思科防火墙: 为抵抗DDoS粗暴进攻 防火墙必须更新换代点评
  • 10楼 Re: 思科防火墙: 为抵抗DDoS粗暴进攻 防火墙必须更新换代
  • 恢复PIX的口令

    恢复PIX的口令是通过运行相应软件覆盖当前运行的口令实现的。该软件可以从Cisco站点下载,包含两个文件:1,rawrite.exe ;2,根据PIX的IOS的不同选择下列软件之一, 
    nppix.bin (4.3 and earlier releases) 
    np44.bin (4.4 release) 
    np50.bin (5.0 release) 
    np51.bin (5.1 release)。 
    在恢复PIX口令之前应准备一台操作终端(可以为PC机、笔记本PC等)通过CONSOL口与设备连接。下面为具体操作步骤,整个过程大约为10分钟。 
    设备上有软驱: 
    1 将包含上述文件的软盘放如PIX的软驱。 
    2 运行rawrite.exe文件,在操作终端的屏幕上回答相应问题。 
    3 重新启动PIX设备,此时PIX会通过软盘启动,并提示:Erasing Flash Password. Please eject diskette and reboot。
    4 取出软盘并重新启动PIX设备,启动后可不需口令进入高级用户状态。 
    5 重新设置口令并保存新配置。
    PIX设备上无软驱:
    1 重新启动PIX设备。 
    2 在设备加电后且在操作终端屏幕上重新启动信息之前迅速按操作终端的break键或Esc键,进入监控状态。 
    3 用interface命令选定一端口作为传输端口。PIX515上只有两个端口,系统默认为内部端口。 
    4 用address命令配置IP地址。
    5 用server命令指定一远端服务器。
    6 用file命令指定PIX password recovery file 的名称,如:np51.bin。
    7 用ping命令检测PIX设备与远端服务器的联通性。 
    8 用tftp命令下载指定的文件。 
    9 文件下载成功后操作终端显示器会提示: 
      Do you wish to erase the passwords? [yn] y 
        Passwords have been erased.
    10 设置新的口令并保存新配置。
  • 作者:陈定国 2009-12-1 18:18:00
  • 7楼 Re: 思科防火墙: 为抵抗DDoS粗暴进攻 防火墙必须更新换代
  • 下面是我工作以来的配置总结,有些东西是6.3版本的,但不影响在7.*版本的配置。

    一:6个基本命令: nameif、 interface、 ip address 、nat、 global、 route。

    二:基本配置步骤:
    step1: 命名接口名字
    nameif ethernet0 outside security0
    nameif ethernet1 inside security100
    nameif ethernet2 dmz security50

    **7版本的配置是先进入接口再命名。

    step2:配置接口速率

    interface ethernet0 10full auto
    interface ethernet1 10full auto
    interface ethernet2 10full

    step3:配置接口地址

    ip address outside 218.106.185.82
    ip address inside 192.168.100.1 255.255.255.0
    ip address dmz 192.168.200.1 255.255.255.0

    step4:地址转换(必须)

    * 安全高的区域访问安全低的区域(即内部到外部)需NAT和global;
    nat(inside) 1 192.168.1.1 255.255.255.0
    global(outside) 1 222.240.254.193 255.255.255.248

    *** nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。直接转发出去。

    * 如果内部有服务器需要映射到公网地址(外网访问内网)则需要static和conduit或者acl.
    static (inside, outside) 222.240.254.194 192.168.1.240
    static (inside, outside) 222.240.254.194 192.168.1.240 10000 10

    后面的10000为限制连接数,10为限制的半开连接数。

    conduit permit tcp host 222.240.254.194 eq www any
    conduit permit icmp any any (这个命令在做测试期间可以配置,测试完之后要关掉,防止不必要的漏洞)

    ACL实现的功能和conduit一样都可实现策略访问,只是ACL稍微麻烦点。conduit现在在7版本已经不能用了。
    Access-list 101 permit tcp any host 222.240.254.194 eq www
    Access-group 101 in interface outside (绑定到接口)

    ***允许任何地址到主机地址为222.240.254.194的www的tcp访问。

    Step5:路由定义:
    Route outside 0 0 222.240.254.193 1
    Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1

