我有一个WAN接口和2个LAN接口。 我需要LAN能够通过WAN(外部)接口访问networking外部的服务器。 我使用ASA 5510防火墙而不是路由器,因为我没有路由器。 它看起来很简单,但它不起作用。 我从连接到LAN(内部)networking的PC(172.16.22.8)ping到10.10.10.1,这是WAN本地接口也没有工作。 但从ASA防火墙,我可以ping我的局域网(内部)电脑。 我跟着从这个论坛得到的configuration。 但是,它没有工作。 在我的configuration下面。 请帮忙。 interface Ethernet0/0 nameif outside security-level 0 ip address 10.10.10.1 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 172.16.22.254 255.255.255.0 ! interface Ethernet0/2 nameif inside2 security-level 50 ip address 172.16.21.254 255.255.255.0 ! access-list outside-inside extended permit ip any any access-list outside-inside extended permit […]
我最近安装了我的第一个防火墙,所以我对这个情况很陌生。 我发现调度单元正在变得超载,这似乎是我的服务器严重滞后的原因。 除了阻止“访问规则”中的所有端口,并且只允许服务器需要的端口和防火墙所需的端口,防火墙几乎没有任何configuration。 我想我以后是帮助find导致“调度单位”占用所有CPU的问题 问候 – 编辑 – 使用ASDM统计数据,我发现入站数据包(从正常的1k / sec到峰值70-100k /秒),入站数据stream量(从<1kbits / sec正常的峰值为40-50kbits / sec)我很确定这是一种攻击,但作为初学者与ASA我不知道如何解决
我正尝试在隔离networking上的ASA 5512x和5505之间build立站点到站点vpn IPsec隧道。 我在两台设备上运行了IPsec VPN向导,并使用了相同的configuration,但似乎并没有试图与对方交谈。 5512 外部接口:172.16.1.1 里面的界面:10.10.254.254 5505 外部接口172.16.1.2 里面的接口:192.168.1.1 我目前只是在每台设备的外部接口之间运行networking电缆,我能够从每个设备上ping 172.16.1.x IP。 有什么我失踪? 对不起,如果这是显而易见的,但我从来没有使用过站点到站点设置。 5512运行的是ASA 8.6(1)2,而5505运行的是ASA 8.2(5)…我不确定这些是否不兼容,我无法在网上find答案。 我会尝试升级5505,但是我目前没有访问思科帐号的下载图片,我正在等待一位同事的回信。 这是两个设备的configuration: 5512configuration: : Saved : ASA Version 8.6(1)2 ! hostname asa5512 domain-name test.com enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface GigabitEthernet0/0 nameif outside security-level 0 ip address 172.16.1.2 255.255.255.0 ! interface GigabitEthernet0/1 […]
我看到来自众多内部端点的stream量,RST或FIN / ACK由端点发送到Internet上的主机。 这些连接与不正确处理这些连接的透明代理有关。 而不是处理它们,它只是将它们转发给ASA。 ASA从来没有观察过这些连接。 ASA(8.2)看到这个stream量,并生成一个106015事件(无连接)并拒绝stream量。 这正是我所期望的。 但是,ASA还将logging一个106100事件,表明允许通信。 有一个ACE表示“允许ip任何日志”。 根据stream量捕获,确认stream量被拒绝,不允许。 为什么106100事件发生呢? 它完全抛出了我们的一个循环,因为看起来ASA已经允许stream量,实际上它没有。 如果ASA由于缺less现有连接而丢弃了stream量,为什么它会去ACL附近,更不用说生成许可证日志了? 这里是问题的日志: : %ASA-6-106015: Deny TCP (no connection) from 10.xxx/62938 to 216.xxx/80 flags FIN ACK on interface inside : %ASA-6-106100: access-list inside permitted tcp inside/10.xxx(62938) -> outside/216.xxx(80) hit-cnt 1 first hit [0x62c4905, 0x0] 这两个事件的时间戳是相同的。 任何意见,将不胜感激,谢谢。 编辑:澄清 根据这个关于数据包stream的思科文章。 http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113396-asa-packet-flow-00.html “如果数据包stream量与现有连接不匹配,则validationTCP状态,如果是SYN数据包或UDP数据包,则连接计数器加1,并发送数据包进行ACL检查;如果不是SYN数据包,数据包被丢弃,事件被logging。“ 基于这种描述的行为,我仍然不确定为什么我看到106100日志表明交通是允许的。
ASA 5505被用于在两个networking之间进行路由,因为它包含了到所有事物的路由。 以下描述了networking拓扑。 我已经尝试了访问列表的各种组合,例如: access-list INSIDE_TO_INSIDE extended permit ip any any 要么 access-list INSIDE_TO_INSIDE extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0 以及: access-group INSIDE_TO_INSIDE in interface inside 我无法ping通或从.30networking上的PC连接到.10networking上的一台PC。 我的日志有这样的事情: iscoasa# %ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK on interface inside %ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags […]
我们有几个Cisco ASA 5525,运行固件9.6(1)3和ASDM 7.6(1)。 我们build立了许多站点到站点的VPN隧道,一切运行良好。 但是,当出现问题时,试图弄清哪个VPN是哪个是很痛苦的。 在其他防火墙中,我们有能力给一个VPN隧道一个名称:确定哪个隧道是哪一个人的方式。 但ASDM只是通过IP列出它们: 如果我编辑其中一个隧道的configuration,我可以看到有一个“连接名称”: 但是,它是只读的:除了名字,我可以改变隧道的一切。 有什么方法可以更改隧道名称,这样就很容易(或者至less比较容易)从另一个隧道中识别出一条隧道?
