鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 数据库 > Access > >

PIX&ASA的流量放行问题

来源:互联网 作者:佚名 时间:2015-09-07 12:02
老胳膊 总结PIX 流量 放行 问题 : NAT,从高到低(安全级别) ACL,在完全级别较低的端口上 放行 流量 ESP、isakmp(vpn协议),是非状态化协议,不支持状态化监控,需要 放行 返回的ESP 流量 。 GRE,是不支持状态化的协议 流量 ,需 放行 返回的gre 流量 。

老胳膊总结PIX流量放行问题

 

NAT,从高到低(安全级别)
ACL,在完全级别较低的端口上放行流量
ESP、isakmp(vpn协议),是非状态化协议,不支持状态化监控,需要放行返回的ESP流量
GRE,是不支持状态化的协议流量,需放行返回的gre流量

 

放行ICMP流量
#access-list out permit icmp any any
#access-group out in interface outside

 

在配置BGP协议时,如果BGP会话加密的话,那么默认情况下是无法穿越透明防火墙的。这是因为防火墙出于安全的考虑,默认情况下会打开TCP序列号随机化的小特性,另外防火墙会擦出TCP的一些选项位,在BGP加密会话中,19号选项位包含了MD5加密的属性信息,防火墙清除这个字段后的后果就是加密的BGP会话建立不起来。解决办法是放行OPTION 19,

放行option 19:     //允许TCP包头中的option字段的19号选项位
class-map BGP-MD5-classmap
     match port tcp eq 179
  tcp-map BGP-MD5
          tcp-option range 19 19 allow

policy-map global_policy
     class BGP-MD5-classmap
        set connection advanced-option BGP-MD5

service-policy global_policy global


查看原文:http://www.laogebo.com/archives/246.html


 

老胳膊BLOG

网友评论
<