Segurança : Dispositivos de segurança Cisco PIX 500 Series

Perguntas mais freqüentes sobre o Cisco Secure PIX Firewall

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (22 Janeiro 2009) | Inglês (22 Agosto 2015) | Feedback


Perguntas


Introdução

Este documento contém as perguntas freqüentemente (FAQs) a respeito do Cisco Secure PIX Firewall.

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Hardware

Q. Eu quero instalar uma placa de interface nova em meu firewall PIX segura Cisco. Que entalhe devo eu o instalar dentro?

A. Cada modelo de PIX é diferente. Vá à documentação de PIX e selecione sua versão de software. Dessa página, o Guia de Instalação seleto, e seleciona então a instalação de uma placa de circuito para diagramas detalhados e instruções.

Q. Eu estou tentando instalar uma placa de interface nova em meu firewall PIX segura Cisco. A placa parece ser muito grande para qualquer um dos slots. Eu tenho a parte errada?

A. É normal para alguns dos dentes dourados no cartão estender após a borda do soquete.

Q. Meu firewall PIX segura Cisco enviado com duas placas do Ethernet. Eu estou adicionando interfaces adicionais e agora não carreg ao comando prompt.

A. O número de interfaces suportadas depende do modelo, da versão do software e da licença do PIX. Refira a documentação de PIX para encontrar sobre interfaces física máximas, e as interfaces de VLAN máximas que podem ser configuradas em PIX 6.3 (a versão a mais atrasada até à data do da escrita deste documento).

Q. Eu preciso de estabelecer uma conexão de console com meu firewall PIX segura Cisco. Que tipo de cabo devo usar?

A. Use um modem a cabo nulo DB9 a DB9, disponível na maioria das lojas de informática. Às vezes, o Cisco Secure PIX Firewall vem com dois adaptadores DB9 para RJ-45. Se você tem estes adaptadores, conecte um ao firewall PIX segura Cisco, e o outro à porta serial de seu PC. Use um cabo de rollover (não um cabo crossover) para conectar entre os dois adaptadores RJ-45. Ajuste suas configurações de hiperterminal ao N81, nenhum controle de fluxo, 9600 baud. Se você ainda tem o problema, verifique sua configuração da porta COM PC e verifique-a que setup e trabalha corretamente. Se você está seguro tudo mais setup corretamente, testa-a em um roteador ou em um interruptor e vê-o se você obtém uma alerta lá. Refira a documentação de PIX para sua versão de software de PIX para mais informação. Dessa página, o Guia de Instalação seleto, e seleciona então instalando cabos de interface para diagramas detalhados e instruções.

Q. Onde está a unidade de disquete no modelo PIX 520?

A. É ficado situado atrás de uma placa de metal pequena na parte dianteira no canto esquerdo superior. Remova os dois parafusos apertados com os dedos para obter acesso. Refira a instalação de um PIX 520 ou de um modelo anterior para mais sentidos.

Q. Meu firewall PIX segura Cisco é conectado diretamente a um roteador, mas as luzes de enlace não se aproximam e nenhum dispositivo pode sibilar o outro. O que está errado?

A. Certifique-se de que você usa um bom cabo cruzado para conectar o PIX diretamente a um roteador. Se você conecta o PIX a um hub ou switch, use um cabo do Ethernet direto reto.

Q. Como posso eu dizer a diferença de velocidade do processador em placas de Ethernet Gigabit no PIX? Por exemplo, como posso eu dizer a diferença entre o PIX-1GE-66 e os cartões do PIX-1GE?

A. Datilografe a relação da mostra e olhe esta linha:

Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX

or


Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX

O i82542 representa 33 MHz e o i82543 representa 66 MHz.

Q. Se eu compro placas de rede de uma fonte a não ser Cisco e as uso no PIX, estão apoiadas?

A. Não.

Q. Quando o PIX for inicializado, o PIX relata as solicitações de interrupção (IRQs) da placa de interface de rede (NIC) e algumas delas são usadas duas vezes (duplicadas). Isto causa um problema?

A. Estas mensagens são normais e podem ser ignoradas:

4: ethernet2: address is 00e0.0000.05cb, irq 11
5: ethernet3: address is 00e0.0000.05ca, irq 11

Q. Quando o PIX com a bota das placas de interface da rede de Ethernet gigabit (NIC), o PIX relata as solicitações de interrupção NIC (IRQ) como sendo o “irq 255." faz esta causa um problema?

