คำถามติดแท็ก firewall

การค้นหารอบ ๆ ฉันไม่สามารถระบุวิธีปฏิบัติที่ดีที่สุดสำหรับ ICMP บนไฟร์วอลล์ ตัวอย่างเช่นใน Cisco ASA จะปลอดภัยและแนะนำให้อนุญาตให้ ICMP จากใด ๆ หากเปิดใช้งานการตรวจสอบ ICMP สิ่งนี้จะอนุญาตให้สิ่งต่าง ๆ เช่นประเภทที่ 3 ไม่สามารถเข้าถึงได้เพื่อให้ลูกค้ากลับมาได้

23 ipv4  firewall 

เราใช้ Cisco ASA 5585 ในโหมดโปร่งใสเลเยอร์ 2 การกำหนดค่าเป็นเพียงสองลิงก์ 10GE ระหว่างคู่ค้าทางธุรกิจของเราและเครือข่ายภายในของเรา แผนที่ง่าย ๆ จะมีหน้าตาแบบนี้ 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw ASA มี 8.2 (4) และ SSP20 สวิทช์ 6500 Sup2T พร้อม 12.2 ไม่มีแพ็กเก็ตตกลงบนสวิตช์หรืออินเตอร์เฟส ASA !! ปริมาณการใช้งานสูงสุดของเราคือประมาณ 1.8Gbps ระหว่างสวิตช์และโหลด CPU บน ASA ต่ำมาก เรามีปัญหาแปลก ๆ ผู้ดูแลระบบ nms ของเราเห็นการสูญเสียแพ็คเก็ตที่แย่มากซึ่งเริ่มในช่วงเดือนมิถุนายน การสูญเสียแพ็คเก็ตกำลังเติบโตอย่างรวดเร็ว แต่เราไม่รู้ว่าทำไม การรับส่งข้อมูลผ่านไฟร์วอลล์ยังคงมีอยู่อย่างต่อเนื่อง แต่การสูญหายของแพ็คเก็ตก็เพิ่มขึ้นอย่างรวดเร็ว นี่คือความล้มเหลวในการ pag ของ nagios ที่เราเห็นผ่านไฟร์วอลล์ …

19 cisco  switch  cisco-asa  firewall  packet-loss 

ฉันอยู่ในระหว่างโครงการเพื่อโยกย้ายอีเทอร์เน็ต dot1q trunks สวิตช์ที่มีอยู่หลังไฟร์วอลล์ ASA ... ลำต้นเหล่านี้มีห้า vlans ต่อกัน (หมายเลข 51 - 55) นี่คือภาพวาดอย่างง่ายของบริการ layer2 ดั้งเดิม ... หนึ่งในความต้องการคือการมีบริบทไฟร์วอลล์ ASA ต่อ Vlan ในลำตัว dot1q ดั้งเดิม นี่หมายความว่าฉันเลิกใช้ BVI เพื่อเชื่อมต่ออินเทอร์เฟซ INSIDE ใหม่กับอินเทอร์เฟซ DMZ ในแต่ละบริบท FW เนื่องจากข้อ จำกัด อื่นฉันปิดท้ายด้วยการกำหนดค่า FW เช่นนี้ (ฉันกำลังสรุปเนื้อหาบริบททั้งหมดเพื่อทำให้คำถามง่ายขึ้น) ... firewall transparent ! interface GigabitEthernet0/1.51 vlan 51 nameif INSIDE security-level 100 …

15 cisco  ethernet  cisco-catalyst  vlan  firewall 

ฉันจะหา บริษัท เช่นที่อยู่ IP ของ Facebook ได้อย่างไร ฉันกำลังพยายามบล็อก facebook ในที่ทำงานและมีปัญหากับ HTTP และการบล็อก URL ทุกครั้งที่ฉันบล็อกไอพีของ Facebook ดูเหมือนว่าจะมีป๊อปอัปมากขึ้น มีวิธีง่ายๆในการค้นหา IP ทั้งหมดที่ Facebook, Myspace, Snapchat และอื่น ๆ ใช้หรือไม่?

