思科下一代防火墙专家在线问答

network · 发表于 2007-6-22 13:34:19

问题编号：3671

提问内容：现所有LAN内主机缺省网关指向一台ASA5520，现需通过另一台与
ASA在同一网段的路由器访问另一网段的分支机构，在ASA上增加
指向分支机构网段的静态路由，但是LAN内主机无法访问分支机构
网段，经查发现数据包到ASA后，ASA根本没发路由重定向的包给
LAN内主机。请问专家应如何解决以上问题？

回答者：hetao_cisco

回答时间：2007-6-22 11:40:29

回答内容：基于安全，ASA禁止ip redirect，因此不会发重定向。
ASA缺省也不会让从一个interface进入的数据再从这个interface出去，所以ASA把你的数据包丢弃了。可以配置以下命令：
same-security-traffic permit intra-interface
这样ASA就可以允许数据从同一个接口进出，解决你的问题。

问题编号：3670

问题主题：FWSM的性能

提问者：vip52h2

提问时间：2007-6-21 13:19:24

提问内容：每秒连接数大概是多少？
FWSM的cpu主要处理哪些任务，硬件完成哪些任务？
cpu利用率在什么值以下比较安全？

回答者：hetao_cisco

回答时间：2007-6-22 11:23:13

回答内容： FWSM每秒新建连接数为10万，这是Cisco防火墙的优势所在，FWSM还支持100万的并发连接数。
FWSM是NP架构，共有3个NP做处理。

问题编号：3669

问题主题：ASA 5500配置问题

提问者：yaoqingsong8042

提问时间：2007-6-21 11:58:19

提问内容：我以前对PIX比较熟悉，我想问一下，ASA和PIX的主要区别在哪里？配置有多大的区别?

回答者：hetao_cisco

回答时间：2007-6-22 10:10:41

回答内容： ASA全新硬件设计，同等档次下，实际性能比PIX高。所使用的软件版本区别不大，配置命令一样。

问题编号：3668

问题主题：续:问题编号：3651

提问者：nononhm

提问时间：2007-6-21 11:56:53

提问内容：请问有没相关的配置例子?

回答者：hetao_cisco

回答时间：2007-6-22 9:23:53

回答内容： http://www.cisco.com/en/US/produ ... 86a00801055dd.shtml

所有例子见：
http://www.cisco.com/en/US/produ ... _examples_list.html

问题编号：3667

问题主题：Application Firewall

提问者：mcrichard

提问时间：2007-6-21 11:16:01

提问内容：現有防火牆是針對Application處理,ASA or 其他設備是否有類似功能

回答者：hetao_cisco

回答时间：2007-6-21 11:24:22

回答内容： ASA具有应用检测的功能，可以理解为具备应用层处理的能力。

network · 发表于 2007-6-22 13:40:05

问题编号：3666

问题主题：cisco封QQ?请专家支招

提问者：joleon

提问时间：2007-6-21 11:05:27

提问内容：现公司有cisco ASA 5510 一台,怎么使用它来封QQ?

回答者：hetao_cisco

回答时间：2007-6-22 10:08:10

回答内容：比较麻烦，QQ有很多服务器端端口，要逐个查出来封住，也可以根据QQ软件中列出的服务器IP做策略。但网上有很多私设的QQ代理服务器，如果用户用这种方式登录，则很难封住。ASA暂时还没有关于QQ的应用检测。

问题编号：3665

问题主题：防火墙和路由器对比

提问者：joleon

提问时间：2007-6-21 10:58:53

提问内容：现在很多防火墙基本都提供了大量的路由功能,路由器有的功能基本防火墙也都有了,那么路由器相对来讲还有存在的意思?

回答者：hetao_cisco

回答时间：2007-6-21 11:33:57

回答内容：防火墙本身是个功能相对单一的策略控制设备，它更专注于安全控制。而路由器则有更广泛得多的功能要求。何况，并不是所有地方都需要使用策略控制手段的。
根本上讲，这两种设备有不同的使用目的。

问题编号：3664

问题主题：防火墙对病毒攻击的防范如何？如何应对层出不穷的新病毒？

提问者：ermu

提问时间：2007-6-21 10:23:56

提问内容：您好。
现在网络中病毒很多，而且不断有新的病毒出来，我在使用防火墙的过程中，觉得防火墙的功能总是要慢病毒一步，现在很多厂家都说自己的墙如何如何强，其实对新病毒很难有一个好的办法的。
所以请教一下，对这种新的病毒，我们的防火墙怎么应对？cisco的墙有哪些特殊针对新病毒的功能？谢谢

回答者：hetao_cisco

回答时间：2007-6-21 11:30:28

回答内容：没有任何一种工具是无所不能的，防病毒需要从多个层面，运用多种手段。
ASA防火墙防病毒有很多手段，比如增加一个CSC防病毒模块，CSC模块本身是一个网关型防病毒设备，可以检查SMTP、POP3、HTTP、FTP四种协议的流量。或可以增加一个AIM模块，AIM是运行Cisco IPS软件的IPS模块，通常IPS设备都能有效防止蠕虫的传播和爆发。
另外，举一个例子，ASA可以限制每个IP的TCP或UDP的最大连接数，或者其NAT的最大连接数，这种方法也能有效地减轻病毒爆发后对网络性能、设备性能的冲击。