A. Esta mensagem é normal e pode ser ignorada:

0: gb-ethernet0: address is 0003.0000.1e75, irq 255

Q. Quais são as configurações de hardware padrão para o PIX?

Plataforma 501 506 515 (R/UR) 515E (R/UR) 520 525 (R/UR) 535 (R/UR)
CPU AMD 133 PI 200 PI 200 PII 433 PII 350 PIII 600 PIII 1GH
RAM (MB) 8 32 32/64 32/64 128 128/256 512/1024

Q. Posso eu promover o bios PIX?

A. Não.

Software - Instalação e atualizações

Q. Quando eu tento a TFTP pixNNN.exe a meu PIX, eu recebo os erros que indicam o “número mágico ruim.” O que estou fazendo de errado?

A. Você precisa de carregar o arquivo do .bin, não o arquivo do .exe. O arquivo do .exe é um self-extracting archive que contenha o arquivo do .bin (entre outras coisas).

Nota: O arquivo do .bin é usado somente para as versões de software de PIX 5.0.x e mais cedo. Copie o arquivo do .exe a um diretório temporário em seu disco rígido PC e execute o programa para extrair os arquivos. Em seguida, copie o arquivo pixNNN.bin para o servidor TFTP.

Q. Quando tento fazer upgrade do meu software a partir de um disquete, o Cisco Secure PIX Firewall continua em um loop sempre que ele tenta ler o disco. O que está errado?

A. Certifique-se que o disco corretamente está formatado (use o formato de comando dos A:), a seguir usa o rawrite para pôr a imagem sobre o disco flexível. Se o processo falha, tente a operação de um PC diferente.

Nota: A atualização a partir de um disquete apenas é válida para o Software PIX versões 5.0.x e anterior.

Q. Eu estou instalando um firewall PIX segura Cisco novo que pareça ser configurado corretamente. Meu LAN usou-se para ser conectado diretamente a meu roteador de Internet. Agora com o PIX no lugar, meus usuários no LAN não podem sair. O que está errado?

A. Há algumas possibilidades diferentes.

Q. Eu adicionei recentemente um roteador interno para conectar uma segunda rede interna a meu firewall PIX segura Cisco. Os usuários entre o roteador interno e o Cisco Secure PIX Firewall podem entrar sem problemas na Internet, mas não podem falar com essa nova rede interna. Usuários na nova rede não conseguem passar pelo roteador interno. O que está errado?

A. Você deve incorporar uma declaração interna de rota específica no PIX para a esta nova rede por meio do novo roteador. Você pode igualmente incorporar uma declaração interna de rota específica para a rede principal por meio deste roteador, que permita o crescimento futuro.

Por exemplo, se sua rede existente é 192.168.1.0/24 e sua rede nova é 192.168.2.0/24, a porta Ethernet de seu roteador interno é 192.168.1.2. A configuração de rota do PIX parece similar a esta:

route inside 192.168.2.0 255.255.255.0 192.168.1.2 1

ou (a rede principal):

route inside 192.168.0.0 255.255.0.0 192.168.1.2 1

As estações de trabalho entre o firewall PIX segura Cisco e o roteador devem ter seu ponto do gateway ao roteador, não o PIX. Mesmo que sejam conectados diretamente, têm os problemas que alcançam a rede interna nova se seu gateway não aponta ao roteador. O roteador deve ter um gateway padrão que dirija todo o tráfego desconhecido à interface interna do firewall PIX segura Cisco. A instalação de uma rota para esta rede nova no PIX não trabalha tampouco. O PIX não faz o roteamento ou redireciona para fora da interface recebida do pacote. Ao contrário de um roteador, o PIX não pode pacotes de rota para trás através da mesma relação onde o pacote foi recebido inicialmente. Também, certifique-se que sua indicação nat inclui a rede nova ou a rede principal que você está adicionando.

Q. Como eu determino quanto memória Flash meu PIX tem?

A. Se você executa um comando show version em seu PIX, e o tamanho flash não está dado no MB, a seguir use esta tabela para ver quanto flash seu PIX tem.

i28F020 512 KB
AT29C040A 2 MB
atmel 2 MB
i28F640J5 8 MB - 16 MB do PIX 506 - todas PIXes restantes
estratos 16 MB

Por exemplo, se sua saída do comando show version olha como esta:

Cisco Secure PIX Firewall Version 5.1(1)
Compiled on Fri 01-Oct-99 13:56 by pixbuild 

pix515 up 4 days 22 hours 10 mins 42 secs 
Hardware: PIX-515, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300
BIOS Flash AT29C257 @ 0xfffd8000
 
0: ethernet0: address is 00aa.0000.0037, irq 11
1: ethernet1: address is 00aa.0000.0038, irq 10
2: ethernet2: address is 00a0.c92a.f029, irq 9
3: ethernet3: address is 00a0.c948.45f9, irq 7
 
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 6
 
Serial Number: 123 (0x7b)
Activation Key: 0xc5233151 0xb429f6d0 0xda93739a 0xe15cdf51

A quantidade de memória flash é de 16 MB.

