CISCO ASA安全应用问题集 Part.一
CISCO ASA安全应用问题集锦全集
整理了思科ASA安全产品使用中的各种问题
一共6个部分 6个分集 参阅如下文章
标签:网络安全 ASA
CISCO ASA安全应用问题集锦全集Part.一
问题编号:1
提问内容: ASA5510做clientvpn,5510的内网地址与clientvpn用户的本地地址重叠,请问怎么解决?
192.168.1.0/24inside--ASA5510--ISP--ROUTER--192.168.1.0/24 clientvpn
回答内容: VPN接入用户可以自行安排一段IP, 内部L3设备设置静态路由指向ASA内部接口即可
问题编号:2
提问内容: 请问PIX 535和ASA系列,能否做到将两个端口绑定在一起,作用与SWITCH的PORT-CHANNEL,路由器的channel-group?
回答内容: ASA/pix没有ether channel功能
问题编号:3
提问内容: 我们学校互联网出口使用了一台PIX535防火墙,目前通过MRTG监测软件发现连接数已达到70万,但实际我们的用户也就四千人,此种情况是否代表有安全攻击存在,有什么命令可以在设备上查看具体连接细节吗,是不是TCP半连接太多,在PIX上使用什么命令可以防范半连接攻击?
回答内容: 利用 show connection以及show local-host, 建议限制内部IP对外的会话数量,启用外部连接的tcp syn cookie功能
问题编号:4
提问内容: 请问asa5500的冗余工作模式A/S是否通过hello包的机制来检测对端故障?检测时间是多少,hello包的传递是通过failover link吗?还有,asa5500工作在a/s时,是否可直接连接路由器,如果只能通过交换机连接路由器,那交换机的作用是什么?
回答内容: ASA的冗余有两类数据,一个是hello,一个是状态信息.所以可以做到完全切换,用户连接无需中断.最好将两类数据分别置入不同的冗余VLAN进行传输.
ASA的冗余连接建议通过交换机,也就是L2的连接方式
问题编号:5
提问内容: asa5500支持A/A工作模式,是否通过context实现?如果是,在物理接口侧是不是启用子接口方式将不同子接口划入不同的Context实现A/A?
回答内容: ASA5500的A/A是通过虚拟防火墙的方式实现, 具体连接支持物理与逻辑线路等多种方式
问题编号:6
提问内容:现在的情况是这样的,我有一台内网服务器的WEB服务要对外发布,我在ASA5520上面做了静态NAT:static (dmz,outside) tcp 10.1.1.1 80 192.168.1.1 80 netmask 255.255.255.255 0 0
conduit permit tcp host 10.1.1.1 eq 80 any但是却不起作用(排除WEB服务器及应用的故障可能)
回答内容: 应该设置outside端口的ACL, 允许外部用户访问 permit tcp any host 10.1.1.1 eq 80
问题编号:7
提问内容:
A点PIX上有一固定IP
B点PIX无固定IP,使用ADSL拨号
现在想使用VPN让两个网络互相访问
目前为止找到的site to site例子都有固定IP的
回答内容: 在总部一端设置动态crptomap即可,连接由分支设备发起.
问题编号:8
提问内容: Cisco ASA 5520有几个功能模块?
回答内容: IPS功能的AIP SSM以及Anti-X功能的CSC SSM模块,另外还有4GE的端口扩展模块
问题编号:9
提问内容: 一根网通,一根电信。
能否实现数据(基于目的地址)的自动分流?
回答内容: 可以通过虚拟防火墙的方式支持多ISP的接入
问题编号:10
提问内容: ASDM想比PDM是否有更多功能?和PDM相比,ASDM的配置是否可以达到更细致的配置?哪些配置是ASDM不能完成的?
回答内容: ASDM比PDM要强大许多, 也更为细致, 安装ASDM之后有演示功能,建议尝试一下
问题编号:11
提问内容: ASA的命令格式和PIX有无区别?ASA默认是否支持透明模式?
回答内容: ASA与PIX配置保持一致,可以支持透明模式
问题编号:12
提问内容: 我对UTM产品非常感兴趣,比如cisco的ASA产品系列。现在想问一下专家ASA的防病毒模块是用的哪一家的产品,cisco怎样提供升级?
回答内容: TrendMicro, 由TM提供在线升级,可以通过思科购买升级服务
问题编号:13
提问内容: ASA5510中UTM防病毒为什么有用户数限制?
回答内容: 最多1000在线用户
问题编号:14
提问内容: 我在配置asa的时候发现,在应用acl到接口上时多了一个out选项,而pix上只有in选项,请问asa防火墙为什么要做出这样的改变,它的好处在哪里?
回答内容: 在一个端口上提供双向ACL的选择
问题编号:15
提问内容: 请问如果某个在INSIDE接口内的设备(使用私有地址),在连接INERNET的 OUTSIDE接口做了映射(static),配合ACL命令实现了安全等级从低向高的访问,但假设不配置NAT命令能否实现对INTERNET的访问。
回答内容: 可以, 只要在FW的xlate中有翻译表项即可
问题编号:16
提问内容: 一个有300个节点的网络,同时有5台服务器,对外提供WEB,FTP,MAIL,ERP,CRM,OA服务,这样的一个网络,CISCO的哪种防火墙产品比较合适,需要多大的吞吐量,并发连接数和安全带宽
回答内容: 5510/5520都可以,5510的FW吞吐量为300,总连接数为50000或130000, 新建连接数为6000/秒,5520的指标分别为450,280,000与9,000
问题编号:17
提问内容: 现所有LAN内主机缺省网关指向一台ASA5520,现需通过另一台与ASA在同一网段的路由器访问另一网段的分支机构,在ASA上增加指向分支机构网段的静态路由,但是LAN内主机无法访问分支机构网段,经查发现数据包到ASA后,ASA根本没发路由重定向的包给LAN内主机。请问专家应如何解决以上问题?
回答内容: 基于安全,ASA禁止ip redirect,因此不会发重定向。
ASA缺省也不会让从一个interface进入的数据再从这个interface出去,所以ASA把你的数据包丢弃了。可以配置以下命令:
same-security-traffic permit intra-interface
这样ASA就可以允许数据从同一个接口进出,解决你的问题。
问题编号:18
提问内容: 每秒连接数大概是多少?
FWSM的cpu主要处理哪些任务,硬件完成哪些任务?cpu利用率在什么值以下比较安全?
回答内容: FWSM每秒新建连接数为10万,这是Cisco防火墙的优势所在,FWSM还支持100万的并发连接数。FWSM是NP架构,共有3个NP做处理。
问题编号:19
提问内容: 我以前对PIX比较熟悉,我想问一下,ASA和PIX的主要区别在哪里?配置有多大的区别?
回答内容: ASA全新硬件设计,同等档次下,实际性能比PIX高。所使用的软件版本区别不大,配置命令一样。
问题编号:20
提问内容: 现公司有cisco ASA 5510 一台,怎么使用它来封QQ?
回答内容: 比较麻烦,QQ有很多服务器端端口,要逐个查出来封住,也可以根据QQ软件中列出的服务器IP做策略。但网上有很多私设的QQ代理服务器,如果用户用这种方式登录,则很难封住。ASA暂时还没有关于QQ的应用检测。
搜索更多相关主题的帖子:
ASA
