思科下一代防火墙ASA专家在线问答

justsoso

问：我们公司一直在用思科PIX 防火墙，性能也不错，这次思科提出的“下一代防火墙”是否是替换PIX
的产品呢？对于我们这些PIX 的老客户来说，如何保证我们的投资？
答：首先PIX 产品可以继续使用，没有问题。面对日益复杂的网络安全威胁，企业在考虑部署安全设备
的时候也越来越多地提出了除防火墙之外的需求，如入侵检测/防御，VPN 和Anti-X，ASA 正是适
应这种需求的“下一代防火墙”产品，它具有多功能的同时兼顾了高性能，相比PIX 产品具备更高
的性价比。将来PIX 老用户如果需要采购新的思科防火墙，可以按照思科提出的迁移建议的进行，
选择相应的ASA 产品。
问：我看了思科ASA 介绍资料，觉得与现在市场上流行的UTM 产品差不多，那你们的产品的优势在哪
里呢？
答：思科ASA 采用可扩展的模块化结构设计，每个模块均采用独立的处理单元并且应用思科久经市场验
证的各项安全技术，在保护用户前期投资的同时，可以保证优良的性能。而一般的UTM 设备则不
具备这样的特点及给用户带来的相应的应用体验。

问： 1. 防火墙中如果集成太多的其它功能，是不是不利于用于安全？
2. ASA 中的防病毒是软件还是硬件的？
3. 有了新病毒如何防范
答： 1.防火墙中如果集成新的安全功能是一种趋势，便于用户使用和管理。
2.都有。首先要有CSCSSM 模块，然后运行网络防病毒软件。
3.http://www.cisco.com/web/CN/prod ... a/products/asa5500_
product_7.html 从TrendLabs 自动更新获得业界最庞大的防病毒、间谍软件和垃圾邮件专家团队
之一的支持，全天候工作以确保您的解决方案可自动提供最新防御功能。
问：思科提下一代防火墙，但是具体的下一代防火墙包括那些内容，具体体现了那些技术呢，客户在投
资安全方面的资金又能咋样的保证呢？
答：思科ASA5500 系列自适应安全设备是思科推出的下一代防火墙安全解决方案，它是提供了新一代
的安全性和VPN 服务的模块化平台。企业可以根据特定需求定购不同版本，做到逐步购买、按需
部署，灵活方便地实现安全功能的扩展。
问：两者的产品如何联动？对于网络攻击如何自动防护？
答：MARS 是通过SNMP 实现与ASA 及其它设备的联动的。
MARS 如何自动防护网络攻击，首先MARS 作为安全事件响应中心，可以从网络设备和多种安全设
备上收集安全信息，然后描绘出攻击的路线图，即攻击者经过了哪些交换机、路由器、防火墙，到
达攻击目标，MARS 据此生成解决方案，需要控制的点一定应是最靠近攻击源的地方。
所以，如果攻击者来自于外部，就应该在FW 上进行防护；如果攻击来自内部，MARS 就会自动识
别出它接入的交换机，在相关端口上进行控制，并给交换机发指令。
问：你好！如下安全产品问题请教：
1. 请问ASA 除了Anti-X，ips/ids，firewall，VPN 这四个版本外，是不是还有个企业版，具备上面
四种功能的整合呢？谢谢！
2. ASA 是不是例如如果我购买VPN 版的话，它就不具备FIREWALL 的功能了呢？不可以像以往
PIX 一样我既可以作FIREWALL 同时又可以使用普通的VPN？
3. CISCO 目前是否有PIX 的停产计划？ASA 的配置是否与PIX OS 7.0 相同呢？
4. 一直不明白Guard XT 拿来防止DDOS 攻击的，但为什么像下面的URL 中figure2 所示：
这个Guard XT 是旁挂在core switch 的旁边，那怎么起到由INTERNET 过来的流量先经过
GUARD XT 的清洗然后从DDOS 中过滤出正常访问流量后再流入网络的作用呢？我的理解是应
该INTERNET-CORE SWITCH-GUARD XT-LAN 这样部署，我想知道GUARD XT 在实际应用中
真的是旁挂吗？如果是的话它怎么实现清洗流量的功能呢？谢谢！
5. ASA 如何防止DDOS 攻击呢？有这样的功能吗？还是还需要购买其它的设备来实现？
6. 目前CISCO 关于网络安全的产品太多了，除了ASA 和PIX 外，还有像MARS，SIMS 和CTA，
CSA，CCA 等，能不能简单讲一下这些组件的主要用途？谢谢！
答：- ASA 可以既做FW，同时又可以使用VPN，并且还可以同时做IpSec VPN 和SSL VPN。
- Cisco 的策略是将PIX 迁移到ASA 自适应安全这新一代产品上来，ASA 的FW 配置与PIX 相同。
- Guard XT 旁挂是最好的解决方案，基本原理是：Guard 和异常流量检测器配合，流量异常检测器
发现一个潜在攻击后，将向异常防护模块发出警报，通知其开始动态转移，重导向发往攻击目标
资源的流量，以进行检测和清理，所有其它流量则继续直接发往目的地。异常防护模块启动转移
过程，即利用Cisco Catalyst 设备内的思科路径状态注入（RHI）协议将路由更新信息插入到交换
管理引擎中，使异常防护模块成为下一跳地址。流量被转向到guard，在那里接受清理，并删除
恶意流量。
问：面对安全攻击技术日益月新，当前和今后的网络安全体系如何建立？防火墙的技术发展趋势又是怎
样的？Cisco 在这方面推荐的组合方案时什么？
答：思科网络安全构想是构建自防御网络（SDN），即可以利用网络发现、防范和消除威胁，网络自身
具有安全自防御能力。如思科收购Netsift，它开发了一种技术可以自动产生signature 来防范网络
蠕虫和攻击，这就是自防御的一种体现，关于SDN 你可以访问思科网站获得更多的信息。
防火墙是边界防护的设备，而在边界的安全要求原来越多，所以顺应需求的发展，FW 趋势必将是
功能综合适应要求，操作力求简便，性能要有所突破。ASA 就是思科定位的这一类自适应安全产
品。

