思科防火墙一个容易疏忽的问题
问题描述:
有些工程师在工程实践中会遇到这样的问题,当调试思科×××的时候,尤其是远程拨入×××的调试,你会发现,当调试路由器的时候,客户端拨入可以直接访问路由器的内口地址,但是当设备是思科的安全设备(PIX,ASA)的时候,你去尝试一下,你会发现在访问INSIDE接口的时候,结果是不通的。
解决办法:
因为思科的安全设备安全级别高一些,所以他默认会对从低安全级别的访问做一定的限制,例如设备的管理权限;大家都知道防火墙从外网是不能TELNET到本机上的,相比SSH本身安全的多的多,但是INSIDE可以TELNET,默认内部是最高安全级别,所以TELNET当然对本身不会造成多大破坏,但是思科的人性化体现的很淋漓尽致,对于远程客户端通过×××客户端拨入的用户(可能会出现帐户泄露等因素),防火墙默认是不允许这些客户访问他本身的,这样就更增强了自身的安全性,个人觉得非常好!!!!
解决此办法很容易
在全局模式下 输入
management-access inside 这条命令就可以了
应用领域:
总部是固定IP,各分部是动态IP,但是总部也要管理分部的PIX,因为分部的公网地址会变化,所以使用客户端拨入通过内口管理分部设备是个很好的办法!!!
当然也可以通过使用 SHOW CRYPTO ISA SA查看 ×××状态,但是如果分支没有感兴趣流,那么网络管理员就鞭长莫及了!!!
