タグ付けされた質問 「firewall」

周りを検索しても、ファイアウォールでのICMPのベストプラクティスを特定できませんでした。 たとえば、Cisco ASAでは、ICMPインスペクションが有効になっている場合、すべてのICMPを許可することが安全であり、推奨されます。これにより、タイプ3の到達不能のようなものがクライアントに戻されるようになります。

23 ipv4  firewall 

レイヤ2トランスペアレントモードでCisco ASA 5585を使用します。構成は、ビジネスパートナーdmzと内部ネットワークの間の2つの10GEリンクのみです。シンプルなマップは次のようになります。 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw ASAには8.2（4）およびSSP20があります。スイッチは、12.2を備えた6500 Sup2Tです。スイッチまたはASAインターフェイスでのパケットドロップはありません!! スイッチ間の最大トラフィックは約1.8Gbpsで、ASAのCPU負荷は非常に低くなっています。 奇妙な問題があります。nms管理者は、6月に開始された非常に悪いパケット損失を見ています。パケット損失は非常に急速に増加していますが、その理由はわかりません。ファイアウォールを通過するトラフィックは一定のままですが、パケット損失は急速に増加しています。これらは、ファイアウォールを介して発生するnagios pingの失敗です。Nagiosは、すべてのサーバーに10のpingを送信します。一部の障害ではすべてのpingが失われますが、すべての障害で10個のpingがすべて失われるわけではありません。 奇妙なことは、nagiosサーバーからmtrを使用する場合、パケット損失はそれほど悪くないということです。 My traceroute [v0.75] nagios (0.0.0.0) Fri Jul 19 03:43:38 2013 Keys: Help Display mode Restart statistics Order of fields quit Packets Pings Host Loss% Snt Drop Last Best Avg Wrst StDev 1. 10.4.61.1 0.0% 1246 0 0.4 0.3 …

19 cisco  switch  cisco-asa  firewall  packet-loss 

既存のスイッチドイーサネットdot1qトランクをASAファイアウォールの背後に移行するプロジェクトの最中です。これらのトランクにはそれぞれ5つのVLAN（51〜55の番号）があります。これは、元のlayer2サービスの単純な図面です... 要件の1つは、元のdot1qトランクのVLANごとにASAファイアウォールコンテキストを持つことです。つまり、BVIを使用して、新しいINSIDEインターフェイスを各FWコンテキストのDMZインターフェイスにブリッジします。他の制約のために、私はこのようなFW設定で終わります（質問を簡素化するためにすべてのコンテキストのものを要約しています）... firewall transparent ! interface GigabitEthernet0/1.51 vlan 51 nameif INSIDE security-level 100 bridge-group 1 ! interface GigabitEthernet0/2.951 vlan 951 nameif DMZ security-level 50 bridge-group 1 ! interface BVI1 ip address 10.10.51.240 255.255.255.0 standby 10.10.51.241 ! トランスペアレントモードのCisco ASAは、2つの異なるVLAN IDを使用して、単一のLayer2 VLANサービスを接続します。2つのVLANを接続しますinterface BVI1; bridge-group 1各物理インターフェイスの構成により、上記の構成でVlan51とVlan951が接続されます。 ASA：Gi0 / 2が4507：Gi1 / 2に接続すると仮定します... DMZインターフェイスに何が起こるかに注目してください... ASA …

15 cisco  ethernet  cisco-catalyst  vlan  firewall 

FacebookのIPアドレスのような会社を見つけるにはどうすればよいですか。私は職場でfacebookをブロックしようとしていますが、HTTPsとURLのブロックに問題があります。FacebookのIPをブロックするたびに、ポップアップが表示されます。 Facebook、Myspace、Snapchatなどが使用するすべてのIPを簡単に見つける方法はありますか？