问题编号：3663

问题主题：实现内网安全隔离的安全设备

提问者：flyingfish

提问时间：2007-6-21 10:19:42

提问内容：在内部网络设置安全网关保护重点网络，请问CISCO的那种产品比较适合？

回答者：hetao_cisco

回答时间：2007-6-21 11:35:21

回答内容：取决于性能、端口、扩展能力等要求。可以使用ASA系列产品，或6500系列交换机上的FWSM模块。

问题编号：3662

问题主题：Cisco ASA 5500系列在windows本身漏洞百出的情况下是否也能提供安全防护

提问者：sugar

提问时间：2007-6-21 10:18:48

提问内容： Cisco ASA 5500系列作为自适应安全设备,是否能够在windows本身漏洞百出的情况下也能提供安全防护,保护单位的业务关键服务和基础设施免遭蠕虫、黑客和其他威胁的影响,抵御病毒、间谍软件和泄密等恶意的网站威胁和基于内容的威胁。毕竟windows本身已知或还未知但已被黑客利用的漏洞太多。补订与杀毒软件都是滞后的。

回答者：hetao_cisco

回答时间：2007-6-22 9:14:56

回答内容： ASA有一定的主动防御功能，本身通过audit命令就可以防止很多IPS攻击。如果配置IPS模块，可以利用Cisco IPS的基于行为检测的功能，能够防止day-zero攻击，那么一些新出的蠕虫也可以防范。
但根本还是整个安全体系的建设，不应该只依靠单个设备做抵御。配置的严谨性也非常重要。

network · 发表于 2007-6-22 13:40:24

题编号：3661

问题主题：pix outside interface icmp

提问者：nercwlb

提问时间：2007-6-21 9:54:34

提问内容：有一台PIX520，OS6.3，最近发现从外网居然能ping ，从内网反而Ping不了，show icmp 没有任何内容，默认不是关闭outside的Ping吗？我们外部接口 security level 是0。
请问怎么造成的，配置上还有可能出现这样的事吗？

回答者：hetao_cisco

回答时间：2007-6-22 9:16:13

回答内容：能否具体一点？给出配置最好。

问题编号：3660

问题主题：防止ARP攻击

提问者：metal365

提问时间：2007-6-21 9:41:49

提问内容：如何通过PIX对ARP欺骗进行有効控制，具体怎样配制？

回答者：hetao_cisco

回答时间：2007-6-22 9:18:56

回答内容：建议通过交换机做DHCP snooping加DAI实现。在PIX上做有困难。

问题编号：3659

问题主题：思科ASA5500 ips如何升级他的信息库

提问者：kgllgk

提问时间：2007-6-21 9:38:26

提问内容：思科ASA5500 ips如何升级他的信息库

回答者：hetao_cisco

回答时间：2007-6-22 9:20:10

回答内容：如果是指ASA上面的AIM模块，那么需要购买相应模块的IPS signature服务，购买后设备会获得license，有这个license后你可以从CCO网站下载最新的签名库安装。
ASA本身audit命令方式的IPS功能相对固定，升级较慢。

问题编号：3658

问题主题：Cisco ASA 5520

提问者：tony.ma

提问时间：2007-6-21 9:26:31

提问内容：您好，我想问一下，关于Cisco ASA 5520 在Flash 中应该有那几个文件，我们公司的ASA我之前误操作把Flash清空了。而且提供的光盘上就只有两个模块可以用。时不时应该还有其它的一个或者两个文件？我应该怎么获得？谢谢！

回答者：hetao_cisco

回答时间：2007-6-21 11:37:56

回答内容：至少要有一个操作系统文件，其格式通常是这样：asa721-k8.bin，还可以外加一个ASDM的文件，其格式通常是：asdm521.bin，有这个文件后你就可以用图形的方式配置ASA。

问题编号：3654

问题主题：LAN-Based Active/Active Failover (Routed Mode)

提问者：zxyccbppp

提问时间：2007-6-20 15:05:35

提问内容：两台ASA5520做Active/Active Failover
router 下连两台ASA5520
/ \
asa5520 asa5520
\ /
\ /
switch 上连两台ASA5520
\
pc
我是按照PIX722配置文档配置的。请问现在我的PC应该设那个ASA的网关急！！！！

回答者：hetao_cisco

回答时间：2007-6-21 11:23:47

回答内容： A/A方式实际上是配置两组有A/S功能的context，每组负责一部分用户，所以你的PC设置哪一个网关都可以，前提是你的PC的子网地址分配符合你防火墙A/A的设计。

network · 发表于 2007-6-22 13:41:19

问题编号：3653

问题主题：pix ver 8.0

提问者：skybrid

提问时间：2007-6-20 14:41:11

提问内容：请问专家 pix 8.0版本是不是出来了?去哪可以下载到8.0配置文档.

回答者：hetao_cisco

回答时间：2007-6-21 11:24:05

回答内容：已经发布。文档可以在以下链接获得：
http://www.cisco.com/en/US/produ ... on_guides_list.html

问题编号：3652

问题主题：PIX-515E防火墙访问问题

提问者：Andy_v

提问时间：2007-6-20 14:13:25

提问内容：我公司防火墙（PIX-515E）上有1个DMZ区、1个web区、inside、outside区，inside的机器通过域名方式访问该web区的某些映射公网服务器可以访问；但我现在有个新需求有1台服务器在indside区需要公网访问他，我按照原有的方式配置好后，公网可以通过域名地址等方式访问到这台服务器，但是我的inside区域其他机器无法通过访问公网地址和域名解析的方式访问这他服务器，只能已真实IP的方式访问这台服务器。是pix防火墙的不只支持统一区域的公网映射访问还是我配置有问题?如果是我配置的问题请做配置指导，谢谢！
我的防火墙OS的版本是：
PIX Version 6.3(4)