问：面对公司内部用户群和接入模式多样化，如何有效控制客户端安全：
1. 如何有效安全控制客户端？
2. 如何有效保护公司内部服务器等生产数据和服务？
3. 如何有效控制攻击或者感染区域，使受灾范围最小？
4. 如何控制不合法（补丁和病毒）用户接入办公网？
答：保障客户端的安全需要综合的安全解决方案，针对不同的威胁采取不同的防范手段，思科提供了多
种防护产品供用户按需选择：
1. CSA－思科安全代理，基于行为特征的主机保护产品。
2. 保护服务器涉及多个层面的安全，可综合考虑ASA，IPS，CSA。
3. MARS＋IPS，MARS－思科监控、分析、响应系统，能快速定位攻击者，可视化描绘攻击路线
图，提供建议的解决方案，可迅速消除威胁。
4. NAC－思科网络准入控制，用户身份认证、机器安全状态认证结合网络接入控制实现。
问：我在你们的宣传资料里看ASA 有四种版本，分别是防火墙版、IPS 版、Anti-X 版和SSL/IPsec VPN
版。请问这四种是硬件设计不一样，还是功能卡不一样？是否可以通过更换功能卡来实现其它版本
的特性。另外是否可以同时支持这路个版本的特性？
答：ASA 的四种版本是思科专门为满足不同需求定制的。ASA 硬件设计是一致的，都采用了AIM 框架
（Adaptive Identification and Mitigation Services Architecture），核心是采用了模块化设计。所以
防火墙是核心功能，而IPS、Anti-X 模块化设计，卡上有相对独立的CUP 和内存，所以多功能集成
但性能不会下降。可以根据需要自己选择功能卡。
问：据悉，ASA 共有四个版本，即Anti-X，vpn，ips，firewall，请问这四个版本的功能能否集成到一台
ASA 设备上。如果可以的话，是不是插aip 和csc module 就可以实现了？而且ASA 各个系列是不
是就一个扩展口插槽（只能csc/aip 两者选其一）。
答：ASA 系列本身是一个“ALL IN ONE”的设备。其中5510/5520/5540 只具备一个插槽，5550 无额
外插槽。ASA 最基本的功能就是Firewall 功能，VPN 功能。注意，缺省状态下有2 个SSL VPN
license，如需更多则需要购买license。ASA 本身有两种功能性模块，就是您提到的AIP 和CSC。
因为5510/20/40 系列本身只有一个插槽，因此我们只能插入AIP 模块或者CSC 模块。但本身
ASA 内置就已经具备了IPS 功能和防病毒功能，只不过他们是soft 实现的。因此，这四个功能是可
以集成到一台ASA 上的。
问：请问ASA 采用的是什么架构？
答：目前主流的防火墙平台主要有一下几类：
第一类是基于x86 平台的，这种平台通常使用一颗或多颗主CPU 来处理业务数据，网卡芯片和
CPU 通过PCI 总线来传输数据。由于传统的32 位PCI 总线频率为33MHZ，所以，理论通讯速率
为：132MB/s 即：1056Mb/s。
第二类，基于ASIC 架构的防火墙、UTM 产品。但ASIC 架构做为UTM 就不是理想的选择，因为
ASIC 架构不可能把像网关杀毒、垃圾邮件过滤、网络监控等这些功能做到芯片一级去。
第三类，基于NP 架构的防火墙。NP 架构实现的原理和ASIC 类似，但升级、维护远远好于ASIC
架构。NP 架构在每个网口上都有一个网络处理器，即：NPE，用来处理来自网口的数据。每个网
络处理器上所运行的程序使用微码编程，其软件实现的难度比较大，开发周期比ASIC 短，但比
x86 长。作为UTM，由于NP 架构每个网口上的网络处理器性能不高，所以同样无法完成像网关杀
毒、垃圾邮件、过滤、访问监控等复杂功能。
X86 架构是下一代防火墙理想的硬件平台，目前来看，没有其它平台可以代替。Cisco ASA 5500 is
x86 based！
问：我以前受朋友所托，去一个客户那里捣鼓ASA 但是我是第一次见到ASA 还是按照PIX 的方式去做
的，但是有些功能无法实现。所以CISCO 的网站上那里有ASA 的指导书一类的文档？
答：由于ASA 是OS 7.X 的操作系统，PIX 6.X 版本与OS 7.X 又比较大的改动因此您惠感觉很多地方不
一样，但是当您的PIX 升级到OS 7.X 基本配置就与ASA 基本一致的。
问：在企业网络的哪些地方针对性使用这三款产品？
答：Cisco ASA 5500 系列自适应安全设备本身是一个模块化平台，可以提供IPS/Anti-X/VPN 功能，这
三个版本是为了您不同的需求量身定制的。因此，当您的企业需要应用安全和入侵防御服务，保护
业务关键服务和基础设施免遭蠕虫、黑客和其它威胁的影响，建议配置IPS 版。当你想帮助客户端
系统抵御病毒、间谍软件和泄密等恶意的网站威胁和基于内容的威胁时，建议配置Anti-X 版。当您
的目的是使远程用户可安全访问内部网络系统和服务，支持用于大型企业部署的VPN 集群时，建
议配置VPN 版本。同时，这三个版本都具备firewall 功能和IP sec VPN 功能。
Cisco ASA 5500 系列中提供了全面的服务，通过面向企业的定制产品版本：防火墙、IPS、Anti-X
和VPN 版，支持针对特定地点需求的定制。
问：我单位打算配一性价比高的硬件防火墙，主要用来保护WEB 服务器的安全，请予以推荐，谢谢!
答：建议您配置一台ASA5520 或者5540，这两款设备性能依次提升，根据您的需求进行配置。本身
ASA 具有很出色的Firewall 功能，具体性能指标见Cisco 网站，因此一台ASA 足以满足您保护公
司Web 服务器的需求。同时，在ASA5520 或者40 上可以启用IP sec VPN/SSL VPN/Easy VPN。
考虑到今后的扩展，这两款设备都有一个插槽，今后可配置思科高级检测和防御安全服务模块或者
内容安全和控制安全服务模块（CSC-SSM）。
问：专家，您好。目前，防火墙在企业内部广泛应用。防火墙是一个工作在7 层的设备，需要保存
session。在下一代防火墙内，提供session 资源的保护，包括Session 总数和每秒钟能建立的
Session 数，以防止非关键业务影响生产？谢谢！
答：在ASA 7.2 版本以后，可以做到对每个client 的连接数限制，如以下命令就是一个例子（最多50
个）：nat （inside） 1 172.16.0.0 255.255.0.0 tcp 50 50 udp 50 con enb
问：1. 作为下一代防火墙产品的ASA5500，集成了防火墙、IPS、VPN、Anti－X 等功能于一身，集成
了这么多的功能，他的性能是如何保证的？
2. ASA5500 产品是否能够替代IPS 产品？
答：ASA 的IPS 和Anti-X 功能都是依靠SSM 模块实现，这个模块有单独的处理器，不需要占用ASA 资
源，ASA 只需要把相关流量送给SSM 模块即可。ASA 有内置专用VPN 加密模块。各种应用下的
性能ASA 的Datasheet 写得很清楚，请按其参数选择合适型号