14 ipv4  security  firewall  acl 

私はネットワークをオーバーホールしている最中ですが、私が繰り返し返してきた問題は、ファイアウォールを集中化したまま、レイヤー3をコアに持ち込もうとすることです。 ここでの主な問題は、これまで見てきた「ミニコア」スイッチでは、ハードウェア内のACLの制限が常に低く、現在のサイズでもすぐにヒットする可能性があることです。現在、コア用に1組のEX4300-32Fを（うまくいけば）購入しようとしていますが、他のモデルや、ジュニパーとBrocadeのICXシリーズの他のオプションも検討しました。それらはすべて同じ低いACL制限を持っているようです。 コアスイッチはワイヤ​​スピードルーティングを維持できる必要があるため、これは完全に理にかなっているため、ACL処理によってあまり犠牲にしないでください。したがって、コアスイッチ自体ですべてのファイアウォールを実行することはできません。 ただし、主に完全に管理されたサーバーを使用しており、集中型（ステートフル）ファイアウォールを使用すると、顧客と直接対話することができないため、その管理に非常に役立ちます。できればそれを維持したいのですが、ほとんどのISPネットワークはこのようなことを行わないように感じます。そのため、ほとんどの場合、コアでルーティングを行うのは簡単です。 参考までに、ここに私が理想的に実行したいトポロジーを示します（ただし、FWをどこに当てはめるかは明らかではありません）。 現在のソリューション 現在、ルーターオンスティック構成です。これにより、NAT、ステートフルファイアウォール、VLANルーティングをすべて1か所で行うことができます。とても簡単です。 L2をネットワークの「最上部」、つまり境界ルーターまで拡張することで、（ほぼ）同じソリューションを続行できます。しかし、それからコアが提供できるワイヤスピードルーティングのすべての利点を失います。 IIRCコアスイッチは464 Gbpsのルーティングを実行できますが、運が良ければ、ボーダールーターはおそらく10または20 Gbpsを提供できます。これは現時点では技術的に問題ではなく、成長の問題です。今、コアルーティングキャパシティを活用するアーキテクチャを設計していないと、大きくなり、そのキャパシティを活用する必要がある場合、すべてをやり直すのは苦痛になるでしょう。私はそれを最初に正しくしたいです。 可能な解決策 アクセスするレイヤー3 L3をアクセススイッチに拡張し、ファイアウォールルールをより小さなセグメントに分割して、アクセススイッチのACLのハードウェア制限に合わせることができると思いました。だが： 私の知る限り、これらはステートフルACLではありません L3 to Accessは、私にとってははるかに柔軟性に欠けるようです。サーバーを移動したり、VMを他のキャビネットに移行したりすると、さらに苦痛になります。 各ラックの上部（そのうち6つのみ）でファイアウォールを管理する場合は、とにかく自動化が必要です。したがって、その時点では、ホストレベルでファイアウォールの管理を自動化することはそれほど大きな進歩ではありません。したがって、問題全体を回避できます。 アクセス/コア間の各アップリンクのブリッジ/透過ファイアウォール これには複数のファイアウォールボックスが必要であり、必要なハードウェアを大幅に増やす必要があります。そして、ファイアーウォールとして古いLinuxボックスを使用していても、大きなコアルーターを購入するよりも高価になる可能性があります。 ジャイアントコアルーター 必要なファイアウォールを実行でき、ルーティング容量がはるかに大きい、より大きなデバイスを購入できます。しかし、実際にはそのための予算がありません。デバイスに設計されていない何かを実行させようとしている場合は、おそらくもっと高いスペックに行かなければならないでしょう。それ以外の場合よりも。 一元化されたファイアウォールなし 私はフープを飛び越えているので、これは努力する価値がないかもしれません。これは常に良いものであり、「ハードウェア」ファイアウォールを必要とする顧客にとってセールスポイントになることもあります。 ただし、「ネットワーク全体」に集中型ファイアウォールを設定することは不可能であるようです。では、何百、何千ものホストがある場合に、専用のサーバーを使用する顧客に、どのように大規模なISPがハードウェアファイアウォールソリューションを提供できるのでしょうか。 誰もがこの問題を解決する方法を考えることができますか？私が完全に見逃したものか、上記のアイデアのバリエーションですか？ 更新2014-06-16： @Ronの提案に基づいて、私が直面している問題をかなりよく説明し、問題を解決するための良い方法を説明するこの記事を偶然見つけました。 他に提案がない限り、これは製品推奨タイプの問題だと思うので、それで終わりだと思います。 http://it20.info/2011/03/the-93-000-firewall-rules-problem-and-why-cloud-is-not-just-orchestration/

11 routing  firewall  design 

Cisco ASA 9.0（3）でDNS変換付きの二重自動NATをセットアップしようとしていますが、DNSの部分でいくつかの課題があります。二重NATが正しく機能しているため、同じIPアドレスを持つサーバーが本番環境とラボにあります。b2masd1、nameif INSIDE（製品）およびmasd1、nameif DMZ（ラボ）を参照してください。 DMZ 10.195.18.182から1.195.18.182にpingすると、両方向で正しく変換が行われているのがわかります... D:10.195.18.182 S:192.168.11.101 D:1.195.18.182 S:10.195.18.182 <----------- <----------- 1) echo-request to 1.195.18.182 nat (INSIDE,DMZ) static 1.195.18.182 dns S:10.195.18.182 D:192.168.11.101 S:1.195.18.182 D:10.195.18.182 ------------> ------------> 2) echo-reply to 192.168.11.101 nat (DMZ,INSIDE) static 192.168.11.101 dns b2masd1 +-----------+ masd1 10.195.18.182 INSIDE | | DMZ 10.195.18.182 Mfg Server -------------| Cisco …

