Безопасность : Устройства защиты Cisco PIX серии 500

Часто задаваемые вопросы о межсетевом экране Cisco Secure PIX

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (23 марта 2008) | Английский (22 августа 2015) | Отзыв


Вопросы


Введение

Этот документ содержит вопросы и ответы о межсетевом экране Cisco Secure PIX.

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Аппаратные средства

Вопрос. . Я хочу установить новую интерфейсную карту в своем межсетевом экране Cisco Secure PIX. В каком слоте я должен установить его?

A. Каждая модель PIX имеет отличия. Обратитесь к документации PIX и выберите имеющуюся версию программного обеспечения. С этой страницы выберите Руководство по установке, а затем выберите раздел "Установка монтажной платы" для просмотра детальных схем и инструкций.

Вопрос. . Я пытаюсь установить новую интерфейсную карту в своем межсетевом экране Cisco Secure PIX. Плата слишком велика для любого из слотов. У меня есть неправильная часть?

Ответ. Некоторые золотые зубцы на плате могут выходить за края гнезда - это нормально.

Вопрос. . Мой межсетевой экран Cisco Secure PIX поставил с двумя Картами Ethernet. Я добавляю дополнительные интерфейсы, и теперь это не загружается к командной строке.

Ответ. Число поддерживаемых интерфейсов зависит от модели PIX, версии программного обеспечения и лицензирования. Чтобы узнать максимальное число физических интерфейсов и интерфейсов виртуальной локальной сети, которые могут быть настроены на PIX 6.3 (последняя версия на момент написания данного документа), обратитесь к документации PIX.

Вопрос. . Я должен установить консольное соединение со своим межсетевым экраном Cisco Secure PIX. Кабель какого типа следует использовать?

Ответ. Используйте нуль-модемный кабель DB9-DB9, доступный в большинстве компьютерных магазинов. Иногда межсетевой экран Cisco Secure PIX поставляется с двумя переходниками DB9 – RJ-45. При наличии этих переходников подключите один из них к брандмауэру Cisco Secure PIX, а другой к последовательному порту компьютера. Используйте для связи двух адаптеров RJ-45 перевернутый кабель (а не перекрестный). Установите настройки HyperTerminal на N81, отсутствие контроля потока и скорость передачи 9600. Если проблемы сохраняются, то проверьте конфигурацию порта COM на компьютере и убедитесь в его правильной настройке и функционировании. Если все остальное действительно настроено правильно, проверьте его на маршрутизаторе или коммутаторе и посмотрите, не появится ли в них строка ввода. Для получения дополнительной информации об имеющейся версии программного обеспечения PIX обратитесь к документации PIX. С этой страницы выберите Руководство по установке, а затем выберите раздел "Установка интерфейсных кабелей" для просмотра детальных схем и инструкций.

Вопрос. . Где расположен гибкий диск в модели PIX 520?

Ответ. Он расположен под небольшой металлической пластиной спереди в левом верхнем углу. Чтобы получить туда доступ, пальцами выкрутите два винта. Для получения дополнительных инструкций см. "Установка модели PIX 520 или младшей".

Вопрос. . Мой межсетевой экран Cisco Secure PIX напрямую подключается к маршрутизатору, но индикаторы соединения не продвигаются, и никакое устройство не может пропинговать другой. В чем причина?

Ответ. Убедитесь, что используется исправный кабель с перекрестными проводниками для подключения PIX непосредственно к маршрутизатору. Для подключения PIX к концентратору или коммутатору используйте прямое соединение Ethernet-кабелем.

Вопрос. . Как я могу сказать разницу скоростей процессоров на картах Гигабитного Ethernet в PIX? Например, как я могу сказать различие между PIX-1GE-66 и картами PIX-1GE?

Ответ. Введите команду show interface и взгляните на следующую строку:

Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX

or


Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX

I82542 означает 33 МГц, а i82543 – 66 МГц.

Вопрос. . Если я покупаю сетевые карты из источника кроме Cisco и использую их в PIX, они поддерживаются?

О. Нет.

Вопрос. . При загрузке PIX передает карте сетевого интерфейса (NIC) запросы прерывания (IRQ), и некоторые из них используются дважды (дубликаты). Это вызывает проблему?

Ответ. Эти сообщения отображаются в штатном режиме и их можно игнорировать:

4: ethernet2: address is 00e0.0000.05cb, irq 11
5: ethernet3: address is 00e0.0000.05ca, irq 11

Вопрос. . Когда PIX с Network Interface Cards Гигабитного Ethernet (NIC) начальная загрузка, PIX сообщает о запросах на прерывание NIC (IRQ), как являющиеся "irq 255". Это вызывает проблему?

Ответ. Это сообщение отображается в штатном режиме и его можно игнорировать:

0: gb-ethernet0: address is 0003.0000.1e75, irq 255

Вопрос. . Каковы по умолчанию настройки аппаратного обеспечения для PIX?

