CISCO ASA安全应用问题集 Part.三 CISCO, Part, ASA, 应用

windecember

CISCO ASA安全应用问题集锦全集  
整理了思科ASA安全产品使用中的各种问题
一共6个部分 6个分集 参阅如下文章
标签：网络安全 ASA

CISCO ASA安全应用问题集 Part.三
问题编号：31
提问内容：
目前，防火墙在企业内部广泛应用。防火墙是一个工作在7层的设备，需要保存session。
在下一代防火墙内，提供session资源的保护，包括Session总数和每秒钟能建立的Session数，以防止非关键业务影响生产？
谢谢！
回答内容： 在ASA 7.2版本以后，可以做到对每个client的连接数限制，如以下命令就是一个例子（最多50个）：
nat (inside) 1 172.16.0.0 255.255.0.0 tcp 50 50 udp 50 con enb
配置可以参考以下链接：
http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_7_2/cmd_ref/no_711.htm#wp1657546

问题编号：32
提问内容： 1、作为下一代防火墙产品的ASA5500，集成了防火墙、IPS、VPN、Anti－X等功能于一身，集成了这么多的功能，他的性能是如何保证的？
2、ASA5500产品是否能够替代IPS产品？
回答内容： ASA的IPS和Anti-X功能都是依靠SSM模块实现，这个模块有单独的处理器，不需要占用ASA资源，ASA只需要把相关流量送给SSM模块即可。ASA有内置专用VPN加密模块。
各种应用下的性能ASA的Datasheet写得很清楚，请按其参数选择合适型号。

问题编号：33
提问内容： 目前CISCO 安全产品市场占有率不是很高，我们用的是Netscreen+Lucent's Brick 产品。我想问下，ASA的到来，到底意味着什么，真的有这么强大的功能吗？能替代或者可以取代多少种类型的设备呢? 我作为CISCO的工程师，一直认为QOS+security 这2个scopes比较残疾点，相对路由这块而言，所以对安全这块产品没什么关心。对ASA不是特别熟悉，想通过你们了解下，说不定能上报个proposal做设备调整，呵呵
回答内容： ASA用于替代PIX系列和VPN3000系列，是Cisco未来防火墙和VPN的主打产品。
ASA相对于PIX有更高的应用检测能力和更好的实际性能，并且支持IPS和防病毒。
ASA相对于VPN3000，有更好的性能，且对SSL VPN的支持非常好。SSL VPN也是VPN未来的方向，我们的8.0版本已经出来，对SSL VPN有完美的支持。建议你了解一下我们的any connect客户端。

问题编号：34
提问内容： pix515做透明模式，上连路由器下连交换机没有划分VLAN配完毕后，无法PING通网关和上网，配置是否正确
pixfirewall(config)# show run
: Saved
:
PIX Version 7.2(2)
!
firewall transparent
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
!
interface Ethernet1
nameif inside
security-level 100
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 100 extended permit ip any any
access-list 100 extended permit icmp any any
pager lines 24
mtu outside 1500
mtu inside 1500
no ip address
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group 100 in interface outside
access-group 100 out interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
!
prompt hostname context
Cryptochecksum:00000000000000000000000000000000
: end
回答内容： 在transparent mode方式下需要配置一个管理地址，另外你的access list 100不需要设置在outside端口的outband方向上。

问题编号：35
提问内容： PIX怎样做到应用层的防御,如某些木马程序 可以写访问策略禁止访问内网,即在外部接口就把他丢掉
回答内容： 防火墙对应用层的安全保护主要是对一些已知的广泛使用的网络应用进行协议层的分析，确保其不被滥用，这是依靠内置的30多个inspec engine实现的，可保护Multimedia / Voice over IP
、Core Internet Protocols
、Database / OS Services、Security Services等几类应用。如果是Cisco的新一代安全网关ASA通过加挂AIP-SSM安全服务模块可以实现对多种恶意软件的防护，包括Spyware/Adware、网络蠕虫和病毒、木马和后门程序等等。但是需要经常保持Signature库的更新才能更有效地防范已知世界的恶意程序。

问题编号：36
提问内容： 发现内网的IP地址与MAC绑定后,局内出现10%以上人员不能上网,放开后,所有人员都可以上网,为什么?是不是防火墙不能绑定完好!我局有120多台机子
回答内容： 对不起，这里主要是解答Cisco新一代防火墙产品的技术问题。您所提到的东软防火墙的具体型号和技术特性并不清楚，如果可能的话，请提供网络连接拓扑和IP地址分配等细节（用户和防火墙内网口都在同一个二层VLAN吗？），才能进行下一步分析。

问题编号：37
提问内容： 小区共有500栋别墅，千兆到桌面，ISP百兆光纤独享接入，应该选用什么型号防火墙？几台？（保证高稳定、高速、高安全）
回答内容： 防火墙如果是用于控制小区用户通过ISP网络去互联网的流量，在性能上能满足ISP的连接带宽即可。所以，ASA5520以上的型号都可以。两台相同型号的ASA可以实现冗余和负载均衡的要求。

问题编号：38
提问内容： ASA产品支不支持让用户访问网络时输入用用户名及密码,并对用户分级,如果支持,最多能支持多少用户?谢谢
回答内容： 支持。但访问的内容应该使用允许交互方式的协议，比如http，telnet，ftp，smtp等。
如果使用外部认证服务器，比如RADIUS服务器，那么理论上没有用户数量的限制。

问题编号：39
提问内容： 在企业网络的哪些地方针对性使用这三款产品？
回答内容： Cisco ASA 5500系列自适应安全设备本身是一个模块化平台,可以提供IPS/Antix/VPN功能，这三个版本是为了您不同的需求量身定制的。因此，当您的企业需要应用安全和入侵防御服务，保护业务关键服务和基础设施免遭蠕虫、黑客和其他威胁的影响，建议配置IPS版。当你想帮助客户端系统抵御病毒、间谍软件和泄密等恶意的网站威胁和基于内容的威胁时，建议配置AntiX版。当您的目的是使远程用户可安全访问内部网络系统和服务，支持用于大型企业部署的VPN集群时，建议配置VPN版本。同时，这三个版本都具备firewall功能和IP sec VPN功能。
Cisco ASA 5500系列中提供了全面的服务，通过面向企业的定制产品版本：防火墙、IPS、Anti-X和VPN版，支持针对特定地点需求的定制。

问题编号：40
提问内容： 两台PIX535,一台是UR license,有一块GE卡，四块一口FE卡;
另一台是FO license,有一块GE卡，一块四口FE卡;
这两台是否能做cable-based failover?
回答内容： 做failover的两台防火墙必须硬件和软件配置完全一样，否则配置文件复制会出问题，请把两台PIX535的硬件调整成一致。