CISCO ASA防火墙安全应用问题集锦全集

问题编号：1
提问内容： ASA5510做clientvpn,5510的内网地址与clientvpn用户的本地地址重叠,请问怎么解决?
192.168.1.0/24inside--ASA5510--ISP--ROUTER--192.168.1.0/24 clientvpn
回答内容： VPN接入用户可以自行安排一段IP, 内部L3设备设置静态路由指向ASA内部接口即可

问题编号：2
提问内容： 请问PIX 535和ASA系列，能否做到将两个端口绑定在一起，作用与SWITCH的PORT－CHANNEL，路由器的channel-group?
回答内容： ASA/pix没有ether channel功能

问题编号：3
提问内容： 我们学校互联网出口使用了一台PIX535防火墙，目前通过MRTG监测软件发现连接数已达到70万，但实际我们的用户也就四千人，此种情况是否代表有安全攻击存在，有什么命令可以在设备上查看具体连接细节吗，是不是TCP半连接太多，在PIX上使用什么命令可以防范半连接攻击？
回答内容： 利用 show connection以及show local-host, 建议限制内部IP对外的会话数量,启用外部连接的tcp syn cookie功能

问题编号：4
提问内容： 请问asa5500的冗余工作模式A/S是否通过hello包的机制来检测对端故障？检测时间是多少，hello包的传递是通过failover link吗？还有，asa5500工作在a/s时，是否可直接连接路由器，如果只能通过交换机连接路由器，那交换机的作用是什么？
回答内容： ASA的冗余有两类数据,一个是hello,一个是状态信息.所以可以做到完全切换,用户连接无需中断.最好将两类数据分别置入不同的冗余VLAN进行传输.
ASA的冗余连接建议通过交换机,也就是L2的连接方式

问题编号：5
提问内容： asa5500支持A/A工作模式，是否通过context实现？如果是，在物理接口侧是不是启用子接口方式将不同子接口划入不同的Context实现A/A？
回答内容： ASA5500的A/A是通过虚拟防火墙的方式实现, 具体连接支持物理与逻辑线路等多种方式

问题编号：6
提问内容：现在的情况是这样的，我有一台内网服务器的WEB服务要对外发布，我在ASA5520上面做了静态NAT：static (dmz,outside) tcp 10.1.1.1 80 192.168.1.1 80 netmask 255.255.255.255 0 0
conduit permit tcp host 10.1.1.1 eq 80 any但是却不起作用（排除WEB服务器及应用的故障可能）
回答内容： 应该设置outside端口的ACL, 允许外部用户访问 permit tcp any host 10.1.1.1 eq 80

问题编号：7
提问内容：
A点PIX上有一固定IP
B点PIX无固定IP，使用ADSL拨号
现在想使用VPN让两个网络互相访问
目前为止找到的site to site例子都有固定IP的
回答内容： 在总部一端设置动态crptomap即可,连接由分支设备发起.

问题编号：8
提问内容： Cisco ASA 5520有几个功能模块?
回答内容： IPS功能的AIP SSM以及Anti-X功能的CSC SSM模块,另外还有4GE的端口扩展模块

问题编号：9

提问内容： 一根网通，一根电信。
能否实现数据（基于目的地址）的自动分流？
回答内容： 可以通过虚拟防火墙的方式支持多ISP的接入

问题编号：10
提问内容： ASDM想比PDM是否有更多功能？和PDM相比，ASDM的配置是否可以达到更细致的配置？哪些配置是ASDM不能完成的？
回答内容： ASDM比PDM要强大许多, 也更为细致, 安装ASDM之后有演示功能,建议尝试一下

问题编号：11
提问内容： ASA的命令格式和PIX有无区别？ASA默认是否支持透明模式？
回答内容： ASA与PIX配置保持一致,可以支持透明模式

问题编号：12
提问内容： 我对UTM产品非常感兴趣，比如cisco的ASA产品系列。现在想问一下专家ASA的防病毒模块是用的哪一家的产品，cisco怎样提供升级？
回答内容： TrendMicro, 由TM提供在线升级,可以通过思科购买升级服务

问题编号：13
提问内容： ASA5510中UTM防病毒为什么有用户数限制？
回答内容： 最多1000在线用户

问题编号：14
提问内容： 我在配置asa的时候发现，在应用acl到接口上时多了一个out选项，而pix上只有in选项，请问asa防火墙为什么要做出这样的改变，它的好处在哪里？
回答内容： 在一个端口上提供双向ACL的选择

问题编号：15
提问内容： 请问如果某个在INSIDE接口内的设备（使用私有地址），在连接INERNET的 OUTSIDE接口做了映射（static），配合ACL命令实现了安全等级从低向高的访问，但假设不配置NAT命令能否实现对INTERNET的访问。
回答内容： 可以, 只要在FW的xlate中有翻译表项即可

问题编号：16
提问内容： 一个有300个节点的网络,同时有5台服务器,对外提供WEB,FTP,MAIL,ERP,CRM,OA服务,这样的一个网络,CISCO的哪种防火墙产品比较合适,需要多大的吞吐量,并发连接数和安全带宽
回答内容： 5510/5520都可以,5510的FW吞吐量为300,总连接数为50000或130000, 新建连接数为6000/秒,5520的指标分别为450,280,000与9,000

