タグ付けされた質問 「firewall」

ピアを設定するときに（通常はIPを使用します）暗号マップでFQDNを使用できますか。また、サーバーグループでLDAPサーバーまたはその他のAAAサーバーを定義するときにFQDNを使用できますか？どちらの場合も、FQDNは外部DNSサーバー（FQDNオブジェクト）への呼び出しによって解決する必要があります。 答えが「はい」の場合、その方法の簡単な例を提供してください。ACLでFQDNを使用し、外部DNSを設定し、ASAがそれらを適切に解決していることを確認する方法をすでに知っています。

8 cisco  cisco-asa  firewall  aaa 

2つのサブネット間にMPLSが設定されています。関連している可能性のある2つのことを除いて、すべて（つまり、RDPには双方向とファイル共有があります）は正しく機能しているようです。 Windowsコンピューターは、「ネットワーク」に他のサブネットのデバイスを追加しません。 リモートコンピューターから、ホストネットワーク上にある内部Webサイトを読み込めません。 WINSが有効になっていて機能しており、両方のコンピュータがDNSサーバーとWINSサーバーを認識している。 Webサーバーは192.168.1.20（Windows Server 2003）にあり、リモートサブネット内のコンピューター（Windows 7）はにあります192.168.2.249。ファイル共有とRDPは両方の方法で機能します。 したがって、ホストサブネットは192.168.0.0/23で、リモートサブネットは192.168.2.0/23です。各Windstreamルーターには2つのポートがあります-1つはMPLS用、もう1つはインターネット用です。現在、リモートのインターネットポートは接続されていません。ホストルーターのインターネットポートは、ホストネットワークに入る前にファイアウォールルーターを通過しますが、ホストのMPLSポートはスイッチトランクに直接接続されます。 2つのWindstreamルーターにはそれぞれMPLSポートがあります。 192.168.1.2 =ホストMPLS 192.168.2.2 =リモートMPLS Windstreamルーターにはそれぞれ、インターネットフィルターを作成するためにファイアウォールルーターを接続したインターネットポートがあり、インターネットゲートウェイを作成しています。 192.168.1.1 =ホストゲートウェイ 192.168.2.1 =リモートゲートウェイ Active Directoryサイトとサービスのサブネットを一覧表示する必要があることをここで読み、1つのサイトのメンバーとして2つのサブネットを作成しました。 私のテストでは、両方のコンピューターとWebサーバーでファイアウォールが無効になっています。 ISP（Windstream）は、MTUが1500に設定されていることを確認し、テストでは、pingは常に1500のサイズで送信されます。 では、これら2つの問題を解決するにはどうすればよいですか？ これが地図です： [更新] WebサーバーでWiresharkを実行し、Webページの要求を監視すると、http呼び出しで多くの再送信が表示されます。ここにレポートがあります： リモートからホストへのhttpトラフィックが再送信されているようです。でもそれをブロックできる機材はない。ファイアウォールはすべてオフになっています。 したがって、同じサブネット上のマシンからWebサーバーにtelnetで接続できますが、リモートサブネットのマシンからtelnetで接続することはできません。 c:\>telnet 192.168.1.20 80 Connecting To 192.168.1.20...Could not open connection to the host, on port 80: Connect failed WebサーバーからリモートコンピューターへのTrace-Route： リモートコンピューターからWebサーバーへのTrace-Route： [更新] 私は、リモートのラップトップ上でIISを有効にし、私は午前ホストの場所でコンピュータからそのWebページを引くことができます。しかし、私のテストでは常にそうでした。したがって、httpトラフィックは一方向に過ぎません。

8 routing  firewall  mpls  lan 

8.4（2）がロードされていた古いASA5550を棚から取り出しました。起動しようとすると、次のエラーが発生しました... ----------------------------------------------- Traceback output aborted. Flushing first exception frame: Abort: Assert failure vector 0x00000000 edi 0x00000002 esi 0x0973a2dc ebp 0x09fceef8 esp 0x09fceeec ebx 0x00000187 edx 0x09fcef30 ecx 0x00000006 eax 0x00000000 error code n/a eip 0xdd6a62a1 cs 0x00000073 eflags 0x00003246 CR2 0x00000000 Nested traceback attempted via signal, from: Abort: Assert failure …