    **如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。

    Step6:基础配置完成,保存配置。
    Write memory write erase 清空配置
    reload

    回答者: jun4772191
  • 作者:gzhtcm 2009-12-1 16:04:00
  • 6楼 Re: 思科防火墙: 为抵抗DDoS粗暴进攻 防火墙必须更新换代
  • 思科提供了许多处理VPN连接性的方法,这使得排除VPN的故障和解决问题成为一个并不轻松的问题。从包括在某些思科路由器中的VPN性能到PIX防火墙所提供的VPN服务,再到思科的VPN Concentrator,其中的每一个都有其自身的特点。

    考虑到选项的复杂性,本文所讨论的这些技巧并不一定适用于所有的思科VPN配置。不过,本文将会为您解决类似的VPN问题提供一个很好的起点。

    问题一:某个运行互联网连接共享的用户不能安装思科3000 VPN客户端。

    这个问题易于解决。用户需要在安装VPN客户端之前在其机器上禁用ICS。笔者建议用户用一个支持防火墙的路由器代替ICS。注意,如果VPN机器只是通过另外一个使用ICS的机器进行连接的话,这样做就不必要了。要禁用ICS,可以单击“开始(Start)”/“控制面板(Control Panel)”/“管理工具(Administrative Tools)”/“服务(Services)”/“Internet连接共享(Internet Connection Sharing)”,并禁用“在启动时加载(Load On Startup)”选项。

    此外,还要保证用户们知道VPN客户端禁用了XP的欢迎屏幕和快速用户切换,这些通常用在多用户的家用电脑中。组合键[Ctrl]+[Alt]+[Delete]仍适用,而且用户需要键入其用户名和口令。(注意:快速用户切换可以通过禁用客户端的‘登录前开始’特性禁用。不过,这也有其自身的问题,因此,除非你确实需要快速用户切换,笔者并不推荐这样做。)

    关于客户端安装的另外一个问题:思科并不推荐在同一的PC上安装多个VPN客户端。如果对此你有任何问题,并且需要支持,可以先卸载其它的客户端,然后再打电话寻求支持。

    问题二:日志指示一个密钥问题

    如果与预共享密钥有关的日志中存在着错误,你就可能在VPN连接的任何一端上错配密钥。这种情况下,你的日志会指明客户端与VPN服务器之间的交换很好地切合IKE的首要模式安全性。在这种交换之后,日志会指明一个密钥问题。要解决之,可以在集中器上找到“配置(Configuration)”/“系统(System)”/“隧道协议(Tunneling Protocol)”/“IPSec局域网到局域网(IPSec LAN-to-LAN)”选项,并选择你的IPSec配置。在预共享密钥(Preshared Key)字段中,输入你的预共享密钥。在一个用于与集中器关联的思科PIX防火墙上,应使用命令:

    sakmp key password address xx.xx.xx.xx netmask 255.255.255.255

    在这里的口令即是你的预共享密钥。用于你的集中器中的密钥和PIX防火墙上的密钥应当正确地匹配。

    问题三:在试图连接到VPN时,运行防火墙软件的用户报告错误

    在防火墙软件中,有一些端口需要打开,如BlackIce(BlackIce也存在着与思科的VPN客户端相关的其它问题。你可以参考它的发布注释寻求更多的信息。),Zone Alarm,Symantec,还有Windows平台的其它互联网安全程序,以及Linux系统上的ipchains 和 iptables。总体而言,如果用户在其软件中打开了下面的端口,你就该看到一些抱怨的终结:

    UDP 端口: 500, 1000 和 10000

    IP 协议 50 (ESP)

    为IPSec/TCP而配置的TCP 端口

    NAT-T 端口 4500

    问题四:家庭VPN用户抱怨说,在VPN连接建立后,他们不能访问其家用网络上的其它资源。

    一般而言,这种问题是由于禁用了隧道分离造成的。虽然隧道分离会引起安全风险,可以通过采取强健的、增强的安全策略而将这些风险减轻到某个程度,并自动地扩展到客户端连接(例如,一个策略可能要求安装最新的反病毒软件或安装一个防火墙)。在一个PIX上,可以使用这个命令来启用隧道分离:

    vpngroup vpngroupname split-tunnel split_tunnel_acl

    你应当用对应的访问列表命令来定义哪些内容可以通过加密的通道,哪些通信可以以明文的形式发送出去。例如:

    access-list split_tunnel_acl permit ip 10.0.0.0 255.255.0.0 any

    或者任何你指定的IP地址范围。

    在一个思科Cisco Series 3000 VPN Concentrator 上,你需要告诉设备哪些网络应通过加密通道通信。可以通过如下步骤进行:转到“配置(Configuration)”/“用户管理(User Management)”/“基群(Base Group)”,并且从“客户配置(Client Config)”选项卡中,选择“Only Tunnel Networks In The List(仅列表中的隧道网络)”选项,并在你应该由VPN保护的站点上创建一个网络列表,而且要在“Split Tunneling Network List(分离隧道网络列表)”下拉列表框中选择这个网络列表。