问题编号：17
提问内容： 现所有LAN内主机缺省网关指向一台ASA5520，现需通过另一台与ASA在同一网段的路由器访问另一网段的分支机构，在ASA上增加指向分支机构网段 的静态路由，但是LAN内主机无法访问分支机构网段，经查发现数据包到ASA后，ASA根本没发路由重定向的包给LAN内主机。请问专家应如何解决以上问 题？
回答内容： 基于安全，ASA禁止ip redirect，因此不会发重定向。
ASA缺省也不会让从一个interface进入的数据再从这个interface出去，所以ASA把你的数据包丢弃了。可以配置以下命令：
same-security-traffic permit intra-interface
这样ASA就可以允许数据从同一个接口进出，解决你的问题。

问题编号：18
提问内容： 每秒连接数大概是多

少？
FWSM的cpu主要处理哪些任务，硬件完成哪些任务？cpu利用率在什么值以下比较安全？
回答内容： FWSM每秒新建连接数为10万，这是Cisco防火墙的优势所在，FWSM还支持100万的并发连接数。FWSM是NP架构，共有3个NP做处理。

问题编号：19
提问内容： 我以前对PIX比较熟悉，我想问一下，ASA和PIX的主要区别在哪里？配置有多大的区别?
回答内容： ASA全新硬件设计，同等档次下，实际性能比PIX高。所使用的软件版本区别不大，配置命令一样。

问题编号：20
提问内容： 现公司有cisco ASA 5510 一台,怎么使用它来封QQ?
回答内容： 比较麻烦，QQ有很多服务器端端口，要逐个查出来封住，也可以根据QQ软件中列出的服务器IP做策略。但网上有很多私设的QQ代理服务器，如果用户用这种方式登录，则很难封住。ASA暂时还没有关于QQ的应用检测。

问题编号：21
提问内容： 现在很多防火墙基本都提供了大量的路由功能,路由器有的功能基本防火墙也都有了,那么路由器相对来讲还有存在的意思?
回答内容： 防火墙本身是个功能相对单一的策略控制设备，它更专注于安全控制。而路由器则有更广泛得多的功能要求。何况，并不是所有地方都需要使用策略控制手段的。根本上讲，这两种设备有不同的使用目的。



问题编号：22
提问内容：
现在网络中病毒很多，而且不断有新的病毒出来，我在使用防火墙的过程中，觉得防火墙的功能总是要慢病毒一步，现在很多厂家都说自己的墙如何如何强，其实对 新病毒很难有一个好的办法的。所以请教一下，对这种新的病毒，我们的防火墙怎么应对？cisco的墙有哪些特殊针对新病毒的功能？谢谢
回答内容： 没有任何一种工具是无所不能的，防病毒需要从多个层面，运用多种手段。
ASA防火墙防病毒有很多手段，比如增加一个CSC防病毒模块，CSC模块本身是一个网关型防病毒设备，可以检查SMTP、POP3、HTTP、FTP四 种协议的流量。或可以增加一个AIM模块，AIM是运行Cisco IPS软件的IPS模块，通常IPS设备都能有效防止蠕虫的传播和爆发。
另外，举一个例子，ASA可以限制每个IP的TCP或UDP的最大连接数，或者其NAT的最大连接数，这种方法也能有效地减轻病毒爆发后对网络性能、设备性能的冲击。



问题编号：23
提问内容： 在内部网络设置安全网关保护重点网络，请问CISCO的那种产品比较适合？
回答内容： 取决于性能、端口、扩展能力等要求。可以使用ASA系列产品，或6500系列交换机上的FWSM模块。



问题编号：24

提问内容： Cisco ASA 5500系列作为自适应安全设备,是否能够在windows本身漏洞百出的情况下也能提供安全防护

,保护单位的业务关键服务和基础设施免遭蠕虫、黑客和其 他威胁的影响,抵御病毒、间谍软件和泄密等恶意的网站威胁和基于内容的威胁。毕竟windows本身已知或还未知但已被黑客利用的漏洞太多。补订与杀毒软 件都是滞后的。
回答内容： ASA有一定的主动防御功能，本身通过audit命令就可以防止很多IPS攻击。如果配置IPS模块，可以利用Cisco IPS的基于行为检测的功能，能够防止day-zero攻击，那么一些新出的蠕虫也可以防范。但根本还是整个安全体系的建设，不应该只依靠单个设备做抵 御。配置的严谨性也非常重要。



问题编号：25
提问内容： 思科ASA5500 ips如何升级他的信息库
回答内容： 如果是指ASA上面的AIM模块，那么需要购买相应模块的IPS signature服务，购买后设备会获得license，有这个license后你可以从CCO网站下载最新的签名库安装。
ASA本身audit命令方式的IPS功能相对固定，升级较慢。



