思科下一代防火墙专家在线问答

network

问题编号：3600

问题主题：ASA5540现在能用所有的扩展卡吗?

提问者：chenyx74

提问时间：2007-6-14 8:39:51

提问内容： 前一段了解过5540,听说防毒模块不能用于5540,不知道现在解决了吗?还是现在高端的ASA可以用所有的扩展卡了?





回答者：zhaoshuzhi_cisco

回答时间：2007-6-14 10:12:23

回答内容： 您询问的应该是Anti-X 模块吧, 可以适用于ASA 5510/5520/5540 目前不支持外接模块的ASA产品只有,ASA5505及5550.

但是目前下单的时候不能购买BUNDLE方式下单ASA5540+CSC 因此 你可以通过备件方式定购CSC模块 然后安装到ASA 5540上面即可.




问题编号：3598

问题主题：ASA四种版本的区别

提问者：konghan

提问时间：2007-6-13 15:38:47

提问内容： 我在你们的宣传资料里看ASA有四种版本，分别是防火墙版、IPS版、Anti-X版和SSL/IPsec VPN版。请问这四种是硬件设计不一样，还是功能卡不一样？是否可以通过更换功能卡来实现其他版本的特性。
另外是否可以同时支持这路个版本的特性。





回答者：LuZuoHua_Cisco

回答时间：2007-6-13 23:32:31

回答内容： ASA的四种版本是思科专门为满足不同需求定制的。ASA硬件设计是一致的，都采用了AIM框架（Adaptive Identification and Mitigation Services Architecture ），核心是采用了模块化设计。所以防火墙是核心功能，而IPS、Anti-X模块化设计，卡上有相对独立的CUP和内存，所以多功能集成但性能不会下降。可以根据需要自己选择功能卡。




问题编号：3596

问题主题：思科是否会提供小型化,类似家用型路由器这种的ASA防火墙?!

提问者：zlcjq

提问时间：2007-6-13 12:48:53

提问内容： 因为有些公司，人数不多.但是也拥有一些服务器，或许只有一到两台.不过大多数情况下都是采用PC杀毒防毒软件来防护.那么ASA会不会生产一些针对这种小型企业的防火墙呢?!





回答者：litao_cisco

回答时间：2007-6-13 15:02:07

回答内容： 目前ASA 系列产品中的ASA5510和ASA5520都可以使用这些小型企业。




问题编号：3595

问题主题：求助，网络怎么构架！

提问者：dy_81@126.com

提问时间：2007-6-13 12:02:41

提问内容： 我们公司网络这600-800个人上网，跑个OA和一个财务软件！是用路由3825+ASA5510,还是不用路由直接用ASA5520不用路由啊！





回答者：zhaoshuzhi_cisco

回答时间：2007-6-14 10:10:23

回答内容： ASA 看您公司的需求而定,如果您是以太网接口入户那么选择ASA就可以了,但是如果考虑一些安全因素,可以如下考虑:
单一网关设备兼作防火墙使用:
那么可以配置ISR作为用户接入GATEWAY,配合启用IOS IPS功能对于网络中蠕虫及病毒的控制. 当然这一功能也可以使用ASA+AIP模块实现.
如果用户想使用IPS并且使用应用层防护的化(比如应用层过虑/病毒/垃圾邮件管理等
配置ISR作为IOS IPS使用,并且配置ASA+CSC 和并使用.




问题编号：3593

问题主题：ASA产品与MARS

提问者：wjc90

提问时间：2007-6-13 11:47:10

提问内容： 两者的产品如何联动?对于网络攻击如何自动防护?





回答者：LuZuoHua_Cisco

回答时间：2007-6-13 23:54:20

回答内容： MARS是通过SNMP实现与ASA及其它设备的联动的。
MARS如何自动防护网络攻击，首先MARS作为安全事件响应中心，可以从网络设备和多种安全设备上收集安全信息，然后描绘出攻击的路线图，即攻击者经过了哪些交换机、路由器、防火墙，到达攻击目标，MARS据此生成解决方案，需要控制的点一定应是最靠近攻击源的地方。
所以，如果攻击者来自于外部，就应该在FW上进行防护；如果攻击来自内部，MARS就会自动识别出它接入的交换机，在相关端口上进行控制，并给交换机发指令。

