我在思科ASA防火墙上configuration了以下规则: access-list OUTSIDE_IN extended permit tcp any host xx.xx.xx.xx eq 3306 access-list OUTSIDE_IN extended permit tcp any host xx.xx.xx.xx eq 2083 access-list OUTSIDE_IN extended permit tcp any host xx.xx.xx.xx eq 2087 access-list OUTSIDE_IN extended permit tcp any host xx.xx.xx.xx eq 2095 现在,当我想添加一个规则,只允许一个stream量tcp到指定的IP地址,如下图,我的规则是失败与ERROR: % Invalid Hostname sh run access-list OUTSIDE_IN extended permit tcp ip yy.yy.yy.yy host […]
从我所读到的,你可以使用ASA 5505上的switchport monitor命令设置一个Span端口,因为ASA的后面实际上是一个交换机。 在我的5520,我没有看到switchport命令时发出一个? 通过CLI。 人们如何监测非5505的stream量? 我的目标是将运行混杂模式的IDS / IPS设备连接到5520上的以太网端口,以监控WANstream量。 我不希望必须通过交换机传递WANstream量,因为这需要我获得两个(用于冗余)STP /交换端口function的交换机。 另外,我们在设备上安装了用于光纤WAN连接的4GE SSM模块,因此不能添加IPS模块。 我们的IPS系统是Cisco IPS 4240.另一种select是将Netflow或详细的系统日志消息发送到IPS设备吗? 在5505上设置交换机端口访问指南: http ://www.wr-mem.com/?p = 66
我在两台ASA 5505之间build立了一个标准站点到站点VPN(使用ASDM中的向导),并使VPN在直接连接的LAN上站点A和站点B之间的通信正常工作。 但是这个VPN实际上是用于源自局域网子网的数据,这些子网距离直接连接的局域网一跳。 所以实际上有另一个路由器连接到每个ASA(LAN侧),然后路由到两个完全不同的LAN范围,客户端和服务器驻留在那里。 目前,任何到达ASA的stream量都不是直接连接到局域网,而是直接发送到默认网关,而不是通过VPN。 我已经尝试将附加的子网添加到VPN上的“受保护的networking”,但是没有任何效果。 我也尝试添加一个静态路由到每个ASA尝试将stream量指向另一端,但是这再次没有奏效。 这是一个网站的configuration。 这适用于完美的192.168.144.x子网的stream量。 我需要的是能够将stream量从10.1.0.0/24路由到10.2.0.0/24例如。 ASA Version 8.0(3) ! hostname Site1 enable password **** encrypted names name 192.168.144.4 Site2 ! interface Vlan1 nameif inside security-level 100 ip address 192.168.144.2 255.255.255.252 ! interface Vlan2 nameif outside security-level 0 ip address 10.78.254.70 255.255.255.252 (this is a private WAN circuit) ! interface Ethernet0/0 […]
有没有人知道在Juniper Junos OS上是否有相当于shun的命令? ASA防火墙设备上的shun命令用于阻止来自攻击主机的连接。 与命令中的值匹配的数据包将被丢弃并logging,直到手动或通过Cisco IDS传感器删除阻止function。 命令格式如下:ASA#shun [源IP] [目的IP]
大概是一个愚蠢的问题,但我对如何configuration我们的ASA 5510非常缺乏经验 – 使用ASDM工具似乎更容易,但是旧的IOS CLI。 我想要做的是阻止所有的SMTPstream量通过防火墙离开我们的内部networking,除了几个指定的服务器(邮件服务器,networking服务器)。 这是我所做的: 1)使用应该发送电子邮件的服务器的内部IP地址(WEB_EMAIL)创build一个networking组, 现在,这是我认为我需要做的。 2)设置一个内部访问规则,如下所示:来源:WEB_EMAIL目的地:任何服务:tcp:smtp操作:许可 3)build立一个内部访问规则就在最后一个下面,如下所示:Source:any Destination:any Service:tcp:smtp Action:deny 我有没有正确的? 或者这两个规则中的目的地是否是外部IP地址? 我应该注意到有什么讨厌的副作用吗? 谢谢
思科ASA 5510 我有一个15Mbps的连接。 是否可以按位或百分比来限制每个用户所使用的带宽? 例如,任何这些都可以满足我的要求: (1)用户A只能使用我的带宽500KB / s(其他人只有1000KB / s) (2)用户A只能使用我总带宽的25%(其他人为1125KB / s) 使用监pipe,我只能够限制每个人在连接上使用的总带宽。 谢谢。
我最近inheritance了一个使用Cisco ASA(运行版本8.2)的networking。 我正在尝试将其configuration为允许使用相同安全级别(DMZ-DMZ)configuration的两个接口之间的通信 已经设置了“同安全通信许可证间接口”,但是主机之间不能进行通信。 我假设一些NAT设置导致我的问题。 以下是我的运行configuration: ASA Version 8.2(3) ! hostname asa enable password XXXXXXXX encrypted passwd XXXXXXXX encrypted names ! interface Ethernet0/0 switchport access vlan 400 ! interface Ethernet0/1 switchport access vlan 400 ! interface Ethernet0/2 switchport access vlan 420 ! interface Ethernet0/3 switchport access vlan 420 ! interface Ethernet0/4 switchport access vlan 450 […]
我正在尝试重置ASA5550上所有接口上所有访问列表上的hitcnt统计信息。 我知道clear <access-list> counters命令。 但是没有办法清除所有访问列表上的计数器吗?
目前对于我使用ASA 5505作为VPN服务器的公司之一,freeradius(mysql模块)作为身份validation后端。 用户authentication是基于组密码,用户密码和IP地址。 我的数据库条目如下所示: +—–+———-+——————–+—-+———————————-+ | id | username | attribute | op | value | +—–+———-+——————–+—-+———————————-+ | 103 | user1 | MD5-Password | := | 2ed4b197300dfee19315bd8d228c936e | | 104 | user1 | Calling-Station-Id | == | IP_ADDRESS | +—–+———-+——————–+—-+———————————-+ 一切正常,所以user1可以连接到VPN,如果他/她有正确的密码(组+单个用户)和正确的IP_ADDRESS。 然而,我很难find一个方法如何白名单多个IP地址为单个用户。 所以基本上我想知道如何添加多个IP地址给一个用户。 我不想为同一个用户添加一个新的用户名,只是由于一个额外的IP。
所以基本上我们有一个Cisco ASA 5505(我们从客户那里inheritance了这个,我们没有任何思科的经验)。 现在基本上,我们必须通过在主线上添加跟踪ID来设置故障转移中的广域网线路。 我们将跟踪ID设置为1,将SLA ID设置为123,这些只是我们在Cisco网站上的Cisco ISP故障转移指南中find的随机值。 这很好 – 当主线路断开时,它会从路由表中dynamic地删除一条路由,并将stream量从另一条线路上强制下去。 然而,我们有一个网站到现场的VPN的时刻是绑定到主线。 但是,当主线发生故障时,VPN不会故障切换到另一条线路,因为需要将某些configuration置于原地。 这意味着没有VPN,因为它绑定到一条不再活动的线路。 首先,我们已经通过ASDM(GUI)完成了所有的configuration,并且如果命令行是一个不同的球类游戏,我们希望继续这样做。 是否有可能通过graphics用户界面来做到这一点,如果是这样,一般的设置/过程是什么,任何帮助,非常感谢! 编辑:我也假设一些configuration将需要到位的站点到站点VPN的另一端,它交换VPN连接到远程办公室,这是现在唯一的活动线路的另一行。 IT的一端是思科5505,另一端是5510。