问题编号：26
提问内容： 我想问一下，关于Cisco ASA 5520 在Flash 中应该有那几个文件，我们公司的ASA我之前误操作把Flash清空了。而且提供的光盘上就只有两个模块可以用。时不时应该还有其它的一个或者两个文件？我应该怎么获得？谢谢！
回答内容： 至少要有一个操作系统文件，其格式通常是这样：asa721-k8.bin，还可以外加一个ASDM的文件，其格式通常是：asdm521.bin，有这个文件后你就可以用图形的方式配置ASA。



问题编号：27
提问内容： 两台ASA5520做Active/Active Failover
router 下连两台ASA5520
/ \
asa5520 asa5520
\ /
\ /
switch 上连两台ASA5520
\
pc
我是按照PIX722配置文档配置的。请问现在我的PC应该设那个ASA的网关 急！！！！
回答内容： A/A方式实际上是配置两组有A/S功能的context，每组负责一部分用户，所以你的PC设置哪一个网关都可以，前提是你的PC的子网地址分配符合你防火墙A/A的设计。



问题编号：28
提问内容： 我公司防火墙（PIX-515E）上有1个DMZ区、1个web区、inside、outside区，inside的机器通过域名方式访问该web区的某 些映射公网服务器可以访问；但我现在有个新需求有1台服务器在indside区需要公网访问他，我按照原有的方式配置好后，公网可以通过域名地址等方式访 问到这台服务器，但是我的inside区域其他机器无法通过访问公网地址和域名解析的方式访问这他服务器，只能已真实IP的方式访问这台服务器。是pix 防火墙的不只支持统一区域的公网映射访问还是我配置有问题?如果是我配置的问题请做配置指导，谢谢！
我的防火墙OS的版本是：
PIX Version 6.3(4)
回答内容： 这是一个NAT doctoring的问题，6.3版本可以用alias命令解决，参

见以下链接：
https://www.360docs.net/doc/875741263.html,/en/US/docs/ ... e/ab.html#wp1083304



问题编号：29
提问内容： 两台pix做vpn,一边有固定IP，一边是PPPOE，是否能实现，链路稳定么？如果PPPOE这边掉线vpn是否能再连上？
回答内容： 可以。链路稳定性取决于拨号线路而不是VPN本身。PPPoE掉线再上线后，VPN会自动重连。
问题编号：31
提问内容：
目前，防火墙在企业内部广泛应用。防火墙是一个工作在7层的设备，需要保存session。
在下一代防火墙内，提供session资源的保护，包括Session总数和每秒钟能建立的Session数，以防止非关键业务影响生产？
谢谢！
回答内容： 在ASA 7.2版本以后，可以做到对每个client的连接数限制，如以下命令就是一个例子（最多50个）：
nat (inside) 1 172.16.0.0 255.255.0.0 tcp 50 50 udp 50 con enb
配置可以参考以下链接：
https://www.360docs.net/doc/875741263.html,/univercd/cc ... o_711.htm#wp1657546



问题编号：32
提问内容： 1、作为下一代防火墙产品的ASA5500，集成了防火墙、IPS、VPN、Anti－X等功能于一身，集成了这么多的功能，他的性能是如何保证的？
2、ASA5500产品是否能够替代IPS产品？
回答内容： ASA的IPS和Anti-X功能都是依靠SSM模块实现，这个模块有单独的处理器，不需要占用ASA资源，ASA只需要把相关流量送给SSM模块即可。ASA有内置专用VPN加密模块。
各种应用下的性能ASA的Datasheet写得很清楚，请按其参数选择合适型号。



问题编号：33
提问内容： 目前CISCO 安全产品市场占有率不是很高，我们用的是Netscreen+Lucent's Brick 产品。我想问下，ASA的到来，到底意味着什么，真的有这么强大的功能吗？能替代或者可以取代多少种类型的设备呢? 我作为CISCO的工程师，一直认为QOS+security 这2个scopes比较残疾点，相对路由这块而言，所以对安全这块产品没什么关心。对ASA不是特别熟悉，想通过你们了解下，说不定能上报个 proposal做设备调整，呵呵
回答内容： ASA用于替代PIX系列和VPN3000系列，是Cisco未来防火墙和VPN的主打产品。
ASA相对于PIX有更高的应用检测能力和更好的实际性能，并且支持IPS和防病毒。
ASA相对于VPN3000，有更好的性能，且对SSL VPN的支持非常好。SSL VPN也是VPN未来的方向，我们的8.0版本已经出来，对SSL VPN有完美的支持。建议你了解一下我们的any connect客户端。

问题编号：35
提问内容： PIX怎样做到应用层的防御,如某些木马程序 可以写访问策略禁止访问内网,即在外部接口就把他丢掉
回答内容： 防火墙对应用层的安全保护主要是对一些已知的广泛使用的网络应用进行协议层的分析，确保其不被滥用，这是依靠内置的30多个inspec engine实现的，可保护Multimedia / Voice over IP

、Core Internet Protocols
、Database / OS Services、Security Services等几类应用。如果是Cisco的新一代安全网关ASA通过加挂AIP-SSM安全服务模块可以实现对多种恶意软件的防护，包括 Spyware/Adware、网络蠕虫和病毒、木马和后门程序等等。但是需要经常保持Signature库的更新才能更有效地防范已知世界的恶意程序。



