问题编号: 3362

问题主题: 几个关于防火墙问题的请教,谢谢!

提问者: ea110297

提问时间: 2006-3-23 9:51:56

提问内容: 专家,您好:

1. 我的问题是如下我的网络结构中fwsm的透明模式配置应该怎样配置(命令)?谢谢!
msfc(vlan300)--msfc inside(vlan 501)--fwsm inside(vlan 501)--fwsm outside(vlan 500)--internet(vlan 500)

2. pix os 7.0中有single mode和multiple mode两种模式,请问它们的区别是什么?

3. 如果我将pix设置成为透明模式,并且设置acl为permit ip any any,并且应用到inside和outside的in方向中,这样是否存在安全隐患呢?pix里面有没有什么机制例如如果通过 透明模式的pix的数据中含有***的话,pix有没有缺省安全机制可以阻挡常规***而不需要网管专门作安全策略设置呢?

4. xt guard是否也有透明模式可用呢?我想将xt guard放在7609与服务器群的vlan之间作透明模式过滤访问服务器群的ddos流量,不知可行否?

5. 由于加密的数据ids并不能检测到,现在有什么安全的机制或者技术可以检测或者防范在加密数据包里的***及病毒呢?因为加密包到 了桌面一级再解密作检测或者防范为时已晚了,特别对于重要的应用服务器而言?

谢谢专家!





回答者: lidaqiang_cisco

回答时间: 2006-3-23 18:33:16

回答内容: 1、首先用firewall transparent命令设置成透明模式,然后让vlan对应到fwsm的接口(vlan)对应。参见网页:http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/mod_icn/fwsm/fwsm_2_3/fwsm_cfg/index.htm

2、pix os7.0以后支持虚拟防火墙技术,multiple mode的意思是让pix工作在vfw模式,缺省情况下pix有3个vfw,可以通过购买许可证扩展到50个vfw,每个vfw 有自己的策略,可以有独立的管理界面,逻辑上就向完全独立的fw。

3、即使在permit any的情况下,pix也要检测诸如ip,http,dns等多种应用协议的合法性,这是防火墙的基本功能;当然我们建议不要这 样配置。

4、guard作为“网络洗衣机”,他应该是去处理***的流量和正常流量混杂的时候,筛选出正常流量。guard的工作原理请参 考:http://www.cisco.com/en/us/products/ps5894/index.html下面的相关部分。

5、关键看你用什么方法加密,如果是ipsec ***的模式,采用asa5500自适应安全设备加密的数据是可以被asa5500的ips功能所检查的。如果是其他设备加密的 话,为了保护pc机器、服务器,可以采用我们的csa(安全代理),这样只有特许的*作能够通过,有害的*作都被block。




问题编号: 3361

问题主题: 关于vms 2.3和idm和adsm的问题

提问者: ea110297

提问时间: 2006-3-22 17:30:18

提问内容:
您好,有几个问题请教一下:
1. idsm2的模块,使用的是jre 1.42以上,也按照要求jre的运行参数设定成"-xmx256m"--256m的java内存空间,开始几次使用idm是可 以的,后来再登录idm就自动弹出了,请问是什么原因呢?

2. 使用asdm v5.01 for pix 525时,通过win2003的“asdm50-install.msi”安装asdm launcher使用,但安装完成后提示“vm creation failed”,如何解决呢,谢谢!

3. 已成功安装了vms 2.3 unstricted,并且在mc中成功添加了两台7609上的idsm2的网管ip,我的问题是客户端浏览器如何查看有关id sm2的日志输出信息和统计数据呀?例如是在web client中输入[url]http://vms_ip[/url]查看么?还是讲vms_mc只能管理多个idsm2呢?因为我在*作vms_mc 对idsm2进行管理时,明显还不如我从idm看到的信息多,可配置的动作也比在idm上少,这个问题请回答得尽量详细点吧,谢 谢!





回答者: lidaqiang_cisco

回答时间: 2006-3-22 20:48:49

回答内容: 1、检查你的系统是否满足以下链接的要求:http://www.cisco.com/en/us/partner/products/hw/***devc/ps4077/products_configuration_guide_chapter09 186a00804cf4c4.html 。如果问题仍然存在,请你向思科tac中心开case解决。

2、确保你的系统满足以下链接的硬件和软件要求:
http://www.cisco.com/en/us/partner/products/ps6121/prod_release_note09186a00804c52f7.html 。建议你升级到asdm 5.1(1)的版本。

3、对于多个ids单元(idsm),应该用vsm来完成。vsm作为服务器软件,提供[url]https://vms_ip[/url] 的客户端管理。vms应该比idm更加方便使用。具体请你参考以下链接:
http://www.cisco.com/univercd/cc/td/doc/product/rtrmgmt/cw2000/mgt_ids/idsmc20/ug/index.htm





问题编号: 3360

问题主题: 七层防御更新怎么样?