回答者：hetao_cisco

回答时间：2007-6-22 9:07:25

回答内容：这是一个NAT doctoring的问题，6.3版本可以用alias命令解决，参见以下链接：
http://www.cisco.com/en/US/docs/ ... e/ab.html#wp1083304

CCO网站也有一些例子：
http://www.cisco.com/en/US/produ ... _examples_list.html

问题编号：3651

问题主题：pix vpn

提问者：nononhm

提问时间：2007-6-20 13:44:14

提问内容：两台pix做vpn,一边有固定IP，一边是PPPOE，是否能实现，链路稳定么？如果PPPOE这边掉线vpn是否能再连上？

回答者：hetao_cisco

回答时间：2007-6-21 11:41:04

回答内容：可以。链路稳定性取决于拨号线路而不是VPN本身。PPPoE掉线再上线后，VPN会自动重连。

问题编号：3649

问题主题：为什么我的配置做完静态映射后就无法上外网了呢？

提问者：address

提问时间：2007-6-20 9:58:35

提问内容：为什么我的配置做完静态映射后就无法上外网了呢？而且外网也无法PING到它，有没有存在和其他防火墙冲突的问题？映射外网前都还可以上，配置如下：（PIX506E）

User Access Verification

Password:
Type help or '?' for a list of available commands.
pixfirewall> en
Password:
Invalid password
Password: **************
pixfirewall# config t
pixfirewall(config)# show run
: Saved
:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password I14Z5BrmVtH5Vt/M encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.104.107 255.255.255.224
ip address inside 172.16.100.107 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 172.16.100.0 255.255.255.0 0 0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 192.168.104.111 172.16.100.111 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.113 172.16.100.113 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.110 172.16.100.104 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.122 172.16.100.66 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.124 172.16.100.105 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.109 172.16.100.155 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.102 172.16.100.102 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.103 172.16.100.103 netmask 255.255.255.255 0
0
static (inside,outside) 192.168.104.112 172.16.100.109 netmask 255.255.255.255 0
0
conduit permit icmp any any
conduit permit tcp host 192.168.104.111 eq 776 any
conduit permit tcp host 192.168.104.111 eq 777 any
conduit permit tcp host 192.168.104.111 eq 800 any
conduit permit tcp host 192.168.104.111 eq 3724 any
conduit permit tcp host 192.168.104.111 eq 5800 any
conduit permit tcp host 192.168.104.111 eq 5801 any
conduit permit tcp host 192.168.104.111 eq 5890 any
conduit permit tcp host 192.168.104.111 eq 5891 any
conduit permit tcp host 192.168.104.111 eq 5892 any
conduit permit tcp host 192.168.104.111 eq 5900 any
conduit permit tcp host 192.168.104.111 eq pcanywhere-data any
conduit permit udp host 192.168.104.111 eq pcanywhere-status any
conduit permit tcp host 192.168.104.111 eq ftp any
conduit permit tcp host 192.168.104.111 eq www any
conduit permit tcp host 192.168.104.111 eq https any
conduit permit tcp host 192.168.104.113 any
conduit permit udp host 192.168.104.113 any
conduit permit tcp host 192.168.104.110 eq 5900 any
conduit permit tcp host 192.168.104.110 eq 5800 any
conduit permit tcp host 192.168.104.110 eq 5801 any
conduit permit tcp host 192.168.104.110 eq 5802 any
conduit permit tcp host 192.168.104.110 eq 5890 any
conduit permit tcp host 192.168.104.110 eq 5891 any
conduit permit tcp host 192.168.104.110 eq 5892 any
conduit permit tcp host 192.168.104.110 eq pcanywhere-data any
conduit permit udp host 192.168.104.110 eq pcanywhere-status any
conduit permit tcp host 192.168.104.122 any
conduit permit udp host 192.168.104.122 any
conduit permit tcp host 192.168.104.124 any
conduit permit udp host 192.168.104.124 any
conduit permit tcp host 192.168.104.109 any
conduit permit udp host 192.168.104.109 any
conduit permit tcp host 192.168.104.102 eq 3724 any
conduit permit tcp host 192.168.104.102 eq 5800 any
conduit permit tcp host 192.168.104.102 eq 5801 any
conduit permit tcp host 192.168.104.102 eq 5802 any
conduit permit tcp host 192.168.104.102 eq 5890 any
conduit permit tcp host 192.168.104.102 eq 5891 any
conduit permit tcp host 192.168.104.102 eq 5892 any
conduit permit tcp host 192.168.104.102 eq 5900 any
conduit permit tcp host 192.168.104.102 eq pcanywhere-data any
conduit permit udp host 192.168.104.102 eq pcanywhere-status any
conduit permit tcp host 192.168.104.103 eq 3724 any
conduit permit tcp host 192.168.104.103 eq 5800 any
conduit permit tcp host 192.168.104.103 eq 5801 any
conduit permit tcp host 192.168.104.103 eq 5890 any
conduit permit tcp host 192.168.104.103 eq 5891 any
conduit permit tcp host 192.168.104.103 eq 5892 any
conduit permit tcp host 192.168.104.103 eq 5900 any
conduit permit tcp host 192.168.104.103 eq pcanywhere-data any
conduit permit udp host 192.168.104.103 eq pcanywhere-status any
conduit permit tcp host 192.168.104.103 eq www any
conduit permit tcp host 192.168.104.102 eq www any
conduit permit tcp host 192.168.104.112 any
conduit permit udp host 192.168.104.112 any
route outside 0.0.0.0 0.0.0.0 192.168.104.97 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
http 172.16.100.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside 172.16.100.17 /xmga2.conf
floodguard enable
telnet 172.16.100.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
username pico password I14Z5BrmVtH5Vt/M encrypted privilege 15
terminal width 80
Cryptochecksum:fd1149beeb7e811df470d340e6f10b5f
: end