Q. Quando eu preciso de usar uma chave de ativação nova para o PIX?

A. Você precisa uma chave de ativação nova quando você promove um PIX de um pacote do software restrito a um pacote que apoie recursos adicionais, tais como mais conexões, Failover, IPsec, ou interfaces adicionais. Também, uma chave de ativação nova é às vezes necessária após uma upgrade flash em um PIX.

A fim pedir uma chave de ativação non-56-bit, envie um email a licensing@cisco.com e forneça esta informação:

  • O número de série de PIX (ou, se você está fazendo uma upgrade flash, o número de série na placa Flash)

  • O resultado de um comando show version emitido no PIX

  • Sua versão de software de PIX atual

  • Tipo de licença exigido (DES, 3DES, restringidos a ilimitado).

  • O número do direito, número do ordem de compra, número do ordem das vendas, ou número PAK

  • Seus nome da empresa e endereço completos

Vá à página da chave de upgrade de licença PIX 56-bit (clientes registrados somente) pedir uma chave de ativação 56-bit.

Vá à página do registro de licença de Cisco ASA 3DES/AES (clientes registrados somente) pedir uma chave de ativação AES/3DES.

Nota: Uma chave de ativação 56-bit é exigida para a criptografia usando IPSec.

Q. Pode o PIX passar o tráfego de IPX ou AppleTalk?

A. Não, o PIX é um Firewall somente IP.

Q. Faz o endereçamento secundário em interface do suporte de PIX?

A. Ao contrário de Cisco IOS�, o PIX não apoia o endereçamento secundário em interface.

Q. Faz o 802.1Q do suporte de PIX em suas relações?

A. Sim, em PIX 6.3 uns novos recursos são adicionados, onde o PIX pode criar interfaces lógica. Cada interface lógica corresponde a um VLAN no interruptor. Refira a utilização de VLAN com o Firewall para mais informação.

Q. Faz o suporte de PIX SSH?

A. Sim, consulte o SSH - Interno ou Externo, que fornece um procedimento passo a passo para a configuração do SSH. O PIX utiliza o SSH versão 1.

Software - Failover

Q. Eu tenho dois firewall PIX segura Cisco configurados em uma topologia de failover. O firewall PIX segura Cisco continua a falhar sobre, para a frente e para trás ao longo do dia. Por que isso acontece?

A. Para que o Failover trabalhe corretamente, deve corretamente ser configurado. Antes da versão 5.1, todas as relações devem ser configuradas com um endereço IP de Um ou Mais Servidores Cisco ICM NT que seja original em cada sub-rede respectiva, e todas as relações devem fisicamente ser conectadas. Isto inclui relações que você não se usa atualmente. Com a versão 5.1 e posterior, você pode encerrar uma interface não utilizada. Contudo, você precisa a parada programada o mesmo número de interface em ambas as PIXes. Antes da versão 5.1, o Failover envia a um pacote Hello para fora cada relação, mesmo se são parada programada. Espera receber para trás uma resposta. Se não recebe nenhuma resposta depois que diversas tentativas, Failover ativam. Igualmente verifique se o PIX principal pode sibilar as relações do Failover, se não, verifique se as relações estão acima. Igualmente, se são conectados através de um interruptor, verifique as interfaces de switch.

Q. Quanto tempo é a comutação de PIX cabo e posso eu usar um cabo mais longo?

A. O cabo serial da Cisco tem 2 metros de comprimento. A pinagem está na documentação do Cisco PIX Firewall da sua versão do software PIX. Os cabos mais longo não foram testados. O uso de um cabo mais longo não é unsupported. Em PIX 6.2 há uns novos recursos chamados o “failover de LAN” que permite o uso de uma relação dedicada no PIX como o cabo de comutação. Refira a documentação da versão 6.2 do PIX Firewall para mais informação.

Q. Pode uma interface de VLAN ser usada no Failover?

A. o VLAN físico e lógico é apoiado pelo Failover. A restrição é que a interface da LAN de failover e os comandos do link de failover não conseguem usar uma interface de VLAN lógica.

Q. A característica do servidor DHCP é apoiada com Failover?

A. Não, o servidor DHCP não é apoiado com Failover, nem é um PIX configurado para obter um endereço IP de Um ou Mais Servidores Cisco ICM NT através do DHCP (desde que você precisa o comando failover interface-name ip address para que o Failover seja configurado).

