思科防火墻: 為抵抗DDoS粗暴進攻 防火墻必須更新換代點評
  • 10樓 Re: 思科防火墻: 為抵抗DDoS粗暴進攻 防火墻必須更新換代
  • 恢復PIX的口令

    恢復PIX的口令是通過運行相應軟件覆蓋當前運行的口令實現的。該軟件可以從Cisco站點下載,包含兩個文件:1,rawrite.exe ;2,根據PIX的IOS的不同選擇下列軟件之一, 
    nppix.bin (4.3 and earlier releases) 
    np44.bin (4.4 release) 
    np50.bin (5.0 release) 
    np51.bin (5.1 release)。 
    在恢復PIX口令之前應準備一臺操作終端(可以為PC機、筆記本PC等)通過CONSOL口與設備連接。下面為具體操作步驟,整個過程大約為10分鐘。 
    設備上有軟驅: 
    1 將包含上述文件的軟盤放如PIX的軟驅。 
    2 運行rawrite.exe文件,在操作終端的屏幕上回答相應問題。 
    3 重新啟動PIX設備,此時PIX會通過軟盤啟動,并提示:Erasing Flash Password. Please eject diskette and reboot。
    4 取出軟盤并重新啟動PIX設備,啟動后可不需口令進入高級用戶狀態。 
    5 重新設置口令并保存新配置。
    PIX設備上無軟驅:
    1 重新啟動PIX設備。 
    2 在設備加電后且在操作終端屏幕上重新啟動信息之前迅速按操作終端的break鍵或Esc鍵,進入監控狀態。 
    3 用interface命令選定一端口作為傳輸端口。PIX515上只有兩個端口,系統默認為內部端口。 
    4 用address命令配置IP地址。
    5 用server命令指定一遠端服務器。
    6 用file命令指定PIX password recovery file 的名稱,如:np51.bin。
    7 用ping命令檢測PIX設備與遠端服務器的聯通性。 
    8 用tftp命令下載指定的文件。 
    9 文件下載成功后操作終端顯示器會提示: 
      Do you wish to erase the passwords? [yn] y 
        Passwords have been erased.
    10 設置新的口令并保存新配置。
  • 作者:陳定國 2009-12-1 18:18:00
  • 7樓 Re: 思科防火墻: 為抵抗DDoS粗暴進攻 防火墻必須更新換代
  • 下面是我工作以來的配置總結,有些東西是6.3版本的,但不影響在7.*版本的配置。

    一:6個基本命令: nameif、 interface、 ip address 、nat、 global、 route。

    二:基本配置步驟:
    step1: 命名接口名字
    nameif ethernet0 outside security0
    nameif ethernet1 inside security100
    nameif ethernet2 dmz security50

    **7版本的配置是先進入接口再命名。

    step2:配置接口速率

    interface ethernet0 10full auto
    interface ethernet1 10full auto
    interface ethernet2 10full

    step3:配置接口地址

    ip address outside 218.106.185.82
    ip address inside 192.168.100.1 255.255.255.0
    ip address dmz 192.168.200.1 255.255.255.0

    step4:地址轉換(必須)

    * 安全高的區域訪問安全低的區域(即內部到外部)需NAT和global;
    nat(inside) 1 192.168.1.1 255.255.255.0
    global(outside) 1 222.240.254.193 255.255.255.248

    *** nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1這個地址不需要轉換。直接轉發出去。

    * 如果內部有服務器需要映射到公網地址(外網訪問內網)則需要static和conduit或者acl.
    static (inside, outside) 222.240.254.194 192.168.1.240
    static (inside, outside) 222.240.254.194 192.168.1.240 10000 10

    后面的10000為限制連接數,10為限制的半開連接數。

    conduit permit tcp host 222.240.254.194 eq www any
    conduit permit icmp any any (這個命令在做測試期間可以配置,測試完之后要關掉,防止不必要的漏洞)

    ACL實現的功能和conduit一樣都可實現策略訪問,只是ACL稍微麻煩點。conduit現在在7版本已經不能用了。
    Access-list 101 permit tcp any host 222.240.254.194 eq www
    Access-group 101 in interface outside (綁定到接口)

    ***允許任何地址到主機地址為222.240.254.194的www的tcp訪問。

    Step5:路由定義:
    Route outside 0 0 222.240.254.193 1
    Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1