8 cisco  cisco-asa  firewall  troubleshooting 

簡単な問題があります。ログイン時のユーザー名に基づいて、ワイヤレスユーザーを特定のビジネスWebサイトに制限したいと考えています。ワイヤレスデバイスには、VoIP電話、携帯電話、ラップトップ、バーコードスキャナー、タブレットなど、さまざまな種類があります。 次のすべてのWebサイトカテゴリがあり、ユーザーの送信元アドレスにSSIDとVLANが割り当てられているとします。 インターネット（SSID-Internet、Vlan101） 音声（SSID-インターネット、Vlan102） アカウンティング（SSID-Business、Vlan103） HR（SSID-Business、Vlan104） インベントリ（SSID-Business、Vlan105） リサーチ（SSID-Business、Vlan106） 品質保証（SSID-Business、Vlan107） 製造（SSID-Business、Vlan108） 各ユーザーは、Windowsログインを使用してワイヤレスネットワークへの認証を行う必要があるかもしれませんが、特定のサービスにしかアクセスできません。いくつかの例： User1：SSID-VoiceにVoIP電話を使用してWindows資格情報を使用してログインし、この電話からのみ音声ネットワークにアクセスできます User1：SSID-Businessにラップトップを使用してWindows資格情報を使用してログインし、彼のラップトップからのみアカウンティングWebサイトにアクセスできます User1：SSID-Internetに携帯電話を使用してWindows資格情報を使用してログインし、プロキシ経由でのみインターネットにアクセスできます。 User2：VoIP電話を使用してWindows資格情報を使用してSSID-Voiceにログインし、自分の電話からのみ音声ネットワークにアクセスできます User2：Windows資格情報を使用してバーコードスキャナーを使用してSSID-Businessにログインし、彼のバーコードスキャナーからのみインベントリWebサイトにアクセスできます User2：Windows資格情報を使用して携帯電話でSSID-Internetにログインし、プロキシ経由でのみインターネットにアクセスできます。 すべてのユーザーが携帯電話でSSID-Internetに、Wi-Fi電話でSSID-Voiceにログインできる必要があります。これは、mac-addressフィルタリングを使用すれば十分簡単に​​思えます。ファイアウォールを使用して、VLAN内のユーザーがアクセス制限を超えないようにします。 問題は、多くのSSIDを作成したくないため、SSID-Businessの異なるVLANの数が難しいことです。ユーザーがSSID-Businessにログインするときに、いくつかの異なるVLANにユーザーを割り当てたいと考えています。Cisco ISEおよびCisco ACSはこれを実行できますか？その場合、Cisco ISE、Cisco ACS、およびWLCでどの機能を使用する必要がありますか？ユーザーごとに1つのWindowsユーザー名しかない場合、これらの機能はすべて機能しますか？ 私たちのWLCは、7.4を実行する5508です。Cisco ACS 5とCisco ISE 1.2があります。

8 cisco  wireless  firewall  wlc  aaa 

4つのセキュリティコンテキストで9.0（1）を実行しているASAがあります。コンテキストを変更するときの標準的な手順は、そのコンテキスト内で「write mem」を実行することです。ただし、場合によっては、同じ変更ウィンドウですべてのコンテキストを変更する必要があります。システムコンテキストから "write mem"を実行して、すべてのコンテキスト構成を一度に保存できますか？

8 cisco  cisco-asa  firewall 

「nameif」インターフェイス属性を変更または名前変更するときに、Cisco ASAで悪い経験をしました。 ASA構成で使用されている名前を変更するか、単に既存の名前を削除するだけで構成に影響があるかどうかを知りたいです。

8 cisco  cisco-asa  firewall 

私はこれを確認するためのラボASAを持っていないので、Ciscoのドキュメントを読んでも、確実に％100未満でした。 私が本当に知りたいのは、グループポリシーから属性をプルした場合、DfltGrpPolicyですでに設定されているものに置き換えられますか？ ここに良い例があります： group-policy DfltGrpPolicy attributes dns-server value 1.1.1.1 group-policy BLAH-VPN attributes dns-server value 5.5.5.5 次に、dns-serverステートメントをBLAH-VPNから削除すると、そのグループはDfltGrpPolicyで設定された値を使用しますか？