问题编号：36
提问内容： 发现内网的IP地址与MAC绑定后,局内出现10%以上人员不能上网,放开后,所有人员都可以上网,为什么?是不是防火墙不能绑定完好!我局有120多台机子
回答内容： 对不起，这里主要是解答Cisco新一代防火墙产品的技术问题。您所提到的东软防火墙的具体型号和技术特性并不清楚，如果可能的话，请提供网络连接拓扑和IP地址分配等细节（用户和防火墙内网口都在同一个二层VLAN吗？），才能进行下一步分析。



问题编号：37
提问内容： 小区共有500栋别墅，千兆到桌面，ISP百兆光纤独享接入，应该选用什么型号防火墙？几台？（保证高稳定、高速、高安全）
回答内容： 防火墙如果是用于控制小区用户通过ISP网络去互联网的流量，在性能上能满足ISP的连接带宽即可。所以，ASA5520以上的型号都可以。两台相同型号的ASA可以实现冗余和负载均衡的要求。



问题编号：38
提问内容： ASA产品支不支持让用户访问网络时输入用用户名及密码,并对用户分级,如果支持,最多能支持多少用户?谢谢
回答内容： 支持。但访问的内容应该使用允许交互方式的协议，比如http，telnet，ftp，smtp等。
如果使用外部认证服务器，比如RADIUS服务器，那么理论上没有用户数量的限制。



问题编号：39
提问内容： 在企业网络的哪些地方针对性使用这三款产品？
回答内容： Cisco ASA 5500系列自适应安全设备本身是一个模块化平台,可以提供IPS/Antix/VPN功能，这三个版本是为了您不同的需求量身定制的。因此，当您的企业 需要应用安全和入侵防御服务，保护业务关键服务和基础设施免遭蠕虫、黑客和其他威胁的影响，建议配置IPS版。当你想帮助客户端系统抵御病毒、间谍软件和 泄密等恶意的网站威胁和基于内容的威胁时，建议配置AntiX版。当您的目的是使远程用户可安全访问内部网络系统和服务，支持用于大型企业部署的VPN集 群时，建议配置VPN版本。同时，这三个版本都具备firewall功能和IP sec VPN功能。

Cisco ASA 5500系列中提供了全面的服务，通过面向企业的定制产品版本：防火墙、IPS、Anti-X和VPN版，支持针对特定地点需求的定制。



问题编号：40
提问内容： 两台PIX535,一台是UR license,有一块GE卡，四块一口FE卡;
另一台是FO license,有一块GE卡

，一块四口FE卡;
这两台是否能做cable-based failover?
回答内容： 做failover的两台防火墙必须硬件和软件配置完全一样，否则配置文件复制会出问题，请把两台PIX535的硬件调整成一致。

问题编号：41
提问内容： 我单位打算配一性价比高的硬件防火墙，主要来保护WEB服务器的安全，请予以推荐，谢谢
回答内容： 建议您配置一台ASA5520或者5540,这两款设备性能依次提升，根据您的需求进行配置。本身ASA具有很出色的Firewall功能，具体性能指标 见Cisco网站，因此一台ASA足以满足您保护公司Web服务器的需求。同时，在ASA5520或者40上可以启用IP sec VPN/SSL VPN/Easy VPN。考虑到今后的扩展，这两款设备都有一个插槽，今后可配置思科高级检测和防御安全服务模块或者内容安全和控制安全服务模块（CSC-SSM）



问题编号：42
提问内容： 我公司防火墙（PIX525）上有几个DMZ区，inside的机器访问该DMZ的某些机器时，有时会出现中断，中断的时间几分钟不等，有时也有丢十几个 包的情况，然后就能自动恢复。当访问中断时，登陆该DMZ区的其它机器ping中断的机器是通的，上防火墙上ping中断的机器，第一个包会丢掉，然后才 通，通了之后，从inside ping那台中断的机器也就通了，这是不是防火墙的bug?我的防火墙OS的版本是：
Cisco PIX Firewall Version 6.3(3)
Cisco PIX Device Manager Version 3.0(1)
回答内容： 请检查DMZ接口有无错误信息，检查与交换机互联的双工状态及速率设定，最好两边强制匹配一下。另外 如果可能可以考虑升级系统到OS 7.2.2 是相对最稳定的OS系统目前。