外网是与另一台防火墙共用的，二者是平行的，

回答者：hetao_cisco

回答时间：2007-6-22 8:36:45

回答内容：做静态映射后，相应内部主机对外访问时翻译的地址就已经不是防火墙外网口的地址，而是你静态映射指定的地址，请确认你的外网路由指向正确，而且不存在地址冲突。

问题编号：3648

问题主题：您好，新一代防火墙能否提供Session资源的保护呢？

提问者：weiborao

提问时间：2007-6-20 9:49:09

提问内容：专家，您好

目前，防火墙在企业内部广泛应用。防火墙是一个工作在7层的设备，需要保存session。

在下一代防火墙内，提供session资源的保护，包括Session总数和每秒钟能建立的Session数，以防止非关键业务影响生产？

谢谢！

回答者：hetao_cisco

回答时间：2007-6-21 12:27:02

回答内容：在ASA 7.2版本以后，可以做到对每个client的连接数限制，如以下命令就是一个例子（最多50个）：
nat (inside) 1 172.16.0.0 255.255.0.0 tcp 50 50 udp 50 con enb
配置可以参考以下链接：
http://www.cisco.com/univercd/cc ... o_711.htm#wp1657546

network · 发表于 2007-6-22 13:42:18

问题编号：3647

问题主题：ASA5500 性能如何保证

提问者：xuemy

提问时间：2007-6-20 9:29:47

提问内容： 1、作为下一代防火墙产品的ASA5500，集成了防火墙、IPS、VPN、Anti－X等功能于一身，集成了这么多的功能，他的性能是如何保证的？
2、ASA5500产品是否能够替代IPS产品？

回答者：hetao_cisco

回答时间：2007-6-22 8:42:12

回答内容： ASA的IPS和Anti-X功能都是依靠SSM模块实现，这个模块有单独的处理器，不需要占用ASA资源，ASA只需要把相关流量送给SSM模块即可。ASA有内置专用VPN加密模块。
各种应用下的性能ASA的Datasheet写得很清楚，请按其参数选择合适型号。

问题编号：3644

问题主题：关于目前CISCO 安全产品市场占有率

提问者：jimmy19840915

提问时间：2007-6-19 16:07:24

提问内容：目前CISCO 安全产品市场占有率不是很高，我们用的是Netscreen+Lucent's Brick 产品。我想问下，ASA的到来，到底意味着什么，真的有这么强大的功能吗？能替代或者可以取代多少种类型的设备呢? 我作为CISCO的工程师，一直认为QOS+security 这2个scopes比较残疾点，相对路由这块而言，所以对安全这块产品没什么关心。对ASA不是特别熟悉，想通过你们了解下，说不定能上报个proposal做设备调整，呵呵

回答者：hetao_cisco

回答时间：2007-6-22 8:53:09

回答内容： ASA用于替代PIX系列和VPN3000系列，是Cisco未来防火墙和VPN的主打产品。
ASA相对于PIX有更高的应用检测能力和更好的实际性能，并且支持IPS和防病毒。
ASA相对于VPN3000，有更好的性能，且对SSL VPN的支持非常好。SSL VPN也是VPN未来的方向，我们的8.0版本已经出来，对SSL VPN有完美的支持。建议你了解一下我们的any connect客户端。

问题编号：3642

问题主题：PIX515 透明模式

提问者：zxy_snoopy

提问时间：2007-6-19 15:18:04

提问内容： pix515做透明模式，上连路由器下连交换机没有划分VLAN配完毕后，无法PING通网关和上网，配置是否正确
pixfirewall(config)# show run
: Saved
:
PIX Version 7.2(2)
!
firewall transparent
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
!
interface Ethernet1
nameif inside
security-level 100
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 100 extended permit ip any any
access-list 100 extended permit icmp any any
pager lines 24
mtu outside 1500
mtu inside 1500
no ip address
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group 100 in interface outside
access-group 100 out interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
!
prompt hostname context
Cryptochecksum:00000000000000000000000000000000
: end

回答者：LiuJianFeng_Cisco

回答时间：2007-6-21 17:17:50

回答内容：在transparent mode方式下需要配置一个管理地址，另外你的access list 100不需要设置在outside端口的outband方向上。

问题编号：3641

问题主题：PIX怎样做到应用层的防御,如某些木马程序可以写访问策略禁止访问内网

提问者：thomastang

提问时间：2007-6-19 14:51:44

提问内容： PIX怎样做到应用层的防御,如某些木马程序可以写访问策略禁止访问内网,即在外部接口就把他丢掉

回答者：LiuJianFeng_Cisco

回答时间：2007-6-21 15:29:48

回答内容：防火墙对应用层的安全保护主要是对一些已知的广泛使用的网络应用进行协议层的分析，确保其不被滥用，这是依靠内置的30多个inspec engine实现的，可保护Multimedia / Voice over IP
、Core Internet Protocols
、Database / OS Services、Security Services等几类应用。如果是Cisco的新一代安全网关ASA通过加挂AIP-SSM安全服务模块可以实现对多种恶意软件的防护，包括Spyware/Adware、网络蠕虫和病毒、木马和后门程序等等。但是需要经常保持Signature库的更新才能更有效地防范已知世界的恶意程序。