11 cisco  cisco-asa  firewall  nat  dns 

FINフラグのみが設定されたTCPセグメントを侵入として（応答を追跡せずに）マークすると便利です。 私は常に、ACKなしのFINは、失礼でまれですが、接続の終了に基づいて合法であると想定していました。 しかし、私は、次のような文を読んで 「うA FINを決して確立シスコの理由である、それ自体で表示されていない『』 ACKおよび/またはRSTパケットのキーワードフィルタはのみFIN / ACKが有効です。」 FINのみのセグメントは合法ですか？ もしそうなら、私はどこで遭遇するでしょうか、そしてなぜですか？

11 tcp  firewall  intrusion-prevention 

マルチコンテキストモードの既存のASA-5555Xがいくつかあり、トランスペアレントレイヤ2ファイアウォールとしてVLANごとに1つのコンテキストを使用しています。時間が経つにつれ、このソリューションに追加されており、5つのセキュリティコンテキストの元のライセンスを超えようとしています。 L-ASA-SC-10 =を購入しましたが、このアクティベーションキーを適用するためにASAを再起動する必要があるかどうかは不明です。アクティブスタンバイペアを解除する必要があることは知っています。 L-ASA-SC-10 =を実行中のASAに適用するには再起動が必要ですか？問題がある場合は、バージョン9.0（2）を使用しています。

10 cisco  security  vlan  cisco-asa  firewall 

DropboxはストレージにAmazon AWSを使用しているようです。そのため、dropbox.comへのトラフィックをブロックまたは操作することはできません。 AmazonAWSに依存するWebサービスはたくさんあるので、そのドメインをブロックすることはできません。 Dropboxトラフィックの処理方法について何か提案はありますか？ 私はCisco ASAから作業していますが、これはすべてのファイアウォールマネージャに当てはまると思います

10 cisco  qos  security  cisco-asa  firewall 

CISCO NetFlow Analysisについて読んでいるときに、という用語を思いつきましたNAT Stitching。 Flow Stitching同じタイプのインバウンド接続とアウトバウンド接続に参加する方法を理解しています。 しかしNAT Stitching、以下のことを除いて、離散的なものを見つけることができません NATスティッチング：ファイアウォールの内側からのNAT情報をファイアウォールの外側からの情報と統合して、ネットワーク内のどのIPとユーザーが特定のアクションを担当しているかを特定します。 それでは、それはどのように詳細に機能しますか？それはプロセス/プロトコルですか、それとも特定のタイプのNATですか？

9 cisco  firewall  nat  netflow 

2つのスイッチEX4200を介してシャーシクラスタ（パッシブ/アクティブ）の2つのsrx650に参加する必要があります。3つの例から1つを選択する必要があります。正しい選択を定義し、Srx650とスイッチex4200の設定を説明してください。また、重要な瞬間です。光ファイバーを介してスイッチを接続することは可能ですか？以下の3つの図は、論理構成の概要を示しています。 オプション1： オプション2： オプション3：

9 firewall  juniper  redundancy  juniper-srx 

理解できない状況に遭遇しました。2つのバックエンドApache Webサーバー間でロードバランシングを実行できるようにしたFortigateファイアウォールがあります。次に、DNS名がロードバランサーの仮想IPにマップされます。 予想どおり、DNS名/ URL（例：www.something.com）を参照すると、ロードバランサはバックエンドApache Webサーバーの1つからページを提供します。ブラウザのURLはwww.something.comのまま です。私が理解していることから、この場合のロードバランサーは、常にパス内にとどまりながら、ブラウザーとApacheの間でパケットを転送するだけです。 ただし、DNSがマップされているIPアドレスを参照すると、ロードバランサーがHTTP 302 Foundを返し、LocationヘッダーがいずれかのApacheのDNS URLに設定されています。ブラウザーのURLがバックエンドサーバーのDNSに変わります。 ロードバランサがIP経由でクエリされたときにリダイレクトするのに、DNS名経由でクエリされたときにパス内を正しく転送するのはなぜですか。

