Questions tagged «firewall»

到处搜索我无法确定防火墙上ICMP的最佳实践。 例如，在Cisco ASA上，如果启用了ICMP检查，则将是安全的，并且建议允许使用任何ICMP。然后，这将允许类型3无法访问之类的事情返回给客户端。

23 ipv4  firewall 

我们在第2层透明模式下使用Cisco ASA 5585。该配置仅是我们的业务合作伙伴dmz与内部网络之间的两个10GE链接。一个简单的地图如下所示。 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw ASA具有8.2（4）和SSP20。交换机是6500 Sup2T和12.2。在任何交换机或ASA接口上都没有丢包！交换机之间的最大流量约为1.8Gbps，并且ASA上的CPU负载非常低。 我们有一个奇怪的问题。我们的nms管理员发现非常糟糕的数据包丢失始于6月的某个时候。丢包的速度非常快，但是我们不知道为什么。通过防火墙的流量保持不变，但是数据包丢失迅速增长。这些是我们通过防火墙看到的nagios ping故障。Nagios向每个服务器发送10次ping。有些故障会使所有ping失效，而并非所有故障会使所有十个ping失效。 奇怪的是，如果我们使用来自nagios服务器的mtr，则数据包丢失不是很严重。 My traceroute [v0.75] nagios (0.0.0.0) Fri Jul 19 03:43:38 2013 Keys: Help Display mode Restart statistics Order of fields quit Packets Pings Host Loss% Snt Drop Last Best Avg Wrst StDev 1. 10.4.61.1 0.0% 1246 0 0.4 0.3 0.3 …

19 cisco  switch  cisco-asa  firewall  packet-loss 

我正在一个项目的中间，将一些现有的交换式以太网dot1q中继迁移到ASA防火墙后面...这些中继每个都有五个VLAN（编号为51-55）。这是原始layer2服务的简单绘图... 要求之一是在原始dot1q中继中每个Vlan具有ASA防火墙上下文。这意味着我将在每个固件环境中使用BVI将新的INSIDE接口桥接到DMZ接口。由于其他限制，我最终使用了这样的固件配置（我在总结所有上下文内容以简化问题）... firewall transparent ! interface GigabitEthernet0/1.51 vlan 51 nameif INSIDE security-level 100 bridge-group 1 ! interface GigabitEthernet0/2.951 vlan 951 nameif DMZ security-level 50 bridge-group 1 ! interface BVI1 ip address 10.10.51.240 255.255.255.0 standby 10.10.51.241 ! 透明模式下的Cisco ASA使用两个不同的VLAN ID来连接单个Layer2 VLAN服务。通过连接两个VLAN interface BVI1; bridge-group 1每个物理接口上的配置都在上面的配置中建立了Vlan51和Vlan951之间的连接。 假设ASA：Gi0 / 2连接到4507：Gi1 / 2 ...请注意DMZ接口发生了什么... …

15 cisco  ethernet  cisco-catalyst  vlan  firewall 

我如何找到像Facebook这样的IP地址的公司。我正在尝试阻止Facebook工作，并在HTTP和URL阻止方面遇到一些困难。每当我阻止一个facebook IP时，似乎就会弹出更多。 有没有一种简单的方法来找出Facebook，Myspace，Snapchat等使用的所有IP？

