WWW.LIB.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные материалы
 

«Вопросы и ответы по брандмауэру Cisco Secure PIX Содержание Общие сведения Оборудование Программное обеспечение - установка и ...»

Вопросы и ответы по брандмауэру Cisco Secure PIX

Содержание

Общие сведения

Оборудование

Программное обеспечение - установка и обновление

Программное обеспечение - переключение при отказе

Дополнительные вопросы по программному обеспечению

Дополнительные сведения

Введение

Данный документ содержит вопросы и ответы по брандмауэру Cisco Secure PIX.

Дополнительную информацию об условных обозначениях в документе см. в Технические советы Cisco. Условные обозначения.

Оборудование Вопрос. Необходимо установить новую интерфейсную плату в брандмауэр Cisco Secure PIX. В какой слот ее следует установить?

Ответ. Каждая модель PIX имеет отличия. Обратитесь к документации PIX и выберите имеющуюся версию программного обеспечения. С этой страницы выберите Руководство по установке, а затем выберите раздел "Установка монтажной платы" для просмотра детальных схем и инструкций.

Вопрос. Пытаюсь установить новую интерфейсную плату в брандмауэр Cisco Secure PIX. Плата слишком велика для любого из слотов. Это другая плата?

Ответ. Некоторые золотые зубцы на плате могут выходить за края гнезда - это нормально.

Вопрос. В комплект брандмауэра Cisco Secure PIX входят две платы Ethernet. После добавления дополнительных интерфейсов не загружается командная строка.

Ответ. Число поддерживаемых интерфейсов зависит от модели PIX, версии программного обеспечения и лицензирования.

Чтобы узнать максимальное число физических интерфейсов и интерфейсов виртуальной локальной сети, которые могут быть настроены на PIX 6.3 (последняя версия на момент написания данного документа), обратитесь к документации PIX.



Вопрос. Необходимо установить консольное соединение с брандмауэром Cisco Secure PIX. Кабель какого типа следует использовать?

Ответ. Используйте нуль-модемный кабель DB9-DB9, доступный в большинстве компьютерных магазинов. Иногда брандмауэр Cisco Secure PIX поставляется с двумя переходниками DB9 – RJ-45. При наличии этих переходников подключите один из них к брандмауэру Cisco Secure PIX, а другой к последовательному порту компьютера. Для соединения двух переходников используйте витую пару RJ-45 (а не кабель с перекрестными проводниками). Установите настройки HyperTerminal на N81, отсутствие контроля потока и скорость передачи 9600. Если проблемы сохраняются, то проверьте конфигурацию порта COM на компьютере и убедитесь в его правильной настройке и функционировании. Если все остальное действительно настроено правильно, проверьте его на маршрутизаторе или коммутаторе и посмотрите, не появится ли в них строка ввода. Для получения дополнительной информации об имеющейся версии программного обеспечения PIX обратитесь к документации PIX. С этой страницы выберите Руководство по установке, а затем выберите раздел "Установка интерфейсных кабелей" для просмотра детальных схем и инструкций.

Вопрос. Где расположен дисковод гибких дисков в модели PIX 520?

Ответ. Он расположен под небольшой металлической пластиной спереди в левом верхнем углу. Чтобы получить туда доступ, пальцами выкрутите два винта. Для получения дополнительных инструкций см. "Установка модели PIX 520 или младшей".

Вопрос. Брандмауэр Cisco Secure PIX напрямую подключен к маршрутизатору, но индикаторы канала связи не светятся и ни одно устройство не может обменяться пакетами с другим. В чем причина?

Ответ. Убедитесь, что используется исправный кабель с перекрестными проводниками для подключения PIX непосредственно к маршрутизатору. Для подключения PIX к концентратору или коммутатору используйте прямое соединение Ethernet-кабелем.





Вопрос. Как в PIX можно определить различие в скоростях процессоров плат Gigabit Ethernet? Например, как определить, чем отличаются платы PIX-1GE-66 и PIX-1GE?

Ответ. Введите команду show interface и взгляните на следующую строку:

Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX

–  –  –

Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX i82542 означает 33 МГц, а i82543 – 66 МГц.

Вопрос. Поддерживает ли PIX сетевые карты других производителей, кроме Cisco?

Ответ. Нет.

Вопрос. При загрузке PIX передает сетевому адаптеру (NIC) запросы прерывания (IRQ) и некоторые из них используются дважды (дубликаты). Это может стать потенциальным источником проблем?

Ответ. Эти сообщения отображаются в штатном режиме и их можно игнорировать.

4: ethernet2: address is 00e0.0000.05cb, irq 11 5: ethernet3: address is 00e0.0000.05ca, irq 11 Вопрос. При загрузке PIX с сетевыми адаптерами Gigabit Ethernet, PIX передает сетевому адаптеру (NIC) запросы прерывания (IRQ) как "irq 255". Это может стать потенциальным источником проблем?

Ответ. Это сообщение отображается в штатном режиме и его можно игнорировать.

0: gb-ethernet0: address is 0003.0000.1e75, irq 255 Вопрос. Каковы по умолчанию настройки аппаратного обеспечения для PIX?

–  –  –

Вопрос. Можно ли обновить BIOS PIX?

Ответ. Нет.