我有Cisco ASA与ISP路由器形成静态路由关系。 我不打算使用任何华丽Anyconnect VPN或IPS防火墙。 但是一些简单的ACL来保证networking安全。 configuration粘贴在下面, 在这种情况下是否设置了有状态防火墙? 由于只有内部启动的stream量才能获得NAT,并从外部返回? 这个configuration是否包含安全性所需的基本事物? (从外部阻止pipe理访问,阻止来自外部的阻止,从外部阻止私有IP等)。 我在个人主机级别进行防火墙/防病毒强化。 当我不想在ASA模块上花费额外的预算时,这是一个好方法吗? 谢谢。 ASAisp# ASAisp# show run ASA Version 9.2(4) ! hostname ASAisp domain-name soho.com xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 […]
我有一台Cisco 867VAE作为EzVPN NEM客户端连接到不能连接的ASA 5505服务器。 服务器ASA具有重复的消息: 4 Nov 01 2017 23:16:45 713903 Group = eznemgroup1, IP = 10.200.38.205, Information Exchange processing failed 5 Nov 01 2017 23:16:45 713904 Group = eznemgroup1, IP = 10.200.38.205, Received an un-encrypted NO_PROPOSAL_CHOSEN notify message, dropping IOS客户端重复logging: *Nov 1 23:19:23.395: %CRYPTO-6-EZVPN_CONNECTION_DOWN: (Client) User= Group=eznemgroup1 Client_public_addr=10.200.38.205 Server_public_addr=10.200.38.167 我已经validation了客户端和服务器的用户名,密码和组精确匹配。 服务器ASAconfiguration: hostname server domain-name […]
我们有一个从我们的ISP的ASA连接,我们有它的地址范围为: 公用局域网:xxx.xxx.xxx.xxx/28 子网掩码:255.255.255.240 在外部界面上。 我们向ISP询问了另一个IP块,他们给了我们另一个IP地址范围: 公用局域网:yyy.yyy.yyy.yyy / 28 子网掩码:255.255.255.240 如何将这组新的IP添加到Cisco ASA 5505的外部接口上?
我们有一个Cisco ASA 5505运行版本7.2。 当前configuration包括站点到站点VPN(ipsec-l2l)和用户使用Cisco VPN客户端5.0.06(ipsec-ra)连接的远程访问VPN。 由于Cisco VPN客户端缺lessWindows 7,64位操作系统和Vista上的SBL支持,我们需要升级到AnyConnect客户端,这意味着ASA需要升级到版本8.X. 我有两个关于升级的问题(分开问) 2)Anyconnect是否支持在Windows Vista 32位login前启动? 思科网站上有相互矛盾的信息: http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect20/administrative/guide/admin1.html#wp1008856 Windows Vista版本的AnyConnect(32位和64位)支持Windows 2000和Windows XP版本支持的所有内容, 但“login前启动”除外 。 http://www.cisco.biz/en/US/products/ps6120/products_configuration_example09186a00809f0d75.shtml login前Windows Vista和Vista之前的启动区别 在Windows Vista系统上启用SBL的步骤略有不同。 Pre-Vista系统使用称为虚拟专用networkinggraphics识别和authentication(VPNGINA)的组件来实现SBL。 Vista系统使用称为PLAP的组件来实现SBL。 在AnyConnect客户端中,Windows Vista Start Before Logonfunction被称为预login访问提供程序(PLAP)[…] PLAPfunction支持Windows Vista x86和x64版本。