14 ipv4  security  firewall  acl 

ฉันกำลังอยู่ระหว่างการดึงเครือข่ายของเราปัญหาที่ฉันกลับมาคือ: พยายามนำเลเยอร์ 3 มาสู่แกนกลางในขณะที่ยังคงมีไฟร์วอลล์ส่วนกลางอยู่ ปัญหาหลักที่ฉันมีที่นี่คือสวิตช์ "mini core" ที่ฉันดูอยู่มักจะมีขีด จำกัด ACL ในฮาร์ดแวร์ต่ำซึ่งแม้แต่ขนาดปัจจุบันของเราที่เราสามารถทำได้อย่างรวดเร็ว ขณะนี้ฉันกำลังจะ (หวังว่า) ซื้อ EX4300-32Fs สำหรับแกนหลัก แต่ฉันได้ดูรุ่นอื่น ๆ และตัวเลือกอื่น ๆ จากช่วง ICX ของ Juniper และ Brocade ดูเหมือนว่าทั้งหมดจะมีขีด จำกัด ACL ต่ำเหมือนกัน นี่เป็นเหตุผลที่สมบูรณ์แบบเนื่องจากสวิตช์หลักจำเป็นต้องสามารถรักษาการกำหนดเส้นทางสายความเร็วสูงได้ดังนั้นไม่ต้องการเสียสละมากเกินไปผ่านการประมวลผล ACL ดังนั้นฉันจึงไม่สามารถทำไฟร์วอลล์ทั้งหมดบนคอร์ได้เลย อย่างไรก็ตามเราทำเซิร์ฟเวอร์ส่วนใหญ่ที่มีการจัดการอย่างเต็มที่และการมีไฟร์วอลล์ส่วนกลาง (stateful) ช่วยจัดการได้มากเนื่องจากเราไม่สามารถให้ลูกค้าพูดคุยกันได้โดยตรง ฉันต้องการให้เป็นอย่างนั้นถ้าเราทำได้ แต่ฉันรู้สึกว่าเครือข่าย ISP ส่วนใหญ่จะไม่ทำสิ่งนี้ดังนั้นทำไมในกรณีส่วนใหญ่มันจะตรงไปข้างหน้าเพื่อกำหนดเส้นทางในแกน สำหรับการอ้างอิงนี่คือโทโพโลยีที่ฉันอยากจะทำ (แต่ไม่แน่ใจว่าจะให้พอดีกับ FW อย่างชัดเจน) วิธีแก้ปัญหาปัจจุบัน ตอนนี้เรามีการกำหนดค่าเราเตอร์ -on-a-stick สิ่งนี้ช่วยให้เราสามารถทำ NAT, ไฟร์วอลล์ …

11 routing  firewall  design 

ฉันกำลังพยายามตั้งค่า NAT อัตโนมัติสองเท่าด้วยการแปล DNS บน Cisco ASA 9.0 (3) และฉันมีความท้าทายเล็กน้อยกับส่วน DNS ฉันได้ NAT สองครั้งทำงานอย่างถูกต้องเช่นฉันมีเซิร์ฟเวอร์ในการผลิตและในห้องปฏิบัติการที่มีที่อยู่ IP เดียวกัน ดู b2masd1, nameif INSIDE (การผลิต) และ masd1, nameif DMZ (แล็บ) เมื่อคุณ ping จาก DMZ 10.195.18.182 ถึง 1.195.18.182 ฉันเห็นคำแปลที่เกิดขึ้นอย่างถูกต้องทั้งสองทิศทาง ... D:10.195.18.182 S:192.168.11.101 D:1.195.18.182 S:10.195.18.182 <----------- <----------- 1) echo-request to 1.195.18.182 nat (INSIDE,DMZ) static 1.195.18.182 dns …

11 cisco  cisco-asa  firewall  nat  dns 

มันจะสะดวกในการทำเครื่องหมายส่วนของ TCP ด้วยการตั้งค่าสถานะ FIN ว่าเป็นการบุกรุก (โดยไม่ติดตามการตอบกลับ) ฉันได้สันนิษฐานเสมอว่า FIN โดยไม่ต้อง ACK ขณะที่หยาบคายและหายากเป็นกฎหมายบนพื้นฐานของการยกเลิกการเชื่อมต่อ แต่ฉันอ่านข้อความเช่น "A FIN จะไม่ปรากฏด้วยตัวเองซึ่งเป็นสาเหตุที่ตัวกรองคำหลัก" สร้าง "ของซิสโก้ในแพ็กเก็ต ACK และ / หรือ RST มีเพียง FIN / ACK เท่านั้นที่ถูกต้อง" FIN เป็นเซ็กเมนต์เดียวที่ถูกกฎหมายหรือไม่ ถ้าเป็นเช่นนั้นฉันจะพบได้ที่ไหนและทำไม

11 tcp  firewall  intrusion-prevention 

เรามี ASA-5555X ที่มีอยู่ในโหมดบริบทหลายโหมดและเราใช้หนึ่งบริบทต่อหนึ่ง vlan เป็นไฟร์วอลล์ layer2 แบบโปร่งใส เมื่อเวลาผ่านไปเราได้เพิ่มวิธีการแก้ปัญหานี้และเรากำลังจะเกินใบอนุญาตเดิมของเราจาก 5 บริบทความปลอดภัย เราซื้อ L-ASA-SC-10 = แต่มันไม่ชัดเจนว่าการใช้รหัสเปิดใช้งานนี้จะทำให้เรารีบูต ASAs หรือไม่ ฉันรู้ว่ามันจะต้องให้เราทำลายคู่ที่ใช้งานสแตนด์บาย การใช้ L-ASA-SC-10 = กับ ASAs ที่ใช้อยู่ของเรานั้นต้องการการรีบูตหรือไม่? เรามีเวอร์ชัน 9.0 (2) ถ้าเป็นเช่นนั้น