network

问题编号：3592

问题主题：Jacky

提问者：EA110297

提问时间：2007-6-13 11:17:06

提问内容： 你好！如下安全产品问题请教：

1. 请问ASA除了anti-x,ips/ids,firewall,vpn这四个版本外，是不是还有个企业版，具备上面四种功能的整合呢？谢谢！

2. ASA是不是例如如果我购买VPN版的话，它就不具备FIREWALL的功能了呢？不可以像以往PIX一样我既可以作FIREWALL同时又可以使用普通的VPN？

3. CISCO目前是否有PIX的停产计划？ASA的配置是否与PIX OS 7.0相同呢？

4. 一直不明白Guard XT拿来防止DDOS攻击的，但为什么像下面的URL中figure2所示：
http://www.cisco.com/en/US/produ ... 00aecd800fa55e.html
这个Guard XT是旁挂在core switch的旁边，那怎么起到由INTERNET过来的流量先经过GUARD XT的清洗然后从DDOS中过滤出正常访问流量后再流入网络的作用呢？我的理解是应该INTERNET-CORE SWITCH-GUARD XT-LAN这样部署，我想知道GUARD XT在实际应用中真的是旁挂吗？如果是的话它怎么实现清洗流量的功能呢？谢谢！

5. ASA如何防止DDOS攻击呢？有这样的功能吗？还是还需要购买其它的设备来实现？

6. 目前CISCO关于网络安全的产品太多了，除了ASA和PIX外，还有像MARS,SIMS和CTA,CSA,CCA等，能不能简单讲一下这些组件的主要用途？谢谢！





回答者：LuZuoHua_Cisco

回答时间：2007-6-14 0:14:18

回答内容： －请参见问题3598的回答
－ASA可以既做FW，同时又可以使用VPN，并且还可以同时做IpSec VPN和 SSL VPN
－Cisco的策略是将PIX迁移到ASA自适应安全这新一代产品上来，ASA的FW配置与PIX相同
－Guard XT旁挂是最好的解决方案，基本原理是：Guard和异常流量检测器配合，流量异常检测器发现一个潜在攻击后，将向异常防护模块发出警报，通知其开始动态转移，重导向发往攻击目标资源的流量，以进行检测和清理，所有其它流量则继续直接发往目的地。异常防护模块启动转移过程，即利用Cisco Catalyst设备内的思科路径状态注入（RHI）协议将路由更新信息插入到交换管理引擎中，使异常防护模块成为下一跳地址。流量被转向到guard，在那里接受清理，并删除恶意流量。
－更多的内容请访问思科站点了解详细信息




问题编号：3590

问题主题：未来防火墙发展趋势

提问者：treekeep

提问时间：2007-6-13 10:38:41

提问内容： 面对安全攻击技术日益月新，当前和今后的网络安全体系如何建立？防火墙的技术发展趋势又是怎样的？cisco在这方面推荐的组合方案时什么？





回答者：LuZuoHua_Cisco

回答时间：2007-6-13 23:19:31

回答内容： 思科网络安全构想是构建自防御网络（SDN），即可以利用网络发现、防范和消除威胁，网络自身具有安全自防御能力。如思科收购Netsift，它开发了一种技术可以自动产生signature来防范网络蠕虫和攻击，这就是自防御的一种体现，关于SDN你可以访问思科网站获得更多的信息。
防火墙是边界防护的设备，而在边界的安全要求原来越多，所以顺应需求的发展，FW趋势必将是功能综合适应要求，操作力求简便，性能要有所突破。ASA就是思科定位的这一类自适应安全产品。




问题编号：3589

问题主题：如何有效控制客户端安全

提问者：treekeep

提问时间：2007-6-13 10:35:49

提问内容： 面对公司内部用户群和接入模式多样化，如何有效控制客户端安全：
1：如何有效安全控制客户端？
2：如何有效保护公司内部服务器等生产数据和服务？
3：如何有效控制攻击或者感染区域，使受灾范围最小？
4：如何控制不合法（补丁和病毒）用户接入办公网？





回答者：LuZuoHua_Cisco

回答时间：2007-6-13 23:00:11

回答内容： 保障客户端的安全需要综合的安全解决方案，针对不同的威胁采取不同的防范手段，思科提供了多种防护产品供用户按需选择：
1：CSA－思科安全代理，基于行为特征的主机保护产品
2: 保护服务器涉及多个层面的安全，可综合考虑ASA，IPS，CSA
3: MARS＋IPS，MARS－思科监控、分析、响应系统，能快速定位攻击者，可视化描绘攻击路线图，提供建议的解决方案，可迅速消除威胁
4: NAC－思科网络准入控制，用户身份认证、机器安全状态认证结合网络接入控制实现




问题编号：3587

问题主题：Pix和ASA之间如何配置easy VPN

提问者：BAO222

提问时间：2007-6-13 6:47:09

提问内容： 您好：
Pix和ASA之间如何配置easy VPN？





回答者：litao_cisco

回答时间：2007-6-13 15:23:35

回答内容： 可以使用ASDM 图形界面, 非常简单,方便。




问题编号：3579

问题主题：问一个问题

提问者：rolling_stone82

提问时间：2007-6-12 16:13:04

提问内容： 我们部门有一台PIX，在运行时发现了一个问题如下，如何修复阿？

pixfirewall# sh activation-key
Serial Number: 807423014
Running Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000 0x00000000
The Running Activation Key is not valid, using default settings:

This platform has a Restricted (R) license.