问题编号：3640

问题主题：我的是东软的防火墙

提问者：gepgep

提问时间：2007-6-19 12:42:18

提问内容：发现内网的IP地址与MAC绑定后,局内出现10%以上人员不能上网,放开后,所有人员都可以上网,为什么?是不是防火墙不能绑定完好!我局有120多台机子

回答者：LiuJianFeng_Cisco

回答时间：2007-6-21 15:34:27

回答内容：对不起，这里主要是解答Cisco新一代防火墙产品的技术问题。您所提到的东软防火墙的具体型号和技术特性并不清楚，如果可能的话，请提供网络连接拓扑和IP地址分配等细节（用户和防火墙内网口都在同一个二层VLAN吗？），才能进行下一步分析。

network · 发表于 2007-6-22 13:42:58

问题编号：3639

问题主题：小区购买防火墙，用于NAT和WEB。

提问者：oplant

提问时间：2007-6-19 10:48:06

提问内容：小区共有500栋别墅，千兆到桌面，ISP百兆光纤独享接入，应该选用什么型号防火墙？几台？（保证高稳定、高速、高安全）

回答者：LiuJianFeng_Cisco

回答时间：2007-6-21 15:13:35

回答内容：防火墙如果是用于控制小区用户通过ISP网络去互联网的流量，在性能上能满足ISP的连接带宽即可。所以，ASA5520以上的型号都可以。两台相同型号的ASA可以实现冗余和负载均衡的要求。

问题编号：3638

问题主题：asa产品支不支持用户访问权限访问?

提问者：qingjiansihai

提问时间：2007-6-19 10:35:27

提问内容： ASA产品支不支持让用户访问网络时输入用用户名及密码,并对用户分级,如果支持,最多能支持多少用户?谢谢

回答者：hetao_cisco

回答时间：2007-6-21 12:42:17

回答内容：支持。但访问的内容应该使用允许交互方式的协议，比如http，telnet，ftp，smtp等。
如果使用外部认证服务器，比如RADIUS服务器，那么理论上没有用户数量的限制。

问题编号：3637

问题主题：asa分为ips、antix、vpn系列产品，具体区别在哪里？

提问者：yanalxy

提问时间：2007-6-19 10:27:58

提问内容：在企业网络的哪些地方针对性使用这三款产品？

回答者：jinge_cisco

回答时间：2007-6-19 11:27:47

回答内容： Cisco ASA 5500系列自适应安全设备本身是一个模块化平台,可以提供IPS/Antix/VPN功能，这三个版本是为了您不同的需求量身定制的。因此，当您的企业需要应用安全和入侵防御服务，保护业务关键服务和基础设施免遭蠕虫、黑客和其他威胁的影响，建议配置IPS版。当你想帮助客户端系统抵御病毒、间谍软件和泄密等恶意的网站威胁和基于内容的威胁时，建议配置AntiX版。当您的目的是使远程用户可安全访问内部网络系统和服务，支持用于大型企业部署的VPN集群时，建议配置VPN版本。同时，这三个版本都具备firewall功能和IP sec VPN功能。

Cisco ASA 5500系列中提供了全面的服务，通过面向企业的定制产品版本：防火墙、IPS、Anti-X和VPN版，支持针对特定地点需求的定制。

问题编号：3636

问题主题：关于PIX535做failover...

提问者：beyond_ccies

提问时间：2007-6-19 8:59:49

提问内容：两台PIX535,一台是UR license,有一块GE卡，四块一口FE卡;
另一台是FO license,有一块GE卡，一块四口FE卡;
这两台是否能做cable-based failover?

回答者：LiuJianFeng_Cisco

回答时间：2007-6-21 16:23:50

回答内容：做failover的两台防火墙必须硬件和软件配置完全一样，否则配置文件复制会出问题，请把两台PIX535的硬件调整成一致。

问题编号：3635

问题主题：asa5520

提问者：ganlin

提问时间：2007-6-19 7:56:13

提问内容：我有4台 c6509 每兩台一組為一個网絡, 中間用兩台 asa5520 過濾,
asa transpanert mode ,使用HSRP 做故障是切換,可是照這種架構后,所有的HSRP 都無法工常工作,兩個网絡也不能通,為什么?

回答者：LiuJianFeng_Cisco

回答时间：2007-6-21 15:56:00

回答内容：请提供4台6509和2台ASA5520的准确连接图。从您的描述中，无法判断HSRP和ASA透明链路的关系。

network · 发表于 2007-6-22 13:43:27

问题编号：3634

问题主题：ASA与postfix邮件系统不兼容

提问者：black

提问时间：2007-6-18 21:56:12

提问内容：各位专家，你们好，我这个问题可以说从开CASE到现在有半年了，至今思科一直没有准备的答复，原因很简单，ASA5520上加了一块CSC-SSM10的卡，然后这台防火墙作为我的边缘接入设备，可安装上此设备之后，我的邮件始终是没有办法发出去（但是安装一个TPLINK的小路由器一切正常），内部的邮件系统是POSTFIX系统，神州数码北京派人来没有得到解决，思科上海的一个姓王的工程师来没有得到解决，一直到今天还没任何的准确的回复，你们几位专家是否有什么好地建议。