Q. Eu tenho dois firewall PIX segura Cisco configurados em uma topologia de failover. Um tem uma licença ilimitada e o outro tem uma licença do Failover. Que acontece se ambos os Firewall PIX perdem a potência e somente as botas da unidade de failover suportam?

A. O PIX Firewall com a licença do Failover é pretendido ser usado unicamente para o Failover e não no modo independente. Quando ambos os Firewall PIX perdem a potência e somente as botas da unidade de failover suportam, é como se a unidade de failover é usada no modo independente. Se uma unidade de failover é usada no modo independente, as repartições da unidade pelo menos uma vez que cada 24 horas até que a unidade estiver retornada ao dever do Failover, quando detectar a presença do Firewall do PIX principal.

Perguntas de software adicionais

Q. O PIX para a frente IGMP trafica?

A. A versão 6.2 do software de firewall de PIX permite-o de configurar estaticamente rotas de transmissão múltiplas ou usar um helper address (endereço do ajudante) do Internet Group Management Protocol (IGMP) para enviar relatórios IGMP e de deixar anúncios.

Esta lista resume o suporte multicast nesta liberação.

  • Os filtros da lista de acessos podem ser aplicados ao tráfego multicast aos protocolos específicos e às portas do permit or deny.

  • O Network Address Translation (NAT) e a tradução de endereço de porta (PAT) podem ser executados nos endereços de origem do pacote de transmissão múltipla somente.

  • Os pacotes de dados de transmissão múltipla com endereços de destino na escala de endereço 224.0.0.0/24 não são enviados. Contudo, tudo mais na escala de endereço 224.0.0.0/8 é enviado.

  • Os pacotes de IGMP para grupos de endereço dentro de 224.0.0.0 através da escala de 224.0.0.255 não são enviados porque estes endereços são reservados para o uso do protocolo.

  • O NAT não é executado em pacotes de IGMP. Quando o encaminhamento de IGMP for configurado, o PIX para a frente os pacotes de IGMP (relatório e licença) com o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação do ajudante como o endereço IP de origem.

Q. O PIX tem uns recursos de Troubleshooting que possam agarrar o rastreamento de pacotes para considerar em detalhe conteúdos de pacote de informação?

A. A captura de pacote de informação dos apoios da versão 6.2 do software de firewall de PIX a aspirar ou “considera” todo o tráfego aceitado ou obstruído pelo PIX. Após a captura das informações do pacote, você pode exibi-las no console, transferi-las para um arquivo pela rede usando um servidor de TFTP ou acessá-las por um navegador da Web usando HTTP seguro. Note que o PIX não captura tráfego não relacionado a se no mesmo segmento de rede. Além, esta característica da captura de pacote de informação não inclui o sistema de arquivos, a resolução de nome DNS, ou o apoio do modo misturado.

Q. Faz o suporte de PIX OSPF?

A. A aplicação do PIX Firewall no código da versão 6.3 apoia o intra-area, o inter-area, e as rotas externas. Esta liberação igualmente apoia a distribuição das rotas estáticas aos processos e à redistribuição de rota do Open Shortest Path First (OSPF) entre processos de OSPF.

Q. Faz o suporte de PIX PPPoE?

A. A versão 6.2 do software de firewall de PIX apoia o Point-to-Point Protocol sobre Ethernet (PPPoE). O apoio para L2TP/PPTP/PPPoE foi removido da versão 7.0 e mais recente do software de firewall de PIX. (O PPPoE fornece um método padrão usando a autenticação de PPP sobre uma rede Ethernet e é usado por muitos provedores de serviço da Internet (ISP) para conceder a máquinas cliente o acesso a suas redes, geralmente com o DSL.) o PPPoE é apoiado nas interfaces externas da ferramenta de segurança da série do Cisco PIX 500.

Q. O SFTP é apoiado com o PIX?

A. Não. Em uma conexão de FTP típica, o cliente ou o server devem dizer ao outro que porta a se usar para transferência de dados. O PIX pode inspecionar esta conversação e abrir essa porta. Contudo, com SFTP esta conversação é cifrada e o PIX é incapaz de determinar que portas abrir e a conexão SFTP falha finalmente.

Uma alternativa possível é nesta situação usar um cliente SFTP que apoie o uso “de um canal de dados claro.” Com esta opção permitida, o PIX deve poder determinar que porta precisa de ser aberta.

Q. Há uma maneira de filtrar pacotes de Email no firewall PIX segura Cisco? Por exemplo, posso eu mandar o firewall PIX segura Cisco filtrar o vírus " i luv you "?