Программное обеспечение — установка и обновления Вопрос. При попытке передать pixNNN.exe в PIX по протоколу TFTP, возникают сообщения об ошибках "bad magic number" (неверный системный код). Что сделано неправильно?

Ответ. Следует загрузить файл.bin, а не.exe. Файл.exe представляет собой самораскрывающийся архив, содержащий, помимо прочего, файл.bin.

Примечание: Файл.bin используется только для версий программного обеспечения PIX 5.0.x и младше. Скопируйте файл.exe во временную папку на жестком диске компьютера и запустите программу для извлечения файлов. Затем скопируйте файл pixNNN.bin на сервер TFTP.

Вопрос. При попытке обновить ПО с дискеты, брандмауэр Cisco Secure PIX зацикливается каждый раз, когда пытается прочитать диск. В чем причина?

Ответ. Убедитесь, что диск правильно отформатирован (используйте DOS-команду format A:), а потом команду rawrite для записи образа на дискету. В случае сбоя этой процедуры попробуйте выполнить ее на другом компьютере.

Примечание: Обновление с гибкого диска возможно только для версий программного обеспечения PIX 5.0.х и более ранних.

Вопрос. Устанавливается новый брандмауэр Cisco Secure PIX, который правильно настроен. Локальная сеть подключена напрямую к Интернет-маршрутизатору. Теперь, после установки PIX, пользователи локальной сети не могут подключиться к внешней сети. В чем причина?

Ответ. Существует несколько различных вариантов.

В большинстве случаев это связано с неисправными таблицами протокола ARP на внешних или смежных маршрутизаторах. Помните, что маршрутизаторы осуществляют маршрутизацию по физическим MAC-адресам, а не по IP-адресам, а также, как правило, кэшируют эти адреса уровня 2 на несколько часов. Чтобы очистить таблицы ARP на оборудовании Cisco, выполните команду clear arp-cache или перезагрузите устройство.

Возможно также, что в сети, PIX-интерфейсах и вне маршрутизатора используются одни и те же сетевые IP-адреса.

Несмотря на то, что это допустимо, если не требуется непосредственный доступ к внешнему маршрутизатору (нет необходимости устанавливать с ним сеанс Telnet из сети), на практике это не применяется. Если невозможно использование преобразования сетевых адресов (NAT) и мгновенной перенумерации сети, то используйте сетевую схему RFC 1918 во ВНЕШНЕМ сегменте и настройте соответствующим образом маршрутизацию между двумя устройствами.

Возможно, при настройке PIX был указан уже используемый в сети IP-адрес. Проверьте это путем отключения PIX и отправки пакетов "ping" на используемые адреса. Ответа быть не должно, так как PIX не соединен с сетью. Также проверьте рабочую конфигурацию.

Убедитесь, что брандмауэр Cisco Secure PIX использует инструкцию для внешних маршрутов, которая направляет весь нераспознанный трафик на непосредственно подключенный порт Ethernet внешнего маршрутизатора.

Также убедитесь, что все внутренние рабочие станции используют правильный шлюз (как правило, таковым является внутренний интерфейс брандмауэра Cisco Secure PIX, за исключением случаев с применением внутреннего маршрутизатора).

Если маршрутизация сети осуществляется внутри нее, то убедитесь в наличии статического маршрута шлюза, указанного в PIX. И, наконец, убедитесь, что PIX использует только один набор маршрутов по умолчанию.

Применение нескольких маршрутов по умолчанию более не поддерживается и может привести к противоречивым и нежелательным результатам.

Вопрос. Недавно был добавлен внутренний маршрутизатор для подключения второй внутренней сети к брандмауэру Cisco Secure PIX. Пользователи между брандмауэром Cisco Secure PIX и внутренним маршрутизатором могут успешно подключаться к Интернету, но не могут сообщаться с этой новой, внутренней сетью. Пользователи в новой сети не могут попасть за внутренний маршрутизатор. В чем причина?

Ответ. Для этой новой сети, подключенной через новый маршрутизатор, необходимо ввести в PIX определенный маршрут внутри инструкции. Также необходимо ввести определенную инструкцию route inside для основной сети, подключенной через данный маршрутизатор, для обеспечения дальнейшего развития инфраструктуры.

Например, если адрес существующей сети - 192.168.1.0/24, а новой сети - 192.168.2.0/24, то адрес порта Ethernet внутреннего маршрутизатора - 192.168.1.2.

Настройка маршрутизатора PIX аналогична указанной ниже:

route inside 192.168.2.0 255.255.255.0 192.168.1.2 1 или (основная сеть):

route inside 192.168.0.0 255.255.0.0 192.168.1.2 1 Рабочие станции между брандмауэром Cisco Secure PIX и маршрутизатором должны использовать точку шлюза для маршрутизатора, а не для PIX. Если их шлюз не указывает на маршрутизатор, то даже в случае их прямого подключения возникают проблемы с доступом к новой внутренней сети. Маршрутизатор должен использовать шлюз по умолчанию, направляющий весь нераспознанный трафик на внутренний интерфейс брандмауэра Cisco Secure PIX. Установка маршрута для этой новой сети в PIX не дает эффекта. PIX не задает маршрут или не перенаправляет пакет с интерфейса отправителя.