Платформа 501 506 515 (R/UR) 515E (R/UR) 520 525 (R/UR) 535 (R/UR)
ЦПУ AMD 133 PI 200 PI 200 PII 433 PII 350 PIII 600 PIII 1GH
ОЗУ (МБ) 8 32 32/64 32/64 128 128/256 512/1024

Вопрос. . Я могу обновить bios PIX?

О. Нет.

Программное обеспечение - установка и обновление

Вопрос. . Когда я пробую к TFTP pixNNN.exe к моему PIX, я получаю ошибки тот государственный "недопустимый системный код. Что не так?

Ответ. Следует загрузить файл .bin, а не .exe. Файл .exe представляет собой самораскрывающийся архив, содержащий, помимо прочего, файл .bin.

Примечание: Файл .bin используется только для Версий ПО PIX 5.0.x и ранее. Скопируйте файл .exe во временную папку на жестком диске компьютера и запустите программу для извлечения файлов. Затем скопируйте файл pixNNN.bin на ваш TFTP-сервер.

Вопрос. . При попытке обновить ПО с дискеты межсетевой экран Cisco Secure PIX зацикливается каждый раз, когда выполняется попытка прочитать диск. В чем причина?

Ответ. Убедитесь, что диск правильно отформатирован (используйте DOS-команду format A:), а потом команду rawrite для записи образа на дискету. В случае сбоя этой процедуры попробуйте выполнить ее на другом компьютере.

Примечание: Обновление с гибкого диска возможно только для версий программного обеспечения PIX 5.0.х и более ранних.

Вопрос. . Я устанавливаю новый межсетевой экран Cisco Secure PIX, который, кажется, настроен правильно. Моя LAN использовала связываться непосредственно с моим Интернет-маршрутизатором. Теперь с PIX на месте, мои пользователи на LAN не могут выйти. В чем причина?

Ответ. Существует несколько различных вариантов.

Вопрос. . Я недавно добавил внутренний маршрутизатор для соединения второй внутренней сети с моим межсетевым экраном Cisco Secure PIX. Пользователи между Cisco Secure PIX Firewall и внутренним маршрутизатором могут успешно подключиться к Интернет, но они не могут сообщаться с этой новой, внутренней сетью. Пользователи в новой сети не могут попасть за внутренний маршрутизатор. В чем причина?

Ответ. Для этой новой сети, подключенной через новый маршрутизатор, необходимо ввести в PIX определенный маршрут внутри инструкции. Также необходимо ввести определенную инструкцию route inside для основной сети, подключенной через данный маршрутизатор, для обеспечения дальнейшего развития инфраструктуры.

Например, если адрес существующей сети - 192.168.1.0/24, а новой сети - 192.168.2.0/24, то адрес порта Ethernet внутреннего маршрутизатора - 192.168.1.2. Настройка маршрутизатора PIX аналогична указанной ниже:

route inside 192.168.2.0 255.255.255.0 192.168.1.2 1

или (основная сеть):

route inside 192.168.0.0 255.255.0.0 192.168.1.2 1

Рабочие станции между брандмауэром Cisco Secure PIX и маршрутизатором должны использовать точку шлюза для маршрутизатора, а не для PIX. Если их шлюз не указывает на маршрутизатор, то даже в случае их прямого подключения возникают проблемы с доступом к новой внутренней сети. Маршрутизатор должен использовать шлюз по умолчанию, направляющий весь нераспознанный трафик на внутренний интерфейс брандмауэра Cisco Secure PIX. Установка маршрута для этой новой сети в PIX не дает эффекта. PIX не задает маршрут или не перенаправляет пакет с интерфейса отправителя. В отличие от маршрутизатора, PIX не может осуществлять маршрутизацию пакетов обратно через тот же интерфейс, на который был изначально получен пакет. Кроме того, убедитесь, что инструкция nat содержит добавляемую новую или основную сеть.

Вопрос. . Как я определяю, сколько флэш-памяти мой PIX имеет?

Ответ. При выполнении на PIX команды show version с выводом размера флэш-памяти не в мегабайтах используйте данную таблицу, чтобы узнать объем флэш-памяти PIX.

i28F020 512 Кб
AT29C040A 2 Мб
Atmel 2 Мб
i28F640J5 8 МБ - PIX 506 16 МБ - все другие PIX
страты 16 Мбайт

Например, если выходные данные команды show version выглядят примерно следующим образом:

Cisco Secure PIX Firewall Version 5.1(1)
Compiled on Fri 01-Oct-99 13:56 by pixbuild 

pix515 up 4 days 22 hours 10 mins 42 secs 
Hardware: PIX-515, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300
BIOS Flash AT29C257 @ 0xfffd8000
 
0: ethernet0: address is 00aa.0000.0037, irq 11
1: ethernet1: address is 00aa.0000.0038, irq 10
2: ethernet2: address is 00a0.c92a.f029, irq 9
3: ethernet3: address is 00a0.c948.45f9, irq 7
 
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 6
 
Serial Number: 123 (0x7b)
Activation Key: 0xc5233151 0xb429f6d0 0xda93739a 0xe15cdf51

Объем Flash-памяти составляет 16 МБ.