8 cisco  security  cisco-asa  firewall 

Cisco ASAファイアウォールを通過する必要があるTCP接続を設定するためにトラフィックジェネレータを使用しています。 私のトポロジは次のようになります。 +------------------+ | CISCO ASA | +------------+ | | | Client +-------+Outside | | 10.1.202.1| |10.1.202.254 | | | | | +------------+ +------------+ | Inside| |Server | | 10.1.102.254+--------+10.1.102.19 | | | | | +------------------+ +------------+ 外部ネットワーク（10.1.202.1/24）の1つのホストから内部ネットワーク（10.1.102.19/24）のサーバーへの接続を確立する必要があります。 SYNがファイアウォール（10.1。（1/2）02.254）を通過し、SYN-ACKが通過せずにドロップされることがWiresharkでわかります（キャプチャを参照してください：内部インターフェイスと外部インターフェイス）。 からshow asp drop、次の理由でフレームがドロップされることが通知されます。 TCP failed 3 way handshake (tcp-3whs-failed) ARPは使用していませんが、デフォルトゲートウェイであるファイアウォールインターフェイスのMACアドレスを使用しています。 …

7 cisco-asa  firewall  tcp 

私は現在、小さなネットワークを管理しています。2つの別個のサイト（site1 site2）があります。各サイトには独立したインターネットとSonic NSA 220ファイアウォールがあります。現在、2つのSonicファイアウォールを接続するVPNがあるため、サイトは問題なく通信できます。 私たちのISPは各サイト（ISPルーター1と2）に「ルーター」をインストールしたばかりなので、インターネットポート（ISP-WAN）とサイト間ポート（ISP-LAN）の2つのポートを提供します。これにより、VPNを排除し、ISPクラウド（ISP-LAN）を介して直接トラフィックをルーティングできます。 ポートルーティングの設定方法を知りたいので、この新しいISP-LANポートを介して内部トラフィックをルーティングするようにファイアウォールに指示できます。 各サイトにはDC（同じドメイン）と個別のDHCP（サイトには異なるIP範囲があります）があります。 各ファイアウォールのポートX6をISP-LANポートに接続できると考えていました。これにより2つのサイト（ブルーライン）が接続されますが、ルーティング/ルールの構成方法がわかりません。すべてにデフォルトゲートウェイとしてSonic WANポートがあります。DHCPトラフィックなどをサイト間でブロードキャストしたくありません。 この問題の解決にご期待ください。 ありがとう

7 routing  firewall  subnet  sonicwall 

私のBGPトランジットの顧客の1人が、DDoS攻撃に苦しんでいるときにネットワーク内のトラフィックをブラックホール化しやすくするための解決策を求めてきました。通常、BGPブラックホール化はターゲットをブラックホール化することによって行われますが、攻撃のターゲットがオフラインにならないように、ソースアドレスに基づくブラックホールの解決策を探しています。 ターゲットアドレスに基づいてブラックホールソリューションを構築することはそれほど難しいことではありません。別のBGPセッションを介して、より具体的なルートとしてターゲットをアナウンスするか、特定のコミュニティでタグ付けしてから、ルーティングポリシーを使用して、いくつかの破棄インターフェースへのネクストホップ。 攻撃のソース（顧客のIP空間内にない）がブラックホール化されているブラックホールソリューションを構築することは、少し難しいようです。宛先のフィルタリングと同じソリューションを使用する場合、私の問題は、特定のソースからこの特定の顧客へのトラフィックのみを破棄したいということです。そのため、ルーティングテーブルに破棄ルートを挿入することは、他の顧客に影響を与えるため、もはや受け入れられません。上手。したがって、この特定の顧客にのみ適用されるフィルターを作成する方法が必要です。 私が考えていた最初の解決策は、BGPFlowspecを使用することでした。残念ながら、彼の装置はそれをサポートしていないので、これはこの特定の顧客にはうまくいきません。 したがって、私が探しているのは、ルーティングプロパティに基づいて動的ファイアウォールフィルターを作成する方法です。おそらく、専用のBGPブラックホールセッションを介して特定のルートを受信するときに、お客様または当社が設定したコミュニティです。次に、このフィルターを顧客のインターフェースに適用して、不要なトラフィックをブロックできます。残念ながら、この方法でファイアウォールフィルター（またはプレフィックスリスト）を作成する簡単な方法は見つかりませんでした。 私はhttp://thomas.mangin.com/posts/bgp-firewall.htmlを見つけましたが、これはSCU / DCUを誤用して、多かれ少なかれ私が探しているものを達成しますが、それは少しハックのように聞こえます。 私が考えることができる他のソリューションの1つは、ルート上に静的フィルターを作成し、このフィルターで使用されるプレフィックスリストを変更できるようにするインターフェイスを構築することです。ただし、お客様がブラックホールを追加するたびにルーターの構成変更をプッシュすることは、私が本当に望んでいることではありません。BGPを使用するソリューションが推奨されます。 私たちの側では、ルーティングはジュニパーで行われます。ソリューションとしては、さまざまなプラットフォームで使用できるものを用意したいので、基本的には、個別のセッションを介してBGPを使用するか、特定のコミュニティを介してルートにタグを付けるだけです。これにより、他のお客様にも使用できます。 （SCU / DCU以外の）これに対する素晴らしい解決策がある場合、私は本当に興味があります。