justsoso

问：目前CISCO 安全产品市场占有率不是很高，我们用的是Netscreen+Lucent's Brick 产品。我想问
下，ASA 的到来，到底意味着什么，真的有这么强大的功能吗？能替代或者可以取代多少种类型的
设备呢？我作为CISCO 的工程师，一直认为QOS+security 这2 个scopes 比较残疾点，相对路由
这块而言，所以对安全这块产品没什么关心。对ASA 不是特别熟悉，想通过你们了解下，说不定
能上报个proposal 做设备调整，呵呵。
答：ASA 用于替代PIX 系列和VPN3000 系列，是Cisco 未来防火墙和VPN 的主打产品。ASA 相对于
PIX 有更高的应用检测能力和更好的实际性能，并且支持IPS 和防病毒。ASA 相对于VPN3000，
有更好的性能，且对SSL VPN 的支持非常好。SSL VPN 也是VPN 未来的方向，我们的8.0 版本已
经出来，对SSL VPN 有完美的支持。建议你了解一下我们的any connect 客户端。
问：Cisco ASA 5520 有几个功能模块？
答：IPS 功能的AIP SSM 以及Anti-X 功能的CSC SSM 模块，另外还有4GE 的端口扩展模块。
问：我以前对PIX 比较熟悉，我想问一下，ASA 和PIX 的主要区别在哪里？配置有多大的区别？
答：ASA 全新硬件设计，同等档次下，实际性能比PIX 高。所使用的软件版本区别不大，配置命令一
样。
问：现在很多防火墙基本都提供了大量的路由功能，路由器有的功能基本防火墙也都有了，那么路由器
相对来讲还有存在的意思？
答：防火墙本身是个功能相对单一的策略控制设备，它更专注于安全控制。而路由器则有更广泛得多的
功能要求。何况，并不是所有地方都需要使用策略控制手段的。从根本上讲，这两种设备有不同的
使用目的。
问：现在网络中病毒很多，而且不断有新的病毒出来，我在使用防火墙的过程中，觉得防火墙的功能总
是要慢病毒一步，现在很多厂家都说自己的墙如何如何强，其实对新病毒很难有一个好的办法的。
所以请教一下，对这种新的病毒，我们的防火墙怎么应对？Cisco 的墙有哪些特殊针对新病毒的功
能？谢谢！
答：没有任何一种工具是无所不能的，防病毒需要从多个层面，运用多种手段。
ASA 防火墙防病毒有很多手段，比如增加一个CSC 防病毒模块，CSC 模块本身是一个网关型防病
毒设备，可以检查SMTP、POP3、HTTP、FTP 四种协议的流量。或可以增加一个AIM 模块，AIM
是运行Cisco IPS 软件的IPS 模块，通常IPS 设备都能有效防止蠕虫的传播和爆发。
另外，举一个例子，ASA 可以限制每个IP 的TCP 或UDP 的最大连接数，或者其NAT 的最大连接
数，这种方法也能有效地减轻病毒爆发后对网络性能、设备性能的冲击。
问：Cisco ASA 5500 系列作为自适应安全设备，是否能够在windows 本身漏洞百出的情况下也能提供
安全防护，保护单位的业务关键服务和基础设施免遭蠕虫、黑客和其它威胁的影响，抵御病毒、间
谍软件和泄密等恶意的网站威胁和基于内容的威胁。毕竟windows 本身已知或还未知但已被黑客利
用的漏洞太多。补丁与杀毒软件都是滞后的
答：ASA 有一定的主动防御功能，本身通过audit 命令就可以防止很多IPS 攻击。如果配置IPS 模块，
可以利用Cisco IPS 的基于行为检测的功能，能够防止day-zero 攻击，那么一些新出的蠕虫也可以
防范。但根本还是整个安全体系的建设，不应该只依靠单个设备做抵御。配置的严谨性也非常重
要。
问：ASA 5510 做clientvpn，5510 的内网地址与clientvpn 用户的本地地址重叠，请问怎么解决？
192.168.1.0/24inside--ASA5510--ISP--ROUTER--192.168.1.0/24
clientvpn
答：VPN 接入用户可以自行安排一段IP，内部L3 设备设置静态路由指向ASA 内部接口即可。
问：请问专家：PIX 535 和ASA 系列，能否做到将两个端口绑定在一起，作用与SWITCH 的PORTCHANNEL，
路由器的channel-group？
答：ASA/PIX 没有ether channel 功能。
问：各位专家，我们学校互联网出口使用了一台PIX535 防火墙，目前通过MRTG 监测软件发现连接数
已达到70 万，但实际我们的用户也就四千人，此种情况是否代表有安全攻击存在，有什么命令可
以在设备上查看具体连接细节吗，是不是TCP 半连接太多，在PIX 上使用什么命令可以防范半连
接攻击？
答：利用show connection 以及show local-host，建议限制内部IP 对外的会话数量，启用外部连接的
tcp syn cookie 功能。
问：请问ASA5500 的冗余工作模式A/S 是否通过hello 包的机制来检测对端故障？检测时间是多少，