В отличие от маршрутизатора, PIX не может осуществлять маршрутизацию пакетов обратно через тот же интерфейс, на который был изначально получен пакет. Кроме того, убедитесь, что инструкция nat содержит добавляемую новую или основную сеть.

Вопрос. Как определить объем флэш-памяти в PIX?

Ответ. При выполнении на PIX команды show version с выводом размера флэш-памяти не в мегабайтах используйте данную таблицу, чтобы узнать объем флэш-памяти PIX.

–  –  –

Например, если выходные данные команды show version выглядят примерно следующим образом:

Cisco Secure PIX Firewall Version 5.1(1) Compiled on Fri 01-Oct-99 13:56 by pixbuild

–  –  –

Serial Number: 123 (0x7b) Activation Key: 0xc5233151 0xb429f6d0 0xda93739a 0xe15cdf51 Объем Flash-памяти составляет 16 Мб.

Вопрос. Когда необходимо использовать новый ключ активации для PIX?

Ответ. Новый ключ активации требуется при обновлении ограниченного программного пакета PIX до пакета, поддерживающего дополнительные функции, такие как дополнительные соединения, переключение при отказе, IPsec или дополнительные интерфейсы. Также новый ключ активации иногда требуется после обновления флэш-памяти PIX.

Для заказа не 56-битного ключа активации отправьте сообщение по электронной почте на адрес licensing@cisco.com и укажите следующую информацию:

Серийный номер PIX (или серийный номер флэш-карты, если выполняется обновление флэш-памяти).

Результат выполнения команды show version в PIX.

Текущая версия программного обеспечения PIX.

Необходимый тип лицензии (DES, 3DES, Restricted to Unrestricted).

Один из следующих номеров - номер договора, номер заявки на покупку, номер заявки на продажу или номер PAK.

Полное название компании и адрес.

Чтобы запросить 56-разрядный ключ активации, перейдите на страницу 56-разрядного ключа обновления лицензии PIX ( только для зарегистрированных пользователей).

Чтобы запросить ключ активации AES/3DES, перейдите на страницу регистрации лицензии Cisco ASA 3DES/AES (только для зарегистрированных пользователей).

Примечание: 56-битный ключ активации требуется для шифрования с помощью IPsec.

Вопрос. Может PIX пропускать IPX или AppleTalk трафик?

Ответ. Нет, брандмауэр PIX обрабатывает только IP-адреса.

Вопрос. Поддерживает PIX вторичную адресацию на интерфейсах?

Ответ. В отличие от Cisco IOS®, PIX не поддерживает вторичную адресацию на интерфейсах.

Вопрос. Поддерживает PIX 802.1Q на своих интерфейсах?

Ответ. Да, в PIX 6.3 добавлена новая функция, позволяющая PIX создавать логические интерфейсы. Каждый логический интерфейс соответствует виртуальной локальной сети на коммутаторе. Дополнительные сведения см. в разделе Использование виртуальных локальных сетей с брандмауэром.

Вопрос. Поддерживает PIX SSH?

Ответ. Да, см. раздел SSH - внутренний или внешний интерфейс с описанием пошаговой процедуры настройки SSH. PIX использует SSH версии 1.

Программное обеспечение — переключение при отказе Вопрос. Два брандмауэра Cisco Secure PIX настроены в топологии переключения при отказе. Брандмауэр Cisco Secure PIX продолжает переключаться в течение всего дня. Почему это происходит?

Ответ. Для правильной работы функции переключения при отказе необходимо правильно настроить ее. В версиях до 5.1 для всех интерфейсов необходимо настраивать IP-адреса, уникальные для каждой соответствующей подсети, а также необходимо физически подключать все интерфейсы. В том числе и интерфейсы, который в данный момент не используются. В версиях 5.1 и старше можно отключить неиспользуемый интерфейс. Однако необходимо отключать интерфейсы с одинаковыми номерами на обоих PIX. В версиях до 5.1 функция переключения при отказе отправляет с каждого интерфейса пакет приветствия, даже если интерфейс отключен. После этого функция ожидает обратного отклика.

Если после нескольких попыток отклик не получен, то функция переключения при отказе активируется. Также проверьте, может ли основной PIX успешно отправлять сигналы "ping" на резервные интерфейсы, и если нет, то проверьте, включены ли они. Кроме того, если эти интерфейсы подключены посредством коммутатора, то проверьте интерфейсы коммутатора.

Вопрос. Какова длина кабеля переключения при отказе PIX и можно ли использовать более длинный кабель?

Ответ. Длина поставляемого в комплекте последовательного кабеля Cisco составляет 1,8 м. Схему разъемов можно найти в документации по брандмауэру Cisco PIX для вашей версии программного обеспечения PIX. Совместимость более длинных кабелей не проверялась, но их поддержка возможна. В версии PIX 6.2 существует новая функция, которая называется "LAN Failover" и позволяет использовать назначенный интерфейс PIX в качестве кабеля для переключения при отказе. Более подробную информацию см. в документации по брандмауэру PIX версии 6.2.

Вопрос. Можно использовать интерфейс виртуальной локальной сети для переключения при отказе?

Ответ. Функция переключения при отказе поддерживает как физические, так и логические виртуальные сети. Ограничение заключается в том, что сетевой интерфейс для переключения при отказе и команды резервного соединения не могут использовать логический интерфейс виртуальной локальной сети.