10 cisco  security  vlan  cisco-asa  firewall 

ดูเหมือนว่า Dropbox ใช้ Amazon AWS เพราะเป็นที่เก็บข้อมูลดังนั้นฉันจึงไม่สามารถบล็อกหรือทราฟฟิกทราฟฟิกไปยัง dropbox.com ได้ เนื่องจากมีบริการบนเว็บมากมายที่พึ่งพา AmazonAWS ฉันจึงไม่สามารถบล็อกโดเมนนั้นได้ คุณมีข้อเสนอแนะเกี่ยวกับวิธีจัดการปริมาณการใช้งานของดรอปบ็อกซ์หรือไม่? ฉันทำงานจาก cisco ASA แต่ฉันสงสัยว่าสิ่งนี้ใช้ได้กับตัวจัดการไฟร์วอลล์ทั้งหมด

10 cisco  qos  security  cisco-asa  firewall 

ในขณะที่อ่านเกี่ยวกับการวิเคราะห์ของ CISCO NetFlow ฉันได้คำศัพท์NAT Stitchingขึ้นมา ฉันเข้าใจFlow Stitchingว่าการเชื่อมต่อขาเข้าและขาออกประเภทเดียวกันที่เข้าร่วม แต่ไม่พบสิ่งใดที่ไม่ต่อเนื่องNAT Stitchingยกเว้นสิ่งต่อไปนี้ การต่อข้อมูล NAT: รวมข้อมูล NAT จากภายในไฟร์วอลล์ด้วยข้อมูลจากภายนอกไฟร์วอลล์เพื่อระบุว่า IP และผู้ใช้ภายในเครือข่ายใดรับผิดชอบการกระทำบางอย่าง ดังนั้นวิธีการทำงานในรายละเอียด? มันเป็นกระบวนการ / โปรโตคอลหรือ NAT บางประเภทใช่หรือไม่

9 cisco  firewall  nat  netflow 

จำเป็นต้องเข้าร่วม srx650 สองตัวในคลัสเตอร์แชสซี (Passive / Active) ผ่านสวิตช์สองตัว EX4200 ฉันต้องเลือกตัวอย่างจากสามตัวอย่าง กรุณาช่วยในการกำหนดตัวเลือกที่ถูกต้องและอธิบายการตั้งค่าที่ควรจะอยู่ใน Srx650 และสวิตช์ ex4200 ช่วงเวลาสำคัญ - เป็นไปได้ไหมที่จะเชื่อมต่อ swithes ผ่านใยแก้วนำแสง? สามไดอะแกรมด้านล่างแสดงโครงแบบเชิงตรรกะ ตัวเลือก 1 : ตัวเลือก 2 : ตัวเลือก 3 :

9 firewall  juniper  redundancy  juniper-srx 

ฉันเจอสถานการณ์ที่ฉันไม่เข้าใจ เรามีไฟร์วอลล์ Fortigate ที่เราเปิดใช้งานเพื่อทำการโหลดบาลานซ์ในเว็บเซิร์ฟเวอร์ Apache สองแบ็คเอนด์ จากนั้นชื่อ DNS จะถูกแมปกับ IP เสมือนบน Load Balancer ตามที่คาดไว้เมื่อคุณเรียกดูชื่อ / URL DNS (เช่น www.something.com) Load Balancer จะแสดงหน้าจากหนึ่งในเว็บเซิร์ฟเวอร์ Apache ส่วนหลัง URL ที่เข้าพักในเบราว์เซอร์ www.something.com จากสิ่งที่ฉันเข้าใจ Load Balancer ในกรณีนี้เป็นเพียงการส่งต่อแพ็กเก็ตระหว่างเบราว์เซอร์และ Apache ในขณะที่อยู่ในเส้นทางเสมอ อย่างไรก็ตามหากฉันเรียกดูที่อยู่ IPที่ DNS ถูกแมปไปโหลดบาลานซ์จะส่งคืน HTTP 302 Found โดยมีส่วนหัว Location ตั้งเป็น URL DNS ของหนึ่งใน Apaches URL ในเบราว์เซอร์เปลี่ยนเป็น DNS …

9 firewall  fortigate 

ฉันมีไฟร์วอลล์ที่ฉันต้องลดการหมดเวลาเซสชัน TCP จาก 24 ชั่วโมงเป็น 1 ชั่วโมง ก่อนที่ฉันจะทำเช่นนั้นฉันกำลังพยายามตรวจสอบว่าจะทำให้แอปพลิเคชันใด ๆ เสียหายหรือไม่เช่นแอปพลิเคชันที่มีเซสชันที่ไม่ได้ใช้งานเป็นเวลานาน แต่ไม่สามารถสร้างการเชื่อมต่อได้อีกครั้ง ดังนั้นฉันจึงต้องการกรองการเชื่อมต่อจากตารางการเชื่อมต่อของฉันซึ่งไม่ได้ใช้งานนานกว่า 60 นาที ไฟร์วอลล์คือ CheckPoint R75.40 และฉันกำลังดูตารางการเชื่อมต่อด้วยคำสั่ง "fw tab -t connections -u" ฉันคิดว่าข้อมูลที่ฉันต้องการอยู่ในผลลัพธ์ แต่ฉันกำลังมองหาอะไร

9 firewall  checkpoint