hello 包的传递是通过failover link 吗？还有，ASA5500 工作在a/s 时，是否可直接连接路由器，如
果只能通过交换机连接路由器，那交换机的作用是什么？
答：ASA 的冗余有两类数据，一个是hello，一个是状态信息。所以可以做到完全切换，用户连接无需
中断。最好将两类数据分别置入不同的冗余VLAN 进行传输。
ASA 的冗余连接建议通过交换机，也就是L2 的连接方式。
问：ASA5500 支持A/A 工作模式，是否通过context 实现？如果是，在物理接口侧是不是启用子接口方
式将不同子接口划入不同的Context 实现A/A？
答：ASA5500 的A/A 是通过虚拟防火墙的方式实现，具体连接支持物理与逻辑线路等多种方式。
问：各位专家好，现在的情况是这样的，我有一台内网服务器的WEB 服务要对外发布，我在ASA5520
上面做了静态NAT：static（dmz,outside）tcp 10.1.1.1 80 192.168.1.1 80 netmask
255.255.255.255 0 0 conduit permit tcp host 10.1.1.1 eq 80 any 但是却不起作用（排除WEB 服务
器及应用的故障可能）请专家指教。
答：应该设置outside 端口的ACL，允许外部用户访问permit tcp any host 10.1.1.1 eq 80。
问：我的网络是这样的：
A 点PIX 上有一固定IP；
B 点PIX 无固定IP，使用ADSL 拨号；
现在想使用VPN 让两个网络互相访问。
目前为止找到的site to site 例子都有固定IP 的。
答：在总部一端设置动态crptomap 即可，连接由分支设备发起。
问：一根网通，一根电信。能否实现数据（基于目的地址）的自动分流？
答：可以通过虚拟防火墙的方式支持多ISP 的接入
问：ASDM 想比PDM 是否有更多功能？和PDM 相比，ASDM 的配置是否可以达到更细致的配置？哪些
配置是ASDM 不能完成的？
答：ASDM 比PDM 要强大许多，也更为细致，安装ASDM 之后有演示功能，建议尝试一下。
问：ASA 的命令格式和PIX 有无区别？ASA 默认是否支持透明模式？
答：ASA 与PIX 配置保持一致，可以支持透明模式。
问：我对UTM 产品非常感兴趣，比如Cisco 的ASA 产品系列。现在想问一下专家ASA 的防病毒模块是
用的哪一家的产品，Cisco 怎样提供升级？
答：TrendMicro，由TM 提供在线升级，可以通过思科购买升级服务。
问：ASA5510 中UTM 防病毒为什么有用户数限制？
答：最多1000 在线用户。
问：我在配置ASA 的时候发现，在应用acl 到接口上时多了一个out 选项，而PIX 上只有in 选项，请问
ASA 防火墙为什么要做出这样的改变，它的好处在哪里？
答：在一个端口上提供双向ACL 的选择。
问：请问如果某个在INSIDE 接口内的设备（使用私有地址），在连接INERNET 的OUTSIDE 接口做了
映像（static），配合ACL 命令实现了安全等级从低向高的访问，但假设不配置NAT 命令能否实现
对INTERNET 的访问。
答：可以，只要在FW 的xlate 中有翻译表项即可。
问：一个有300 个节点的网络，同时有5 台服务器，对外提供WEB，FTP，MAIL，ERP，CRM，OA 服
务，这样的一个网络，CISCO 的哪种防火墙产品比较合适，需要多大的吞吐量，并发连接数和安
全带宽？谢谢！
答：5510/5520 都可以，5510 的FW 吞吐量为300，总连接数为50000 或130000，新建连接数为
6000/秒，5520 的指标分别为450，280，000 与9，000。
问：现所有LAN 内主机缺省网关指向一台ASA5520，现需通过另一台与ASA 在同一网段的路由器访问
另一网段的分支机构，在ASA 上增加指向分支机构网段的静态路由，但是LAN 内主机无法访问分
支机构网段，经查发现数据包到ASA 后，ASA 根本没发路由复位向的包给LAN 内主机。请问专家
应如何解决以上问题？
答：基于安全，ASA 禁止ip redirect，因此不会发复位向。
ASA 缺省也不会让从一个interface 进入的数据再从这个interface 出去，所以ASA 把你的数据包丢
弃了。可以配置以下命令：same-security-traffic permit intra-interface 这样ASA 就可以允许数据从
同一个接口进出，解决你的问题。
问：每秒连接数大概是多少？FWSM 的CPU 主要处理哪些任务，硬件完成哪些任务？CPU 利用率在什
么值以下比较安全？
答：FWSM 每秒新建连接数为10 万，这是Cisco 防火墙的优势所在，FWSM 还支持100 万的并发连接
数。FWSM 是NP 架构，共有3 个NP 做处理