Вопрос. Поддерживается функция DHCP сервера при переключении при отказе?

Ответ. Нет, сервер DHCP не поддерживает функцию переключения при отказе, а PIX не настраивается для получения IPадреса через DHCP (поскольку для настройки переключения при отказе необходима команда failover interface-name ip address).

Вопрос. Два брандмауэра Cisco Secure PIX настроены в топологии переключения при отказе. Один имеет неограниченную лицензию, а другой имеет лицензию переключения при отказе. Что произойдет при отключении обоих брандмауэров PIX из-за потери питания и последующей загрузке только модуля с лицензией на переключение при отказе?

Ответ. Брандмауэр PIX с лицензией на переключение при отказе предназначен для применения исключительно для переключения при отказе и не предназначен для автономного режима. Если источники питания обоих брандмауэров PIX отключаются и загружается только модуль для переключения при отказе, то этот модуль функционирует в условно автономном режиме. Если модуль для переключения при отказе используется в автономном режиме, то он перезагружается как минимум каждые 24 часа до возврата к режиму переключения при отказе, когда определяет наличие основного брандмауэра PIX.

Дополнительные вопросы по программному обеспечению Вопрос. PIX перенаправляет трафик IGMP?

Ответ. Программное обеспечение брандмауэра PIX версии 6.2 позволяет статически настраивать многоадресные маршруты или использовать вспомогательный адрес протокола IGMP для переадресации отчетов IGMP и разрешения объявлений.

В этом списке указана поддержка многоадресности для данного выпуска.

Фильтры списка доступа можно применить к многоадресному трафику для разрешения или запрещения определенных протоколов и портов.

Функции трансляции сетевых адресов (NAT) и трансляции адресов портов (PAT) применимы только к исходным адресам многоадресных пакетов.

Многоадресные пакеты данных с конечными адресами в диапазоне 224.0.0.0/24 не переадресуются. Однако любой другой трафик в диапазоне адресов 224.0.0.0/8 переадресуется.

Пакеты IGMP для адресных групп в диапазоне от 224.0.0.0 до 224.0.0.255 не переадресуются по причине резервирования данных адресов для использования протоколом.

Функция NAT не применяется к пакетам IGMP. При настройке переадресации IGMP брандмауэр PIX переадресует пакеты IGMP (отчеты и разрешения) с IP-адресом вспомогательного интерфейса в качестве исходного IP-адреса.

Вопрос. PIX имеет функцию устранения неполадок, которая может захватывать трассировку пакета, чтобы подробно раскрыть содержимое пакета?

Ответ. Программное обеспечение брандмауэра PIX версии 6.2 поддерживает сбор данных о пакетах для анализа или "просмотра" всего трафика, принятого или заблокированного PIX. Как только сведения о пакете собраны, эти сведения можно видеть на консоли, передать их в файл по сети с помощью сервера TFTP или получить к ним доступ через вебобозреватель с помощью Secure HTTP. Обратите внимание, что PIX не собирает данные о трафике, который проходит по тому же сетевому сегменту, но не имеет отношения к нему самому. Кроме того, функция сбора данных о пакетах не включает поддержку файловой системы, преобразования имен DNS и случайного режима.

Вопрос. Поддерживает PIX OSPF?

Ответ. Нововведения в версии кода брандмауэра PIX 6.3 поддерживают внутриобластные, межобластные и внешние маршруты. В этом выпуске также поддерживается перераспределение статических маршрутов по процессам OSPF и перераспределение маршрутов между процессами OSPF.

Вопрос. Поддерживает PIX PPPoE?

Ответ. Программное обеспечение брандмауэра PIX версии 6.2 поддерживает точечный протокол по Ethernet (PPPoE) (PPPoE предоставляет стандартный метод аутентификации PPP по сети Ethernet и используется многими поставщиками Интернет-услуг для предоставления клиентским компьютерам доступа к их сетям, как правило, посредством DSL).

Протокол PPPoE поддерживается внешними интерфейсами устройств безопасности Cisco серии PIX 500.

Вопрос. Поддерживается SFTP через PIX?

Ответ. Нет. В стандартном FTP-соединении клиент или сервер должны указать другой стороне, какой порт будет использоваться для передачи данных. Брандмауэр PIX может определить процесс согласования и открыть этот порт.

Однако при использовании протокола SFTP это согласование шифруется, и PIX не может определить порты, которые необходимо открыть, в результате чего происходит сбой соединения SFTP.

Единственное возможное в этой ситуации обходное решение - использовать клиент SFTP, поддерживающий функцию "clear data channel" ("чистый канал данных"). Когда эта функция включена, PIX может определить порт, нуждающийся в открытии.

Вопрос. Есть способ фильтрации пакетов электронной почты брандмауэром Cisco Secure PIX? Например, может брандмауэр Cisco Secure PIX отфильтровать вирус "I luv you"?

Ответ. Брандмауэр Cisco Secure PIX не осуществляет фильтрации содержимого на уровне приложений. Другими словами, он не исследует информационную составляющую пакета TCP. Таким образом, он не может фильтровать содержимое электронной почты. Фильтрацию на уровне приложений могут осуществлять наиболее современные почтовые серверы.