问题编号：43
提问内容： 近来，时不时在我公司防火墙上看到如下日志记录：

Apr 18 2007 15:17:47: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface inside
Apr 18 2007 15:17:47: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface outside
Apr 18 2007 15:17:47: %PIX-1-105008: (Primary) Testing Interface inside
Apr 18 2007 15:17:47: %PIX-1-105008: (Primary) Testing Interface outside
Apr 18 2007 15:17:47: %PIX-1-105009: (Primary) Testing on interface outside Passed
Apr 18 2007 15:17:47: %PIX-1-105009: (Primary) Testing on interface inside Passed
Apr 18 2007 15:24:02: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface inside
Apr 18 2007 15:24:02: %PIX-1-105005: (Primary) Lost Failover communications with mate on interface outside
Apr 18 2007 15:24:02: %PIX-1-105008: (Primary) Testing Interface inside
Apr 18 2007 15:24:02: %PIX-1-105008: (Primary) Testing Interface outside
Apr 18 2007 15:24:02: %PIX-1-105009: (Primary) Testing on interface inside Passed
Apr 18 2007 15:24:02: %PIX-1-105009: (Primary) Testing on interface outside Passed
我们的防火墙是两台PIX-535，做Fai

lover，这是说设备有故障么？

回答内容： 以上面的信息还不能完全确定故障问题所在，请检查您的防火墙日志看看有没有防火墙的故障切换记录，确保前后端连接交换机没有重启记录。



问题编号：44
提问内容： 是不是我用这个NO INSPECT ESMTP命令，就可以修复Dispatch Unit这个ＢＵＧ？
回答内容： 这个BUG 应该在OS 7.2.2 已经被修复了。



问题编号：45
提问内容： 我以前受朋友所托,去一个客户那里捣鼓ASA 但是我是第一次见到ASA 还是按照PIX的方式去做的,但是有些功能无法实现.
所以CISCO的网站上那里有ASA的指导书一类的文档?
回答内容： 由于ASA是OS 7.X的操作系统，PIX 6.X 版本与OS 7.X 又比较大的改动因此您惠感觉很多地方不一样，但是当您的PIX 升级到OS 7.X 基本配置就与ASA 基本一致的。具体配置操作手册，可以访问如下URL获取：

https://www.360docs.net/doc/875741263.html,/univercd/cc ... 2/conf_gd/index.htm



问题编号：46
提问内容： 506E 的地址池中已经有一个地址在局域网中已经用在某个计算机上了，但在对VPN拨入用户进行地址分配时，还是会将这个地址分配出去，拨入的用户和局域网内使用同IP的计算机用户均无法正常工作。此种问题，现有情况下何简易解决。
由于地址有限，不便于再扩充地址池，只想排除局域网中在用的某几个地址。
如果有解决方案，请与我联系，谢谢
回答内容： 几种方式都可以实现，
建议为VPN集中器单独设定一个IP地址段，没有必要与内网公用一个地址段，单独配置地址段更加合理，管理更加方便因此建议如此使用。



问题编号：47
提问内容： ASA工作在透明模式是不是不支持VPN功能？同时NAT也不能做吗？
想问一下出于什么考虑，在透明模式下不支持上述功能？
回答内容： ASA在透明模式 是不支持VPN及NAT功能的。透明模式防火墙 设计意图是对于用户前后端网络完全透明，设备本身接口不设定互联地址，因此不会用于VPN使用。再FWSM防火墙模块我们最新版本支持透明模式下NAT特性，但是目前ASA还不支持此特性。



问题编号：48
提问内容： 有一台ASA防火墙和一台cisco 路由器，路由器用来作为VPN连接，上网用ASA，内部主机网关为ASA。现想把路由器接在防火墙下，怎样才能实现VPN和上网都？需要把ASA改成透明模式，还是有更好的解决方法？谢谢
回答内容： 如果您想让ASA工作再透明模式，那么ASA不可以作为VPN集中器使用，也不可以进行NAT操作。您可以配置您的路由器作为VPN集中器，以及NAT上 网使用，没有任何问题，为了允许IPSEC VPN业务通过ASA，只是需要OPEN如下端口：PROTOCOL 50,51，UDP 500，4500即可。



问题编号：49
问题

主题：如何在ASA外口配置基于两个IP地址的远程VPN服务器?
提问内容： 现在的需求是这样:
1)在ASA外口上配置两个IP地址, 地址A和地址B.
2)配置ASA为远程拨入VPN服务器,并运用到外口.
3)当员工在国外时,使用A地址拨入.
4)当员工在国内时,使用B地址拨入.

问题:只用一个VPN配置,可否实现这样的需求?谢谢!
回答内容： 这个问题的关键不再ASA 而是再路由问题上面，ASA是支持的，但是再ASA上面的路由你必须指定把远程访问的路由例如国内、国外地址段发送给相应的ASA 接口。实际操作性差些。



问题编号：50
提问内容： 我的pix os是7.22
pix525# sh ver
Cisco PIX Security Appliance Software Version 7.2(2)
但是没有DISABLE ESMTP这条命令
pix525(config)# disable ?
exec mode commands/options:

回答内容：

policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
入上面所示，进入policy-map global_policy，然后NO INSPECT ESMTP即可。

