问题: 一个未知的私人(NAT)客户端感染了恶意软件,它试图随机访问一个Bot服务器。 我们如何知道这一点: 我们收到来自REN-ISAC的 botstream量通知/警报。 不幸的是,我们直到发生后的第二天才收到。 他们提供给我们的是: 源地址(防火墙的) 目标地址(它有所不同,但他们将分配给德国ISP的networking子网) 源端口(其变化 – dynamic端口)。 题: 用思科ASA作为防火墙查找内部主机(历史上)的最佳方法是什么? 我猜测阻塞任何目标地址,并logging这种types的stream量/访问可能让我find源主机,但我不知道哪个工具/命令将是最有用的。 我已经看到Netflow在日志logging中引起了一些反应,但是我把它与Logging,NAL和nBAR的关联以及它们与Netflow的关系混淆了。
我有一个主机防火墙的托pipe设施。 它具有从主防火墙到远程设施中的防火墙构build的一堆站点到站点VPN隧道。 我想用思科ASA取代主防火墙,但是我想减less停机时间。 我想将ASA放入并configurationVPN隧道到远程设施中的新防火墙,而不必closures已经在旧防火墙上创build的VPN隧道。 我想我会把一个交换机分成两个VLAN,将两个防火墙的上行链路和外部接口挂接到一个VLAN,然后将两个防火墙的内部接口挂接到另一个VLAN。 但是,然后它打我,我需要一个公共IP地址来build立一个VPN,两个防火墙不能在其外部接口上具有相同的公共IP地址… 那么,一个人该做什么? 我怎么能把第二个防火墙放在我的networking的核心,并保持原来的运行?
我有一个运行v8.4的ASA 5505。 我有一个静态IP,我的ISP给我,我需要使用我的INSIDEnetworking以及我的DMZ。 这成为一个PAT问题,因为我需要一些端口在DMZ终止,一些端口在INSIDE接口终止。 如果我有多个IP但是我没有,这将是简单的。 我想知道是否有人可以帮助我正确的NAT语句。 8.4与我以前的习惯有很大的不同,所以我对如何让这一切发挥作用感到茫然。
我试图build立一个新的ASA 5510.我有一个非常简单的设置与一个/ 24在内部NAT到外部的DHCP地址。 内部的一切工作,我可以ping外部设备的外部接口。 无论我做什么,我都无法得到任何内在的东西穿过边界到外面和背面。 为了尝试和消除ACL问题,我添加了允许任何规则到内部和外部接口上的传入访问列表。 我会很感激任何帮助,我可以得到。 这是sh run。 : Saved : ASA Version 8.4(3) ! hostname gateway domain-name xxx.local enable password xxx encrypted passwd xxx encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address dhcp setroute ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.xxx 255.255.255.0 ! interface Ethernet0/2 shutdown no […]
我正在创build程序,将思科ASA和ESXi机器部署到没有本地技术联系人可用的远程位置。 我认为将控制台电缆从ASA连接到ESXi计算机可能是一个明智的做法,以协助进行本地和远程configuration。 这是一个好主意,我应该如何使用ESXi与Cisco ASA的控制台进行交互?
我有一台Ubuntu服务器,需要能够通过Cisco AnyConnect VPN连接到另一台服务器,以便使用我们的一个应用程序。 但是,由于我们将此服务器用于多个应用程序,因此无法通过VPN路由所有stream量。 因此,理想情况下,VPN将被设置为只有到外部networking的IP地址的stream量才会被隧道传输,其余的将从我们的networking正常传输。 我知道这将是可能的,像OpenVPN的东西,但我不知道如何可以做这样的AnyConnect的东西。 有谁知道我该怎么做呢?
这是我的设置 我已经有一个工作的L2L VPN站点之间 我将10.10.0.0/24添加到在1615 ASA上定义内部networking的对象组,并将其作为1604 ASA上的远程子网 即时通讯没有从1604侧10.10.0.1,还我在两侧添加了sysopt连接permit-vpn 有任何想法吗?
思科ASA具有一项function,可以将阻止的HTTP请求redirect到ASA本身托pipe的网页,以便networking用户向ASAauthentication自己,并取消阻止请求。 这是使用configurationAAA for Network Access中logging的aaa authentication listener http <interface> redirect命令configuration的 。 用户被redirect到的页面是通用的和丑陋的。 有什么办法让页面看起来不一样吗? 我可以想象的事情包括可以修改的ASA上的模板,将该页面embedded到另一个网页中的方法,或某种CSS插入。 不过,我对任何事情都是开放的。 或者,如果有人知道一个更可configuration的方式来实现在authentication之前阻止网页访问网页的相同目标,我也很乐意考虑这一点。
刚刚购买了ASA 5505和一个单独的千兆交换机,以及戴尔R610虚拟化服务器,以取代现有的裸机Web服务器。 将有两台物理机器,R610运行ESXi 4.1和一台备份服务器(旧的SC 1435)。 R610有2个双端口网卡,都将连接到交换机,备份服务器和交换机将连接到ASA,因此: 上行>> ASA >>交换机>> 2台服务器 我感到困惑的是如何处理我所拥有的30个IP块。 将执行ASA设置的数据中心工程师build议: **************** 66.xxx.47.96/27 Network: 66.xxx.47.96 Gateway: 66.xxx.47.97 Firewall: 66.xxx.47.98 Switch: 66.xxx.47.99 Name Server 1: 66.xxx.47.100 Name Server 2: 66.xxx.47.101 Backup Server: 66.xxx.47.102 First Usable for production server: 66.xxx.47.103 Last Usable for production server: 66.xxx.47.126 Broadcast: 66.xxx.47.127 **************** 我想为ESXi服务器,NIC1端口1将为控制台pipe理器; 用于开发虚拟机的NIC1 port2; 用于LAMP生产的NIC2端口1(即现有裸机Web服务器)和用于Rails / Grails VM的NIC2端口2 […]
我有一个拥有Cisco ASA 5505设备的客户端。 我根本不熟悉这些设备。 客户端有一个问题,它允许来自旧的DNS服务器(10.236.72.100)的stream量出站,但不能从新的DNS服务器(10.236.72.3)stream出。 我目前在新服务器上有一个转发设置,用于将DNS查询转发到旧服务器。 旧服务器= Windows Server 2003新服务器= Windows Server 2008 R2 据我所知,问题在于思科设备。 有人可以帮忙吗?