Вопрос. При попытке использования преобразования сетевых адресов (NAT) на брандмауэре Cisco Secure PIX, используя инструкции NAT/GLOBAL, у внешних пользователей возникают проблемы с доступом к внутренним узлам. В чем причина?

Ответ. Динамическая трансляция NAT с помощью команд nat и global создает временное состояние соединения/трансляции, которое ВСЕГДА устанавливается от интерфейса с более высоким уровнем безопасности к интерфейсу с более низким уровнем безопасности (от внутренней стороны к внешней). Схемы подобных динамических трансляций применяются только при установке состояния соединения. Любой внутренний узел, с которым первоначальное соединение должен инициировать именно внешний узел, должен быть протранслирован с помощью команды static. После статической трансляции узла данное состояние соединения получает постоянное согласование, а все каналы, вовлеченные в эту статическую трансляцию, постоянно остаются открытыми. При этом IP-соединения всегда можно инициировать из Интернета. С программным обеспечением PIX версии 5.0 старше можно использовать списки доступа вместо каналов.

Вопрос. Web-сервер внутренней сети статически согласовывается с внешней сетью. Внешним пользователям он недоступен. В чем причина?

Ответ. Статическое согласование предоставляет возможность трансляции/соединения. Но по умолчанию брандмауэр Cisco Secure PIX запрещает ВСЕ попытки входящих соединений, за исключением разрешенных явным образом. Это "разрешение" выдается путем применения канала к статической трансляции. Инструкции для каналов указывают брандмауэру Cisco Secure PIX, какие адреса Интернета необходимо разрешить на определенных протоколах и портах. С программным обеспечением PIX версии 5.0 старше можно использовать списки доступа вместо каналов.

Вопрос. Внутренний интерфейс брандмауэра Cisco Secure PIX содержит web-сервер? Ему сопоставлен внешний публичный адрес. Необходимо, чтобы внутренние пользователи имели доступ к этому серверу с помощью его DNS имени или внешнего адреса. Как это сделать?

Ответ. Правила TCP не позволяют сделать это, но есть хорошие обходные пути. Например, представим, что реальный адрес web-сервера 10.10.10.10, а публичный адрес 99.99.99.99. DNS преобразует 99.99.99.99 в www.mydomain.com. Если внутренний узел (например, 10.10.10.25) пытается открыть www.mydomain.com, то web-обозреватель преобразует адрес в 99.99.99.99. Затем обозреватель отправляет пакет в PIX, который в свою очередь отправляет его к маршрутизатору Интернета. Интернет-маршрутизатор уже использует напрямую подключенную сеть 99.99.99.x. Поэтому он предполагает, что пакет предназначен не ему, а напрямую подключенному узлу и сбрасывает этот пакет. Для обхода этой проблемы необходимо, чтобы внутренний узел преобразовал www.mydomain.com в свой реальный адрес 10.10.10.10, либо необходимо отключить внешний сегмент 99.99.99.x от сети таким образом, чтобы маршрутизатор можно было настроить для маршрутизации этого пакета обратно к PIX.

Если DNS располагается с внешней стороны PIX (или в одной из областей DMZ), то можно использовать команду alias на брандмауэре Cisco Secure PIX для коррекции пакета DNS и преобразования его адреса в адрес 10.10.10.10. После этого изменения обязательно перезагрузите компьютеры для очистки кэша DNS (протестируйте www.mydomain.com с помощью сигналов "ping" до и после применения команды alias, чтобы удостовериться, что адрес изменился с 99.99.99.99 на 10.10.10.10).

Если внутри сети есть собственный сервер DNS, то такая схема не сработает, поскольку поиск DNS никогда не затрагивает PIX и исправлять нечего.

В этом случае настройте соответствующим образом локальный сервер DNS или используйте локальные файлы 'hosts' на компьютерах для преобразования этого имени. Другой вариант лучше, поскольку он более надежен. Выключите подсеть 99.99.99.x на PIX и маршрутизаторе. Выберите схему нумерацию RFC 1918, которая не используется внутри сети (и на всех интерфейсах PIX по периметру). Далее повторно измените инструкцию маршрута для данной сети на PIX. Не забудьте изменить стандартный внешний маршрут PIX на новый IP-адрес маршрутизатора.

Внешний маршрутизатор получает этот пакет и направляет его обратно на PIX, основываясь на своей таблице маршрутизации. Маршрутизатор больше не игнорирует этот пакет, поскольку у него нет интерфейсов, настроенных на данной сети.

В PIX 6.2 представлена новая функция двухсторонней NAT, которая обеспечивает работу команды alias и другие возможности.

См. Общие сведение о команде alias для брандмауэра Cisco Secure PIX для получения дополнительной информации о команде alias.

См. раздел Использование внешней трансляции NAT в справочнике по командам PIX для получения дополнительной информации о функции двусторонней трансляции NAT.

Примечание: При использовании программного обеспечения PIX/ASA версии 7.x не рекомендуется применять команду alias. Вместо этого желательно использовать внешнюю трансляцию NAT с коммутатором DNS. Дополнительную информацию см. в разделе Обзор DNS документа Обзор применения протокола на уровне приложений.

Вопрос. Поддерживает брандмауэр Cisco Secure PIX согласование портов?