A. O firewall PIX segura Cisco não executa o filtragem de conteúdo na camada de aplicativo. Ou seja não inspeciona a porção de dados do pacote de TCP. Portanto, ele não pode filtrar conteúdo de e-mail. A maioria de server do correio do dia moderno podem filtrar na camada de aplicativo.

Q. Quando eu tento usar o Network Address Translation (NAT) em meu firewall PIX segura Cisco usando as indicações NAT/GLOBAL, eu tenho problemas com os usuários externos que não podem alcançar consistentemente host internos. O que está errado?

A. O NAT dinâmico que usa os comandos nat and global cria uma conexão temporária/estado da tradução que seja construído SEMPRE de uma interface do nível de segurança mais elevado a uma interface de nível de seguranca mais baixo (para dentro à parte externa). As conduítes nestas traduções dinamicamente construídas aplicam-se somente quando o estado de conexão é construído. Algum host interno que as necessidades externas de iniciar uma conexão sem no host interno que estabelece primeiramente uma conexão para fora, deverem ser traduzidas usando o comando static. Estaticamente traduzindo o host, este estado de conexão é traçado permanentemente e todas as conduítes aplicadas a esta tradução estática permanecem abertas em todas as vezes. Com isso estabelecido, as conexões IP podem ser iniciadas na Internet sem falha. Com as versões 5.0.x e posteriores do software de PIX é possível usar listas de acesso em vez de canalização.

Q. Eu tenho meu servidor de Web no interior traduzido estaticamente à parte externa. Os usuários externos não podem obter dentro. O que causa isso?

A. O mapeamento estático torna a tradução/conexão possíveis. Mas à revelia, o firewall PIX segura Cisco nega TODAS AS tentativas de conexão de entrada a menos que permitido explicitamente. Esta “permissão” é concedida quando você aplica uma conduíte à tradução estática. As indicações de canalização dizem o firewall PIX segura Cisco quem no Internet você quer permitir onde e em que protocolo e porta. Com as versões 5.0.x e posteriores do software de PIX é possível usar listas de acesso em vez de canalização.

Q. Eu tenho um servidor de Web na interface interna do firewall PIX segura Cisco. É traçado a um endereço público externo. Eu quero meus usuários internos poder alcançar este server por seu nome de DNS ou endereço exterior. Como pode isto ser feito?

A. As regras do TCP não permitem que você faça isso, mas há boas soluções. Por exemplo, imagine que o endereço IP real do seu servidor de Web é 10.10.10.10 e o endereço público é 99.99.99.99. O DNS resolve 99.99.99.99 a www.mydomain.com. Se seu host interno (por exemplo, 10.10.10.25) tenta ir a www.mydomain.com, o navegador resolve aquele a 99.99.99.99. Em seguida, o navegador envia esse pacote ao PIX, que, por sua vez, envia-o para fora do roteador da Internet. O roteador de Internet já tem diretamente uma sub-rede conectada de 99.99.99.x. Supõe consequentemente que o pacote não está pretendido para ele mas pelo contrário diretamente um host conectado e deixa cair este pacote. A fim obter em torno desta edição seu host interno ou deve resolver www.mydomain.com a seu endereço real de 10.10.10.10 ou você deve tomar o segmento exterior fora da rede 99.99.99.x assim que o roteador pode ser configurado para distribuir este pacote de volta ao PIX.

Se seu DNS reside fora do PIX (ou através de um de seus DMZ) você pode usar o comando alias no firewall PIX segura Cisco fixar o pacote de DNS para fazê-lo resolver ao endereço de 10.10.10.10. Certifique-se que você recarrega seus PC para nivelar o esconderijo DNS depois que você faz esta mudança. (Teste executando o comando ping de www.mydomain.com antes e depois de o comando alias ser aplicado para certificar-se de que a resolução mude do endereço 99.99.99.99 para 10.10.10.10.)

Se você tem seu próprio servidor DNS dentro de sua rede, esta não trabalha porque da pesquisa de DNS os transverses nunca o PIX, tão lá não são nada fixar. Neste caso, configurar-lo DNS local em conformidade ou use-o arquivos locais dos “anfitriões” em seus PC para resolver este nome. A outra opção é melhor porque é mais segura. Tome a sub-rede 99.99.99.x fora do PIX e do roteador. Escolha um esquema de numeraçãoleavingcisco.com do RFC 1918 que não está sendo usado internamente (ou em alguma interface de PIX do perímetro). Em seguida, coloque uma instrução de rota de volta ao PIX para esta rede e lembre-se de alterar sua rota padrão de PIX para fora do novo endereço IP no roteador. O roteador exterior recebe este pacote e distribui-o de volta ao PIX baseado em sua tabela de roteamento. O roteador já não ignorará este pacote, porque não tem nenhuma relação configurada nessa rede.

