» Настройка Cisco PIX Firewall / ASA

Cisco PIX Firewall / ASA

Cisco PIX Firewall / ASA - OS ищем тут !





Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco


Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN


Родственные темы
Настройка Cisco оборудования.


FAQ

кому не в лом , ответьте на пару вопросов по subj .

у знакомых есть винроут , хотят сменить . я посоветовал чекпойнт (из тутошнего варезника) а люди заглядываются на pix .

вопросы таковы :
1) сложность переползания с винрута на pix. К нему есть GUI , или все конфигурится с телнета , как ACL в рутерах ? ТО есть сможет ли человек ни разу не видевший продукции циско сесть и все сделать без геморроя?

2) Есть ли системы учета траффика , приоретизации и вообще есть ли всякие расширения и стоят ли они денег или достаточно железа ?

3) и самое главное - что можно сказать в защиту чекпойнта кроме финансов ? В каком месте PIX круче (то что он железный и от циски рояля не играет)

вдогонку
4) может ли pix НАТить ?

Zlobny_John

Цитата:

К нему есть GUI , или все конфигурится с телнета , как ACL в рутерах ?

нет. слышал что в новых иосах поставляют жаба плужину для этого, но опять же если
Цитата:

человек ни разу не видевший продукции циско

то ничего не будет


Цитата:

Есть ли системы учета траффика , приоретизации и вообще есть ли всякие расширения и стоят ли они денег или достаточно железа ?

железа если я не ошибаюсь не достаточно.


Цитата:

В каком месте PIX круче

быстрее и в принципе не ломается

Цитата:

может ли pix НАТить

да.

В качестве маленькой справки...
PIX обычный "Писюк" только вместо винта в нем флэшка, в которой лежит IOS. А платить такие деньги за 433-MHz Intel Celeron и 32Мб памяти как-то черезчур много

ACC
ты открыл всем простую истину? так это мы и так знали. если ты покажеш мне писюк который сможет воплотить все возможности, надежность и производительность PIX то я тебе памятник воздвигну не рукотворный.

Цитата:

Cleartext throughput: 188 Mbps

Concurrent connections: 130,000

168-bit 3DES IPsec VPN throughput: Up to 140 Mbps with VAC+ or 63 Mbps with VAC

128-bit AES IPsec VPN throughput: Up to 135 Mbps with VAC+

256-bit AES IPsec VPN throughput: Up to 140 Mbps with VAC+

Simultaneous VPN tunnels: 2000

Zlobny_John
з.ы.
Цитата:

Intuitive, Web-based GUI enables simple, secure remote management of Cisco PIX Security Appliances.

но мне говорили что если не понимаеш то фиг настроиш. сам не видел.

new_yorik
Приведенная цитата - это производительность для VPN, да еще и со спец. крипто картой VAC+ за которую придеться еще денег прибавить в районе 5000. Не много найдется ИМХО мест где можно юзать VPN на скорости 140 Mbps.
Ничто не мешает похожие крипто ускорители юзать и на "писюке", кроме трудностей с ее приобретением.
Например так http://www.openbsd.org/ru/crypto.html

ACC

Цитата:

Cleartext throughput: 188 Mbps

Concurrent connections: 130,000

тут гдето есть хоть буква про впн???

ну килобаксы это круто конечно, а для простых смертных у них есть девайсы? чтоб порядка 200 потоков например безглючно обрабатывал? видал гдето "домашние" фаирволы, юзерам в локалке нет раздают, от 50 баков стоят вроде... у цисков есть чтонибудь подобное? под даил именно, 56к.

begem0t

Цитата:

50 баков

разве что юзаный с ибэя, и то врядли.

и всётаки на 56к у них есть что?

begem0t
у них нет ничего на 56к, это фаервол, а не роутер.

Цитата:

слышал что в новых иосах поставляют жаба плужину для этого,

Жаба плужина идет сейчас почти со всем . например с 2950 Standart Image и с 3550 . она вся правильная , кластерная , но жутко тормозная .


Цитата:

быстрее и в принципе не ломается

в каком месте быстрее ? Честно говоря я не совсем понимаю как "433-MHz Intel Celeron и 32Мб памяти" может быть быстрее P3-800 / 256 на котором крутится Чекпойнт и w2k . оно конечно понятно в пиксе OS и FIrewall в одном флаконе и ничего лишнего ...