justsoso

问：如何通过PIX 对ARP 欺骗进行有效控制，具体怎样配制？
答：建议通过交换机做DHCP snooping 加DAI 实现。在PIX 上做有困难。
问：思科ASA5500 IPS 如何升级他的信息库？
答：如果是指ASA 上面的AIM 模块，那么需要购买相应模块的IPS signature 服务，购买后设备会获得
license，有这个license 后你可以从CCO 网站下载最新的签名库安装。
ASA 本身audit 命令方式的IPS 功能相对固定，升级较慢。
问：您好，我想问一下，关于Cisco ASA 5520 在Flash 中应该有那几个文件，我们公司的ASA 我之前
误操作把Flash 清空了。而且提供的光盘上就只有两个模块可以用。时不时应该还有其它的一个或
者两个文件？我应该怎么获得？谢谢！
答：至少要有一个操作系统文件，其格式通常是这样：ASA721-k8.bin，还可以外加一个ASDM 的文
件，其格式通常是：asdm521.bin，有这个文件后你就可以用图形的方式配置ASA。
问：两台ASA5520 做Active/Active Failover
router 下连两台ASA5520
/ \
ASA5520 ASA5520
\ /
\ /
switch 上连两台ASA5520
\
pc
答：A/A 方式实际上是配置两组有A/S 功能的context，每组负责一部分用户，所以你的PC 设置哪一个
网关都可以，前提是你的PC 的子网地址分配符合你防火墙A/A 的设计。