问题编号：51
提问内容： 我们公司新购了一台ASA5520和5510的IPS模块，现在不知道IPS如何配置才能充分发挥这台新设备的功能，请专家指导。
回答内容： 如果您考虑发挥IPS的功能，首先需要您了解IPS的功能，目前ASA 5500 系列产品的IPS模块可以支持旁路和串联两种模式，在旁路模式中可以通过防火墙实现联动防护，在串联中可以对攻击和恶意流量进行直接的丢弃。同时最新的 IPS OSV6 版本可以支持主机水印识别，这样可以对网络主机环境全面了解，实现针对性的安全防护。同时最新的AD功能加强了对蠕虫攻击的防护，在不进行 Signature更新的情况下，有效的防护最新的蠕虫病毒的攻击。所以建议您可以综合使用这些功能，以实现最大发挥IPS的作用。另外，推荐您和客户进 一步沟通，加入我们的Mars产品，现行的网络中仅依靠IPS 是不能真正保护网络安全的，Mars产品可以实现攻击路径定位，最佳攻击缓解建议，实现正在意义上的网络安全及防护。

IPS模块 配置指南可以参考下面的链接：
https://www.360docs.net/doc/875741263.html,/en/US/produ ... 186a008055dbb1.html



问题编号：52
提问内容： 据悉，asa共有四个版本，即anti-x,vpn,ips,firewall,请问这四个版本的功能能否集成到一台asa设备上。如果可以的话，是不是 插aip和csc module 就可以实现了？而且asa各个系列是不是就一个扩展口插槽（只能csc/aip两者选其一）。
回答内容： ASA系列本身是一个"ALL IN ONE"的设备。其中5510/5520/5540只具备一个插槽,5550无额外插槽。ASA最基本的功能就

是Firewall功能，vpn功能。注 意，缺省状态下有2个SSL VPN license，如需更多则需要购买license。ASA本身有两种功能性模块，就是您提到的AIP 和 CSC。因为5510/20/40系列本身只有一个插槽，因此我们只能插入AIP模块或者CSC模块。但本身ASA内置就已经具备了IPS功能和防病毒功 能，只不过他们是soft实现的。因此，这四个功能是可以集成到一台ASA上的。



问题编号：53
提问内容： 请问asa采用的是什么架构？
回答内容： 目前主流的防火墙平台主要有一下几类：
第一类是基于x86平台的，这种平台通常使用一颗或多颗主CPU来处理业务数据，网卡芯片和CPU通过PCI总线来传输数据。由于传统的32位PCI总线频率为33MHZ，所以，理论通讯速率为：132 MB/s即：1056 Mb/s。
第二类，基于ASIC架构的防火墙、UTM产品。但ASIC架构做为UTM就不是理想的选择，因为ASIC架构不可能把像网关杀毒、垃圾邮件过滤、网络监控等这些功能做到芯片一级去。
第三类，基于NP架构的防火墙。NP架构实现的原理和ASIC类似，但升级、维护远远好于ASIC 架构。NP架构在每个网口上都有一个网络处理器，即：NPE，用来处理来自网口的数据。每个网络处理器上所运行的程序使用微码编程，其软件实现的难度比较 大，开发周期比ASIC短，但比x86长。作为UTM，由于NP架构每个网口上的网络处理器性能不高，所以同样无法完成像网关杀毒、垃圾邮件、过滤、访问 监控等复杂功能。
X86架构是下一代防火墙理想的硬件平台，目前来看，没有其他平台可以代替。Cisco ASA 5500 is x86 based！



问题编号：54
提问内容： 我的PIX 525就做的透明模式,其中Dispatch Unit这个进程就占了200M的内存，重启PIX能够恢复现状,但之后20来天又来了，这是怎么回事呢?造成这种情况的原因?
回答内容： CSCse47150 这个是BUG ID。
Traceback in Thread Name: Dispatch Unit with ESMTP Inspect enabled
您可以配置您的防火墙 DISABLE ESMTP 然后观察结果。同时请确认您的OS版本，尽可能升级道OS 7.2.2





问题编号：55
提问内容： 前一段了解过5540,听说防毒模块不能用于5540,不知道现在解决了吗?还是现在高端的ASA可以用所有的扩展卡了?
回答内容： 您询问的应该是Anti-X 模块吧, 可以适用于ASA 5510/5520/5540 目前不支持外接模块的ASA产品只有,ASA5505及5550.

但是目前下单的时候不能购买BUNDLE方式下单ASA5540+CSC 因此 你可以通过备件方式定购CSC模块 然后安装到ASA 5540上面即可.



问题编号：56
提问内容： 我在你们的宣传资料里看ASA有四种版本，分别是防火墙版、IPS版、Anti-X版和SSL/IPsec VPN版。请问这四种是硬件设计不一样，还是功能卡不一样？是否可以通过更换功能

卡来实现其他版本的特性。另外是否可以同时支持这路个版本的特性。

回答内容： ASA的四种版本是思科专门为满足不同需求定制的。ASA硬件设计是一致的，都采用了AIM框架（Adaptive Identification and Mitigation Services Architecture ），核心是采用了模块化设计。所以防火墙是核心功能，而IPS、Anti-X模块化设计，卡上有相对独立的CUP和内存，所以多功能集成但性能不会下降。 可以根据需要自己选择功能卡。



问题编号：57
提问内容： 我们公司网络这600-800个人上网，跑个OA和一个财务软件！是用路由3825+ASA5510,还是不用路由直接用ASA5520不用路由啊！
回答内容： ASA 看您公司的需求而定,如果您是以太网接口入户那么选择ASA就可以了,但是如果考虑一些安全因素,可以如下考虑:
单一网关设备兼作防火墙使用:
那么可以配置ISR作为用户接入GATEWAY,配合启用IOS IPS功能对于网络中蠕虫及病毒的控制. 当然这一功能也可以使用ASA+AIP模块实现.
如果用户想使用IPS并且使用应用层防护的化(比如应用层过虑/病毒/垃圾邮件管理等
配置ISR作为IOS IPS使用,并且配置ASA+CSC 和并使用.



