Inżynieria sieciowa firewall

1

Czy protokół IPv4 ICMP z niezaufanych interfejsów powinien być blokowany?

Rozglądając się wokół, nie byłem w stanie określić najlepszych praktyk dla ICMP na zaporze ogniowej. Na przykład w przypadku Cisco ASA byłoby bezpieczne i zalecane zezwolenie ICMP na dowolne, jeśli włączona jest inspekcja ICMP. Pozwoliłoby to na takie rzeczy, jak typ 3 nieosiągalny, aby wrócić do klientów.

23 ipv4 firewall

1

Znajdowanie przezroczystej utraty pakietu zapory ogniowej

Używamy Cisco ASA 5585 w trybie transparentnym warstwy 2. Konfiguracja to tylko dwa łącza 10GE między naszym partnerem biznesowym dmz a naszą siecią wewnętrzną. Prosta mapa wygląda tak. 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw ASA ma 8.2 (4) i SSP20. Przełączniki to 6500 Sup2T z 12,2. Brak spadków pakietów na dowolnym przełączniku lub …

19 cisco switch cisco-asa firewall packet-loss

3

Skonfiguruj Cisco ASA w trybie transparentnym: Layer2 DMZ z tłumaczeniem Vlan

Jestem w trakcie projektu migracji niektórych istniejących przełączanych łączy ethernetowych dot1q za zaporą ogniową ASA ... te łącza mają po pięć sieci VLAN (o numerach 51 - 55). Jest to prosty rysunek oryginalnej usługi layer2 ... Jednym z wymagań jest posiadanie kontekstu zapory ASA dla Vlan w oryginalnym pnia dot1q. …

15 cisco ethernet cisco-catalyst vlan firewall

5

Znajdowanie adresów IP dla serwisów społecznościowych

Jak znaleźć firmę taką jak adresy IP Facebooka. Próbuję zablokować Facebooka w pracy i mam pewne problemy z HTTP i blokowaniem adresów URL. Za każdym razem, gdy blokuję adres IP na Facebooku, pojawia się więcej. Czy jest jakiś prosty sposób na sprawdzenie wszystkich adresów IP używanych przez Facebooka, Myspace, Snapchata …

14 ipv4 security firewall acl

2

Próbuje dopasować scentralizowany firewall do topologii sieci

Jestem w trakcie przeciążania naszej sieci, do którego wciąż wracam: próba przeniesienia warstwy 3 do rdzenia, wciąż mając scentralizowaną zaporę ogniową. Głównym problemem, jaki tu mam, jest to, że przełączniki „mini core”, na które patrzyłem, zawsze mają niskie limity sprzętowej listy ACL, które nawet przy naszym obecnym rozmiarze moglibyśmy szybko …

11 routing firewall design

2

Podwójny NAT Cisco ASA z tłumaczeniem DNS

Próbuję skonfigurować podwójną automatyczną translację NAT z tłumaczeniem DNS w Cisco ASA 9.0 (3) i mam kilka problemów z częścią DNS. Mam podwójną translację NAT działającą poprawnie, dzięki czemu mam serwer w produkcji i w laboratorium z tym samym adresem IP. Patrz b2masd1, nameif INSIDE (produkcja) i masd1, nameif DMZ …

11 cisco cisco-asa firewall nat dns

1

Czy segment tylko z FIN jest legalny?

Byłoby wygodnie oznaczyć segmenty TCP tylko z ustawioną flagą FIN, jako wtargnięcie (bez śledzenia odpowiedzi). Zawsze zakładałem, że FIN bez ACK, chociaż niegrzeczny i rzadki, jest legalny, oparty na zakończeniu połączenia . Ale potem czytam takie stwierdzenia, jak: „FIN nigdy nie pojawi się sam z siebie, dlatego„ ustalone ”filtry słów …

11 tcp firewall intrusion-prevention

1

Czy L-ASA-SC-10 = wymaga ponownego uruchomienia?

Mamy kilka istniejących ASA-5555X w trybie wielu kontekstów i używamy jednego kontekstu per-vlan jako przezroczystej zapory ogniowej warstwy 2. Z czasem dodawaliśmy do tego rozwiązania i wkrótce przekroczymy naszą pierwotną licencję na 5 kontekstów bezpieczeństwa. Kupiliśmy L-ASA-SC-10 =, ale nie jest jasne, czy zastosowanie tego klucza aktywacyjnego będzie wymagało ponownego …

10 cisco security vlan cisco-asa firewall

2

Jak ograniczać ruch Dropbox?

Wygląda na to, że Dropbox korzysta z Amazon AWS do przechowywania danych, więc nie jestem w stanie po prostu blokować ani przekierowywać ruchu na dropbox.com Ponieważ istnieje wiele usług internetowych opartych na AmazonAWS, nie mogę po prostu zablokować tej domeny. Czy masz jakieś sugestie dotyczące obsługi ruchu dropbox? Pracuję z …

10 cisco qos security cisco-asa firewall

1

Jak działa szycie NAT?

Czytając o analizie CISCO NetFlow, wymyśliłem termin o nazwie NAT Stitching. Rozumiem, Flow Stitchingktóre łączą ten sam typ połączenia przychodzącego i wychodzącego. Ale nie mogę znaleźć niczego dyskretnego NAT Stitchingoprócz następujących, Łączenie NAT: ujednolicenie informacji NAT z wnętrza zapory z informacjami spoza zapory, aby wskazać, którzy adresy IP i użytkownicy …

9 cisco firewall nat netflow

1

Łącza Juniper SRX HA przechodzą przez przełącznik

konieczne jest połączenie dwóch srx650 w zestawie podwozi (pasywnym / aktywnym) za pomocą dwóch przełączników EX4200. Muszę wybrać jeden z trzech przykładów. Proszę o pomoc w zdefiniowaniu prawidłowego wyboru i opisaniu ustawień na Srx650 i przełączniku ex4200. Ważny moment - czy można podłączyć przełączniki światłowodowe? Trzy poniższe schematy przedstawiają logiczną …

9 firewall juniper redundancy juniper-srx

2

różnica w równoważeniu obciążenia między DNS a IP - przekazywanie a przekierowywanie

Natknąłem się na sytuację, której nie rozumiem. Posiadamy zaporę Fortigate, która umożliwiła równoważenie obciążenia na dwóch serwerach WWW Apache. Nazwa DNS jest następnie mapowana na wirtualny adres IP modułu równoważenia obciążenia. Zgodnie z oczekiwaniami podczas przeglądania nazwy DNS / adresu URL (np. Www.something.com) moduł równoważenia obciążenia wyświetla stronę z jednego …

9 firewall fortigate

2

Znajdź bezczynne połączenia w zaporze Check Point

Mam zaporę ogniową, w której muszę skrócić limit czasu sesji TCP z 24 godzin na 1 godzinę. Zanim to zrobię, próbuję ustalić, czy spowoduje to uszkodzenie jakichkolwiek aplikacji, tj. Aplikacji, które mają sesje, które mogą być bezczynne przez długi czas, ale nie są w stanie ponownie nawiązać połączenia, jeśli zapora …

9 firewall checkpoint

Pytania otagowane jako firewall