问：现有防火墙是针对Application 处理，ASA or 其它设备是否有类似功能？
答：ASA 具有应用检测的功能，可以理解为具备应用层处理的能力。
问：现公司有Cisco ASA 5510 一台，怎么使用它来封QQ？
答：比较麻烦，QQ 有很多服务器端端口，要逐个查出来封住，也可以根据QQ 软件中列出的服务器IP
做策略。但网上有很多私设的QQ 代理服务器，如果用户用这种方式登录，则很难封住。ASA 暂时
还没有关于QQ 的应用检测。
问：在内部网络设置安全网关保护重点网络，请问CISCO 的那种产品比较适合？
答：取决于性能、端口、扩展能力等要求。可以使用ASA 系列产品，或6500 系列交换机上的FWSM
模块。
问：我公司防火墙（PIX-515E）上有1 个DMZ 区、1 个web 区、inside、outside 区，inside 的机器通
过域名方式访问该web 区的某些映像公网服务器可以访问；但我现在有个新需求有1 台服务器在
indside 区需要公网访问他，我按照原有的方式配置好后，公网可以通过域名地址等方式访问到这
台服务器，但是我的inside 区域其它机器无法通过访问公网地址和域名解析的方式访问这他服务
器，只能已真实IP 的方式访问这台服务器。是PIX 防火墙的不只支持统一区域的公网映射访问还是
我配置有问题？如果是我配置的问题请做配置指导，谢谢！
我的防火墙OS 的版本是：PIX Version 6.3（4）
答：这是一个NAT doctoring 的问题，6.3 版本可以用alias 命令解决
问：两台PIX 做VPN，一边有固定IP，一边是PPPOE，是否能实现，链路稳定么？如果PPPOE 这边
掉线VPN 是否能再连上？
答：可以。链路稳定性取决于拨号线路而不是VPN 本身。PPPoE 掉线再上线后，VPN 会自动重连。
问：PIX 怎样做到应用层的防御？如某些木马程序可以写访问策略禁止访问内网，即在外部接口就把他
丢掉。
答：防火墙对应用层的安全保护主要是对一些已知的广泛使用的网络应用进行协议层的分析，确保其不
被滥用，这是依靠内置的30 多个inspec engine 实现的，可保护Multimedia/Voice over IP
􀁹 Core Internet Protocols
􀁹 Database/OS Services、Security Services 等几类应用。如果是Cisco 的新一代安全网关
ASA 通过加挂AIP-SSM 安全服务模块可以实现对多种恶意软件的防护， 包括
Spyware/Adware、网络蠕虫和病毒、木马和后门程序等等。但是需要经常保持Signature 库
的更新才能更有效地防范已知世界的恶意程序。
问：发现内网的IP 地址与MAC 绑定后，局内出现10%以上人员不能上网，放开后，所有人员都可以上
网，为什么？是不是防火墙不能绑定完好！我局有120 多台机子。
答：对不起，这里主要是解答Cisco 新一代防火墙产品的技术问题。您所提到的东软防火墙的具体型号
和技术特性并不清楚，如果可能的话，请提供网络连接拓扑和IP 地址分配等细节（用户和防火墙内
网口都在同一个二层VLAN 吗？），才能进行下一步分析。
问：小区共有500 栋别墅，千兆到桌面，ISP 百兆光纤独享接入，应该选用什么型号防火墙？几台？
（保证高稳定、高速、高安全）。
答：防火墙如果是用于控制小区用户通过ISP 网络去互联网的流量，在性能上能满足ISP 的连接带宽即
可。所以，ASA5520 以上的型号都可以。两台相同型号的ASA 可以实现冗余和负载均衡的要求。
问：我公司防火墙（PIX525）上有几个DMZ 区，inside 的机器访问该DMZ 的某些机器时，有时会出现
中断，中断的时间几分钟不等，有时也有丢十几个包的情况，然后就能自动恢复。当访问中断时，
登陆该DMZ 区的其它机器ping 中断的机器是通的，上防火墙上ping 中断的机器，第一个包会丢
掉，然后才通，通了之后，从inside ping 那台中断的机器也就通了，这是不是防火墙的bug？我
的防火墙OS 的版本是：
Cisco PIX Firewall Version 6.3（3）
Cisco PIX Device Manager Version 3.0（1）
答：请检查DMZ 接口有无错误信息，检查与交换机互联的双工状态及速率设定，最好两边强制匹配一
下。另外如果可能可以考虑升级系统到OS 7.2.2 是相对最稳定的OS 系统目前。
问：是不是我用这个NO INSPECT ESMTP 命令，就可以修复Dispatch Unit 这个Bug？
答：这个BUG 应该在OS 7.2.2 已经被修复了。
问：506E 的地址池中已经有一个地址在局域网中已经用在某个计算机上了，但在对VPN 拨入用户进行
地址分配时，还是会将这个地址分配出去，拨入的用户和局域网内使用同IP 的计算机用户均无法正
常工作。此种问题，在现有情况下如何简易解决。由于地址有限，不便于再扩充地址池，只想排除
局域网中在用的某几个地址。
答：几种方式都可以实现，建议为VPN 集中器单独设定一个IP 地址断，没有必要与内网公用一个地址
段，单独配置地址段更加合理，管理更加方便因此建议如此使用。
问：ASA 工作在透明模式是不是不支持VPN 功能？同时NAT 也不能做吗？
想问一下出于什么考虑，在透明模式下不支持上述功能？
答：ASA 再透明模式是不支持VPN 及NAT 功能的。透明模式防火墙设计意图是对于用户前后端网络完
全透明，设备本身接口不设定互联地址，因此不会用于VPN 使用。再FWSM 防火墙模块我们最新
版本支持透明模式下NAT 特性，但是目前ASA 还不支持此特性。
问：有一台ASA 防火墙和一台Cisco 路由器，路由器用来作为VPN 连接，上网用ASA，内部主机网关
为ASA。现想把路由器接在防火墙下，怎样才能实现VPN 和上网都？需要把ASA 改成透明模式，
还是有更好的解决方法？谢谢!
答：如果您想让ASA 工作再透明模式，那么ASA 不可以作为VPN 集中器使用，也不可以进行NAT 操
作。您可以配置您的路由器作为VPN 集中器，以及NAT 上网使用，没有任何问题，为了允许
IPSEC VPN 业务通过ASA，只是需要OPEN 如下端口：PROTOCOL 50,51，UDP 500，4500 即
可。
问：不是使用VPN 设备，是两点两部PIX 做点对点，同时用户可以通过INTERNE REMOTE ACCESS 连
接到这两个点上。
还有个问题就是PIX 的ACL 与ROUTE 的ACL 规则是不是一致的？
答：PIX 可以同时支持S2S 及REMOTE_ACCESS VPN，我发送过URL 回答了您这个为问题已经。
PIX ACL 与路由器ACL 规则基本一致，就是路由器用的是反掩码而PIX 使用的是正掩码而已。
问：现在的需求是这样：
1） 在ASA 外口上配置两个IP 地址，地址A 和地址B。
2） 配置ASA 为远程拨入VPN 服务器，并运用到外口。
3） 当员工在国外时，使用A 地址拨入。
4） 当员工在国内时，使用B 地址拨入。
问题：只用一个VPN 配置，可否实现这样的需求？谢谢！
答：这个问题的关键不再ASA 而是再路由问题上面，ASA 是支持的，但是再ASA 上面的路由你必须指
定把远程访问的路由例如国内、国外地址段发送给相应的ASA 接口。实际操作性差些。
问：我们公司新购了一台ASA5520 和5510 的IPS 模块，现在不知道IPS 如何配置才能充分发挥这台新
设备的功能，请专家指导。
答：如果您考虑发挥IPS 的功能，首先需要您了解IPS 的功能，目前ASA 5500 系列产品的IPS 模块可
以支持旁路和串联两种模式，在旁路模式中可以通过防火墙实现联动防护，在串联中可以对攻击和
恶意流量进行直接的丢弃。同时最新的IPS OSV6 版本可以支持主机水印识别，这样可以对网络主
机环境全面了解，实现针对性的安全防护。同时最新的AD 功能加强了对蠕虫攻击的防护，在不进
行Signature 更新的情况下，有效的防护最新的蠕虫病毒的攻击。所以建议您可以综合使用这些功
能，以实现最大发挥IPS 的作用。另外，推荐您和客户进一步沟通，加入我们的Mars 产品，现行
的网络中仅依靠IPS 是不能真正保护网络安全的，Mars 产品可以实现攻击路径定位，最佳攻击缓
解建议，实现正在意义上的网络安全及防护。
问：PIX 能不能既做拔号VPN，又做点对点的VPN？
答：如果您说得是REMOTE-ACCESS 及S2S VPN 那么回答是可以支持的。
问：我的PIX 525 就做的透明模式，其中Dispatch Unit 这个进程就占了200M 的内存，重启PIX 能够恢
复现状，但之后20 来天又来了，这是怎么回事呢？造成这种情况的原因？
答：CSCse47150 这个是BUG ID。
Traceback in Thread Name： Dispatch Unit with ESMTP Inspect enabled
您可以配置您的防火墙DISABLE ESMTP 然后观察结果。同时请确认您的OS 版本，尽可能升级道
OS 7.2.2。
问：各位思科工程师，今天不慎将5520 的flash 删除，请问能否提供一份ios 软件包，并告知上传方
法？
答：进入ROMMON 模式灾难恢复与PIX 防火墙完全类似。