问题编号：58
提问内容： ASA产品与MARS两者的产品如何联动?对于网络攻击如何自动防护?
回答内容： MARS是通过SNMP实现与ASA及其它设备的联动的。
MARS如何自动防护网络攻击，首先MARS作为安全事件响应中心，可以从网络设备和多种安全设备上收集安全信息，然后描绘出攻击的路线图，即攻击者经过了哪些交换机、路由器、防火墙，到达攻击目标，MARS据此生成解决方案，需要控制的点一定应是最靠近攻击源的地方。
所以，如果攻击者来自于外部，就应该在FW上进行防护；如果攻击来自内部，MARS就会自动识别出它接入的交换机，在相关端口上进行控制，并给交换机发指令。



问题编号：59
1. 请问ASA除了anti-x,ips/ids,firewall,vpn这四个版本外，是不是还有个企业版，具备上面四种功能的整合呢？谢谢！
2. ASA是不是例如如果我购买VPN版的话，它就不具备FIREWALL的功能了呢？不可以像以往PIX一样我既可以作FIREWALL同时又可以使用普通的VPN？
3. CISCO目前是否有PIX的停产计划？ASA的配置是否与PIX OS 7.0相同呢？
4. 一直不明白Guard XT拿来防止DDOS攻击的，但为什么像下面的URL中figure2所示：
https://www.360docs.net/doc/875741263.html,/en/US/produ ... 00aecd800fa55e.html
这个Guard XT是旁挂在core switch的旁边，那怎么起到由INTERNET过来的流量先经过GUARD XT的清洗然后从DDOS中过滤出正常访问流量后再流入网络的作用呢？我的理解是应该INTERNET-CORE SWITCH-GUARD XT-LAN这样部署，我想知道GUARD XT在实际应用中真的是旁挂吗？如果是的话它怎么实现

清洗流量的功能呢？谢谢！
5. ASA如何防止DDOS攻击呢？有这样的功能吗？还是还需要购买其它的设备来实现？
6. 目前CISCO关于网络安全的产品太多了，除了ASA和PIX外，还有像MARS,SIMS和CTA,CSA,CCA等，能不能简单讲一下这些组件的主要用途？谢谢！

回答内容： －请参见问题3598的回答
－ASA可以既做FW，同时又可以使用VPN，并且还可以同时做IpSec VPN和 SSL VPN
－Cisco的策略是将PIX迁移到ASA自适应安全这新一代产品上来，ASA的FW配置与PIX相同
－Guard XT旁挂是最好的解决方案，基本原理是：Guard和异常流量检测器配合，流量异常检测器发现一个潜在攻击后，将向异常防护模块发出警报，通知其开始动态 转移，重导向发往攻击目标资源的流量，以进行检测和清理，所有其它流量则继续直接发往目的地。异常防护模块启动转移过程，即利用Cisco Catalyst设备内的思科路径状态注入（RHI）协议将路由更新信息插入到交换管理引擎中，使异常防护模块成为下一跳地址。流量被转向到guard， 在那里接受清理，并删除恶意流量。
－更多的内容请访问思科站点了解详细信息



问题编号：60
问题主题：如何有效控制客户端安全
提问内容： 面对公司内部用户群和接入模式多样化，如何有效控制客户端安全：
1：如何有效安全控制客户端？
2：如何有效保护公司内部服务器等生产数据和服务？
3：如何有效控制攻击或者感染区域，使受灾范围最小？
4：如何控制不合法（补丁和病毒）用户接入办公网？
回答内容： 保障客户端的安全需要综合的安全解决方案，针对不同的威胁采取不同的防范手段，思科提供了多种防护产品供用户按需选择：
1：CSA－思科安全代理，基于行为特征的主机保护产品
2: 保护服务器涉及多个层面的安全，可综合考虑ASA，IPS，CSA
3: MARS＋IPS，MARS－思科监控、分析、响应系统，能快速定位攻击者，可视化描绘攻击路线图，提供建议的解决方案，可迅速消除威胁
4: NAC－思科网络准入控制，用户身份认证、机器安全状态认证结合网络接入控制实现

问题编号：61
提问内容： 原来使用PIX作为网络防火墙,同时作为VPN设备,那么中心VPN server由PIX升级为ASA,那么分公司的防火墙等设备是否一样需要进行升级?
回答内容： 这种情况不需要升级，因为VPN的连接标准保持兼容性。



问题编号：62
提问内容： 我们公司是金融行业，一直以来对信息安全方面就很重视，正时公司网络改造升级，准备购置2台边界网络安全设备。通过最近在贵公司网站的了解，感觉ASA会是一个不错的选择。但还有一些疑问想请教
1. ASA 5550是性能最高的，为什么没有提供像55

