Вопросы с тегом «firewall»

По вопросам, касающимся работы, настройки и устранения неполадок межсетевого экрана или связанных с ними.

1
Должен ли IPv4 ICMP от ненадежных интерфейсов быть заблокирован?
Осматривая, я не смог определить наилучшую практику для ICMP на брандмауэре. Например, на Cisco ASA было бы безопасно и рекомендуется разрешить ICMP от любого, если включена проверка ICMP. Это позволило бы таким вещам, как недостижимый тип 3, вернуться к клиентам.
23 ipv4  firewall 

1
Нахождение прозрачной потери пакетов межсетевого экрана
Мы используем Cisco ASA 5585 в прозрачном режиме layer2. Конфигурация - это всего лишь два канала 10GE между нашим деловым партнером dmz и нашей внутренней сетью. Простая карта выглядит следующим образом. 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw ASA имеет 8,2 (4) и SSP20. Переключатели 6500 Sup2T с 12.2. На любом коммутаторе или интерфейсе …

3
Настройте Cisco ASA в прозрачном режиме: Уровень 2 DMZ с переводом Vlan
Я нахожусь в середине проекта по переносу некоторых существующих коммутируемых магистралей ethernet dot1q за брандмауэр ASA ... каждый из этих магистралей имеет пять виртуальных сетей (пронумерованных 51 - 55). Это простой рисунок оригинального сервиса layer2 ... Одним из требований является наличие контекста межсетевого экрана ASA для Vlan в исходной магистрали …

5
Поиск IP-адресов для сайтов социальных сетей
Как я могу узнать компанию, как IP-адреса Facebook. Я пытаюсь заблокировать Facebook на работе и испытываю трудности с HTTP и URL. Каждый раз, когда я блокирую фейсбук, IP все больше всплывает. Есть ли простой способ узнать все IP-адреса, которые используют Facebook, Myspace, Snapchat и т. Д.?
14 ipv4  security  firewall  acl 

2
Попытка встроить централизованный межсетевой экран в топологию сети
Я нахожусь в процессе перестройки нашей сети, проблема, к которой я все время возвращаюсь, заключается в следующем: попытка перенести уровень 3 в ядро, сохраняя при этом централизованный межсетевой экран. Основная проблема, с которой я столкнулся, заключается в том, что у «мини-ядерных» коммутаторов, на которых я смотрел, всегда есть низкие аппаратные …

2
Cisco ASA двойной NAT с переводом DNS
Я пытаюсь настроить двойной автоматический NAT с преобразованием DNS на Cisco ASA 9.0 (3), и у меня есть несколько проблем с частью DNS. Я получил двойной NAT, работающий правильно, такой, что у меня есть сервер в производстве и в лаборатории с тем же IP-адресом. См. B2masd1, имя INSIDE (производство) и …
11 cisco  cisco-asa  firewall  nat  dns 

1
Законен ли только сегмент FIN?
Было бы удобно помечать сегменты TCP только с установленным флагом FIN как вторжение (без отслеживания ответа). Я всегда предполагал, что FIN без ACK, хотя и грубый и редкий, является законным, основанным на разрыве соединения . Но затем я читаю такие утверждения, как «FIN никогда не появится сам по себе, поэтому …

1
L-ASA-SC-10 = требует перезагрузки?
У нас есть несколько существующих ASA-5555X в многоконтекстном режиме, и мы используем один контекст для каждого vlan в качестве прозрачного межсетевого экрана layer2. Со временем мы добавили это решение, и мы собираемся превысить нашу первоначальную лицензию на 5 контекстов безопасности. Мы приобрели L-ASA-SC-10 =, но неясно, потребует ли применение этого …

2
Как вы регулируете Dropbox Traffic?
Похоже, что Dropbox использует Amazon AWS для хранения данных, поэтому я не могу просто заблокировать или перенаправить трафик на dropbox.com. Поскольку существует множество веб-сервисов, использующих AmazonAWS, я не могу просто заблокировать этот домен. Есть ли у вас какие-либо предложения о том, как обрабатывать трафик Dropbox? Я работаю с Cisco ASA, …

1
Как работает NAT Stitching?
Читая о CISCO NetFlow Analysis, я придумал термин под названием NAT Stitching. Я понимаю, Flow Stitchingкакие присоединения одного и того же типа входящих и исходящих соединений. Но не могу найти ничего особенного, NAT Stitchingкроме следующего, Сшивание NAT: объедините информацию NAT изнутри брандмауэра с информацией извне брандмауэра, чтобы определить, какие IP-адреса …

1
Связи Juniper SRX HA, проходящие через коммутатор
необходимо объединить два srx650 в кластер шасси (пассивный / активный) через два коммутатора EX4200. Мне нужно выбрать один из трех примеров. Пожалуйста, помогите определить правильный выбор и опишите, какие настройки должны быть на Srx650 и переключателе ex4200. Также важный момент - можно ли подключать коммутаторы через оптоволокно? Три диаграммы ниже …

2
Найти свободные соединения в межсетевом экране Check Point
У меня есть брандмауэр, где я должен уменьшить время ожидания сеанса TCP с 24 до 1 часа. Прежде чем я сделаю это, я пытаюсь определить, не нарушит ли это какие-либо приложения, то есть приложения, которые имеют сеансы, которые могут простаивать в течение длительного времени, но не могут восстановить соединение, если …

2
Разница в балансировке нагрузки между DNS и IP - перенаправление против перенаправления
Я столкнулся с ситуацией, которую не могу понять. У нас есть межсетевой экран Fortigate, который мы позволили выполнить балансировку нагрузки на двух внутренних веб-серверах Apache. DNS-имя затем сопоставляется с виртуальным IP-адресом на балансировщике нагрузки. Как и ожидалось, когда вы переходите на DNS- имя / URL (например, www.something.com), балансировщик нагрузки отображает …
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.