    问题五:一个远程用户的网络正在使用与VPN服务器的本地网络相同的IP地址范围(采用支持虚拟适配器的Client VPN 4.6,环境:Windows 2000/XP)

    对这些特定的操作系统来说,这可能有点儿特别,不过诊断Cisco VPN 4.6的这些IP地址冲突可能会使人灰心丧气。在这些情况下,由于冲突的存在,那些假定通过VPN隧道的通信仍保留在本地。

    在受到影响的客户端上,单击“开始(Start)”/“控制面板(Control Panel)”/“网络和拨号连接(Network And Dialup Connections)”/“本地适配器(local adapter)”,在适配器上右击,并选择“属性(Properties)”。在“属性(Properties)”页上,选择TCP/IP,然后单击“属性(Properties)”按钮。下一步,单击“高级(Advanced)”选项,找到“Interface Metric”选项,将其值增加1。这就有效地告诉了你的计算机第二次使用本地适配器。VPN适配器将可能拥有metric值1,这使它成为一个通信目地的首要选择。

    问题六:某些路由器/固件组合引起了客户端的VPN连接问题

    思科的VPN客户端在一些较老的(有时是较新的)家用路由器中会产生问题,通常是针对特定的固件版本。如果你的用户存在着一致的连接问题,就需要让它们升级其路由器的固件,特别是在他们拥有一个较老的设备单元时。在众多的路由器中,已知会产生思科客户端问题的有:

    固件版本低于1.44的Linksys BEFW11S4

    固件版本低于2.15的Asante FR3004 Cable/DSL 路由器

    Nexland Cable/DSL 路由器型号 ISB2LAN

    如果所有其它的措施都失效,可以将一个空闲的路由器给用户使用,帮助它们限制潜在的问题范围。最终有问题的路由器可能需要替换。

    问题七:用户报告说,在他们试图建立连接时,其客户端连接会终结

    在这种情况下,用户会看到一个错误消息,类似于“VPN Connection terminated locally by the Client. Reason 403: Unable to contact the security gateway”( VPN连接被客户端终结。原因403:不能联系到安全网关。)这种错误可能是由多种原因造成的:

    用户可能输入了不正确的组口令

    用户可能并没有为远程VPN端点键入恰当的名称或IP地址

    用户可能存在着其它的互联网连接问题

    基本而言,由于某种原因,IKE协商会失效。你可以检查客户端的日志,(单击log/enable),设法找到使哈希认证无法进一步缩小问题范围的错误。

    问题八:从NAT设备后建立一个VPN连接时,发生故障;或者建立一个到NAT设备后的VPN服务器的连接时,发生故障。

    在允许传输期间对数据包的头部进行修改之前,这个问题是固有的,所以这个问题出现在所有的思科VPN硬件中。要纠正这个问题,就要在你的硬件上启用NAT-Traversal (NAT-T),并允许UDP端口4500通过防火墙。

    如果你正将一个PIX防火墙既用作防火墙又用作VPN端点,就要在你的配置中用命令nat-traversal 20启用NAT-T,并打开4500端口。这里的20
  • 作者:ghbv 2009-12-1 16:03:00
  • 5楼 Re: 思科防火墙: 为抵抗DDoS粗暴进攻 防火墙必须更新换代
  • 如何配置防火墙开放一个地址,让局域网内的机子都可以访问这个服务器,服务器的地址是:211.147.215.135,端口号是:358
    从进入界面 一直到配置完毕 请举例说明 大致就可以了 最好通俗易懂一点
  • 作者:森 2009-12-1 15:34:00
首页 | 前页 | 后页 | 尾页分页 1/1 [1]
思科防火墙: 为抵抗DDoS粗暴进攻 防火墙必须更新换代的评论

点评
字数0
姓名
  • ·尊重网上道德,遵守中华人民共和国的各项有关法律法规 ·承担一切因您的行为而直接或间接导致的民事或刑事法律责任 ·本站管理人员有权保留或删除其管辖留言中的任意内容 ·本站有权在网站内转载或引用您的评论 ·参与本评论即表明您已经阅读并接受上述条款