Ответ. PIX поддерживает перенаправление входных портов с версии программного обеспечения PIX 6.0. В более ранних версиях PIX согласование портов не поддерживается.

Вопрос. Можно сопоставить один внутренний адрес нескольким внешним адресам?

Ответ. Брандмауэр Cisco Secure PIX допускает только одну трансляцию "один к одному" для локального (внутреннего) узла. При наличии на брандмауэре Cisco Secure PIX более двух интерфейсов можно транслировать локальный адрес на другие адреса на каждом соответствующем интерфейсе, но только для каждого адреса разрешена только одна трансляция на каждый интерфейс. Также нельзя выполнять статическое согласование одного внешнего адреса с несколькими локальными адресами.

Вопрос. Можно подключить два разных ISP к брандмауэру Cisco Secure PIX (для распределения нагрузки)?

Ответ. Нет, балансировка загрузки PIX невозможна. Cisco Secure PIX Firewall предназначен для работы только с одним маршрутом по умолчанию. Если подключается два ISP к одному PIX, то брандмауэру необходимо создавать решения о маршрутизации на намного более интеллектуальном уровне. Вместо этого используйте маршрутизатор шлюза во внешней области PIX, чтобы PIX продолжал отправлять весь трафик на один маршрутизатор. После этого маршрутизатор может распределить нагрузку и маршрут между двумя ISP. Альтернатива этому - использовать два маршрутизатора во внешней области PIX с помощью протокола HSRP и установить шлюз по умолчанию PIX на виртуальный адрес HSRP. Кроме того, (по возможности) можно использовать протокол OSPF, поддерживающий балансировку нагрузки между узлами, количество которых не превышает трех, на одном интерфейсе.

Вопрос. Сколько РАТ адресов можно иметь на брандмауэре Cisco Secure PIX?

Ответ. Программное обеспечение PIX выпусков 5.2 и старше позволяет использовать несколько адресов PAT на интерфейс.

В более ранних версиях PIX применение нескольких адресов PAT на интерфейс не поддерживается.

Вопрос. Есть способ указать брандмауэру Cisco Secure PIX предоставить большую пропускную способность для отдельных пользователей?

–  –  –

Вопрос. Необходимо разрешить моим пользователям доступ к общим папкам в домене NT с удаленных компьютеров. Как это сделать?

Ответ. Протокол Microsoft NetBios предоставляет совместный доступ к файлам и принтерам. Включение протокола NetBios для Интернета не соответствует требованиям безопасности большинства сетей. Более того, NetBios сложно настроить с помощью NAT. Хотя с помощью зашифрованных технологий, работающих непосредственно с PIX, Microsoft обеспечивает более высокую защиту, открытие необходимых портов все же возможно.

Коротко говоря, необходимо установить статические трансляции для всех узлов, для которых требуется доступ и каналы (или списки доступа в ПО PIX 5.0.x и старше) к портам TCP 135 и 139 и портам UDP 137 и 138. Необходимо использовать либо сервер WINS для преобразования транслированных адресов в имена NetBios, либо корректно настроенный локальный файл LMHOSTS на всех удаленных компьютерах-клиентах. При использовании WINS абсолютно каждый узел должен иметь статическую запись WINS как для локальных, так и для транслированных адресов узлов, к которым предоставляется доступ. При использовании LMHOSTS эта запись также должна присутствовать для обоих адресов, кроме случаев, когда удаленные пользователи вообще не подключаются к внутренней сети (например, портативные компьютеры). Сервер WINS должен быть доступен из Интернета с помощью команд static и conduit, а удаленные узлы должны быть настроены до точки, указанной на сервере WINS. И, наконец, необходимо установить бессрочную аренду протокола DHCP. Также можно статически настроить IP-адреса на узлах, которые должны быть доступны из Интернета.

Более безопасным и надежным способом можно осуществить это с помощью настройки либо протокола PPTP, либо шифрования IPsec. Обратитесь в службу безопасности сети и к специалистам по структуре сети для получения более подробной информации о возможных вариантах.

Вопрос. В консоли/Telnet PIX отображается примерно следующее сообщение "201008: The PIX is disallowing new connections" (PIX запрещает новые подключения). PIX не пропускает ни входящий, ни исходящий трафик. В чем причина?

Ответ. Эта ошибка означает, что вы используете "надежный системный журнал TCP" для программного обеспечения PIX Firewall Syslog Server (PFSS) в операционной среде Windows NT и что система не отреагировала на сообщения системного журнала PIX.

Для устранения этой проблемы попробуйте выполнить следующие варианты действий:

Перейдите на сервер NT, использующий PFSS, и устраните проблему, которая не позволяет серверу принимать данные системного журнала TCP от PIX. Обычно источником этой проблемы служит заполненный жесткий диск или отсутствие запущенной службы системного журнала.

Отключите функцию системного журнала TCP и вернитесь к стандартной служебной программе для системного журнала UDP. Для этого в командной строке PIX следует ввести команду logging host [in_if_name] ip_address [protocol/port]. Введите команду logging host ip_address, а затем повторно введите ее без указания протокола/порта protocol/port). Будет произведен сброс на стандартный протокол/порт UDP/514.

