很多防火墙基本都提供了大量的路由功能,路由器有的功能基本防火墙也都有了,那么路由器相对来讲还有存在的意思?
回答内容: 防火墙本身是个功能相对单一的策略控制设备,它更专注于安全控制。而路由器则有更广泛得多的功能要求。何况,并不是所有地方都需要使用策略控制手段的。根本上讲,这两种设备有不同的使用目的。
问题编号:22
提问内容: 现在网络中病毒很多,而且不断有新的病毒出来,我在使用防火墙的过程中,觉得防火墙的功能总是要慢病毒一步,现在很多厂家都说自己的墙如何如何强,其实对新病毒很难有一个好的办法的。所以请教一下,对这种新的病毒,我们的防火墙怎么应对?cisco的墙有哪些特殊针对新病毒的功能?谢谢
回答内容: 没有任何一种工具是无所不能的,防病毒需要从多个层面,运用多种手段。
ASA防火墙防病毒有很多手段,比如增加一个CSC防病毒模块,CSC模块本身是一个网关型防病毒设备,可以检查SMTP、POP3、HTTP、FTP四种协议的流量。或可以增加一个AIM模块,AIM是运行Cisco IPS软件的IPS模块,通常IPS设备都能有效防止蠕虫的传播和爆发。
另外,举一个例子,ASA可以限制每个IP的TCP或UDP的最大连接数,或者其NAT的最大连接数,这种方法也能有效地减轻病毒爆发后对网络性能、设备性能的冲击。
问题编号:23
提问内容: 在内部网络设置安全网关保护重点网络,请问CISCO的那种产品比较适合?
回答内容: 取决于性能、端口、扩展能力等要求。可以使用ASA系列产品,或6500系列交换机上的FWSM模块。
问题编号:24
提问内容: Cisco ASA5500系列作为自适应安全设备,是否能够在windows本身漏洞百出的情况下也能提供安全防护,保护单位的业务关键服务和基础设施免遭蠕虫、黑客和其他威胁的影响,抵御病毒、间谍软件和泄密等恶意的网站威胁和基于内容的威胁。毕竟windows本身已知或还未知但已被黑客利用的漏洞太多。补订与杀毒软件都是滞后的。
回答内容: ASA有一定的主动防御功能,本身通过audit命令就可以防止很多IPS攻击。如果配置IPS模块,可以利用CiscoIPS的基于行为检测的功能,能够防止day-zero攻击,那么一些新出的蠕虫也可以防范。但根本还是整个安全体系的建设,不应该只依靠单个设备做抵御。配置的严谨性也非常重要。
问题编号:25
提问内容: 思科ASA5500 ips如何升级他的信息库
回答内容: 如果是指ASA上面的AIM模块,那么需要购买相应模块的IPS signature服务,购买后设备会获得license,有这个license后你可以从CCO网站下载最新的签名库安装。
ASA本身audit命令方式的IPS功能相对固定,升级较慢。
问题编号:26
提问内容: 我想问一下,关于Cisco ASA 5520 在Flash 中应该有那几个文件,我们公司的ASA我之前误操作把Flash清空了。而且提供的光盘上就只有两个模块可以用。时不时应该还有其它的一个或者两个文件?我应该怎么获得?谢谢!
回答内容: 至少要有一个操作系统文件,其格式通常是这样:asa721-k8.bin,还可以外加一个ASDM的文件,其格式通常是:asdm521.bin,有这个文件后你就可以用图形的方式配置ASA。