    **如果內部網段不是直接接在防火墻內口,則需要配置到內部的路由。

    Step6:基礎配置完成,保存配置。
    Write memory write erase 清空配置
    reload

    回答者: jun4772191
  • 作者:gzhtcm 2009-12-1 16:04:00
  • 6樓 Re: 思科防火墻: 為抵抗DDoS粗暴進攻 防火墻必須更新換代
  • 思科提供了許多處理VPN連接性的方法,這使得排除VPN的故障和解決問題成為一個并不輕松的問題。從包括在某些思科路由器中的VPN性能到PIX防火墻所提供的VPN服務,再到思科的VPN Concentrator,其中的每一個都有其自身的特點。

    考慮到選項的復雜性,本文所討論的這些技巧并不一定適用于所有的思科VPN配置。不過,本文將會為您解決類似的VPN問題提供一個很好的起點。

    問題一:某個運行互聯網連接共享的用戶不能安裝思科3000 VPN客戶端。

    這個問題易于解決。用戶需要在安裝VPN客戶端之前在其機器上禁用ICS。筆者建議用戶用一個支持防火墻的路由器代替ICS。注意,如果VPN機器只是通過另外一個使用ICS的機器進行連接的話,這樣做就不必要了。要禁用ICS,可以單擊“開始(Start)”/“控制面板(Control Panel)”/“管理工具(Administrative Tools)”/“服務(Services)”/“Internet連接共享(Internet Connection Sharing)”,并禁用“在啟動時加載(Load On Startup)”選項。

    此外,還要保證用戶們知道VPN客戶端禁用了XP的歡迎屏幕和快速用戶切換,這些通常用在多用戶的家用電腦中。組合鍵[Ctrl]+[Alt]+[Delete]仍適用,而且用戶需要鍵入其用戶名和口令。(注意:快速用戶切換可以通過禁用客戶端的‘登錄前開始’特性禁用。不過,這也有其自身的問題,因此,除非你確實需要快速用戶切換,筆者并不推薦這樣做。)

    關于客戶端安裝的另外一個問題:思科并不推薦在同一的PC上安裝多個VPN客戶端。如果對此你有任何問題,并且需要支持,可以先卸載其它的客戶端,然后再打電話尋求支持。

    問題二:日志指示一個密鑰問題

    如果與預共享密鑰有關的日志中存在著錯誤,你就可能在VPN連接的任何一端上錯配密鑰。這種情況下,你的日志會指明客戶端與VPN服務器之間的交換很好地切合IKE的首要模式安全性。在這種交換之后,日志會指明一個密鑰問題。要解決之,可以在集中器上找到“配置(Configuration)”/“系統(System)”/“隧道協議(Tunneling Protocol)”/“IPSec局域網到局域網(IPSec LAN-to-LAN)”選項,并選擇你的IPSec配置。在預共享密鑰(Preshared Key)字段中,輸入你的預共享密鑰。在一個用于與集中器關聯的思科PIX防火墻上,應使用命令:

    sakmp key password address xx.xx.xx.xx netmask 255.255.255.255

    在這里的口令即是你的預共享密鑰。用于你的集中器中的密鑰和PIX防火墻上的密鑰應當正確地匹配。

    問題三:在試圖連接到VPN時,運行防火墻軟件的用戶報告錯誤

    在防火墻軟件中,有一些端口需要打開,如BlackIce(BlackIce也存在著與思科的VPN客戶端相關的其它問題。你可以參考它的發布注釋尋求更多的信息。),Zone Alarm,Symantec,還有Windows平臺的其它互聯網安全程序,以及Linux系統上的ipchains 和 iptables。總體而言,如果用戶在其軟件中打開了下面的端口,你就該看到一些抱怨的終結:

    UDP 端口: 500, 1000 和 10000

    IP 協議 50 (ESP)

    為IPSec/TCP而配置的TCP 端口

    NAT-T 端口 4500

    問題四:家庭VPN用戶抱怨說,在VPN連接建立后,他們不能訪問其家用網絡上的其它資源。

    一般而言,這種問題是由于禁用了隧道分離造成的。雖然隧道分離會引起安全風險,可以通過采取強健的、增強的安全策略而將這些風險減輕到某個程度,并自動地擴展到客戶端連接(例如,一個策略可能要求安裝最新的反病毒軟件或安裝一個防火墻)。在一個PIX上,可以使用這個命令來啟用隧道分離:

    vpngroup vpngroupname split-tunnel split_tunnel_acl

    你應當用對應的訪問列表命令來定義哪些內容可以通過加密的通道,哪些通信可以以明文的形式發送出去。例如:

    access-list split_tunnel_acl permit ip 10.0.0.0 255.255.0.0 any

    或者任何你指定的IP地址范圍。

    在一個思科Cisco Series 3000 VPN Concentrator 上,你需要告訴設備哪些網絡應通過加密通道通信。可以通過如下步驟進行:轉到“配置(Configuration)”/“用戶管理(User Management)”/“基群(Base Group)”,并且從“客戶配置(Client Config)”選項卡中,選擇“Only Tunnel Networks In The List(僅列表中的隧道網絡)”選項,并在你應該由VPN保護的站點上創建一個網絡列表,而且要在“Split Tunneling Network List(分離隧道網絡列表)”下拉列表框中選擇這個網絡列表。