[ 本帖最后由 justsoso 于 2007-8-21 12:29 编辑 ]

justsoso

问：前一段了解过5540，听说防毒模块不能用于5540，不知道现在解决了吗？还是现在高端的ASA 可
以用所有的扩展卡了？
答：您询问的应该是Anti-X 模块吧，可以适用于ASA 5510/5520/5540 目前不支持外接模块的ASA 产
品只有，ASA5505 及5550。但是目前下单的时候不能购买BUNDLE 方式下单ASA5540+CSC 因
此你可以通过备件方式定购CSC 模块，然后安装到ASA 5540 上面即可。
问：因为有些公司，人数不多。但是也拥有一些服务器，或许只有一到两台。不过大多数情况下都是采
用PC 杀毒防毒软件来防护。那么ASA 会不会生产一些针对这种小型企业的防火墙呢？！
答：目前ASA 系列产品中的ASA5510 和ASA5520 都可以使用这些小型企业。
问：我们公司网络这600-800 个人上网，跑个OA 和一个财务软件！是用路由3825+ASA5510，还是不
用路由直接用ASA5520 不用路由啊！
答：ASA 看您公司的需求而定，如果您是以太网接口入户那么选择ASA 就可以了，但是如果考虑一些
安全因素，可以如下考虑：
单一网关设备兼作防火墙使用：那么可以配置ISR 作为用户接入GATEWAY，配合启用IOS IPS 功
能对于网络中蠕虫及病毒的控制。当然这一功能也可以使用ASA+AIP 模块实现。
如果用户想使用IPS 并且使用应用层防护的化（比如应用层过虑/病毒/垃圾邮件管理等）
配置ISR 作为IOS IPS 使用，并且配置ASA+CSC 和并使用。
问：您好。Pix 和ASA 之间如何配置easy VPN？
答：可以使用ASDM 图形界面，非常简单，方便。
问：各位专家我想问一问你们，我们买了一台ASA5520 的防火墙，对于这台防火墙它具体有哪些的功
能能给我详细的讲解一下吗？它除了防火墙之外的功能外还能做一些什么样的应用，如IPS，IDS，
VPN，它和现在市场的UTM 相比有什么好处，另外他能不能做流量控制和在透明模式下能做双
WAN 口吗？（注双WAN 口：就是在透明模式下能接两个出外网的路由器吗？就是一个接内网两个
接外网）谢谢！
您可以浏览http://www.cisco.com/web/CN/products/products_netsol/security/products/asa/透明模式模式接两个WAN，需要Switch 支持。
问：前些日子，在局域网内的机子只要发生ip 连续的冲突，被盗用ip 的正常机子就中毒。中毒后的症
状表现为：反映有所减慢，机器上的所有可执行文件不能使用，双击其可执行启动文件，闪过一个
黑框，什么都没有了。接着系统就报告出现系统文件保护，请插入cd 恢复保护文件的提示。严重
的导致系统崩溃。在中毒期间杀毒软件是排不上用场，包括在安全模式下。与病毒斗争的时候发现
它会在硬盘的某个地方建下自己的营垒，准备着对系统的随时破坏！
对于这种问题下一代防火墙或者专家们有什么更好的解决方案吗？
答：可以安装思科公司的CSA 软件对终端系统加以保护。]
问：原来使用PIX 作为网络防火墙，同时作为VPN 设备，那么中心VPN server 由PIX 升级为ASA，那
么分公司的防火墙等设备是否一样需要进行升级？
答：这种情况不需要升级，因为VPN 的连接标准保持兼容性。
问：网站上说已有PIX 的用户可以向对应的ASA 产品过渡并有对应型号，不知意思是说PIX 的模块或机
箱能在新的产品下使用，还是淘汰旧的选择对应的ASA 产品？
答：只有全新更换的选择。
问：我知道ASA 的性能是有保证的，因为各个部分有独立的处理器，而且思科在性能处理方面是专家，
值得信赖。我担心的是实际效果。
我知道有专业做防火墙的公司Checkpoint，有专业研究防病毒的公司TrendMicro，思科的UTM
能够保证其ASA 在防火墙、入侵检测防护、防病毒三个方面都做到技术先进、更新及时、具有实
用价值吗？思科的防病毒是和其它公司合作的吗？
答：Anti-X 是与TrendMicro 合作的，有TM 提供所有的病毒、邮件、钓鱼网站等等信息。
问：我们公司是金融行业，一直以来对信息安全方面就很重视，正时公司网络改造升级，准备购置2 台
边界网络安全设备。通过最近在贵公司网站的了解，感觉ASA 会是一个不错的选择。但还有一些
疑问想请教各位专家。
1. ASA 5550 是性能最高的，为什么没有提供像5540、5520 同样的安全服务模块插槽，以提供
IPS 和Anti-X 的版本？
2. 5510、5520、5540 都只提供了1 个安全服务模块插槽，那么功能方面只能选择标准防火墙、
VPN、IPS 组合或者标准防火墙、VPN、Anti-X 组合？而没有办法将这四大功能集合在一台设备
上？
3. 如果这样，我的设计思想是先购置2 台Anti-X 版本的ASA，提供防火墙、VPN、防病毒等功能，
之间做HA，放台企业网络出口，使用NAT/Route 模式，再购置1 或者2 台IPS 版本的ASA，
使用透明模式接入网络，对网络流量提供入侵检测并保护的功能。请问这样设计是否科学？如果
专家们还有更好的设计解决方案，望给出。谢谢！
答：ASA5550 主要是以FW 功能为主，它有8 个GE 端口，所以没有空余的扩展槽位，无法提供
IPS/ANTI-X 版本；
目前我们没有办法提供4 合1 的版本，您的设想可以采用ASA Anti-X 并配合IPS4200 完成，这样
会更节省费用。
问：ASA 的价格为何低于PIX？
答：新产品-思科下一代防火墙，性价比老产品要高一些。
问：我单位核心两台7609，对外采用东软防火墙，为了更好的防御网络内部病毒和攻击，减少三层上
VLAN 间的访问控制，想采用CISCO ASA 产品，请问一下部署在7609 核心上对网络整体性能是
否影响，还是部署在数据中心接入交换机侧保护关键应用系统更为合理？另外4507R 是否支持该
设备，还请专家给个合理方案，非常感谢。
答：ASA 更多面向边界安全，即企业对外的ISP 互联接口，也可以用于数据中心防护边界。企业核心
76、65 设备可以考虑采用FWSM 设备。
问：P2P 应用比如：国内比较流行的emule，bittorrent
IM 这块：QQ，MSN 呢？
答：首先限制从内至外的端口号，仅开发特定应用，例如80、443、23、25 等等，然后利用FW 在80
等端口深度检测的功能，限制通过80 进行tunnel 的P2P/IM 应用。
问：现在我们接触许多企业用户选用NETSCREEN 的产品，因此想问一下思科的ASA 防火墙与
NETSCREEN 比较产品的优势在什么地方？
答：ASA FW 在TCP 的性能，包括每秒新建连接数、TCP 转发性能方面具备优势，同时启动FW 与IPS
的时候性能会保持较高水平，因为IPS 有专门的硬件完成。
问：请问，新一代防火墙对未知病毒的防御问题是什么新的功能？具体给介绍一下，新一代防火墙的管
理功能是否有所提高？
答：ASA 可以利用AIP SSM 的AD（异常检测）功能，进行针对未知病毒的监测与控制。AIP 模块在日
常工作中会创建网络流量的Baseline 模型，当有未知病毒出现时，流量出现异常后，AIP 会自动启
动防护功能。ASA 的网络管理功能界面与PIX 有很大提高，可以下载ASDM 并启动demo 模式进
行体会。
问：比如说是否会有工具把PIX 上的配置文件转换成ASA 上能用的，或者是不同大版本之间转换的。
可以是独立的工具或者是在线工具。
答：ASA 的防火墙配置与PIX 基本通用，其实是在全新平台上将PIX/IDS4200/VPN3000 的操作系统集
成之后的综合安全防护平台。
问：蠕虫病毒影响局域网的出口速度，应给如何解决和防治？
答：利用ASA 针对每个IP 地址的会话数量进行限制。
问：你好，在局域网中如何来防范受ARP 欺骗病毒感染的计算机对网络中对其它计算机的影响？另外
CISCO 有什么样的内网整体解决方案。谢谢！
答：思科整体安全解决方案，请看：
http://www.cisco.com/web/CN/products/products_netsol/security/products_security_summarize.html
要彻底解决ARP 欺骗问题，需要在终端PC，交换机以及DHCP 服务器的整体配合。
问：两台PIX535，一台是UR license，有一块GE 卡，四块一口FE 卡;另一台是FO license，有一块
GE 卡，一块四口FE 卡;这两台是否能做cable-based failover？
答：做failover 的两台防火墙必须硬件和软件配置完全一样，否则配置文件复制会出问题，请把两台
PIX535 的硬件调整成一致。
问：我有4 台c6509 每两台一组为一个网络，中间用两台ASA5520 过滤，asa transpanert mode，使
用HSRP 做故障是切换，可是照这种架构后，所有的HSRP 都无法工常工作，两个网络也不能通，
为什么？
答：请提供4 台6509 和2 台ASA5520 的准确连接图。从您的描述中，无法判断HSRP 和ASA 透明链
路的关系。

