По вопросам, касающимся работы, настройки и устранения неполадок межсетевого экрана или связанных с ними.
Осматривая, я не смог определить наилучшую практику для ICMP на брандмауэре. Например, на Cisco ASA было бы безопасно и рекомендуется разрешить ICMP от любого, если включена проверка ICMP. Это позволило бы таким вещам, как недостижимый тип 3, вернуться к...
Мы используем Cisco ASA 5585 в прозрачном режиме layer2. Конфигурация - это всего лишь два канала 10GE между нашим деловым партнером dmz и нашей внутренней сетью. Простая карта выглядит следующим образом. 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw ASA имеет 8,2 (4) и SSP20....
Я нахожусь в середине проекта по переносу некоторых существующих коммутируемых магистралей ethernet dot1q за брандмауэр ASA ... каждый из этих магистралей имеет пять виртуальных сетей (пронумерованных 51 - 55). Это простой рисунок оригинального сервиса layer2 ... Одним из требований является...
Как я могу узнать компанию, как IP-адреса Facebook. Я пытаюсь заблокировать Facebook на работе и испытываю трудности с HTTP и URL. Каждый раз, когда я блокирую фейсбук, IP все больше всплывает. Есть ли простой способ узнать все IP-адреса, которые используют Facebook, Myspace, Snapchat и т. Д.?...
Я пытаюсь настроить двойной автоматический NAT с преобразованием DNS на Cisco ASA 9.0 (3), и у меня есть несколько проблем с частью DNS. Я получил двойной NAT, работающий правильно, такой, что у меня есть сервер в производстве и в лаборатории с тем же IP-адресом. См. B2masd1, имя INSIDE...
Я нахожусь в процессе перестройки нашей сети, проблема, к которой я все время возвращаюсь, заключается в следующем: попытка перенести уровень 3 в ядро, сохраняя при этом централизованный межсетевой экран. Основная проблема, с которой я столкнулся, заключается в том, что у «мини-ядерных»...
Было бы удобно помечать сегменты TCP только с установленным флагом FIN как вторжение (без отслеживания ответа). Я всегда предполагал, что FIN без ACK, хотя и грубый и редкий, является законным, основанным на разрыве соединения . Но затем я читаю такие утверждения, как «FIN никогда не появится сам...
Похоже, что Dropbox использует Amazon AWS для хранения данных, поэтому я не могу просто заблокировать или перенаправить трафик на dropbox.com. Поскольку существует множество веб-сервисов, использующих AmazonAWS, я не могу просто заблокировать этот домен. Есть ли у вас какие-либо предложения о том,...
У нас есть несколько существующих ASA-5555X в многоконтекстном режиме, и мы используем один контекст для каждого vlan в качестве прозрачного межсетевого экрана layer2. Со временем мы добавили это решение, и мы собираемся превысить нашу первоначальную лицензию на 5 контекстов безопасности. Мы...
У меня есть брандмауэр, где я должен уменьшить время ожидания сеанса TCP с 24 до 1 часа. Прежде чем я сделаю это, я пытаюсь определить, не нарушит ли это какие-либо приложения, то есть приложения, которые имеют сеансы, которые могут простаивать в течение длительного времени, но не могут...
Я столкнулся с ситуацией, которую не могу понять. У нас есть межсетевой экран Fortigate, который мы позволили выполнить балансировку нагрузки на двух внутренних веб-серверах Apache. DNS-имя затем сопоставляется с виртуальным IP-адресом на балансировщике нагрузки. Как и ожидалось, когда вы...
необходимо объединить два srx650 в кластер шасси (пассивный / активный) через два коммутатора EX4200. Мне нужно выбрать один из трех примеров. Пожалуйста, помогите определить правильный выбор и опишите, какие настройки должны быть на Srx650 и переключателе ex4200. Также важный момент - можно ли...
Читая о CISCO NetFlow Analysis, я придумал термин под названием NAT Stitching. Я понимаю, Flow Stitchingкакие присоединения одного и того же типа входящих и исходящих соединений. Но не могу найти ничего особенного, NAT Stitchingкроме следующего, Сшивание NAT: объедините информацию NAT изнутри...