14 ipv4  security  firewall  acl 

我正在彻底检查我们的网络，我一直回想的问题是：尝试将第3层带入核心，同时仍具有集中式防火墙。 我在这里遇到的主要问题是，我一直关注的“微型核心”交换机始终具有较低的硬件内ACL限制，即使在我们当前的大小下，我们也可以很快达到该限制。我目前（希望）购买一对EX4300-32F内核，但是我看过其他型号，以及瞻博网络和Brocade ICX系列的其他选件。它们似乎都具有相同的低ACL限制。 这非常有意义，因为核心交换机需要能够保持线速路由，因此不想通过ACL处理牺牲太多。因此，我无法在核心交换机本身上完成所有防火墙工作。 但是，我们主要处理完全托管的服务器，而拥有集中式（状态）防火墙对该管理有很大帮助-因为我们无法让客户直接相互交谈。如果可以的话，我想保持这种方式，但是我觉得大多数ISP网络都不会做这种事情，因此为什么在大多数情况下，在核心中进行路由很简单。 作为参考，这是我理想情况下想做的拓扑（但不确定在何处适合FW）。 当前解决方案 现在，我们有一个棒式路由器配置。这使我们能够一站式完成NAT，状态防火墙和VLAN路由。非常简单。 通过将L2一直扩展到网络的“顶部”（边界路由器），我可以继续使用（大致）相同的解决方案。但是后来，我失去了核心可以为我提供的线速路由的所有好处。 IIRC的核心交换机可以进行464 Gbps的路由，而如果幸运的话，我的边界路由器将能够提供10或20 Gbps的路由。从技术上讲，这现在不是问题，而是增长的问题。我觉得好像我们现在不设计架构以利用核心路由功能一样，当我们规模更大并且需要利用该功能时，重做所有内容将很痛苦。我宁愿第一次就做对。 可能的解决方案 第3层访问 我以为我可以将L3扩展到访问交换机，从而将防火墙规则分解为更小的段，然后将这些段适应访问交换机ACL的硬件限制。但： 据我所知，这些不是有状态的ACL 对我来说，L3 Access似乎更加僵化。服务器移动或VM迁移到其他机柜会更加痛苦。 如果我要在每个机架的顶部（只有六个）管理防火墙，那么我可能还是想要自动化。因此，在这一点上，在主机级别自动管理防火墙并不是很大的飞跃。从而避免了整个问题。 访问/核心之间的每个上行链路上的桥接/透明防火墙 这将必须涉及多个防火墙盒，并显着增加所需的硬件。甚至可能比购买更大的核心路由器还要昂贵，即使使用普通的老式Linux机器作为防火墙。 巨型核心路由器 可以购买更大的设备来完成我需要的防火墙，并具有更大的路由能力。但是确实没有预算，而且，如果我要使设备执行并非为它设计的功能，则可能必须选择更高的规格。比起其他方式 没有集中式防火墙 由于我跳了圈，也许这不值得。这一直是一件好事，有时对于想要“硬件”防火墙的客户来说是一个卖点。 但是，为“整个”网络设置集中式防火墙似乎是不可行的。那么，我想知道，当拥有专用服务器的客户拥有数百甚至数千台主机时，大型ISP如何为他们提供硬件防火墙解决方案？ 谁能想到解决这个问题的方法？是我完全错过的东西，还是上述想法之一的变化？ 2014年6月16日更新： 基于@Ron的建议，我偶然发现了这篇文章，它很好地解释了我所面临的问题，并且是解决该问题的好方法。 除非有其他建议，否则我现在要说这是产品推荐类型的问题，所以我想这已经结束了。 http://it20.info/2011/03/the-93-000-firewall-rules-problem-and-why-cloud-is-not-just-orchestration/

11 routing  firewall  design 

我正在尝试在Cisco ASA 9.0（3）上设置具有DNS转换功能的双重自动NAT，并且在DNS部分遇到一些挑战。我使双NAT正常工作，因此在生产环境和实验室中有一台具有相同IP地址的服务器。请参见b2masd1，名称为INSIDE（生产）和masd1，名称为DMZ（实验室）。 当您从DMZ 10.195.18.182 ping到1.195.18.182时，我看到双向翻译正确进行... D:10.195.18.182 S:192.168.11.101 D:1.195.18.182 S:10.195.18.182 <----------- <----------- 1) echo-request to 1.195.18.182 nat (INSIDE,DMZ) static 1.195.18.182 dns S:10.195.18.182 D:192.168.11.101 S:1.195.18.182 D:10.195.18.182 ------------> ------------> 2) echo-reply to 192.168.11.101 nat (DMZ,INSIDE) static 192.168.11.101 dns b2masd1 +-----------+ masd1 10.195.18.182 INSIDE | | DMZ 10.195.18.182 Mfg Server -------------| Cisco ASA …