Вопрос. . Когда я должен использовать новый ключ активации для PIX?

Ответ. Новый ключ активации требуется при обновлении ограниченного программного пакета PIX до пакета, поддерживающего дополнительные функции, такие как дополнительные соединения, переключение при отказе, IPsec или дополнительные интерфейсы. Также новый ключ активации иногда требуется после обновления флэш-памяти PIX.

Для заказа не 56-битного ключа активации отправьте сообщение по электронной почте на адрес licensing@cisco.com и укажите следующую информацию:

  • Серийный номер PIX (или серийный номер флэш-карты, если выполняется флэш-обновление)

  • Результат выполнения команды show version в PIX

  • Текущая версия программного обеспечения PIX

  • Необходимый тип лицензии (DES, 3DES, Restricted to Unrestricted).

  • Один из следующих номеров - номер договора, номер заявки на покупку, номер заявки на продажу или номер PAK

  • Полное название компании и адрес

Чтобы запросить 56-разрядный ключ активации, перейдите на страницу 56-разрядного ключа обновления лицензии PIX (только для зарегистрированных пользователей).

Чтобы запросить ключ активации AES/3DES, перейдите на страницу регистрации лицензии Cisco ASA 3DES/AES (только для зарегистрированных пользователей).

Примечание: 56-разрядный ключ активации требуется для маркера конца.

Вопрос. . PIX может передать Трафик IPX или AppleTalk?

Ответ. Нет, брандмауэр PIX обрабатывает только IP-адреса.

Вопрос. . Дополнительная адресация поддержки межсетевого экрана (PIX) на интерфейсах?

О. В отличие от Cisco IOS�, PIX не поддерживает дополнительную адресацию на интерфейсах.

Вопрос. . 802.1Q поддержки межсетевого экрана (PIX) на его интерфейсах?

Ответ. Да, в PIX 6.3 добавлена новая функция, позволяющая PIX создавать логические интерфейсы. Каждый логический интерфейс соответствует виртуальной локальной сети на коммутаторе. Дополнительные сведения см. в разделе Использование виртуальных локальных сетей с брандмауэром.

Вопрос. . SSH поддержки межсетевого экрана (PIX)?

Ответ. Да, см. раздел SSH - внутренний или внешний интерфейс с описанием пошаговой процедуры настройки SSH. PIX использует SSH версии 1.

Программное обеспечение - переключение при отказе

Вопрос. . У меня есть два межсетевых экрана Cisco Secure PIX, настроенные в Топологии аварийного переключения. Межсетевой экран Cisco Secure PIX продолжает переключаться при отказе, назад и вперед в течение дня. Почему это происходит?

Ответ. Для правильной работы функции переключения при отказе необходимо правильно настроить ее. В версиях до 5.1 для всех интерфейсов необходимо настраивать IP-адреса, уникальные для каждой соответствующей подсети, а также необходимо физически подключать все интерфейсы. В том числе и интерфейсы, который в данный момент не используются. В версии 5.1 и более поздних можно завершить работу неиспользуемого интерфейса. Однако необходимо отключать интерфейсы с одинаковыми номерами на обоих PIX. В версиях до 5.1 функция переключения при отказе отправляет с каждого интерфейса пакет приветствия, даже если интерфейс отключен. После этого функция ожидает обратного отклика. Если после нескольких попыток отклик не получен, то функция переключения при отказе активируется. Также проверьте, может ли основной PIX успешно отправлять сигналы "ping" на резервные интерфейсы, и если нет, то проверьте, включены ли они. Кроме того, если эти интерфейсы подключены посредством коммутатора, то проверьте интерфейсы коммутатора.

Вопрос. . То, сколько времени кабель Аварийного переключения PIX и я, может использовать более длинный кабель?

Ответ. Длина поставляемого в комплекте последовательного кабеля Cisco составляет 1,8 м. Схему разъемов можно найти в документации по брандмауэру Cisco PIX для вашей версии программного обеспечения PIX. Совместимость более длинных кабелей не проверялась, но их поддержка возможна. В версии PIX 6.2 существует новая функция, которая называется "LAN Failover" и позволяет использовать назначенный интерфейс PIX в качестве кабеля для переключения при отказе. Более подробную информацию см. в документации по брандмауэру PIX версии 6.2.

Вопрос. . Интерфейс виртуальной локальной сети (VLAN) может использоваться в Аварийном переключении?