fluker

PIX和C2600之间建立的VPN，26是PPPOE的动态IP地址

经常出现下面情况


Pix(config)#  sh is sa d

There are no isakmp sas

但对端
Session status: UP-ACTIVE
Peer: X.X.X.X port 500
  IKE SA: local 192.168.10.254/500 remote  X.X.X.X/500 Active
  IPSEC FLOW: permit ip 192.168.10.0/255.255.255.0 172.16.0.0/255.255.0.0
        Active SAs: 2, origin: crypto map

这是为什么？
这时候测试连接都已经不通了。

network

pppoe的隧道有这问题，不稳定

justsoso

pix什么版本的?把两边配置贴出来.

a1a1a0055

在内网使用打开页面174.28.X.X：8080是正常的，但是用cisco5520的vpn连入内网后，却无法打开174.28.X.X：8080的页面，此时地址174.28.X.X是可以ping得通的，请问这个该如何解决，应该在防火墙上如何配置？

xiaojiyl2512

我是一家单位的网管，新交接了一台ASA5510防火墙，以前的网管离职很匆忙，联系不到了

我想问下ASA5510除了用COM口连上去进行配置，WEB界面可以吗?

我这里的网络接入方式是1M专线连ASA5510，然后连2个CISCO 2950交换机

他走的时候和我说了什么 5510是针对整个网络的，没有IP地址，这话是啥意思呢?

大家不要笑我技术菜啊  CISCO的设备说实话第一次接触。

network

有个专门的ASDM管理软件，可以进行WEB。
没IP不清楚，可以把配置贴上来