O PIX 6.2 introduz uns novos recursos chamados Bidirecional NAT, que oferece a funcionalidade do comando alias e de mais.

Refira a compreensão do comando alias para o firewall PIX segura Cisco para obter mais informações sobre do comando alias.

Refira a utilização do NAT exterior na referência de comando PIX para obter mais informações sobre dos recursos NAT bidirecionais.

Nota: Se você executa a versão de software 7.x PIX/ASA recomenda-se não usar o comando alias. O NAT exterior com interruptor DNS é recomendado pelo contrário. Refira a seção da inspeção DNS de aplicar a inspeção do protocolo de camada do aplicativo.

Q. O firewall PIX segura Cisco apoia o mapeamento de porta?

A. A reorientação da porta de entrada dos suportes de PIX com versão de software de PIX 6.0. Umas versões de software de PIX mais adiantadas não apoiam o mapeamento de porta.

Q. Posso eu traçar um único, endereço interno a mais de um endereço exterior?

A. O firewall PIX seguro Cisco permite uma única conversão de um para um para um host local (interno). Se você tem mais de duas relações no firewall PIX segura Cisco, você pode traduzir um endereço local aos endereços diferentes em cada interface respectiva mas somente uma tradução pela relação é permitida cada endereço. Igualmente, você não pode fazer um mapeamento estático de um único endereço exterior aos endereços locais múltiplos.

Q. Posso eu conectar o dois ISP diferentes a meu firewall PIX segura Cisco (para a função de balanceamento de carga)?

A. Não, você não pode balanceamento de carga no PIX. O Cisco Secure PIX Firewall foi criado para processar apenas uma rota padrão. Quando você conecta dois ISP a um único PIX, significa que o Firewall precisa de fazer decisões de roteamento a nível muito mais inteligente. Em lugar de, use um gateway router fora do PIX de modo que o PIX continue a enviar todo seu tráfego a um roteador. Esse roteador pode fazer o roteamento/balanceamento de carga entre os dois ISPs. Uma alternativa é ter dois Roteadores fora do PIX usando o Hot Standby Router Protocol (HSRP) e ajustado o gateway padrão do PIX para ser o endereço hsrp virtual. Alternativamente, (se possível) você pode usar o Open Shortest Path First (OSPF) que apoia o Balanceamento de carga entre um máximo de três pares em uma interface única.

Q. Quantos endereços PAT posso eu ter em meu firewall PIX segura Cisco?

A. No PIX Software Release 5.2 e mais atrasado, você pode ter endereços de pat múltiplo pela relação. Uns PIX Software Release mais adiantados não apoiam endereços de pat múltiplo pela relação.

Q. Há uma maneira de dizer o firewall PIX segura Cisco para conceder mais largura de banda aos usuários determinados?

A. Não.

Q. Eu preciso de permitir meu acesso de usuários às pastas compartilhadas em meu domínio de NT das posições remotas. Como eu faço este?

A. O protocolo de netbios de Microsoft permite o arquivo e o compartilhamento de impressora. Permitir NetBios através do Internet não cumpre os requisitos de segurança da maioria de redes. Mais, NetBios é difícil de configurar usando o NAT. Embora a Microsoft torne isso mais seguro usando tecnologias criptografadas, que funcionam perfeitamente com o PIX, é possível abrir as portas necessárias.

Em breve, você precisará de ajustar traduções estáticas para todos os anfitriões que exigem o acesso e as conduítes (ou as Listas de acesso no software de PIX 5.0.x e mais tarde) para portas TCP 135 e 139 e portas 137 e 138 UDP. Você deve usar um server das VITÓRIAS para resolver os endereços traduzido aos nomes de netbios ou o arquivo corretamente configurado do local LMHOSTS em todas suas máquinas de cliente remoto. Se você usa VITÓRIAS, cada host deve ter uma entrada do WINS estático para o local e endereços traduzido dos anfitriões que são alcançados. O uso de LMHOSTS deve ter ambos também, a menos que seus usuários remotos forem conectados nunca a sua rede interna (por exemplo, computadores laptop). Seu server das VITÓRIAS deve ser acessível ao Internet com os comandos static and conduit e seus host remotos devem ser configurados para apontar neste server das VITÓRIAS. Finalmente, os alugueres do protocolo de configuração dinâmica host (DHCP) devem ser ajustados para expirar nunca. Você pode igualmente estaticamente configurar os endereços IP de Um ou Mais Servidores Cisco ICM NT nos anfitriões que precisam de ser alcançados do Internet.