Ответ. Функция переключения при отказе поддерживает как физические, так и логические виртуальные сети. Ограничение заключается в том, что интерфейс обработки отказа сети и команды обработки отказа канала не могут использовать логический интерфейс VLAN.

Вопрос. . Характеристика сервера DHCP поддерживается с Аварийным переключением?

Ответ. Нет, сервер DHCP не поддерживает функцию переключения при отказе, а PIX не настраивается для получения IP-адреса через DHCP (поскольку для настройки переключения при отказе необходима команда failover interface-name ip address).

Вопрос. . У меня есть два межсетевых экрана Cisco Secure PIX, настроенные в Топологии аварийного переключения. У каждого есть Неограниченная лицензия, и другой имеет Лицензию на переключение. Что происходит, если оба Межсетевых экрана PIX теряют питание, и только начальные загрузки Модуля аварийного переключения выполняют резервное копирование?

Ответ. Брандмауэр PIX с лицензией на переключение при отказе предназначен для применения исключительно для переключения при отказе и не предназначен для автономного режима. Если источники питания обоих брандмауэров PIX отключаются и загружается только модуль для переключения при отказе, то этот модуль функционирует в условно автономном режиме. Если модуль для переключения при отказе используется в автономном режиме, то он перезагружается как минимум каждые 24 часа до возврата к режиму переключения при отказе, когда определяет наличие основного брандмауэра PIX.

Дополнительные вопросы по программному обеспечению

Вопрос. . PIX передает трафик IGMP?

Ответ. Программное обеспечение брандмауэра PIX версии 6.2 позволяет статически настраивать многоадресные маршруты или использовать вспомогательный адрес протокола IGMP для переадресации отчетов IGMP и разрешения объявлений.

В этом списке указана поддержка многоадресности для данного выпуска.

  • Фильтры списка доступа можно применить к многоадресному трафику для разрешения или запрещения определенных протоколов и портов.

  • Функции трансляции сетевых адресов (NAT) и трансляции адресов портов (PAT) применимы только к исходным адресам многоадресных пакетов.

  • Многоадресные пакеты данных с конечными адресами в диапазоне 224.0.0.0/24 не переадресуются. Однако любой другой трафик в диапазоне адресов 224.0.0.0/8 переадресуется.

  • Пакеты IGMP для адресных групп в диапазоне от 224.0.0.0 до 224.0.0.255 не переадресуются по причине резервирования данных адресов для использования протоколом.

  • Функция NAT не применяется к пакетам IGMP. При настройке переадресации IGMP брандмауэр PIX переадресует пакеты IGMP (отчеты и разрешения) с IP-адресом вспомогательного интерфейса в качестве исходного IP-адреса.

Вопрос. . PIX имеет функцию устранения проблем, которая может захватить трассировку пакетов для наблюдения содержимых пакета подробно?

Ответ. Программное обеспечение брандмауэра PIX версии 6.2 поддерживает сбор данных о пакетах для анализа или "просмотра" всего трафика, принятого или заблокированного PIX. Как только сведения о пакете собраны, эти сведения можно видеть на консоли, передать их в файл по сети с помощью сервера TFTP или получить к ним доступ через веб-браузер с помощью Secure HTTP. Обратите внимание, что PIX не собирает данные о трафике, который проходит по тому же сетевому сегменту, но не имеет отношения к нему самому. Кроме того, функция сбора данных о пакетах не включает поддержку файловой системы, преобразования имен DNS и случайного режима.

Вопрос. . OSPF поддержки межсетевого экрана (PIX)?

Ответ. Нововведения в версии кода брандмауэра PIX 6.3 поддерживают внутриобластные, межобластные и внешние маршруты. В этом выпуске также поддерживается перераспределение статических маршрутов по процессам OSPF и перераспределение маршрутов между процессами OSPF.

Вопрос. . PPPoE поддержки межсетевого экрана (PIX)?

Ответ. Программное обеспечение брандмауэра PIX версии 6.2 поддерживает точечный протокол по Ethernet (PPPoE). Поддержка L2TP/PPTP/PPPoE была удалена из версии 7.0 Программного обеспечения межсетевого экрана PIX и позже. (PPPoE предоставляет стандартный метод аутентификации PPP по сети Ethernet и используется многими поставщиками Интернет-услуг для предоставления клиентским компьютерам доступа к их сетям, как правило, посредством DSL). Протокол PPPoE поддерживается внешними интерфейсами устройств безопасности Cisco серии PIX 500.

Вопрос. . SFTP поддерживается через PIX?

Ответ. Нет. В стандартном FTP-соединении клиент или сервер должны указать другой стороне, какой порт будет использоваться для передачи данных. Брандмауэр PIX может определить процесс согласования и открыть этот порт. Однако при использовании протокола SFTP это согласование шифруется, и PIX не может определить порты, которые необходимо открыть, в результате чего происходит сбой соединения SFTP.