Failed to retrieve flash activation key.





回答者：litao_cisco

回答时间：2007-6-13 15:22:00

回答内容： 请告诉我您的联系方式,我可以帮您申请key.
Please send email to taoli@cisco.com.

network

问题编号：3562

问题主题：思科提下一代防火墙

提问者：yang_xj81

提问时间：2007-6-12 8:57:07

提问内容： 思科提下一代防火墙，但是具体的下一代防火墙包括那些内容，具体体现了那些技术呢，客户在投资安全方面的资金又能咋样的保证呢？





回答者：litao_cisco

回答时间：2007-6-13 15:44:36

回答内容： 思科ASA5500系列自适应安全设备是思科推出的下一代防火墙安全解决方案，它是提供了新一代的安全性和VPN服务的模块化平台。企业可以根据特定需求定购不同版本，做到逐步购买、按需部署，灵活方便地实现安全功能的扩展。

http://www.cisco.com/web/CN/prod ... urity/products/asa/




问题编号：3561

问题主题：关于ARP欺骗的防范

提问者：splin

提问时间：2007-6-12 8:47:13

提问内容： 你好，在局域网中如何来防范受ARP欺骗病毒感染的计算机对网络中对其他计算机的影响？另外CISCO有什么样的内网整体解决方案。谢谢！





回答者：litao_cisco

回答时间：2007-6-13 15:43:45

回答内容： 思科整体安全解决方案, 请看:
http://www.cisco.com/web/CN/prod ... rity_summarize.html

要彻底解决ARP欺骗问题,需要在终端PC, 交换机以及 DHCP 服务器的整体配合。




问题编号：3560

问题主题：防火墙中如果集成太多的其他功能,是不是不利于用于安全?

提问者：cyh007008

提问时间：2007-6-12 8:41:10

提问内容： 防火墙中如果集成太多的其他功能,是不是不利于用于安全?
ASA中的防病毒是软件还是硬件的?有了新病毒如何防范





回答者：litao_cisco

回答时间：2007-6-13 15:40:46

回答内容： 防火墙中如果集成新的安全功能是一种趋势,便于用户使用和管理。

ASA中的防病毒是软件还是硬件的?
都有。首先要有CSCSSM模块, 然后运行网络防病毒软件。

有了新病毒如何防范?
http://www.cisco.com/web/CN/prod ... 5500_product_7.html

从 TrendLabs自动更新

获得业界最庞大的防病毒、间谍软件和垃圾邮件专家团队之一的支持，全天候工作以确保您的解决方案可自动提供最新防御功能。




问题编号：3559

问题主题：cisco pix与其它产品的性能比较！

提问者：gaojianbo

提问时间：2007-6-12 8:37:17

提问内容： 您好：

我公司一直以来都是使用cisco pix，但由于预算不足，今年采购了一批juniper的防火墙设备。使用后感觉也是不错！

请问cisco pix与juniper相比有哪些先进的技术呢？未来防火墙设备会增加哪些性能呢？

谢谢！





回答者：litao_cisco

回答时间：2007-6-13 15:36:53

回答内容： 您还是参考一下这些URL吧。

http://www.cisco.com/web/CN/prod ... urity/products/asa/

http://www.cisco.com/web/CN/prod ... a5500_report_3.html




问题编号：3558

问题主题：ASA5520-K8

提问者：magicmecca

提问时间：2007-6-11 23:02:49

提问内容： 各位专家我想问一问你们,我们买了一台ASA5520的防火墙,对于这台防火墙它具体有哪些的功能能给我详细的讲解一下吗?它除了防火墙之外的功能外还能做一些什么样的应用,如IPS,IDS,VPN,它和现在市场的UTM相比有什么好处,另外他能不能做流量控制和在透明模式下能做双WAN口吗?(注双WAN口:就是在透明模式下能接两个出外网的路由器吗?就是一个接内网两个接外网)谢谢!





回答者：litao_cisco

回答时间：2007-6-13 15:34:34

回答内容： 您可以先浏览一下这里:
http://www.cisco.com/web/CN/prod ... urity/products/asa/
透明模式模式接两个WAN,需要Switch 支持。

hshao

请问各位怎样配置asa 5540  跟ips 模块联动！！联动以后在那可以看到阻止以及通过的数据包！！

network

没搞过，得找CISCO的人，你从那里购买的货，有技术支持的