回答者：LiuJianFeng_Cisco

回答时间：2007-6-21 15:59:00

回答内容：能否提供详细的情况，既然神码和思科的售后工程师都在处理您的case，应该排查了一些问题吧，可是您却只是告诉我们邮件发不出去，可供判断的信息太少了。

问题编号：3633

问题主题：防火墙的选择配

提问者：xiezuoyao

提问时间：2007-6-18 21:35:32

提问内容：我单位打算配一性价比高的硬件防火墙，主要用来保护WEB服务器的安全，请予以推荐，谢谢

回答者：jinge_cisco

回答时间：2007-6-19 9:29:58

回答内容：建议您配置一台ASA5520或者5540,这两款设备性能依次提升，根据您的需求进行配置。本身ASA具有很出色的Firewall功能，具体性能指标见Cisco网站，因此一台ASA足以满足您保护公司Web服务器的需求。同时，在ASA5520或者40上可以启用IP sec VPN/SSL VPN/Easy VPN。考虑到今后的扩展，这两款设备都有一个插槽，今后可配置思科高级检测和防御安全服务模块或者内容安全和控制安全服务模块（CSC-SSM）

问题编号：3631

问题主题：关于防火墙丢包

提问者：keppel

提问时间：2007-6-18 15:18:58

提问内容：我公司防火墙（PIX525）上有几个DMZ区，inside的机器访问该DMZ的某些机器时，有时会出现中断，中断的时间几分钟不等，有时也有丢十几个包的情况，然后就能自动恢复。当访问中断时，登陆该DMZ区的其它机器ping中断的机器是通的，上防火墙上ping中断的机器，第一个包会丢掉，然后才通，通了之后，从inside ping那台中断的机器也就通了，这是不是防火墙的bug?我的防火墙OS的版本是：
Cisco PIX Firewall Version 6.3(3)
Cisco PIX Device Manager Version 3.0(1)

回答者：zhaoshuzhi_cisco

回答时间：2007-6-18 17:11:19

回答内容：请检查DMZ接口有无错误信息，检查与交换机互联的双工状态及速率设定，最好两边强制匹配一下。另外如果可能可以考虑升级系统到OS 7.2.2 是相对最稳定的OS系统目前。

问题编号：3630

问题主题：防火墙故障？

提问者：boboivy

提问时间：2007-6-18 14:13:05

提问内容：近来，时不时在我公司防火墙上看到如下日志记录：

Apr 18 2007 15:17:47: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface inside
Apr 18 2007 15:17:47: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface outside
Apr 18 2007 15:17:47: %PIX-1-105008: (Primary) Testing Interface inside
Apr 18 2007 15:17:47: %PIX-1-105008: (Primary) Testing Interface outside
Apr 18 2007 15:17:47: %PIX-1-105009: (Primary) Testing on interface outside Passed
Apr 18 2007 15:17:47: %PIX-1-105009: (Primary) Testing on interface inside Passed
Apr 18 2007 15:24:02: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface inside
Apr 18 2007 15:24:02: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface outside
Apr 18 2007 15:24:02: %PIX-1-105008: (Primary) Testing Interface inside
Apr 18 2007 15:24:02: %PIX-1-105008: (Primary) Testing Interface outside
Apr 18 2007 15:24:02: %PIX-1-105009: (Primary) Testing on interface inside Passed
Apr 18 2007 15:24:02: %PIX-1-105009: (Primary) Testing on interface outside Passed

我们的防火墙是两台PIX-535，做Failover，这是说设备有故障么？

回答者：zhaoshuzhi_cisco

回答时间：2007-6-18 17:08:52

回答内容：以上面的信息还不能完全确定故障问题所在，请检查您的防火墙日志看看有没有防火墙的故障切换记录，确保前后端连接交换机没有重启记录。

问题编号：3627

问题主题：pix 7.22BUG

提问者：skybrid

提问时间：2007-6-18 11:00:25

提问内容：是不是我用这个NO INSPECT ESMTP命令，就可以修复Dispatch Unit这个ＢＵＧ？

回答者：zhaoshuzhi_cisco

回答时间：2007-6-18 13:43:42

回答内容：这个BUG 应该在OS 7.2.2 已经被修复了。

network · 发表于 2007-6-22 13:43:48

问题编号：3625

问题主题：您好!PIX系列和ASA 在命令结构上有没有不同的地方

提问者：hezhe_7160

提问时间：2007-6-18 9:53:20

提问内容：我以前受朋友所托,去一个客户那里捣鼓ASA 但是我是第一次见到ASA 还是按照PIX的方式去做的,但是有些功能无法实现.
所以CISCO的网站上那里有ASA的指导书一类的文档?

回答者：zhaoshuzhi_cisco

回答时间：2007-6-18 13:42:49

回答内容：由于ASA是OS 7.X的操作系统，PIX 6.X 版本与OS 7.X 又比较大的改动因此您惠感觉很多地方不一样，但是当您的PIX 升级到OS 7.X 基本配置就与ASA 基本一致的。具体配置操作手册，可以访问如下URL获取：http://www.cisco.com/univercd/cc ... 2/conf_gd/index.htm

问题编号：3624

问题主题：VPN地址池问题

提问者：todobest

提问时间：2007-6-17 23:55:06

提问内容： 506E 的地址池中已经有一个地址在局域网中已经用在某个计算机上了，但在对VPN拨入用户进行地址分配时，还是会将这个地址分配出去，拨入的用户和局域网内使用同IP的计算机用户均无法正常工作。
此种问题，现有情况下何简易解决。
由于地址有限，不便于再扩充地址池，只想排除局域网中在用的某几个地址。
如果有解决方案，请与我联系，谢谢
我的E-mail: zzlhg@sina.com
手机：13607257464

