问题编号:50
提问内容: 我的pix os是7.22
pix525# sh ver 
Cisco PIX Security Appliance Software Version 7.2(2) 
但是没有DISABLE ESMTP这条命令
pix525(config)# disable ?
exec mode commands/options:
回答内容: 
policy-map global_policy
class inspection_default
inspect dns preset_dns_map 
inspect ftp 
inspect h323 h225 
inspect h323 ras 
inspect netbios 
inspect rsh 
inspect rtsp 
inspect skinny 
inspect esmtp 
inspect sqlnet 
inspect sunrpc 
inspect tftp 
inspect sip 
inspect xdmcp
入上面所示,进入policy-map global_policy,然后NO INSPECT ESMTP即可。

问题编号:51
提问内容: 我们公司新购了一台ASA5520和5510的IPS模块,现在不知道IPS如何配置才能充分发挥这台新设备的功能,请专家指导。
回答内容: 如果您考虑发挥IPS的功能,首先需要您了解IPS的功能,目前ASA 5500 系列产品的IPS模块可以支持旁路和串联两种模式,在旁路模式中可以通过防火墙实现联动防护,在串联中可以对***和恶意流量进行直接的丢弃。同时最新的IPS OSV6 版本可以支持主机水印识别,这样可以对网络主机环境全面了解,实现针对性的安全防护。同时最新的AD功能加强了对蠕虫***的防护,在不进行Signature更新的情况下,有效的防护最新的蠕虫病毒的***。所以建议您可以综合使用这些功能,以实现最大发挥IPS的作用。另外,推荐您和客户进一步沟通,加入我们的Mars产品,现行的网络中仅依靠IPS 是不能真正保护网络安全的,Mars产品可以实现***路径定位,最佳***缓解建议,实现正在意义上的网络安全及防护。
IPS模块 配置指南可以参考下面的链接:
[url]http://www.cisco.com/en/US/products/hw/***devc/ps4077/products_configuration_guide_book09186a008055dbb1.html[/url]

问题编号:52
提问内容: 据悉,asa共有四个版本,即anti-x,***,ips,firewall,请问这四个版本的功能能否集成到一台asa设备上。如果可以的话,是不是插aip和csc module 就可以实现了?而且asa各个系列是不是就一个扩展口插槽(只能csc/aip两者选其一)。
回答内容: ASA系列本身是一个"ALL IN ONE"的设备。其中5510/5520/5540只具备一个插槽,5550无额外插槽。ASA最基本的功能就是Firewall功能,***功能。注意,缺省状态下有2个SSL ××× license,如需更多则需要购买license。ASA本身有两种功能性模块,就是您提到的AIP 和 CSC。因为5510/20/40系列本身只有一个插槽,因此我们只能插入AIP模块或者CSC模块。但本身ASA内置就已经具备了IPS功能和防病毒功能,只不过他们是soft实现的。因此,这四个功能是可以集成到一台ASA上的。

问题编号:53
提问内容: 请问asa采用的是什么架构?
回答内容: 目前主流的防火墙平台主要有一下几类:
第一类是基于x86平台的,这种平台通常使用一颗或多颗主CPU来处理业务数据,网卡芯片和CPU通过PCI总线来传输数据。由于传统的32位PCI总线频率为33MHZ,所以,理论通讯速率为:132 MB/s即:1056 Mb/s。
第二类,基于ASIC架构的防火墙、UTM产品。但ASIC架构做为UTM就不是理想的选择,因为ASIC架构不可能把像网关杀毒、垃圾邮件过滤、网络监控等这些功能做到芯片一级去。
第三类,基于NP架构的防火墙。NP架构实现的原理和ASIC类似,但升级、维护远远好于ASIC 架构。NP架构在每个网口上都有一个网络处理器,即:NPE,用来处理来自网口的数据。每个网络处理器上所运行的程序使用微码编程,其软件实现的难度比较大,开发周期比ASIC短,但比x86长。作为UTM,由于NP架构每个网口上的网络处理器性能不高,所以同样无法完成像网关杀毒、垃圾邮件、过滤、访问监控等复杂功能。
X86架构是下一代防火墙理想的硬件平台,目前来看,没有其他平台可以代替。Cisco ASA 5500 is x86 based!