Примечание: Функция "reliable TCP syslog" ("надежный системный журнал TCP") в PIX и PFSS предназначена для создания политики безопасности, которая применяет принцип "если PIX не может записать действие в журнал, то и выполнять его не надо". Если такой принцип не подходит, то использовать "надежный системный журнал TCP" не надо.

Вместо этого используйте стандартные возможности системного журнала, которые не блокируют входящий/исходящий трафик, если сервер системного журнала недоступен.

Вопрос. При выполнении некоторых команд на PIX, которые получают доступ к конфигурации во флэшпамяти (команда "show config"), возникает ошибка "The Flash device is in use by another task" (устройство флэш-памяти используется другой задачей). Что это означает?

Ответ. Пример этой ошибки приведен в следующих выходных данных:

–  –  –

Это означает, что существует другой сеанс PIX, в котором кто-то использовал команду write terminal или подобную ей для доступа к флэш-памяти и продолжает находиться в командной строке "--more--".

Чтобы проверить это, выполните команду who, находясь в консоли PIX.

–  –  –

В данном примере видно, что пользователь 14.36.1.66 вошел на PIX через Telnet. Для принудительного отключения этого пользователя можно использовать команду kill.

–  –  –

Пользователь отключился, и теперь можно выполнить необходимую операцию с флэш-памятью. В том маловероятном случае, если это не сработает, перезагрузка PIX также решит подобную проблему.

Вопрос. Можно использовать PIX в "однорукой" конфигурации?

Ответ. Нет, PIX не может работать в "однорукой" конфигурации из-за алгоритма адаптивной безопасности, который используется PIX. Дополнительные сведения см. в общих сведениях о брандмауэре PIX.

Например, существует PIX с двумя интерфейсами (внутренним и внешним) и на внутреннем интерфейсе есть сеть 10.1.1.0/24. Вне этой сети есть маршрутизатор с подключенной к нему сетью 10.1.2.0/24. Далее, предположим, что существует сервер на внешнем интерфейсе 10.1.1.5. Этот узел использует стандартный шлюз внутреннего интерфейса PIX (10.1.1.1). В данном сценарии предположим, что PIX использует правильную информацию о маршрутизации, например внутренний маршрут 10.1.2.0 255.255.255.0 10.1.1.254, где 10.1.1.254 - это IP-адрес маршрутизатора. Можно подумать, что узел 10.1.1.5 может отправить пакет на 10.1.2.20, и этот пакет попадет в PIX, будет перенаправлен на маршрутизатор в 10.1.1.254 и попадет на конечный узел, но это не так. Однако в данном случае это не важно. Устройство PIX не обеспечивает передачу перенаправлений ICMP как маршрутизатор. Также PIX не позволяет пакету покинуть интерфейс, с которого он был отправлен. При условии, что узел 10.1.1.5 отправил пакет с конечным адресом 10.1.2.20 на внутренний интерфейс PIX, PIX отбросит этот пакет, потому что он был предназначен для отправки с интерфейса, на который был получен. Это верно для любого интерфейса PIX, а не только для внутреннего интерфейса. В данном сценарии решением для узла 10.1.1.5 является настройка стандартного шлюза на интерфейс маршрутизатора (10.1.1.254) и последующее наличие на маршрутизаторе стандартного шлюза, указывающего на PIX (10.1.1.1).

Вопрос. Работает ли PIX правильно, если он подключен к магистральному порту коммутатора?

Ответ. Да, но на PIX нужно настроить инкапсуляцию по стандарту 802.1Q. См. вопрос Поддерживает PIX 802.1Q на своих интерфейсах?.

Вопрос. Можно установить тайм-аут для консольного порта PIX?

Ответ. Да, это новая функция в версии 6.3. Обратитесь к команде console timeout.

Вопрос. PIX может выполнять преобразование NAT для адреса источника, а может PIX выполнять преобразование NAT для адреса назначения?

Ответ. Трансляция NAT на основе места назначения может выполняться только в брандмауэрах PIX версий 6.2 и старше.

Более подробную информацию см. в документации по брандмауэру PIX версии 6.2.

Вопрос. Не удается подключиться к сетевой файловой системе (NFS) для работы через PIX. Что сделано неправильно?

Ответ. PIX не поддерживает сопоставление портов (порт 111) через TCP. Следует настроить NFS таким образом, чтобы вместо него использовался UDP.

Вопрос. PIX работает со списками управления доступом (ACL) с ограничением по времени?

Ответ. В отличие от Cisco IOS, PIX не создает списки управления доступом на основе времени суток. Если производится аутентификация пользователей, подключающихся к PIX, и сервер аутентификации поддерживает ограничение доступа по определенному времени суток, то PIX реализует эти ограничения.

Вопрос. Можно изменять текст сообщений системного журнала, отправляемых PIX?

Ответ. Сообщения системного журнала, создаваемые PIX, жестко прописаны в операционной системе, поэтому изменять их нельзя.

Вопрос. Может PIX разрешать имена?

Ответ. Поскольку корректно настроенный PIX разрешает транзитный трафик DNS для обеспечения работы внутренних и внешних устройств с DNS, то PIX не применяет самостоятельное преобразование имен.

Вопрос. В системном журнале PIX содержатся сообщения "connection denied" (отказано в подключении), а также отказы для сеансов Telnet с интерфейсами PIX. Но отсутствуют отказы для другого трафика к PIX интерфейсам. Это нормальная ситуация?