回答者：zhaoshuzhi_cisco

回答时间：2007-6-18 8:27:40

回答内容：几种方式都可以实现，
建议为VPN集中器单独设定一个IP地址断，没有必要与内网公用一个地址段，单独配置地址段更加合理，管理更加方便因此建议如此使用。

问题编号：3623

问题主题：ASA工作在透明模式下支持VPN功能吗？

提问者：Andy_v

提问时间：2007-6-16 21:55:41

提问内容： ASA工作在透明模式是不是不支持VPN功能？同时NAT也不能做吗？
想问一下出于什么考虑，在透明模式下不支持上述功能？

回答者：zhaoshuzhi_cisco

回答时间：2007-6-17 11:42:44

回答内容： ASA再透明模式是不支持VPN及NAT功能的。
透明模式防火墙设计意图是对于用户前后端网络完全透明，设备本身接口不设定互联地址，因此不会用于VPN使用。再FWSM防火墙模块我们最新版本支持透明模式下NAT特性，但是目前ASA还不支持此特性。

问题编号：3620

问题主题：用一台ASA在透明模式下能实现VPN和上网么

提问者：xuem_1

提问时间：2007-6-16 9:10:47

提问内容：你们好，
有一台ASA防火墙和一台cisco 路由器，路由器用来作为VPN连接，上网用ASA，内部主机网关为ASA。现想把路由器接在防火墙下，怎样才能实现VPN和上网都？需要把ASA改成透明模式，还是有更好的解决方法？谢谢

回答者：zhaoshuzhi_cisco

回答时间：2007-6-16 9:35:03

回答内容：如果您想让ASA工作再透明模式，那么ASA不可以作为VPN集中器使用，也不可以进行NAT操作。您可以配置您的路由器作为VPN集中器，以及NAT上网使用，没有任何问题，为了允许IPSEC VPN业务通过ASA，只是需要OPEN如下端口：PROTOCOL 50,51，UDP 500，4500即可。

问题编号：3617

问题主题：续：pix做VPN

提问者：nononhm

提问时间：2007-6-15 14:56:23

提问内容：不是使用VPN设备，是两点两部PIX做点对点，同时用户可以通过INTERNE REMOTE ACCESS连接到这两个点上。
还有个问题就是PIX的ACL与ROUTE的ACL规则是不是一致的？

回答者：zhaoshuzhi_cisco

回答时间：2007-6-16 9:37:00

回答内容： PIX 可以同时支持S2S及REMOTE_ACCESS VPN，我发送过URL 回答了您这个为问题已经。
PIX ACL与路由器ACL规则基本一致，就是路由器用的是反掩码而PIX使用的是正掩码而已。

network · 发表于 2007-6-22 13:44:25

问题编号：3616

问题主题：如何在ASA外口配置基于两个IP地址的远程VPN服务器?

提问者：jackie.chen

提问时间：2007-6-15 14:46:24

提问内容：现在的需求是这样:
1)在ASA外口上配置两个IP地址, 地址A和地址B.
2)配置ASA为远程拨入VPN服务器,并运用到外口.
3)当员工在国外时,使用A地址拨入.
4)当员工在国内时,使用B地址拨入.

问题:只用一个VPN配置,可否实现这样的需求?谢谢!

回答者：zhaoshuzhi_cisco

回答时间：2007-6-16 9:46:26

回答内容：这个问题的关键不再ASA 而是再路由问题上面，ASA是支持的，但是再ASA上面的路由你必须指定把远程访问的路由例如国内、国外地址段发送给相应的ASA 接口。实际操作性差些。

问题编号：3615

问题主题：pix 7.22

提问者：skybrid

提问时间：2007-6-15 14:38:30

提问内容：我的pix os是7.22
pix525# sh ver
Cisco PIX Security Appliance Software Version 7.2(2)
但是没有DISABLE ESMTP这条命令
pix525(config)# disable ?
exec mode commands/options:

回答者：zhaoshuzhi_cisco

回答时间：2007-6-16 9:54:12

回答内容： policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
入上面所示，进入policy-map global_policy，然后NO INSPECT ESMTP即可。

问题编号：3614

问题主题：ASA5520与IPS如何设置

提问者：micol

提问时间：2007-6-15 14:32:40

提问内容：我们公司新购了一台ASA5520和5510的IPS模块，现在不知道IPS如何配置才能充分发挥这台新设备的功能，请专家指导。

回答者：zhaoshuzhi_cisco

回答时间：2007-6-16 10:31:19

回答内容：如果您考虑发挥IPS的功能，首先需要您了解IPS的功能，目前ASA 5500 系列产品的IPS模块可以支持旁路和串联两种模式，在旁路模式中可以通过防火墙实现联动防护，在串联中可以对攻击和恶意流量进行直接的丢弃。同时最新的IPS OSV6 版本可以支持主机水印识别，这样可以对网络主机环境全面了解，实现针对性的安全防护。同时最新的AD功能加强了对蠕虫攻击的防护，在不进行Signature更新的情况下，有效的防护最新的蠕虫病毒的攻击。所以建议您可以综合使用这些功能，以实现最大发挥IPS的作用。另外，推荐您和客户进一步沟通，加入我们的Mars产品，现行的网络中仅依靠IPS 是不能真正保护网络安全的，Mars产品可以实现攻击路径定位，最佳攻击缓解建议，实现正在意义上的网络安全及防护。

IPS模块配置指南可以参考下面的链接：
http://www.cisco.com/en/US/produ ... 186a008055dbb1.html

问题编号：3613

问题主题：pix DISABLE ESMTP

提问者：skybrid

提问时间：2007-6-15 14:10:45

提问内容：怎么配置pix DISABLE ESMTP?
pix 525 ios 7.22好象没有这条命令.