Uma maneira mais segura e mais segura de fazer isto é configurar o Point-to-Point Tunneling Protocol (PPTP) ou a criptografia IPSec. Consulte com seus segurança de rede e especialistas de projeto para uns detalhes mais adicionais nas ramificações de segurança.

Q. Eu estou no console/telnet do PIX e eu ver um erro como "201008: O PIX está recusando novas conexões.” Meu PIX não passa nenhum de entrada ou tráfego de saída. O que está errado?

A. Este erro significa que você está fazendo “o Syslog seguro TCP” a um software do Servidor de Syslog de Firewall de PIX (PFSS) em um sistema do Windows NT e que o sistema não responde aos mensagens do syslog do PIX. Tente uma destas opções corrigir este problema:

  • Vá ao servidor NT que executa o PFSS e corrija o problema que mantém o server de aceitar dados de SYSLOG TCP do PIX. O problema é geralmente um disco rígido cheio ou uma edição com o serviço de SYSLOG que não é executado.

  • Desabilite a característica do Syslog TCP e retorne à utilidade UDP do syslog padrão. Isso é possível na linha de comando do PIX com o comando logging host [in_if_name] ip_address [protocol/port]. Digite logging host ip_address e, em seguida, digite novamente o comando sem a parte relativa ao protocolo/porta. Opta a /porta do protocolo padrão do UDP/514.

Nota: “A característica do Syslog seguro TCP” do PIX e do PFSS é pretendida criar uma política de segurança que os estados “se o PIX não pode a registrar, a seguir não a faz.” Se este não é o que você pretendeu, a seguir você não deve executar “o Syslog seguro TCP.” Em lugar de, use as capacidades do syslog padrão que não obstruem de entrada/tráfego de saída se o servidor de SYSLOG é não disponível.

Q. Quando eu executar determinados comandos no PIX que alcançam a configuração no flash (comando show config), eu obtenho um erro que os estados “o dispositivo flash estão no uso por uma outra tarefa.” O que isso significa?

A. Esta saída mostra um exemplo deste erro:

pixfirewall#write memory
Building configuration...
Cryptochecksum: 386bb809 e4d28698 91990edb 8483760c
The flash device is in use by another task.
[FAILED]
Type help or '?' for a list of available commands.
pixfirewall# 

Isto significa que há uma outra sessão no PIX onde alguém usou um terminal da escrita ou o comando similar que alcança o flash e se estão sentando no “--mais--” alerta.

A fim verificar isto, execute o comando who quando registrado no console do PIX.

PIX#who
0: 14.36.1.66
PIX#

Neste exemplo, você vê que um usuário de 14.36.1.66 está registrado no PIX através do telnet. Você pode usar o comando kill registrar vigorosamente para fora esse usuário.

PIX#kill ?
usage: kill <telnet_id>
PIX#kill 0
PIX#who
PIX# 

O usuário foi registrado para fora e agora você pode executar sua operação instantânea. Na pequena possibilidade que esta não trabalha, uma repartição do PIX igualmente resolve o problema.

Q. Posso eu operar o PIX em uma “uma” configuração armada?

A. Não, o PIX não pode operar-se em uma configuração “unidirecional” devido ao algoritmo de segurança adaptável sob que o PIX se opera. Refira compreendendo o PIX Firewall para mais informação.

Por exemplo, se você tem um PIX com as duas relações (internas e exteriores) e na interface interna há uma rede 10.1.1.0/24. Fora desta rede há um roteador com a rede 10.1.2.0/24 conectada a ela. Em seguida, supõe que há um server na interface interna que é 10.1.1.5. Esse host tem um gateway padrão da interface interna do PIX (10.1.1.1). Nesta encenação, supõe que o PIX tem a informação de roteamento correto, tal como a rota 10.1.2.0 interno 255.255.255.0 10.1.1.254 onde 10.1.1.254 é o endereço IP de Um ou Mais Servidores Cisco ICM NT do roteador. Você pôde pensar que o host de 10.1.1.5 pode enviar um pacote a 10.1.2.20 e este pacote vai ao PIX, obtém reorientado ao roteador em 10.1.1.254, e vai sobre ao host de destino. Contudo, este não é o caso. O PIX não envia redirecionamentos de ICMP como um roteador. Também, o PIX não permite que um pacote saa de uma relação de que veio. Assim, com a suposição que o host de 10.1.1.5 enviou a um pacote com um endereço de destino de 10.1.2.20 à interface interna do PIX, o PIX deixaria cair esse pacote porque foi destinado para sair a mesma relação (a interface interna) em que veio. Isso se aplica para qualquer interface do PIX e não apenas à interface interna. Nesta encenação, a solução é para que o host de 10.1.1.5 ajuste seu gateway padrão para ser a relação do roteador (10.1.1.254), e tem então um gateway padrão no ponto do roteador ao PIX (10.1.1.1).