Ответ. До версии 6.2.2 сообщения deny для трафика на интерфейсы PIX ограничивались запрещенными сеансами Telnet и портом TCP/23. В версиях 6.2.3 и 6.3.1 были добавлены новые сообщения системного журнала, в которых идентификатор системного журнала 710003 обрабатывает запрещенный трафик непосредственно на интерфейс PIX.

Вопрос. Не удается передать пакеты командой ping ни из внутренней сети на внешний интерфейс PIX, ни из внешней сети на внутренний интерфейс PIX. Это нормальная ситуация?

Ответ. Да, в отличие от Cisco IOS, PIX не отвечает на запросы ICMP к интерфейсам, находящимся на "дальней стороне" устройства, посылающего пакеты PIX.

Вопрос. Может PIX функционировать как NTP сервер?

–  –  –

Вопрос. Брандмауэр Cisco PIX настроен для взаимодействия с сервером автоматического обновления Cisco Works и передача любого трафика остановлена. Почему это произошло и как это исправить?

Ответ. Брандмауэр Cisco PIX блокирует все новые подключения, если он настроен на взаимодействие с сервером Auto Update, который не отвечает в течение определенного времени. Администратор может изменить значение времени ожидания с помощью команды auto-update timeout period.

Спецификация Auto Update предоставляет инфраструктуру, необходимую для удаленного управления приложениями для загрузки конфигураций брандмауэра PIX и образов ПО, а также для выполнения базового мониторинга из централизованной точки. Невозможность связаться с сервером приводит к блокировке всего трафика PIX.

Вопрос. Не удается получить доступ к внутреннему интерфейсу PIX при подключении посредством туннеля VPN. Как это сделать?

Ответ. Доступ к внутреннему интерфейсу PIX не может быть получен извне, и наоборот, за исключением случая, когда команда management-access настроена на режим глобальной настройки. Если включена функция management-access, то доступ к Telnet, SSH и HTTP по-прежнему необходимо настроить на желаемые узлы.

pix(config)#management-access inside pix(config)#show running-config management-access management-access inside Дополнительная информация Страница поддержки PIX Документация для брандмауэра PIX Справочник по командам PIX Документы RFC Техническая поддержка и документация - Cisco Systems © 1992-2014 Cisco Systems, Inc. Все права защищены.

Дата генерации PDF файла: 23 марта 2008

Похожие работы:

«РАЗРАБОТКА ТЕХНИЧЕСКИХ УСЛОВИЙ НА АРМАТУРНЫЙ ПРОКАТ ДЛЯ СОВРЕМЕННОГО МИНИЗАВОДА Наливайко А.В. АКХ " ВНИИМЕТМАШ" Разработка нормативной документации для аттестации и отгрузки металлопроката на основе изучения результатов статистического анализа механических свойств готовой продукции. ГУП "...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ САНКТ-ПЕТЕРБУРГСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ И.А. Бессмертный ОСНОВЫ ЛОГИЧЕСКОГО ПРОГРАММИРОВА...»

«УДК 159.956 ИНТУИЦИЯ КАК СЛУЖБА БЕЗОПАСНОСТИ КАРТЫ ПУТИ И.А. Бакушкина1, Т.С. Рейн2, Е.С. Бакушкина3 заведующая лабораториями, 2 кандидат физико-математических наук, доцент, аспирант...»

«Государственное производственное проектно-строительное унитарное предприятие "Объединение Брестоблсельстрой" Государственное унитарное проектно-изыскательское предприятие "Институт Брестстройпроект" УТВЕРЖД...»

«АВТОМОБИЛЬНЫЙ ВИДЕОРЕГИСТРАТОР Инструкция по эксплутации Содержание Содержание Технические характеристики Комплект поставки Перед началом работы Настройки Технические характеристики Процессор Ambarella A7LA50 + сенсор Aptina Конфигурация AR0330 Настройки Детектор движения/WDR/Автоэк...»

«ИСПОЛЬЗОВАНИЕ ТЕПЛОВЫХ НАСОСОВ В СИСТЕМАХ ТЕПЛОСНАБЖЕНИЯ ЗДАНИЙ И СООРУЖЕНИЙ Половинкина Е.О Нижегородский Государственный Архитектурно-Строительный Университет НижнийНовгород, Россия USAGE OF HEAT PUMPS IN HEATING SYSTEMS OF BUILDING AND...»

«Труды Нижегородского государственного технического университета им. Р.Е. Алексеева № 5(102) УДК 331.1 В.И. Дементьев, Ю.Г. Кабалдин СХЕМА ОТНОШЕНИЙ СУБЪЕКТОВ ТРУДОВОЙ ДЕЯТЕЛЬНОСТИ В СФЕРЕ УСЛУГ Нижегородский государствен...»

«Техническая брошюра ADAP-KOOL ® Устройства контроля для холодильной установки AKL 111А и АКL 25 RC.0X.K3.02 08-2000 Введение Устройства контроля типа AKL 111A и AKL 25 предназначены для регистрации рабочих данных н...»








 
2017 www.lib.knigi-x.ru - «Бесплатная электронная библиотека - электронные материалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.