7 routing  bgp  firewall  juniper-junos 

私は2日間この場所にいて、ASA-5505を構成するまで、数え切れないほどのフォーラムやチュートリアルに参加しています。ASAからのpingを使用していても、インターネットにアクセスできません。ネットワーク上でASAを「見る」ことができません。基本的に、コンソール以外のハードウェアの死体です。私のモデムもブリッジモードに設定されています。これは私が従ったチュートリアルです：ここ ..次にどこへ行くかわからない..「外部」VLANが誤って構成されているようであり、私は非常に多くの浸透を試みたので、何か大きなことを見落としていることは明らかです。ASAから8.8.8.8にpingできると、幸せになります。 Comcastの設定は次のとおりです。 Gateway MAC Address 78:CD:8E:D9:FB:34 WAN MAC Address 78:CD:8E:D9:FB:37 WAN DHCP IP Address 50.135.170.116 WAN DHCP IPv6 Address ::/64 WAN DHCP IPv6 DNS (primary) :: WAN DHCP IPv6 DNS (secondary) :: WAN DHCP Subnet Mask 255.255.254.0 WAN DHCP Default Gateway 50.xx.xx.1 WAN Internet IP Address 74.xx.xx.230 DNS (primary) …

7 cisco  cisco-asa  firewall 

ASA 5525-X IPSバンドル（.250）とIPS（.37）の管理IPがある管理ネットワーク（192.168.25.0/24）があります。IPSには、ASAの背後にあるレイヤ3（.1）スイッチのデフォルトゲートウェイがあります（Ciscoのドキュメントによると）。 トラフィックをIPSに戻すために、L3スイッチを指す192.168.25.0/24のルートを作成しました。 私が入力すると#sh routeASAに： C 192.168.30.0 255.255.255.0 is directly connected, inside C 192.168.25.0 255.255.255.0 is directly connected, management C 192.168.35.0 255.255.255.0 is directly connected, outside S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.35.1, outside 同時に#sh running-config route： route outside 0.0.0.0 0.0.0.0 192.168.35.1 1 route inside 192.168.25.0 255.255.255.0 192.168.30.2 1 したがって、ルーティングテーブルには、サブネットが直接接続されており、管理インターフェイストラフィックがIPSに渡されないという情報があります。しかし、IPSはインターネットにアクセスでき、トラフィックはL3スイッチを通過します（カウンターを確認しました）。 …

7 cisco  security  cisco-asa  firewall 

私はCCNAを勉強していて、Reflexive ACLについて学んだところです。ファイアウォールの代わりにACLを使用するのがどれほど安全か安全でないかを考えているだけです。 これは、自宅のインターネットゲートウェイとしてセットアップしたいLABルーターでした。

7 cisco  acl  firewall