/image/gif/paws/15247/pixfaq_01.gif

Q. Um PIX opera-se corretamente se obstruído em uma porta de tronco em um interruptor?

A. Sim, no entanto, o PIX deve ser configurado para encapsulamento 802.1Q. Isto é endereçado faz o 802.1Q do suporte de PIX em suas relações?.

Q. Posso eu ajustar um intervalo na porta de Console do PIX?

A. Sim, esse é um novo recurso da versão 6.3. Consulte o comando console timeout.

Q. Eu sei que o PIX pode fazer o NAT baseado no endereço de origem, mas pode o PIX fazer o NAT baseado no destino?

A. Somente no PIX versão 6.2 e posterior é que você pode usar o NAT baseado no destino. Refira a documentação da versão 6.2 do PIX Firewall para mais informação.

Q. Eu não posso conseguir montagens do Network File System (NFS) trabalhar através do PIX. O que estou fazendo de errado?

A. O PIX não suporta o portmapper (porta 111) no TCP. Você deve configurar o NFS de forma a UDP como alternativa.

Q. O PIX faz o Access Control Lists (ACLs) com base no período?

A. Ao contrário do Cisco IOS, o PIX não executa ACLs baseadas em tempo. Se você autentica os usuários que alcançam o PIX e o Authentication Server apoia a limitação de usuários às horas particulares do dia, então o PIX honra aquelas rejeções do usuário.

Q. Posso eu personalizar o texto dos mensagens do syslog que o PIX envia?

A. As mensagens de syslog que o PIX gera são codificadas no sistema operacional e não é possível personalizá-las.

Q. Pode o PIX fazer a resolução de nome?

A. Quando um PIX corretamente configurado permitir o tráfego do Domain Name System (DNS) completamente permitir o interior e os dispositivos exteriores para fazer o DNS, o PIX próprio não resolve nomes.

Q. Eu ver mensagens negadas “conexão” no Syslog PIX, assim como nego-as para Telnets às interfaces de PIX. Mas eu não ver nego para o outro tráfego às interfaces de PIX. É este normal?

A. Antes da versão 6.2.2, as mensagens da negação para o tráfego às interfaces de PIX são Telnets negado limitado ou a porta TCP/23. Em 6.2.3 e em 6.3.1, os mensagens do syslog novos são adicionados de que o Syslog ID 710003 segura o tráfego negado à interface de PIX próprio.

Q. Eu não posso sibilar da rede dentro do PIX à interface externa PIX, nem da rede fora do PIX à interface interna PIX. É este normal?

A. Sim, ao contrário do Cisco IOS, o PIX não responde aos pedidos ICMP às relações “no lado distante” do dispositivo que sibila o PIX.

Q. Pode o PIX atuar como um servidor de NTP?

A. Não.

Q. É possível mudar as portas padrão usadas para o IPsec no PIX?

A. Não.

Q. Faz o Dynamic Domain Name Services do suporte de PIX (DDNS)?

A. Não.

Q. Um Cisco PIX Firewall é configurado para comunicar-se com um Auto Update Server dos trabalhos de Cisco e todo o tráfego parou a passagem com ele. Por que isso acontece e como corrijo esse problema?

A. O Firewall do Cisco PIX interrompe qualquer conexão nova se tiver sido configurado para se comunicar com o servidor de Atualização automática e se não tiver sido contatado por um determinado período de tempo. Um administrador pode mudar o valor do período de timeout usando o comando auto-update timeout period.

A especificação Auto Update fornece a infra-estrutura necessária para que os aplicativos de gerenciamento remoto façam download de configurações do PIX Firewall, imagens de software e executem monitoramento básico em um local centralizado. A falha comunicar-se com o server faz com que o PIX pare de passar todo o tráfego.

Q. Eu sou incapaz de alcançar a interface interna do PIX quando conectado através de um túnel VPN. Como posso fazer isso?

A. A interface interna do PIX não pode ser alcançada da parte externa, e vice-versa, a menos que o comando do acesso de gerenciamento for configurado no modo de configuração global. Uma vez que o acesso de gerenciamento é permitido, o acesso do telnet, SSH, ou HTTP deve ainda ser configurado para os anfitriões desejados.

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 15247