Люди , у кого это есть , скажите как его конфигурять ?

Что тут можно сказать...Основное достоинство PIX Firewall - это то, что ты получаешь все в одном флаконе, и для того что бы организовать (например) защищенный канал "точка-точка" надо нарисовать на каждом устройстве всего лишь один конфиг. То же самое можно сделать например на каком-нибудь Юниксе. Можно, но: придется конфигурить далеко не в одном конфиге, почитывая километровые man'ы. Выплачивая, например, около 700 баксов за PIX-501 (самая младшая модель в семействе PIX'ов), вы платите главным образом за удобство, за удовольствие иметь интегрированное специализированное решение.

По поводу GUI: каждый PIX имеет на своей флэшке помимо своего варианта IOS'а еще и PDM (Pix Device Manager) - browser-based инструмент для его конфигурирования. Другое дело в том, что мало кто его пользует... telnet/ssh как-то привычнее...

Насчет того что бы разобраться...Если знаешь матчасть файрволов вообще, знаешь что нужно получить в итоге от устройства - то на основе туевой хучи HOW-TO на сайте Cisco сделать это можно довольно быстро.

Еще добавка - к пиксам идет документаха в бумажном виде(на английском) - та же,что и на сайте, довольно приличная, читай и много будет понятно.
Для наших условий чекпоинт получше будет, т.к. покупая пикс ты покупаешь только пикс, а на машину с чекпоинтом можно воткнуть например ISDN адаптер(ну строишь ты ISDN) или добавить модуль Qos и т.д., т.е. более гибко и расширяемо получается.

Господа сравнивать Pix и Checkpoint довольно глупо
Pix проигрывает по всем параметрам кроме цены.Я работаю с Pix начиная с версии 6.1
и с CP-1 4.0 .Про HW vpn акселераторы так они есть и под CP-1 так что это давно не показатель. Ну и потом ноги у Pixов небось не все знают окуда растут? Так вот это была NAT машина, а firewall потом добавили.

Народ, ответьте плз на простой вопрос :
как закачать ранее забэкапленую конфигурацию на Cisco pix 515?
бэкапил следующей командой:
write net 192.168.2.xxx:filename
файлик слился на TFTP сервер
потом я пробую залить его обратно командой
copy tftp://192.168.2.xxx/filename flash:image
он файлик принимает, но пишет :
No PIX image found in downloaded file.
Image not instaled

Посоветуйте, где я чего не так сделал, или что нужно делать чтобы залить на циску
конфигурацию
Всем спасибо заранее


Вопрос снят. Сам разобрался. комманда configure net TFTP_IP_ADDRESS:FILENAME

Кто скажет можно ли выключить пикс командой или только кнопкой, неужели нет команды?

Vic
только кнопкой

new_yorik

понял, спасибо

Немогу законектиться по SSH на пикс, кто скажет, какие хитрости там есть, телнетом без проблем?

Vic
Какая версия пикса?

Для любой:

#ssh 10.10.10.1 255.255.255.255 inside
#ssh timeout 60

Версия последняя 7-ка в логе пишет:

Fail to establish SSH session because RSA host key retrieval failed

Vic
Тогда надо убить дефолтовый RCA ключ (он там 512) и сгенерить новый на 1024

BorisDr

Цитата:

Тогда надо убить дефолтовый RCA ключ (он там 512) и сгенерить новый на 1024

К сожалению нифига неполучается приконектиться, может у меня клиенты ссш неправильные

Vic
Попробу putty

BorisDr

Цитата:

Попробу putty

Да чего только непробовал и его в том числе

Vic
Тогда через веб интерфейс. И попробуй ssh1.

И еще у меня вопрос в сислог мессаже постоянные
Local4.Error ххх.ххх.ххх.хх Apr 15 2005 00:00:51 : %PIX-3-710003: UDP access denied by ACL from ххх.ххх.ххх.хх/137 to inside:ххх.ххх.ххх.255/137, причем блокировки по внутренней сети, как от них избавиться?

Vic
пофиксить ACL