    問題五:一個遠程用戶的網絡正在使用與VPN服務器的本地網絡相同的IP地址范圍(采用支持虛擬適配器的Client VPN 4.6,環境:Windows 2000/XP)

    對這些特定的操作系統來說,這可能有點兒特別,不過診斷Cisco VPN 4.6的這些IP地址沖突可能會使人灰心喪氣。在這些情況下,由于沖突的存在,那些假定通過VPN隧道的通信仍保留在本地。

    在受到影響的客戶端上,單擊“開始(Start)”/“控制面板(Control Panel)”/“網絡和撥號連接(Network And Dialup Connections)”/“本地適配器(local adapter)”,在適配器上右擊,并選擇“屬性(Properties)”。在“屬性(Properties)”頁上,選擇TCP/IP,然后單擊“屬性(Properties)”按鈕。下一步,單擊“高級(Advanced)”選項,找到“Interface Metric”選項,將其值增加1。這就有效地告訴了你的計算機第二次使用本地適配器。VPN適配器將可能擁有metric值1,這使它成為一個通信目地的首要選擇。

    問題六:某些路由器/固件組合引起了客戶端的VPN連接問題

    思科的VPN客戶端在一些較老的(有時是較新的)家用路由器中會產生問題,通常是針對特定的固件版本。如果你的用戶存在著一致的連接問題,就需要讓它們升級其路由器的固件,特別是在他們擁有一個較老的設備單元時。在眾多的路由器中,已知會產生思科客戶端問題的有:

    固件版本低于1.44的Linksys BEFW11S4

    固件版本低于2.15的Asante FR3004 Cable/DSL 路由器

    Nexland Cable/DSL 路由器型號 ISB2LAN

    如果所有其它的措施都失效,可以將一個空閑的路由器給用戶使用,幫助它們限制潛在的問題范圍。最終有問題的路由器可能需要替換。

    問題七:用戶報告說,在他們試圖建立連接時,其客戶端連接會終結

    在這種情況下,用戶會看到一個錯誤消息,類似于“VPN Connection terminated locally by the Client. Reason 403: Unable to contact the security gateway”( VPN連接被客戶端終結。原因403:不能聯系到安全網關。)這種錯誤可能是由多種原因造成的:

    用戶可能輸入了不正確的組口令

    用戶可能并沒有為遠程VPN端點鍵入恰當的名稱或IP地址

    用戶可能存在著其它的互聯網連接問題

    基本而言,由于某種原因,IKE協商會失效。你可以檢查客戶端的日志,(單擊log/enable),設法找到使哈希認證無法進一步縮小問題范圍的錯誤。

    問題八:從NAT設備后建立一個VPN連接時,發生故障;或者建立一個到NAT設備后的VPN服務器的連接時,發生故障。

    在允許傳輸期間對數據包的頭部進行修改之前,這個問題是固有的,所以這個問題出現在所有的思科VPN硬件中。要糾正這個問題,就要在你的硬件上啟用NAT-Traversal (NAT-T),并允許UDP端口4500通過防火墻。

    如果你正將一個PIX防火墻既用作防火墻又用作VPN端點,就要在你的配置中用命令nat-traversal 20啟用NAT-T,并打開4500端口。這里的20
  • 作者:ghbv 2009-12-1 16:03:00
  • 5樓 Re: 思科防火墻: 為抵抗DDoS粗暴進攻 防火墻必須更新換代
  • 如何配置防火墻開放一個地址,讓局域網內的機子都可以訪問這個服務器,服務器的地址是:211.147.215.135,端口號是:358
    從進入界面 一直到配置完畢 請舉例說明 大致就可以了 最好通俗易懂一點
  • 作者:森 2009-12-1 15:34:00
首頁 | 前頁 | 后頁 | 尾頁分頁 1/1 [1]
思科防火墻: 為抵抗DDoS粗暴進攻 防火墻必須更新換代的評論

點評
字數0
姓名
  • ·尊重網上道德,遵守中華人民共和國的各項有關法律法規 ·承擔一切因您的行為而直接或間接導致的民事或刑事法律責任 ·本站管理人員有權保留或刪除其管轄留言中的任意內容 ·本站有權在網站內轉載或引用您的評論 ·參與本評論即表明您已經閱讀并接受上述條款