提问者: d

提问时间: 2006-3-22 16:22:10

提问内容: 有七层防御吗?七层防御能联动最新的病毒及其他安全问题吗?





回答者: lidaqiang_cisco

回答时间: 2006-3-22 20:57:45

回答内容: “七层防御”的概念主要是相对于原有的安全设备而言提出的,老一代的安全设备都是针对网络层和传输层(3、4层)的防御;对于协 议的深度分析,需要新一代的安全设备(比如ciscoasa)。当然asa可以提供对于anti-x的防御,以及p2p的应用识 别。asa也提供基于硬件的病毒防御模块,可以对于文件级别的病毒进行识别。




问题编号: 3359

问题主题: utm问题

提问者: mahost

提问时间: 2006-3-22 14:47:31

提问内容: 安全产品的发展趋势是utm,但utm集成这么多功能,一旦全部使用起来,肯定会影响性能和速度,请问cisco是怎么解决的? 使用了哪些新技术?





回答者: lidaqiang_cisco

回答时间: 2006-3-22 21:10:01

回答内容: utm确实是解决网络安全问题的方向,自适应识别和防御(aim)架构是utm新的设计架构,对于不同的安全功能都有专用的模块 和芯片来处理。比如asa5500系列产品,采用aip模块进行网络ips/ids;采用csc模块采用趋势科技的引擎,进行文 件级的恶意代码阻断。对于广义的utm概念,还包含整个网络平台的统一威胁防护,结合路由器/交换机的流量分析机制,对整个网络 实现“utm”。比如思科mars的解决方案。关于asa的utm请你参考链接:http://www.cisco.com/global/cn/solutions/products_netsol/security/products/asa/5500_overview_1.shtml




问题编号: 3358

问题主题: 关于asa5500对***的支持能力

提问者: baowt

提问时间: 2006-3-22 14:09:46

提问内容: 请问asa5500可以被配置成为*** awared模式吗?即对不同mpls/***里的用户进行区分?





回答者: lidaqiang_cisco

回答时间: 2006-3-22 21:14:19

回答内容: 目前的版本还不可以,但可以将不同的***映射到相应的mpls ***中。现在可以采用cisco路由器完成ipsec vrf aware。

 

问题编号: 3362

问题主题: 几个关于防火墙问题的请教,谢谢!

提问者: ea110297

提问时间: 2006-3-23 9:51:56

提问内容: 专家,您好:

1. 我的问题是如下我的网络结构中fwsm的透明模式配置应该怎样配置(命令)?谢谢!
msfc(vlan300)--msfc inside(vlan 501)--fwsm inside(vlan 501)--fwsm outside(vlan 500)--internet(vlan 500)

2. pix os 7.0中有single mode和multiple mode两种模式,请问它们的区别是什么?

3. 如果我将pix设置成为透明模式,并且设置acl为permit ip any any,并且应用到inside和outside的in方向中,这样是否存在安全隐患呢?pix里面有没有什么机制例如如果通过 透明模式的pix的数据中含有***的话,pix有没有缺省安全机制可以阻挡常规***而不需要网管专门作安全策略设置呢?

4. xt guard是否也有透明模式可用呢?我想将xt guard放在7609与服务器群的vlan之间作透明模式过滤访问服务器群的ddos流量,不知可行否?

5. 由于加密的数据ids并不能检测到,现在有什么安全的机制或者技术可以检测或者防范在加密数据包里的***及病毒呢?因为加密包到 了桌面一级再解密作检测或者防范为时已晚了,特别对于重要的应用服务器而言?

谢谢专家!





回答者: lidaqiang_cisco

回答时间: 2006-3-23 18:33:16

回答内容: 1、首先用firewall transparent命令设置成透明模式,然后让vlan对应到fwsm的接口(vlan)对应。参见网页:http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/mod_icn/fwsm/fwsm_2_3/fwsm_cfg/index.htm

2、pix os7.0以后支持虚拟防火墙技术,multiple mode的意思是让pix工作在vfw模式,缺省情况下pix有3个vfw,可以通过购买许可证扩展到50个vfw,每个vfw 有自己的策略,可以有独立的管理界面,逻辑上就向完全独立的fw。

3、即使在permit any的情况下,pix也要检测诸如ip,http,dns等多种应用协议的合法性,这是防火墙的基本功能;当然我们建议不要这 样配置。

4、guard作为“网络洗衣机”,他应该是去处理***的流量和正常流量混杂的时候,筛选出正常流量。guard的工作原理请参 考:http://www.cisco.com/en/us/products/ps5894/index.html下面的相关部分。