问题编号:54
提问内容: 我的PIX 525就做的透明模式,其中Dispatch Unit这个进程就占了200M的内存,重启PIX能够恢复现状,但之后20来天又来了,这是怎么回事呢?造成这种情况的原因?
回答内容: CSCse47150 这个是BUG ID。
Traceback in Thread Name: Dispatch Unit with ESMTP Inspect enabled 
您可以配置您的防火墙 DISABLE ESMTP 然后观察结果。同时请确认您的OS版本,尽可能升级道OS 7.2.2


问题编号:55
提问内容: 前一段了解过5540,听说防毒模块不能用于5540,不知道现在解决了吗?还是现在高端的ASA可以用所有的扩展卡了?
回答内容: 您询问的应该是Anti-X 模块吧, 可以适用于ASA 5510/5520/5540 目前不支持外接模块的ASA产品只有,ASA5505及5550.
但是目前下单的时候不能购买BUNDLE方式下单ASA5540+CSC 因此 你可以通过备件方式定购CSC模块 然后安装到ASA 5540上面即可.

问题编号:56
提问内容: 我在你们的宣传资料里看ASA有四种版本,分别是防火墙版、IPS版、Anti-X版和SSL/IPsec ×××版。请问这四种是硬件设计不一样,还是功能卡不一样?是否可以通过更换功能卡来实现其他版本的特性。另外是否可以同时支持这路个版本的特性。
回答内容: ASA的四种版本是思科专门为满足不同需求定制的。ASA硬件设计是一致的,都采用了AIM框架(Adaptive Identification and Mitigation Services Architecture ),核心是采用了模块化设计。所以防火墙是核心功能,而IPS、Anti-X模块化设计,卡上有相对独立的CUP和内存,所以多功能集成但性能不会下降。可以根据需要自己选择功能卡。

问题编号:57
提问内容: 我们公司网络这600-800个人上网,跑个OA和一个财务软件!是用路由3825+ASA5510,还是不用路由直接用ASA5520不用路由啊!
回答内容: ASA 看您公司的需求而定,如果您是以太网接口入户那么选择ASA就可以了,但是如果考虑一些安全因素,可以如下考虑:
单一网关设备兼作防火墙使用:
那么可以配置ISR作为用户接入GATEWAY,配合启用IOS IPS功能对于网络中蠕虫及病毒的控制. 当然这一功能也可以使用ASA+AIP模块实现.
如果用户想使用IPS并且使用应用层防护的化(比如应用层过虑/病毒/垃圾邮件管理等
配置ISR作为IOS IPS使用,并且配置ASA+CSC 和并使用.

问题编号:58
提问内容: ASA产品与MARS两者的产品如何联动?对于网络***如何自动防护?
回答内容: MARS是通过SNMP实现与ASA及其它设备的联动的。
MARS如何自动防护网络***,首先MARS作为安全事件响应中心,可以从网络设备和多种安全设备上收集安全信息,然后描绘出***的路线图,即***者经过了哪些交换机、路由器、防火墙,到达***目标,MARS据此生成解决方案,需要控制的点一定应是最靠近***源的地方。
所以,如果***者来自于外部,就应该在FW上进行防护;如果***来自内部,MARS就会自动识别出它接入的交换机,在相关端口上进行控制,并给交换机发指令。

