tag:blogger.com,1999:blog-2333148333771997943.post1613246672511939230..comments2022-04-10T10:28:30.174+02:00Comments on Бардак в голове: Modular policypablohttp://www.blogger.com/profile/02969517187693284531noreply@blogger.comBlogger4125tag:blogger.com,1999:blog-2333148333771997943.post-41803246938248852592009-02-10T09:34:00.000+01:002009-02-10T09:34:00.000+01:00xumuk, в общем случае специальная инспекция нужна ...xumuk, в общем случае специальная инспекция нужна для протоколов с динамически выделяемыми портами и соединениями инициируемыми со стороны сервера. Если протокол использует всего один порт, то обычного stateful хватает.<BR/>В случае если вам необходим дополнительный контроль, например инспекция sql запросов, для этого существуют специальные железяки. АСА всего лишь, интегрированое решение подходящее для большинства типичных задач. <BR/>Босюь ошибиться, но вроде бы, Cisco ACE умеет делать полноценную инспекцию sql (с защитой от SQL injection например).pablohttps://www.blogger.com/profile/02969517187693284531noreply@blogger.comtag:blogger.com,1999:blog-2333148333771997943.post-38532698176526660572009-02-09T15:06:00.000+01:002009-02-09T15:06:00.000+01:00pablo именно то. это меня и интересовало.но вот до...<B>pablo</B> именно то. это меня и интересовало.<BR/>но вот допустим MS SQL. это прсото включить инспекцию по порту 1433 ?<BR/>Тогда получается он просто будет следить за данным портом непонимая кто это и что делает, но будет разрешать динамически выделяемые порты, т.к. существуют предопределённые инспекции т.е. виды трафика о которых знает ASA и с которыми умеет себя вести определённым образом.<BR/>И в итоге имеем картину:<BR/>Есть сервис фиг знает какой, если он не работает то необходимо настраивать для него инспекцию, либо изучать механихм его работы и тогда решать включать инспекцию или нет.<BR/>Спасибо за разъяснения, мои предположения подтвердились. Буду изучать вопрос глубже.xumukuhttps://www.blogger.com/profile/13551299401859455812noreply@blogger.comtag:blogger.com,1999:blog-2333148333771997943.post-65729114837949212192009-02-06T14:13:00.000+01:002009-02-06T14:13:00.000+01:00xumuk, я так понимаю, что вы смотрите на прохожден...xumuk, я так понимаю, что вы смотрите на прохождение трафика с inside на outside?<BR/>Т.е. с интфейса с большим значением security-level на интерфейс с меньшим. В этом случае не нужен acl, а пакеты будут инспектироваться согласно dafault policy. При этом для протоколов использующих несколько портов (например ftp, и похоже ms sql) необходимо указывать инспекцию явно. Для простых (http например) этого не требуется. Для них сработает стандартный stateful механизм. В случае того же ftp (active если я их не путаю опять. :) ), требуется два порта - 21/tcp на сторне сервера и один из динамически открываемых "высоких" портов на стороне клиента. В случае выключеной инспекции ftp, второе соединение (от сервера к клиенту) будет заблокированно асой. То же самое и в случае icmp. Echo-request будет переслан, а вот ответы будут заблокированы.<BR/>Надеюсь я правильно понял вопрос и более-менее внятно объяснил. :)pablohttps://www.blogger.com/profile/02969517187693284531noreply@blogger.comtag:blogger.com,1999:blog-2333148333771997943.post-73884833196075996622009-02-05T10:45:00.000+01:002009-02-05T10:45:00.000+01:00день добрый.занимаюсь настройкой ASA 5510 -ASA 8.0...день добрый.<BR/>занимаюсь настройкой ASA 5510 -ASA 8.04 .<BR/>правила на прохождение между интерфейсами настроил.<BR/>стали проверять. всё работает.<BR/>если удалить дефолтную инспекцию трафика то трафик отказывается ходить и по PT и на реальном моделировании. <BR/>Везде встречал лишь то что для ICMP необходимо включать инспекцию если хотим не создавать 2 правила на in и out.<BR/>Но нигде не сказано, что если не будет вообще какой либо инспекции то трафик не будет вообще ходить между интерфейсами.<BR/>Проверяли на ftp и MS SQL протоколах.<BR/>Если несложно не могли бы пояснить этот момент.<BR/>В книжке cisco-asa-pix-and-fwsm-firewall-handbook - не нашёл вообще про это. Судя по ней досточно просто правила in но так точно не хочет работать. Хотя мало ли может не коректная настройка.<BR/><BR/>Спасибоxumukuhttps://www.blogger.com/profile/13551299401859455812noreply@blogger.com