W przypadku pytań dotyczących lub związanych z działaniem zapory, konfiguracją i rozwiązywaniem problemów.
Rozglądając się wokół, nie byłem w stanie określić najlepszych praktyk dla ICMP na zaporze ogniowej. Na przykład w przypadku Cisco ASA byłoby bezpieczne i zalecane zezwolenie ICMP na dowolne, jeśli włączona jest inspekcja ICMP. Pozwoliłoby to na takie rzeczy, jak typ 3 nieosiągalny, aby wrócić do...
Używamy Cisco ASA 5585 w trybie transparentnym warstwy 2. Konfiguracja to tylko dwa łącza 10GE między naszym partnerem biznesowym dmz a naszą siecią wewnętrzną. Prosta mapa wygląda tak. 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw ASA ma 8.2 (4) i SSP20. Przełączniki to 6500...
Jestem w trakcie projektu migracji niektórych istniejących przełączanych łączy ethernetowych dot1q za zaporą ogniową ASA ... te łącza mają po pięć sieci VLAN (o numerach 51 - 55). Jest to prosty rysunek oryginalnej usługi layer2 ... Jednym z wymagań jest posiadanie kontekstu zapory ASA dla Vlan...
Jak znaleźć firmę taką jak adresy IP Facebooka. Próbuję zablokować Facebooka w pracy i mam pewne problemy z HTTP i blokowaniem adresów URL. Za każdym razem, gdy blokuję adres IP na Facebooku, pojawia się więcej. Czy jest jakiś prosty sposób na sprawdzenie wszystkich adresów IP używanych przez...
Próbuję skonfigurować podwójną automatyczną translację NAT z tłumaczeniem DNS w Cisco ASA 9.0 (3) i mam kilka problemów z częścią DNS. Mam podwójną translację NAT działającą poprawnie, dzięki czemu mam serwer w produkcji i w laboratorium z tym samym adresem IP. Patrz b2masd1, nameif INSIDE...
Jestem w trakcie przeciążania naszej sieci, do którego wciąż wracam: próba przeniesienia warstwy 3 do rdzenia, wciąż mając scentralizowaną zaporę ogniową. Głównym problemem, jaki tu mam, jest to, że przełączniki „mini core”, na które patrzyłem, zawsze mają niskie limity sprzętowej listy ACL, które...
Byłoby wygodnie oznaczyć segmenty TCP tylko z ustawioną flagą FIN, jako wtargnięcie (bez śledzenia odpowiedzi). Zawsze zakładałem, że FIN bez ACK, chociaż niegrzeczny i rzadki, jest legalny, oparty na zakończeniu połączenia . Ale potem czytam takie stwierdzenia, jak: „FIN nigdy nie pojawi się sam...
Wygląda na to, że Dropbox korzysta z Amazon AWS do przechowywania danych, więc nie jestem w stanie po prostu blokować ani przekierowywać ruchu na dropbox.com Ponieważ istnieje wiele usług internetowych opartych na AmazonAWS, nie mogę po prostu zablokować tej domeny. Czy masz jakieś sugestie...
Mamy kilka istniejących ASA-5555X w trybie wielu kontekstów i używamy jednego kontekstu per-vlan jako przezroczystej zapory ogniowej warstwy 2. Z czasem dodawaliśmy do tego rozwiązania i wkrótce przekroczymy naszą pierwotną licencję na 5 kontekstów bezpieczeństwa. Kupiliśmy L-ASA-SC-10 =, ale nie...
Mam zaporę ogniową, w której muszę skrócić limit czasu sesji TCP z 24 godzin na 1 godzinę. Zanim to zrobię, próbuję ustalić, czy spowoduje to uszkodzenie jakichkolwiek aplikacji, tj. Aplikacji, które mają sesje, które mogą być bezczynne przez długi czas, ale nie są w stanie ponownie nawiązać...
Natknąłem się na sytuację, której nie rozumiem. Posiadamy zaporę Fortigate, która umożliwiła równoważenie obciążenia na dwóch serwerach WWW Apache. Nazwa DNS jest następnie mapowana na wirtualny adres IP modułu równoważenia obciążenia. Zgodnie z oczekiwaniami podczas przeglądania nazwy DNS /...
konieczne jest połączenie dwóch srx650 w zestawie podwozi (pasywnym / aktywnym) za pomocą dwóch przełączników EX4200. Muszę wybrać jeden z trzech przykładów. Proszę o pomoc w zdefiniowaniu prawidłowego wyboru i opisaniu ustawień na Srx650 i przełączniku ex4200. Ważny moment - czy można podłączyć...
Czytając o analizie CISCO NetFlow, wymyśliłem termin o nazwie NAT Stitching. Rozumiem, Flow Stitchingktóre łączą ten sam typ połączenia przychodzącego i wychodzącego. Ale nie mogę znaleźć niczego dyskretnego NAT Stitchingoprócz następujących, Łączenie NAT: ujednolicenie informacji NAT z...