windecember

CISCO ASA安全应用问题集锦全集  
整理了思科ASA安全产品使用中的各种问题
一共6个部分 6个分集 参阅如下文章
标签：网络安全 ASA
CISCO ASA安全应用问题集 Part.六
问题编号：61
提问内容： 原来使用PIX作为网络防火墙,同时作为VPN设备,那么中心VPN server由PIX升级为ASA,那么分公司的防火墙等设备是否一样需要进行升级?
回答内容： 这种情况不需要升级，因为VPN的连接标准保持兼容性。

问题编号：62
提问内容： 我们公司是金融行业，一直以来对信息安全方面就很重视，正时公司网络改造升级，准备购置2台边界网络安全设备。通过最近在贵公司网站的了解，感觉ASA会是一个不错的选择。但还有一些疑问想请教
1. ASA 5550是性能最高的，为什么没有提供像5540、5520同样的安全服务模块插槽，以提供IPS和Anti-X的版本？
2. 5510、5520、5540都只提供了1个安全服务模块插槽，那么功能方面只能选择标准防火墙、VPN、IPS组合或者标准防火墙、VPN、Anti-X组合？而没有办法将这四大功能集合在一台设备上？
3. 如果这样，我的设计思想是先购置2台Anti-X版本的ASA，提供防火墙、VPN、防病毒等功能，之间做HA，放台企业网络出口，使用NAT/Route模式，再购置1或者2台IPS版本的ASA，使用透明模式接入网络，对网络流量提供入侵检测并保护的功能。请问这样设计是否科学？如果专家们还有更好的设计解决方案，望给出。谢谢！
回答内容： ASA5550主要是以FW功能为主，它有8个GE端口，所以没有空余的扩展槽位，无法提供IPS/ANTI-X版本；目前没有办法提供4合1的版本，您的设想可以采用ASA Anti-X并配合IPS4200完成，这样会更节省费用。

问题编号：63
提问内容： 我单位核心两台7609,对外采用东软防火墙,为了更好的防御网络内部病毒和攻击,减少三层上VLAN 间的访问控制,想采用CISCO ASA产品,请问一下部署在7609核心上对网络整体性能是否影响,还是部署在数据中心接入交换机侧保护关键应用系统更为合理?另外4507R是否支持该设备,还请专家给个合理方案,非常感谢.
回答内容： ASA更多面向边界安全，即企业对外的ISP互联接口，也可以用于数据中心防护边界。企业核心76、65设备可以考虑采用FWSM设备

问题编号：64
提问内容： P2P应用比如：国内比较流行的emule,bittorrent
IM这块Q,MSN呢？
回答内容： 首先限制从内至外的端口号，仅开发特定应用，例如80、443、23、25等等，然后利用FW在80等端口深度检测的功能，限制通过80进行tunnel的P2P/IM应用。

问题编号：65
提问内容： 请问，新一代防火墙对未知病毒的防御问题是什么新的功能？具体给介绍一下，新一代防火墙的管理功能是否有所提高？
回答内容： ASA可以利用AIP SSM的AD（异常检测）功能，进行针对未知病毒的监测与控制。AIP模块在日常工作中会创建网络流量的Baseline模型，当有未知病毒出现时，流量出现异常后，AIP会自动启动防护功能。
ASA的网络管理功能界面与PIX有很大提高，可以下载ASDM并启动demo模式进行体会。

问题编号：66
提问内容： 比如说是否会有工具把PIX上的配置文件转换成ASA上能用的，或者是不同大版本之间转换的。可以是独立的工具或者是在线工具。
回答内容： ASA的防火墙配置与PIX基本通用，其实是在全新平台上将PIX/IDS4200/VPN3000的操作系统集成之后的综合安全防护平台。

问题编号：67
提问内容： 思科提下一代防火墙，但是具体的下一代防火墙包括那些内容，具体体现了那些技术呢，客户在投资安全方面的资金又能咋样的保证呢？
回答内容： 思科ASA5500系列自适应安全设备是思科推出的下一代防火墙安全解决方案，它是提供了新一代的安全性和VPN服务的模块化平台。企业可以根据特定需求定购不同版本，做到逐步购买、按需部署，灵活方便地实现安全功能的扩展。
http://www.cisco.com/web/CN/products/products_netsol/security/products/asa/

问题编号：68
提问内容： 各位专家我想问一问你们,我们买了一台ASA5520的防火墙,对于这台防火墙它具体有哪些的功能能给我详细的讲解一下吗?它除了防火墙之外的功能外还能做一些什么样的应用,如IPS,IDS,VPN,它和现在市场的UTM相比有什么好处,另外他能不能做流量控制和在透明模式下能做双WAN口吗?(注双WAN口:就是在透明模式下能接两个出外网的路由器吗?就是一个接内网两个接外网)谢谢!
回答内容： 您可以先浏览一下这里:
http://www.cisco.com/web/CN/products/products_netsol/security/products/asa/
透明模式模式接两个WAN,需要Switch 支持。

问题编号：69
提问内容： 前些日子，在局域网内的机子只要发生ip连续的冲突，被盗用ip的正常机子就中毒。中毒后的症状表现为：反映有所减慢，机器上的所有可执行文件不能使用，双击其可执行启动文件，闪过一个黑框，什么都没有了。接着系统就报告出现系统文件保护，请插入cd恢复保护文件的提示。严重的导致系统崩溃。在中毒期间杀毒软件是排不上用场，包括在安全模式下。与病毒斗争的时候发现它会在硬盘的某个地方建下自己的营垒，准备着对系统的随时破坏！
对于这种问题下一代防火墙或者专家们有什么更好的解决方案吗？
回答内容： 可以安全思科公司的CSA软件对终端系统加以保护。
http://www.cisco.com/web/CN/products/products_netsol/security/products/csa/