回答者：zhaoshuzhi_cisco

回答时间：2007-6-15 14:19:30

回答内容：请问您的软件版本是否是OS 7.2.2呢？那个BUG ID 应该是在OS 7.2.2中得到修复了。

问题编号：3612

问题主题：pix做VPN

提问者：nononhm

提问时间：2007-6-15 14:05:15

提问内容： PIX能不能既做拔号VPN，又做点对点的VPN

回答者：zhaoshuzhi_cisco

回答时间：2007-6-15 14:26:54

回答内容：如果您说得是REMOTE-ACCESS 及 S2S VPN 那么回答是可以支持的。可以参考如下URL配置。
http://www.cisco.com/en/US/produ ... 86a008032cd24.shtml

network · 发表于 2007-6-22 13:44:55

问题编号：3610

问题主题：pix525内存过高

提问者：skybrid

提问时间：2007-6-15 12:42:01

提问内容： pix525 ios 7.22 上面启了透明模式.下面跑了15台服务器.CPU使用很正常，内存到达２３０Ｍ.Dispatch Unit这个进程占用了２００Ｍ．重启后ＰＩＸ内存使用正常，过１个月后又会到达原来现状．请大家分析一下？？

回答者：zhaoshuzhi_cisco

回答时间：2007-6-15 13:37:31

回答内容：这个问题已经回答过了请查阅一下。

问题编号：3607

问题主题：asa 各个版本的问题！

提问者：gxyangyi

提问时间：2007-6-15 9:50:23

提问内容：据悉，asa共有四个版本，即anti-x,vpn,ips,firewall,请问这四个版本的功能能否集成到一台asa设备上。如果可以的话，是不是插aip和csc module 就可以实现了？而且asa各个系列是不是就一个扩展口插槽（只能csc/aip两者选其一）。

回答者：jinge_cisco

回答时间：2007-6-15 10:14:03

回答内容： ASA系列本身是一个"ALL IN ONE"的设备。其中5510/5520/5540只具备一个插槽,5550无额外插槽。ASA最基本的功能就是Firewall功能，vpn功能。注意，缺省状态下有2个SSL VPN license，如需更多则需要购买license。ASA本身有两种功能性模块，就是您提到的AIP 和 CSC。因为5510/20/40系列本身只有一个插槽，因此我们只能插入AIP模块或者CSC模块。但本身ASA内置就已经具备了IPS功能和防病毒功能，只不过他们是soft实现的。因此，这四个功能是可以集成到一台ASA上的。

问题编号：3606

问题主题：请问asa采用的是什么架构？

提问者：lenovojf

提问时间：2007-6-15 9:24:32

提问内容：请问asa采用的是什么架构？

回答者：zhaoshuzhi_cisco

回答时间：2007-6-15 9:27:33

回答内容：目前主流的防火墙平台主要有一下几类：
第一类是基于x86平台的，这种平台通常使用一颗或多颗主CPU来处理业务数据，网卡芯片和CPU通过PCI总线来传输数据。由于传统的32位PCI总线频率为33MHZ，所以，理论通讯速率为：132 MB/s即：1056 Mb/s。
第二类，基于ASIC架构的防火墙、UTM产品。但ASIC架构做为UTM就不是理想的选择，因为ASIC架构不可能把像网关杀毒、垃圾邮件过滤、网络监控等这些功能做到芯片一级去。
第三类，基于NP架构的防火墙。NP架构实现的原理和ASIC类似，但升级、维护远远好于ASIC 架构。NP架构在每个网口上都有一个网络处理器，即：NPE，用来处理来自网口的数据。每个网络处理器上所运行的程序使用微码编程，其软件实现的难度比较大，开发周期比ASIC短，但比x86长。作为UTM，由于NP架构每个网口上的网络处理器性能不高，所以同样无法完成像网关杀毒、垃圾邮件、过滤、访问监控等复杂功能。
X86架构是下一代防火墙理想的硬件平台，目前来看，没有其他平台可以代替。Cisco ASA 5500 is x86 based！

问题编号：3605

问题主题：PIX 525 出问题了

提问者：fridaymx

提问时间：2007-6-15 9:16:30

提问内容：我的PIX 525就做的透明模式,其中Dispatch Unit这个进程就占了200M的内存，重启PIX能够恢复现状,但之后20来天又来了，这是怎么回事呢?造成这种情况的原因?

回答者：zhaoshuzhi_cisco

回答时间：2007-6-15 10:49:03

回答内容： CSCse47150 这个是BUG ID。
Traceback in Thread Name: Dispatch Unit with ESMTP Inspect enabled
您可以配置您的防火墙 DISABLE ESMTP 然后观察结果。同时请确认您的OS版本，尽可能升级道OS 7.2.2

问题编号：3603

问题主题：求助！5520的IOS

提问者：raiden0124

提问时间：2007-6-15 0:15:26

提问内容：各位思科工程师，今天不慎将5520的flash删除，请问能否提供一份ios软件包，并告知上传方法

回答者：zhaoshuzhi_cisco

回答时间：2007-6-15 9:31:00

回答内容：进入ROMMON模式灾难恢复与PIX防火墙完全类似。请参考如下URL。
http://www.cisco.com/en/US/produ ... 86a00804708d8.shtml

账号		自动登录	找回密码
密码			注册