问题编号:59
1. 请问ASA除了anti-x,ips/ids,firewall,***这四个版本外,是不是还有个企业版,具备上面四种功能的整合呢?谢谢!
2. ASA是不是例如如果我购买×××版的话,它就不具备FIREWALL的功能了呢?不可以像以往PIX一样我既可以作FIREWALL同时又可以使用普通的×××?
3. CISCO目前是否有PIX的停产计划?ASA的配置是否与PIX OS 7.0相同呢?
4. 一直不明白Guard XT拿来防止DDOS***的,但为什么像下面的URL中figure2所示:
[url]http://www.cisco.com/en/US/products/ps5888/products_data_sheet0900aecd800fa55e.html[/url]
这个Guard XT是旁挂在core switch的旁边,那怎么起到由INTERNET过来的流量先经过GUARD XT的清洗然后从DDOS中过滤出正常访问流量后再流入网络的作用呢?我的理解是应该INTERNET-CORE SWITCH-GUARD XT-LAN这样部署,我想知道GUARD XT在实际应用中真的是旁挂吗?如果是的话它怎么实现清洗流量的功能呢?谢谢!
5. ASA如何防止DDOS***呢?有这样的功能吗?还是还需要购买其它的设备来实现?
6. 目前CISCO关于网络安全的产品太多了,除了ASA和PIX外,还有像MARS,SIMS和CTA,CSA,CCA等,能不能简单讲一下这些组件的主要用途?谢谢!
回答内容: -请参见问题3598的回答
-ASA可以既做FW,同时又可以使用×××,并且还可以同时做IpSec ×××和 SSL ×××
-Cisco的策略是将PIX迁移到ASA自适应安全这新一代产品上来,ASA的FW配置与PIX相同
-Guard XT旁挂是最好的解决方案,基本原理是:Guard和异常流量检测器配合,流量异常检测器发现一个潜在***后,将向异常防护模块发出警报,通知其开始动态转移,重导向发往***目标资源的流量,以进行检测和清理,所有其它流量则继续直接发往目的地。异常防护模块启动转移过程,即利用Cisco Catalyst设备内的思科路径状态注入(RHI)协议将路由更新信息插入到交换管理引擎中,使异常防护模块成为下一跳地址。流量被转向到guard,在那里接受清理,并删除恶意流量。
-更多的内容请访问思科站点了解详细信息

问题编号:60
问题主题:如何有效控制客户端安全
提问内容: 面对公司内部用户群和接入模式多样化,如何有效控制客户端安全:
1:如何有效安全控制客户端?
2:如何有效保护公司内部服务器等生产数据和服务?
3:如何有效控制***或者感染区域,使受灾范围最小?
4:如何控制不合法(补丁和病毒)用户接入办公网?
回答内容: 保障客户端的安全需要综合的安全解决方案,针对不同的威胁采取不同的防范手段,思科提供了多种防护产品供用户按需选择:
1:CSA-思科安全代理,基于行为特征的主机保护产品
2: 保护服务器涉及多个层面的安全,可综合考虑ASA,IPS,CSA
3: MARS+IPS,MARS-思科监控、分析、响应系统,能快速定位***者,可视化描绘***路线图,提供建议的解决方案,可迅速消除威胁
4: NAC-思科网络准入控制,用户身份认证、机器安全状态认证结合网络接入控制实现

问题编号:61
提问内容: 原来使用PIX作为网络防火墙,同时作为×××设备,那么中心××× server由PIX升级为ASA,那么分公司的防火墙等设备是否一样需要进行升级?
回答内容: 这种情况不需要升级,因为×××的连接标准保持兼容性。

问题编号:62
提问内容: 我们公司是金融行业,一直以来对信息安全方面就很重视,正时公司网络改造升级,准备购置2台边界网络安全设备。通过最近在贵公司网站的了解,感觉ASA会是一个不错的选择。但还有一些疑问想请教
1. ASA 5550是性能最高的,为什么没有提供像5540、5520同样的安全服务模块插槽,以提供IPS和Anti-X的版本?
2. 5510、5520、5540都只提供了1个安全服务模块插槽,那么功能方面只能选择标准防火墙、×××、IPS组合或者标准防火墙、×××、Anti-X组合?而没有办法将这四大功能集合在一台设备上?
3. 如果这样,我的设计思想是先购置2台Anti-X版本的ASA,提供防火墙、×××、防病毒等功能,之间做HA,放台企业网络出口,使用NAT/Route模式,再购置1或者2台IPS版本的ASA,使用透明模式接入网络,对网络流量提供***检测并保护的功能。请问这样设计是否科学?如果专家们还有更好的设计解决方案,望给出。谢谢!
回答内容: ASA5550主要是以FW功能为主,它有8个GE端口,所以没有空余的扩展槽位,无法提供IPS/ANTI-X版本;目前没有办法提供4合1的版本,您的设想可以采用ASA Anti-X并配合IPS4200完成,这样会更节省费用。