Единственное возможное в этой ситуации обходное решение - использовать клиент SFTP, поддерживающий функцию "clear data channel" ("чистый канал данных"). Когда эта функция включена, PIX может определить порт, нуждающийся в открытии.

Вопрос. . Существует ли способ фильтровать пакеты электронной почты на межсетевом экране Cisco Secure PIX? Например, у меня может быть фильтр межсетевого экрана Cisco Secure PIX Вирус "I luv you"?

Ответ. Брандмауэр Cisco Secure PIX не осуществляет фильтрации содержимого на уровне приложений. Другими словами, он не исследует информационную составляющую пакета TCP. Таким образом, он не может фильтровать содержание электронной почты. Фильтрацию на уровне приложений могут осуществлять наиболее современные почтовые серверы.

Вопрос. . Когда я пытаюсь использовать Технологию NAT на своем межсетевом экране Cisco Secure PIX с помощью операторов NAT/GLOBAL, у меня есть проблемы с внешними пользователями, не бывшими способными последовательно обращаться к внутренним хостам. В чем причина?

Ответ. Динамическая трансляция NAT с помощью команд nat и global создает временное состояние соединения/трансляции, которое ВСЕГДА устанавливается от интерфейса с более высоким уровнем безопасности к интерфейсу с более низким уровнем безопасности (от внутренней стороны к внешней). Схемы подобных динамических трансляций применяются только при установке состояния соединения. Любой внутренний узел, с которым первоначальное соединение должен инициировать именно внешний узел, должен быть протранслирован с помощью команды static. После статической трансляции узла данное состояние соединения получает постоянное согласование, а все каналы, вовлеченные в эту статическую трансляцию, постоянно остаются открытыми. При этом IP-соединения всегда можно инициировать из Интернета. С программным обеспечением PIX версии 5.0 и позднее можно использовать списки доступа вместо кондуита.

Вопрос. . У меня есть свой Web-сервер на внутренней части, статически преобразованной во внешнюю сторону. Внешние пользователи не могут войти. Какова причина этого?

Ответ. Статическое согласование предоставляет возможность трансляции/соединения. Но по умолчанию брандмауэр Cisco Secure PIX запрещает ВСЕ попытки входящих соединений, за исключением разрешенных явным образом. Это "разрешение" выдается путем применения канала к статической трансляции. Инструкции для каналов указывают брандмауэру Cisco Secure PIX, какие адреса Интернета необходимо разрешить на определенных протоколах и портах. С программным обеспечением PIX версии 5.0 и позднее можно использовать списки доступа вместо кондуита.

Вопрос. . У меня есть Web-сервер на внутреннем интерфейсе межсетевого экрана Cisco Secure PIX. Это сопоставлено с открытым внешним адресом. Я хочу, чтобы мои внутренние пользователи были в состоянии обратиться к этому серверу его именем DNS или внешним адресом. Как это может быть сделано?

Ответ. Правила TCP не позволяют сделать это, но есть хорошие обходные пути. Например, представим, что реальный адрес веб-сервера 10.10.10.10, а публичный адрес 99.99.99.99. DNS преобразует 99.99.99.99 в www.mydomain.com. Если внутренний узел (например, 10.10.10.25) пытается открыть www.mydomain.com, то веб-браузер преобразует адрес в 99.99.99.99. Затем браузер отправляет пакет в PIX, который в свою очередь отправляет его к маршрутизатору Интернета. Интернет-маршрутизатор уже использует напрямую подключенную сеть 99.99.99.x. Поэтому он предполагает, что пакет предназначен не ему, а напрямую подключенному узлу и сбрасывает этот пакет. Для обхода этой проблемы необходимо, чтобы внутренний узел преобразовал www.mydomain.com в свой реальный адрес 10.10.10.10, либо необходимо отключить внешний сегмент 99.99.99.x от сети таким образом, чтобы маршрутизатор можно было настроить для маршрутизации этого пакета обратно к PIX.

Если DNS располагается с внешней стороны PIX (или в одной из областей DMZ), то можно использовать команду alias на брандмауэре Cisco Secure PIX для коррекции пакета DNS и преобразования его в адрес 10.10.10.10. После этого изменения обязательно перезагрузите компьютеры для очистки кэша DNS. (Тестирование путем пингования www.mydomain.com до и после применения команды alias, чтобы удостовериться, что адрес изменился с 99.99.99.99 на 10.10.10.10).)