9 firewall  fortigate 

ファイアウォールがあり、TCPセッションのタイムアウトを24時間から1時間に下げる必要があります。 それを行う前に、これがアプリケーションを破壊するかどうかを判断しようとしています。つまり、長時間アイドル状態になる可能性があるセッションがあり、ファイアウォールがドロップすると接続を再確立できないアプリケーションです。 したがって、接続テーブルから、60分以上アイドル状態になっている接続を除外したいと思います。 ファイアウォールはチェックポイントR75.40であり、「fw tab -t connections -u」コマンドを使用して接続テーブルを調べています。必要な情報は出力にあると思いますが、何を探していますか？

9 firewall  checkpoint 

私は現在ラボで作業しており、ASAルーティングに問題があります。 現在のネットワークトポロジは次のとおりです。 現在、ASAまたはルーターのコンソールにログインすれば、問題なくインターネットに接続できます。2番目にレイヤ3スイッチにログインすると、ASAの内部インターフェイスにのみpingを実行できます。これにより、ASAからのリターンルーティングに問題があると思います。 レイヤー3スイッチに（実際の）インタールーティングを実行させたい。 これにより、いくつかの質問が表示されます。 ベストプラクティス-ルーターまたはASAにNAT（オーバーロード）を処理させる必要がありますか？ レイヤー2スイッチの1つに接続されたPCから172.16.2.2インターフェースにpingを送信できますが、172.16.2.1には送信できません（インタールーティングが機能していることを証明します-PCに172.20.100.8アドレスがあります）。PCから172.16.2.1にpingできないのに、レイヤ3スイッチからpingできないのはなぜですか？ DHCPサーバー（Windows）からIPアドレスを取得できません。理由についての洞察はありますか？ そして何よりも、なぜレイヤー3スイッチからインターネットにアクセスできないのですか？ 以下は、構成の連結ダンプです。 レイヤー3スイッチ： バージョン15.1 サービスパッドなし サービスタイムスタンプデバッグ日時ミリ秒 サービスタイムスタンプログ日時ミリ秒 サービスのパスワード暗号化なし サービスの圧縮構成 サポートされていないトランシーバのサービス ！ ！ ！ AAA新モデルなし ！ ip vrf mgmtVrf ！ ！ ！ vtpモード透過 ！ ！ ！ ！ ！ ！ スパニングツリーモードのpvst スパニングツリー拡張システムID ！ vlan内部割り当てポリシー昇順 ！ VLAN 3、12、100 ！ ！ ！ ！ ！ ！ ！ …

9 cisco  switch  cisco-asa  firewall  layer3 

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ ネットワークエンジニアリングスタック交換のトピックになるように質問を更新します。 2年前休業。 状況は次のとおりです。 http client ----> corporate firewall ----> http server キープアライブにより、サーバーとクライアントはTCP接続を開いたままにし、クライアントはHTTPリクエストに接続プールを使用します。 ファイアウォールには、1時間後に長期のTCP接続を「強制終了」するルールがあります。問題は、HTTPクライアントがTCP接続が破壊されたことを検出せず、一定期間後にクライアントが「ハング」したように見えた、本質的に無効な接続を再利用しようとしたことです。おそらく新しい接続が確立されたため、要求がハングし、次の要求が機能しました。 ここでの問題は、 HTTPクライアントがTCP接続を検出できなかった方法でファイアウォールがTCP接続を強制終了するメカニズムは何ですか。私はいくつかの方法でこの動作をローカルで再現しようとしました： VyosルーターのTCP接続を強制終了し、クライアント側のWiresharkがTCP FIN-ACKをキャプチャしました。OK WindowsのTCPViewでTCP接続のクライアント側を強制終了し、Wiresharkがクライアント側でTCP RSTを検出しました。OK クライアント側ファイアウォールへの接続が確立された後にポートをブロックすると、ソケットリセット例外が発生しました。OK サーバー側にWiresharkダンプがあり、ファイアウォールがFINまたはRSTを送信しているかどうかを確認しようとしましたip.dst==serverip && (tcp.flags.reset==1 || tcp.flags.fin==1)が、何も表示されませんでした。 さらに、クライアント側のWiresharkキャプチャでは、HTTPリクエストが送信され、その後に数十のTCP再送信が続き、最終的にはどこにも送信されないという問題が示されています。 HTTPクライアントはJavaネイティブおよび/またはJetty HTTPクライアント（両方を試しました）であり、どちらも無効なTCP接続を検出できませんでした。動作をローカルで再現したいのですが、ファイアウォールが接続を強制終了しているので、どのような問題があるのか​​わからないので、考えられる答えを探しています。

8 tcp  firewall