40、5520同样的安全服务模块插槽，以提供IPS和Anti-X的版本？
2. 5510、5520、5540都只提供了1个安全服务模块插槽，那么功能方面只能选择标准防火墙、VPN、IPS组合或者标准防火墙、VPN、Anti-X组合？而没有办法将这四大功能集合在一台设备上？
3. 如果这样，我的设计思想是先购置2台Anti-X版本的ASA，提供防火墙、VPN、防病毒等功能，之间做HA，放台企业网络出口，使用 NAT/Route模式，再购置1或者2台IPS版本的ASA，使用透明模式接入网络，对网络流量提供入侵检测并保护的功能。请问这样设计是否科学？如果 专家们还有更好的设计解决方案，望给出。谢谢！

回答内容： ASA5550主要是以FW功能为主，它有8个GE端口，所以没有空余的扩展槽位，无法提供IPS/ANTI-X版本；目前没有办法提供4合1的版本，您的设想可以采用ASA Anti-X并配合IPS4200完成，这样会更节省费用。



问题编号：63
提问内容： 我单位核心两台7609,对外采用东软防火墙,为了更好的防御网络内部病毒和攻击,减少三层上VLAN 间的访问控制,想采用CISCO ASA产品,请问一下部署在7609核心上对网络整体性能是否影响,还是部署在数据中心接入交换机侧保护关键应用系统更为合理?另外4507R是否支持该 设备,还请专家给个合理方案,非常感谢.
回答内容： ASA更多面向边界安全，即企业对外的ISP互联接口，也可以用于数据中心防护边界。企业核心76、65设备可以考虑采用FWSM设备



问题编号：64
提问内容： P2P应用比如：国内比较流行的emule,bittorrent
IM这块:QQ,MSN呢？
回答内容： 首先限制从内至外的端口号，仅开发特定应用，例如80、443、23、25等等，然后利用FW在80等端口深度检测的功能，限制通过80进行tunnel的P2P/IM应用。



问题编号：65
提问内容： 请问，新一代防火墙对未知病毒的防御问题是什么新的功能？具体给介绍一下，新一代防火墙的管理功能是否有所提高？
回答内容： ASA可以利用AIP SSM的AD（异常检测）功能，进行针对未知病毒的监测与控制。AIP模块在日常工作中会创建网络流量的Baseline模型，当有未知病毒出现时，流量出现异常后，AIP会自动启动防护功能。

ASA的网络管理功能界面与PIX有很大提高，可以下载ASDM并启动demo模式进行体会。



问题编号：66
提问内容： 比如说是否会有工具把PIX上的配置文件转换成ASA上能用的，或者是不同大版本之间转换的。可以是独立的工具或者是在线工具。
回答内容： ASA的防火墙配置与PIX基本通用，其实是在全新平台上将PIX/IDS4200/VPN3000的操作系统集成之后的综合安全防护平台。



问题编号：67
提问内容： 思科提下一代防火墙，但是具体的

下一代防火墙包括那些内容，具体体现了那些技术呢，客户在投资安全方面的资金又能咋样的保证呢？
回答内容： 思科ASA5500系列自适应安全设备是思科推出的下一代防火墙安全解决方案，它是提供了新一代的安全性和VPN服务的模块化平台。企业可以根据特定需求定购不同版本，做到逐步购买、按需部署，灵活方便地实现安全功能的扩展。

https://www.360docs.net/doc/875741263.html,/web/CN/prod ... urity/products/asa/



问题编号：68
提问内容： 各位专家我想问一问你们,我们买了一台ASA5520的防火墙,对于这台防火墙它具体有哪些的功能能给我详细的讲解一下吗?它除了防火墙之外的功能外还能 做一些什么样的应用,如IPS,IDS,VPN,它和现在市场的UTM相比有什么好处,另外他能不能做流量控制和在透明模式下能做双WAN口吗?(注双 WAN口:就是在透明模式下能接两个出外网的路由器吗?就是一个接内网两个接外网)谢谢!
回答内容： 您可以先浏览一下这里:
https://www.360docs.net/doc/875741263.html,/web/CN/prod ... urity/products/asa/
透明模式模式接两个WAN,需要Switch 支持。



问题编号：69
提问内容： 前些日子，在局域网内的机子只要发生ip连续的冲突，被盗用ip的正常机子就中毒。中毒后的症状表现为：反映有所减慢，机器上的所有可执行文件不能使用， 双击其可执行启动文件，闪过一个黑框，什么都没有了。接着系统就报告出现系统文件保护，请插入cd恢复保护文件的提示。严重的导致系统崩溃。在中毒期间杀 毒软件是排不上用场，包括在安全模式下。与病毒斗争的时候发现它会在硬盘的某个地方建下自己的营垒，准备着对系统的随时破坏！
对于这种问题下一代防火墙或者专家们有什么更好的解决方案吗？
回答内容： 可以安全思科公司的CSA软件对终端系统加以保护