Para perguntas sobre ou relacionadas a operações de firewall, configuração e solução de problemas.
Pesquisando ao redor, não consegui determinar a melhor prática para o ICMP em um firewall. Por exemplo, em um Cisco ASA, seria seguro e recomendado permitir o ICMP de qualquer um se a inspeção do ICMP estiver ativada. Isso permitiria que coisas como o tipo 3 inacessíveis voltassem aos...
Usamos o Cisco ASA 5585 em um modo transparente layer2. A configuração são apenas dois links 10GE entre nosso parceiro de negócios dmz e nossa rede interna. Um mapa simples é assim. 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw O ASA possui 8.2 (4) e SSP20. Os comutadores são...
Estou no meio de um projeto para migrar alguns troncos Ethernet comutados dot1q existentes atrás de um firewall ASA ... esses troncos têm cinco vlans cada (numerados 51 - 55). Este é um desenho simples do serviço layer2 original ... Um dos requisitos é ter um contexto de firewall ASA por Vlan no...
Como descubro uma empresa como os endereços IP do facebook. Estou tentando bloquear o facebook no trabalho e estou tendo algumas dificuldades com HTTPs e bloqueio de URL. Toda vez que eu bloqueio um IP do Facebook, mais parecem aparecer. Existe alguma maneira fácil de descobrir todos os IPs que o...
Seria conveniente marcar os segmentos TCP apenas com o sinalizador FIN definido, como uma intrusão (sem rastrear a resposta). Sempre presumi que um FIN sem um ACK, embora rude e raro, seja legal, com base no encerramento da conexão . Mas então eu leio declarações como "Um FIN nunca aparecerá por...
Estou tentando configurar o Auto NAT duplo com tradução de DNS no Cisco ASA 9.0 (3) e estou tendo alguns desafios com a parte do DNS. Recebi o dobro do NAT funcionando corretamente, de modo que tenho um servidor em produção e no laboratório com o mesmo endereço IP. Consulte b2masd1, nomeif INSIDE...
Estou no processo de re-transportar nossa rede, o problema para o qual continuo voltando é: tentando trazer a camada 3 para o núcleo, enquanto ainda tenho um firewall centralizado. O principal problema que tenho aqui é que os comutadores "mini core" que tenho observado sempre têm limites baixos de...
Parece que o Dropbox usa o Amazon AWS para seu armazenamento, por isso não sou capaz de bloquear ou impedir o tráfego no dropbox.com Como existem muitos serviços da Web que dependem do AmazonAWS, não posso simplesmente bloquear esse domínio. Você tem alguma sugestão sobre como lidar com o...
Temos algum ASA-5555X existente no modo de contexto múltiplo e estamos usando um contexto por vlan como um firewall layer2 transparente. Com o tempo, adicionamos essa solução e estamos prestes a exceder nossa licença original de 5 contextos de segurança. Compramos L-ASA-SC-10 =, mas não está claro...
Ao ler sobre o CISCO NetFlow Analysis, criei um termo chamado NAT Stitching. Entendo Flow Stitchingqual ingressar no mesmo tipo de conexão de entrada e saída. Mas não é possível encontrar nada discreto, NAT Stitchingexceto o seguinte, Agrupamento NAT: unifique as informações NAT de dentro do...
é necessário unir dois srx650 no cluster de chassi (passivo / ativo) por meio de dois comutadores EX4200. Eu preciso escolher um dos três exemplos. Por favor, ajude a definir a escolha correta e descreva quais devem ser as configurações no Srx650 e alterne para ex4200. Momento também importante - é...
Estou trabalhando em um laboratório agora e estou tendo alguns problemas com o roteamento ASA. Aqui está a topologia de rede atual: Atualmente, se eu entrar no console no ASA ou no roteador, posso sair para a Internet sem problemas. No segundo que eu entrei no switch da camada 3, só posso...
Me deparei com uma situação que não consigo entender. Temos um firewall Fortigate que permitimos fazer balanceamento de carga em dois servidores Web Apache de backend. Um nome DNS é mapeado para o IP virtual no Load Balancer. Como esperado, quando você navega para o nome / URL DNS (por exemplo,...
Eu tenho um firewall, onde tenho que diminuir o tempo limite da sessão TCP de 24h para 1h. Antes de fazer isso, estou tentando determinar se isso interromperá algum aplicativo, ou seja, aplicativos que tenham sessões que podem ficar inativas por um longo tempo, mas que não conseguem restabelecer a...
Temos um problema simples. Queremos restringir nossos usuários sem fio a determinados sites comerciais com base no nome de usuário quando eles fazem login. Temos muitos tipos de dispositivos sem fio: telefones voip, telefone celular, laptops, scanners de código de barras e tablets. Suponha que...
Eu tive uma experiência ruim com o Cisco ASA ao alterar / renomear atributos de interface "nameif". Eu gostaria de saber se renomear ou simplesmente excluir nomes existentes usados na configuração do ASA causará algum dano à
Tirei um ASA5550 antigo da prateleira, que tinha 8,4 (2) carregado. Quando tentei inicializá-lo, recebi o seguinte erro ... ----------------------------------------------- Traceback output aborted. Flushing first exception frame: Abort: Assert failure vector 0x00000000 edi 0x00000002 esi...
Eu tenho um ASA executando 9.0 (1) com quatro contextos de segurança. Quando modificamos um contexto, nosso procedimento padrão é fazer um "mem de gravação" dentro desse contexto. Mas, às vezes, precisamos modificar todos os contextos na mesma janela de alterações. Podemos apenas fazer um "write...
Fechadas. Esta questão está fora de tópico . No momento, não está aceitando respostas. Deseja melhorar esta pergunta? Atualize a pergunta para que ela esteja no tópico do Network Engineering Stack Exchange. Fechado há 2 anos . A situação é...
Não tenho um laboratório ASA para confirmar isso e a leitura dos documentos da Cisco me deixou com menos de 100% de certeza. O que realmente quero saber é que, se eu extrair um atributo de uma diretiva de grupo, ele será substituído pelo que já está configurado no DfltGrpPolicy? Aqui está um bom...