Если внутри сети есть собственный сервер DNS, то такая схема не сработает, поскольку поиск DNS никогда не затрагивает PIX и исправлять нечего. В этом случае настройте соответствующим образом локальный сервер DNS или используйте локальные файлы 'hosts' на компьютерах для преобразования этого имени. Другой вариант лучше, поскольку он более надежен. Выключите подсеть 99.99.99.x на PIX и маршрутизаторе. Выберите схему нумерацию RFC 1918 , которая не используется внутри сети (и на всех интерфейсах PIX по периметру). leavingcisco.com Далее повторно измените оператор маршрута для данной сети на PIX. Не забудьте изменить стандартный внешний маршрут PIX на новый IP-адрес маршрутизатора. Внешний маршрутизатор получает этот пакет и направляет его обратно на PIX, основываясь на своей таблице маршрутизации. Маршрутизатор больше не игнорирует этот пакет, поскольку у него нет интерфейсов, настроенных на данной сети.

В PIX 6.2 представлена новая функция двухсторонней NAT, которая обеспечивает работу команды alias и другие возможности.

См. Общие сведение о команде alias для брандмауэра Cisco Secure PIX для получения дополнительной информации о команде alias.

См. раздел Использование внешней трансляции NAT в справочнике по командам PIX для получения дополнительной информации о функции двусторонней трансляции NAT.

Примечание: При выполнении версии программного обеспечения 7.x PIX/ASA, рекомендуется не использовать команду alias. Вместо этого желательно использовать внешнюю трансляцию NAT с коммутатором DNS. Дополнительную информацию см. в разделе Обзор DNS документа Обзор применения протокола на уровне приложений.

Вопрос. . Межсетевой экран Cisco Secure PIX поддерживает сопоставление портов?

Ответ. PIX поддерживает перенаправление входных портов с версии программного обеспечения PIX 6.0. В более ранних версиях PIX согласование портов не поддерживается.

Вопрос. . Я могу сопоставить сингл, внутренний адрес к нескольким внешним адресам?

Ответ. Брандмауэр Cisco Secure PIX допускает только одну трансляцию "один к одному" для локального (внутреннего) узла. При наличии на брандмауэре Cisco Secure PIX более двух интерфейсов можно транслировать локальный адрес на другие адреса на каждом соответствующем интерфейсе, но только для каждого адреса разрешена только одна трансляция на каждый интерфейс. Также нельзя выполнять статическое согласование одного внешнего адреса с несколькими локальными адресами.

Вопрос. . Я могу подключить два разных isp со своим межсетевым экраном Cisco Secure PIX (для распределения нагрузки)?

Ответ. Нет, балансировка загрузки PIX невозможна. Cisco Secure PIX Firewall предназначен для работы только с одним маршрутом по умолчанию. Если подключается два ISP к одному PIX, то брандмауэру необходимо создавать решения о маршрутизации на намного более интеллектуальном уровне. Вместо этого используйте маршрутизатор шлюза во внешней области PIX, чтобы PIX продолжал отправлять весь трафик на один маршрутизатор. После этого маршрутизатор может распределить нагрузку и маршрут между двумя ISP. Альтернатива этому - использовать два маршрутизатора во внешней области PIX с помощью протокола HSRP и установить шлюз по умолчанию PIX на виртуальный адрес HSRP. Кроме того, (по возможности) можно использовать протокол OSPF, поддерживающий балансировку нагрузки между узлами, количество которых не превышает трех, на одном интерфейсе.

Вопрос. . Сколько Адресов PAT я могу иметь на своем межсетевом экране Cisco Secure PIX?

Ответ. Программное обеспечение PIX выпусков 5.2 и старше позволяет использовать несколько адресов PAT на интерфейс. В более ранних версиях PIX применение нескольких адресов PAT на интерфейс не поддерживается.

Вопрос. . Существует ли способ сказать межсетевому экрану Cisco Secure PIX предоставлять больше пропускной способности некоторым пользователям?

О. Нет.

Вопрос. . Я должен предоставить свой пользовательский доступ к общим папкам на моем Домене NT от удаленных местоположений. Как я делаю это?

Ответ. Протокол Microsoft NetBios предоставляет совместный доступ к файлам и принтерам. Включение протокола NetBios для Интернета не соответствует требованиям безопасности большинства сетей. Более того, NetBios сложно настроить с помощью NAT. Хотя с помощью зашифрованных технологий, работающих непосредственно с PIX, Microsoft обеспечивает более высокую защиту, открытие необходимых портов все же возможно.

Коротко говоря, необходимо установить статические трансляции для всех узлов, для которых требуется доступ и каналы (или списки доступа в ПО PIX 5.0.x и старше) к портам TCP 135 и 139 и портам UDP 137 и 138. Необходимо использовать либо сервер WINS для преобразования транслированных адресов в имена NetBios, либо корректно настроенный локальный файл LMHOSTS на всех удаленных компьютерах-клиентах. При использовании WINS абсолютно каждый узел должен иметь статическую запись WINS как для локальных, так и для транслированных адресов узлов, к которым предоставляется доступ. При использовании LMHOSTS эта запись также должна присутствовать для обоих адресов, кроме случаев, когда удаленные пользователи вообще не подключаются к внутренней сети (например, портативные компьютеры). Сервер WINS должен быть доступен из Интернета с помощью команд static и conduit, а удаленные узлы должны быть настроены до точки, указанной на сервере WINS. И, наконец, необходимо установить бессрочную аренду протокола DHCP. Также можно статически настроить IP-адреса на узлах, которые должны быть доступны из Интернета.