11 cisco  cisco-asa  firewall  nat  dns 

将仅设置了FIN标志的TCP段标记为入侵（而不跟踪答复）会很方便。 我一直认为，基于连接终止，不带ACK的FIN虽粗鲁而罕见，却是合法的。 但是然后我读到诸如 “ FIN 永远不会单独出现，这就是为什么Cisco的ACK和/或RST数据包的“已建立”关键字过滤器。只有FIN / ACK有效的原因。” 仅限FIN的网段合法吗？ 如果是这样，我可能在哪里遇到一个为什么？

11 tcp  firewall  intrusion-prevention 

我们在多上下文模式下有一些现有的ASA-5555X，并且每个VLAN都使用一个上下文作为透明的layer2防火墙。随着时间的流逝，我们一直在添加此解决方案，并且我们将超过5个安全上下文的原始许可。 我们购买了L-ASA-SC-10 =，但尚不清楚应用此激活密钥是否需要我们重新启动ASA。我确实知道这将需要我们打破主用－备用对。 将L-ASA-SC-10 =应用于我们正在运行的ASA是否需要重启？如果重要的话，我们有9.0（2）版本。

10 cisco  security  vlan  cisco-asa  firewall 

似乎Dropbox使用Amazon AWS进行存储，因此我无法阻止或拖曳dropbox.com的流量 由于有许多依赖于AmazonAWS的Web服务，因此我不能仅阻止该域。 您对如何处理保管箱流量有任何建议吗？ 我在cisco ASA上工作，但是我怀疑这适用于所有防火墙管理器

10 cisco  qos  security  cisco-asa  firewall 

在阅读CISCO NetFlow Analysis时，我想到了一个名为的术语NAT Stitching。 我了解Flow Stitching哪种连接类型相同的入站和出站连接。 但是NAT Stitching除了以下内容，找不到任何离散的内容， NAT拼接：将防火墙内部的NAT信息与防火墙外部的信息统一起来，以查明网络中哪些IP和用户负责特定操作 那么它是如何工作的呢？它是进程/协议还是特定类型的NAT？

9 cisco  firewall  nat  netflow 

必须通过两个交换机EX4200将两个srx650加入机箱集群（被动/主动）中。我需要从三个示例中选择一个。请帮助定义正确的选择并描述Srx650和交换机ex4200上的设置。同样重要的时刻-是否可以通过光纤连接开关？以下三个图概述了逻辑配置： 选项1： 选项2： 选项3：

9 firewall  juniper  redundancy  juniper-srx 

我遇到了我无法理解的情况。我们有一个Fortigate防火墙，已启用该防火墙以在两个后端Apache Web服务器之间进行负载平衡。然后，DNS名称将映射到负载均衡器上的虚拟IP。 不出所料，当您浏览到DNS名称/ URL（例如www.something.com）时，负载均衡器会从一台后端Apache Web服务器提供一个页面。浏览器中的URL仍为 www.something.com。据我了解，这种情况下的负载均衡器只是在浏览器和Apache之间转发数据包，而始终保持在路径内。 但是，如果我浏览到DNS映射到的IP地址，则负载均衡器将返回HTTP 302 Found，并将Location标头设置为其中一个Apache的DNS URL。浏览器中的URL更改为后端服务器DNS。 为什么通过IP查询时负载均衡器重定向，但通过DNS名称查询时正确转发路径内。

9 firewall  fortigate 

我有一个防火墙，必须将TCP会话超时从24h降低到1h。 在执行此操作之前，我试图确定这是否会破坏任何应用程序，例如，具有可以长时间空闲的会话的应用程序，但是如果防火墙断开连接，则无法重新建立连接。 因此，我想从连接表中筛选出闲置超过60分钟的连接。 防火墙是CheckPoint R75.40，我正在使用“ fw选项卡-t connections -u”命令查看连接表。我想我想要的信息在输出中，但是我在找什么呢？

9 firewall  checkpoint