问题编号:63
提问内容: 我单位核心两台7609,对外采用东软防火墙,为了更好的防御网络内部病毒和***,减少三层上VLAN 间的访问控制,想采用CISCO ASA产品,请问一下部署在7609核心上对网络整体性能是否影响,还是部署在数据中心接入交换机侧保护关键应用系统更为合理?另外4507R是否支持该设备,还请专家给个合理方案,非常感谢.
回答内容: ASA更多面向边界安全,即企业对外的ISP互联接口,也可以用于数据中心防护边界。企业核心76、65设备可以考虑采用FWSM设备

问题编号:64
提问内容: P2P应用比如:国内比较流行的emule,bittorrent
IM这块Q,MSN呢?
回答内容: 首先限制从内至外的端口号,仅开发特定应用,例如80、443、23、25等等,然后利用FW在80等端口深度检测的功能,限制通过80进行tunnel的P2P/IM应用。

问题编号:65
提问内容: 请问,新一代防火墙对未知病毒的防御问题是什么新的功能?具体给介绍一下,新一代防火墙的管理功能是否有所提高?
回答内容: ASA可以利用AIP SSM的AD(异常检测)功能,进行针对未知病毒的监测与控制。AIP模块在日常工作中会创建网络流量的Baseline模型,当有未知病毒出现时,流量出现异常后,AIP会自动启动防护功能。
ASA的网络管理功能界面与PIX有很大提高,可以下载ASDM并启动demo模式进行体会。

问题编号:66
提问内容: 比如说是否会有工具把PIX上的配置文件转换成ASA上能用的,或者是不同大版本之间转换的。可以是独立的工具或者是在线工具。
回答内容: ASA的防火墙配置与PIX基本通用,其实是在全新平台上将PIX/IDS4200/×××3000的操作系统集成之后的综合安全防护平台。

问题编号:67
提问内容: 思科提下一代防火墙,但是具体的下一代防火墙包括那些内容,具体体现了那些技术呢,客户在投资安全方面的资金又能咋样的保证呢?
回答内容: 思科ASA5500系列自适应安全设备是思科推出的下一代防火墙安全解决方案,它是提供了新一代的安全性和×××服务的模块化平台。企业可以根据特定需求定购不同版本,做到逐步购买、按需部署,灵活方便地实现安全功能的扩展。
[url]http://www.cisco.com/web/CN/products/products_netsol/security/products/asa/[/url]

问题编号:68
提问内容: 各位专家我想问一问你们,我们买了一台ASA5520的防火墙,对于这台防火墙它具体有哪些的功能能给我详细的讲解一下吗?它除了防火墙之外的功能外还能做一些什么样的应用,如IPS,IDS,×××,它和现在市场的UTM相比有什么好处,另外他能不能做流量控制和在透明模式下能做双WAN口吗?(注双WAN口:就是在透明模式下能接两个出外网的路由器吗?就是一个接内网两个接外网)谢谢!
回答内容: 您可以先浏览一下这里:
[url]http://www.cisco.com/web/CN/products/products_netsol/security/products/asa/[/url]
透明模式模式接两个WAN,需要Switch 支持。

问题编号:69
提问内容: 前些日子,在局域网内的机子只要发生ip连续的冲突,被盗用ip的正常机子就中毒。中毒后的症状表现为:反映有所减慢,机器上的所有可执行文件不能使用,双击其可执行启动文件,闪过一个黑框,什么都没有了。接着系统就报告出现系统文件保护,请插入cd恢复保护文件的提示。严重的导致系统崩溃。在中毒期间杀毒软件是排不上用场,包括在安全模式下。与病毒斗争的时候发现它会在硬盘的某个地方建下自己的营垒,准备着对系统的随时破坏!
对于这种问题下一代防火墙或者专家们有什么更好的解决方案吗?
回答内容: 可以安全思科公司的CSA软件对终端系统加以保护。
[url]http://www.cisco.com/web/CN/products/products_netsol/security/products/csa/[/url]