Более безопасным и надежным способом можно осуществить это с помощью настройки либо протокола PPTP, либо шифрования IPsec. Обратитесь в службу безопасности сети и к специалистам по структуре сети для получения более подробной информации о возможных вариантах.

Вопрос. . Я нахожусь на консоли/Telnet PIX, и я вижу ошибку как "201008: PIX запрещает новые соединения". Мой PIX не передает входящего или исходящего трафика. В чем причина?

Ответ. Эта ошибка означает, что вы используете "надежный системный журнал TCP" для программного обеспечения PIX Firewall Syslog Server (PFSS) в операционной среде Windows NT и что система не отреагировала на сообщения системного журнала PIX. Для устранения этой проблемы попробуйте выполнить следующие варианты действий:

  • Перейдите на сервер NT, использующий PFSS, и устраните проблему, которая не позволяет серверу принимать данные системного журнала TCP от PIX. Обычно источником этой проблемы служит заполненный жесткий диск или отсутствие запущенной службы системного журнала.

  • Отключите функцию системного журнала TCP и вернитесь к стандартной служебной программе для системного журнала UDP. Для этого в командную строку PIX следует ввести команду logging host [in_if_name] ip_address [protocol/port]. Введите logging host ip_address, а затем повторно введите команду без указания протокола/порта. Будет произведен сброс на стандартный протокол/порт UDP/514.

Примечание: "Надежная функция" системного журнала TCP PIX и PFSS предназначена для создания политики безопасности, которая сообщает, "Если PIX не может регистрировать его, то не делайте этого. Если такой принцип не подходит, то использовать "надежный системный журнал TCP" не надо. Вместо этого используйте стандартные возможности системного журнала, которые не блокируют входящий/исходящий трафик, если сервер системного журнала недоступен.

Вопрос. . Когда я выполняю определенные, некоторый команды на PIX, которые обращаются к конфигурации во Флэше (команда show config), я получаю ошибку, которая сообщает, что "Флэш - устройство используется другой задачей. Что это означает?

Ответ. Пример этой ошибки приведен в следующих выходных данных:

pixfirewall#write memory
Building configuration...
Cryptochecksum: 386bb809 e4d28698 91990edb 8483760c
The flash device is in use by another task.
[FAILED]
Type help or '?' for a list of available commands.
pixfirewall# 

Это означает, что существует другой сеанс PIX, в котором кто-то использовал команду write terminal или подобную ей для доступа к флэш-памяти и продолжает находиться в командной строке "--more--".

Чтобы проверить это, выполните команду who, находясь в консоли PIX.

PIX#who
0: 14.36.1.66
PIX#

В данном примере видно, что пользователь 14.36.1.66 вошел на PIX через Telnet. Для принудительного отключения этого пользователя можно использовать команду kill.

PIX#kill ?
usage: kill <telnet_id>
PIX#kill 0
PIX#who
PIX# 

Пользователь отключился, и теперь можно выполнить необходимую операцию с флэш-памятью. В том маловероятном случае, если это не сработает, перезагрузка PIX также решит подобную проблему.

Вопрос. . Я могу управлять PIX в "одной вооруженной" конфигурации?

Ответ. Нет, PIX не может работать в "однорукой" конфигурации из-за алгоритма адаптивной безопасности, который используется PIX. Дополнительные сведения см. в общих сведениях о брандмауэре PIX.

Например, существует PIX с двумя интерфейсами (внутренним и внешним) и на внутреннем интерфейсе есть сеть 10.1.1.0/24. Вне этой сети есть маршрутизатор с подключенной к нему сетью 10.1.2.0/24. Далее, предположим, что существует сервер на внешнем интерфейсе 10.1.1.5. В этом хосте содержится стандартный шлюз внутреннего интерфейса PIX (10.1.1.1). В данном сценарии предположим, что PIX использует правильную информацию о маршрутизации, например внутренний маршрут 10.1.2.0 255.255.255.0 10.1.1.254, где 10.1.1.254 - это IP-адрес маршрутизатора. Можно подумать, что узел 10.1.1.5 может отправить пакет на 10.1.2.20, и этот пакет попадет в PIX, будет перенаправлен на маршрутизатор в 10.1.1.254 и попадет на конечный узел, но это не так. Однако в данном случае это не важно. Устройство PIX не обеспечивает передачу перенаправлений ICMP как маршрутизатор. Также PIX не позволяет пакету покинуть интерфейс, с которого он был отправлен. При условии, что узел 10.1.1.5 отправил пакет с конечным адресом 10.1.2.20 на внутренний интерфейс PIX, PIX отбросит этот пакет, потому что он был предназначен для отправки с интерфейса, на который был получен. Это верно для любого интерфейса PIX, а не только для внутреннего интерфейса. В данном сценарии решением для узла 10.1.1.5 является настройка стандартного шлюза на интерфейс маршрутизатора (10.1.1.254) и последующее наличие на маршрутизаторе стандартного шлюза, указывающего на PIX (10.1.1.1).