5、关键看你用什么方法加密,如果是ipsec ***的模式,采用asa5500自适应安全设备加密的数据是可以被asa5500的ips功能所检查的。如果是其他设备加密的 话,为了保护pc机器、服务器,可以采用我们的csa(安全代理),这样只有特许的*作能够通过,有害的*作都被block。




问题编号: 3361

问题主题: 关于vms 2.3和idm和adsm的问题

提问者: ea110297

提问时间: 2006-3-22 17:30:18

提问内容:
您好,有几个问题请教一下:
1. idsm2的模块,使用的是jre 1.42以上,也按照要求jre的运行参数设定成"-xmx256m"--256m的java内存空间,开始几次使用idm是可 以的,后来再登录idm就自动弹出了,请问是什么原因呢?

2. 使用asdm v5.01 for pix 525时,通过win2003的“asdm50-install.msi”安装asdm launcher使用,但安装完成后提示“vm creation failed”,如何解决呢,谢谢!

3. 已成功安装了vms 2.3 unstricted,并且在mc中成功添加了两台7609上的idsm2的网管ip,我的问题是客户端浏览器如何查看有关id sm2的日志输出信息和统计数据呀?例如是在web client中输入[url]http://vms_ip[/url]查看么?还是讲vms_mc只能管理多个idsm2呢?因为我在*作vms_mc 对idsm2进行管理时,明显还不如我从idm看到的信息多,可配置的动作也比在idm上少,这个问题请回答得尽量详细点吧,谢 谢!





回答者: lidaqiang_cisco

回答时间: 2006-3-22 20:48:49

回答内容: 1、检查你的系统是否满足以下链接的要求:http://www.cisco.com/en/us/partner/products/hw/***devc/ps4077/products_configuration_guide_chapter09 186a00804cf4c4.html 。如果问题仍然存在,请你向思科tac中心开case解决。

2、确保你的系统满足以下链接的硬件和软件要求:
http://www.cisco.com/en/us/partner/products/ps6121/prod_release_note09186a00804c52f7.html 。建议你升级到asdm 5.1(1)的版本。

3、对于多个ids单元(idsm),应该用vsm来完成。vsm作为服务器软件,提供[url]https://vms_ip[/url] 的客户端管理。vms应该比idm更加方便使用。具体请你参考以下链接:
http://www.cisco.com/univercd/cc/td/doc/product/rtrmgmt/cw2000/mgt_ids/idsmc20/ug/index.htm





问题编号: 3360

问题主题: 七层防御更新怎么样?

提问者: d

提问时间: 2006-3-22 16:22:10

提问内容: 有七层防御吗?七层防御能联动最新的病毒及其他安全问题吗?





回答者: lidaqiang_cisco

回答时间: 2006-3-22 20:57:45

回答内容: “七层防御”的概念主要是相对于原有的安全设备而言提出的,老一代的安全设备都是针对网络层和传输层(3、4层)的防御;对于协 议的深度分析,需要新一代的安全设备(比如ciscoasa)。当然asa可以提供对于anti-x的防御,以及p2p的应用识 别。asa也提供基于硬件的病毒防御模块,可以对于文件级别的病毒进行识别。




问题编号: 3359

问题主题: utm问题

提问者: mahost

提问时间: 2006-3-22 14:47:31

提问内容: 安全产品的发展趋势是utm,但utm集成这么多功能,一旦全部使用起来,肯定会影响性能和速度,请问cisco是怎么解决的? 使用了哪些新技术?





回答者: lidaqiang_cisco

回答时间: 2006-3-22 21:10:01

回答内容: utm确实是解决网络安全问题的方向,自适应识别和防御(aim)架构是utm新的设计架构,对于不同的安全功能都有专用的模块 和芯片来处理。比如asa5500系列产品,采用aip模块进行网络ips/ids;采用csc模块采用趋势科技的引擎,进行文 件级的恶意代码阻断。对于广义的utm概念,还包含整个网络平台的统一威胁防护,结合路由器/交换机的流量分析机制,对整个网络 实现“utm”。比如思科mars的解决方案。关于asa的utm请你参考链接:http://www.cisco.com/global/cn/solutions/products_netsol/security/products/asa/5500_overview_1.shtml




问题编号: 3358

问题主题: 关于asa5500对***的支持能力

提问者: baowt

提问时间: 2006-3-22 14:09:46

提问内容: 请问asa5500可以被配置成为*** awared模式吗?即对不同mpls/***里的用户进行区分?





回答者: lidaqiang_cisco

回答时间: 2006-3-22 21:14:19

回答内容: 目前的版本还不可以,但可以将不同的***映射到相应的mpls ***中。现在可以采用cisco路由器完成ipsec vrf aware。