/image/gif/paws/15247/pixfaq_01.gif

Вопрос. . PIX управляет правильно, если включено магистральным портом на коммутаторе?

Ответ. Да, но на PIX нужно настроить инкапсуляцию по стандарту 802.1Q. См. вопрос Поддерживает PIX 802.1Q на своих интерфейсах?.

Вопрос. . Я могу установить таймаут на консольном порту PIX?

Ответ. Да, это новая функция в версии 6.3. Обратитесь к команде console timeout.

Вопрос. . Я знаю, что PIX может сделать NAT на основе адреса источника, но PIX может сделать NAT на основе назначения?

Ответ. Трансляция NAT на основе места назначения может выполняться только в брандмауэрах PIX версий 6.2 и старше. Более подробную информацию см. в документации по брандмауэру PIX версии 6.2.

Вопрос. . Я не могу заставить установки Протокола NFS работать по PIX. Что не так?

Ответ. PIX не поддерживает сопоставление портов (порт 111) через TCP. Следует настроить NFS таким образом, чтобы вместо него использовался UDP.

Вопрос. . PIX делает контрольные списки доступа на основе времени (ACL)?

Ответ. В отличие от Cisco IOS, PIX не создает списки управления доступом на основе времени суток. Если производится аутентификация пользователей, подключающихся к PIX, и сервер аутентификации поддерживает ограничение доступа по определенному времени суток, то PIX реализует эти ограничения.

Вопрос. . Я могу настроить текст сообщений системного журнала, которые передает PIX?

Ответ. Сообщения системного журнала, создаваемые PIX, жестко прописаны в операционной системе, поэтому изменять их нельзя.

Вопрос. . PIX может сделать разрешение имен?

Ответ. Поскольку корректно настроенный PIX разрешает транзитный трафик DNS для обеспечения работы внутренних и внешних устройств с DNS, то PIX не применяет самостоятельное преобразование имен.

Вопрос. . Я вижу "соединение запрещенные" сообщения в системном журнале PIX, а также запрещает для Telnet к интерфейсам PIX. Но я не вижу, запрещает для другого трафика к интерфейсам PIX. Это нормальная ситуация?

Ответ. До версии 6.2.2 сообщения deny для трафика на интерфейсы PIX ограничивались запрещенными сеансами Telnet и портом TCP/23. В версиях 6.2.3 и 6.3.1 были добавлены новые сообщения системного журнала, в которых идентификатор системного журнала 710003 обрабатывает запрещенный трафик непосредственно на интерфейс PIX.

Вопрос. . Я не могу пропинговать от сети в PIX к внешнему интерфейсу PIX, ни от сети вне PIX к внутреннему интерфейсу PIX. Это нормальная ситуация?

Ответ. Да, в отличие от Cisco IOS, PIX не отвечает на запросы ICMP к интерфейсам, находящимся на "дальней стороне" устройства, посылающего пакеты PIX.

Вопрос. . PIX может действовать как NTP server?

О. Нет.

Вопрос. . Действительно ли возможно изменить порты по умолчанию, используемые для IPSec на PIX?

О. Нет.

Вопрос. . Dynamic Domain Name Services (DDNS) поддержки межсетевого экрана (PIX)?

О. Нет.

Вопрос. . Межсетевой экран Cisco PIX настроен для передачи с Cisco, Работает, сервер Автоматического обновления и весь трафик прекратили проходить через него. Почему это происходит и как это исправить?

Ответ. Брандмауэр Cisco PIX блокирует все новые подключения, если он настроен на взаимодействие с сервером Auto Update, который не отвечает в течение определенного времени. Администратор может изменить значение времени ожидания с помощью команды auto-update timeout period.

Спецификация Auto Update specification предоставляет инфраструктуру, необходимую для удаленного управления приложениями для загрузки конфигураций межсетевого экрана PIX и образов ПО, и для выполнения основного мониторинга из централизованного расположения. Невозможность связаться с сервером приводит к блокировке всего трафика PIX.

В. У меня нет доступа к внутреннему интерфейсу PIX при подключении через туннель VPN. Как это сделать?

Ответ. Доступ к внутреннему интерфейсу PIX не может быть получен извне, и наоборот, за исключением случая, когда команда management-access настроена на режим глобальной настройки. Если включена функция management-access, то доступ к Telnet, SSH и HTTP по-прежнему необходимо настроить на желаемые узлы.

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 15247