با سلام حضور دوستان ارجمندم
دیروز یکی از دوستان در مورد تفسیر یکی از Security LAB های ناربیک کوچاریانس دچار مشکل شده بود که ایمیلی به بنده زده بودند تا رفع مشکل کنم . در ادامه چون مورد را برای دیگر دوستان هم مفید دانستم ، شکلی برایش طراحی نمودم که برایتان در وبلاگ قرار می دهم . امید که گشایشی در مشکلات دوستان بشود . مشکل ایشون عدم ادراک درست از LAN در شکل مربوطه بوده است که پاسخ بدین صورت ارایه شد . فدای دوست
با سلام حضور دوستان ارجمندم
بنا به درخواست تعدادی از عزیزان مبنی بر ارائه سناریوهای فایروالینگ (Cisco ASA Security Contexts) بعد از مدتی پاسخ دوستان بشکل ویدئویی آماده شده و ارائه می گردد . مبحث ( Cisco ASA - With shared Interface ) . شرح آنچنانی برایش نمی دهم ، فقط ملاحظه نموده و امید که مقبول افتد . این ویدئوها در دو بخش تقدیم می شود . فدای دوست
با سلام حضور دوستان ارجمندم
بنا به درخواست تعدادی از عزیزان مبنی بر ارائه سناریوهای فایروالینگ (Cisco ASA Security Contexts) بعد از مدتی پاسخ دوستان آماده شده و ارائه می گردد . شرح آنچنانی برایش نمی دهم ، فقط ملاحظه نموده و امید که مقبول افتد . این ویدئوها در دو بخش تقدیم می شود . فدای دوست
Part 1 :
Part 2 :
لینک مفید برای مطالعه بیشتر :
با سلام و عرض ادب
چندیست که دوستان در مورد Dynamic Routing Protocol های مبتنی بر IPv6 و همچنین نحوه پیاده سازی آنها سئوال فرموده بودند که بنده تصمیم گرفتم تا سناریویی مبتنی بر OSPFv3 برای شما عزیزان طراحی کنم . البته شکی نیست که این سناریو بر اساس ریکامندها و اسناد سیسکو می باشد و از عالم غیب نه بر ما بلکه بر هیچکس نازل نشده است . کلیه ی موارد و Config هایی که نیازمند آن هستید به تکامل بر روی تصویر ارائه شده است . امید که دریچه ای برای ورود به مباحث پیشرفته تر این بحث برای دوستان باشد . لطفا به تصویر توجه فرمایید :
Greetings and Greeting
While the friends of Dynamic Routing Protocol based on IPv6 and how to implement them were questioned said that I decided to design a scenario based on the OSPFv3 for your loved ones. Of course, no doubt that this scenario is based on Cisco documentation and the unseen, not on us, but nobody has been revealed. Config All items that are needed to evolve the image is presented. Hope that hatch into more advanced topics for discussion are friends. Please note the image below :
در واقع (Open Shortest Path First (OSPF یک روتینگ پروتکل داینامیک برای تکنولوژی IP محسوب شده و link-state protocol طبقه بندی می شود . این پروتکل تصمیم گیری هایش را بر اساس وضعیت لینک های اتصالات انجام می دهد که این داده ها را از روی اینترفیس و وضعیت همسایگانش بدست می آورد بطوریکه هر روتر از توپولوژی کل شبکه آگاه است . اطلاعات اینترفیس شامل Prefix های IPv6 و Network Mask ، نوع شبکه متصل ، نوع روترهای متصل به شبکه و ... می باشد که این داده ها توسط انواعی از پیامها در کل شبکه تبلیغ می شوند که بدان (link-state advertisements (LSAs می گویند .لازم به ذکر است که OSPFv3 از IPv6 پشتیبانی می کند . برای اطلاع بیشتر به مطالعه RFC 2740 بپردازید . در خاتمه تعدادی از دستورات مانیتورینگ مربوطه به این سناریو را برای دوستان عزیز معرفی کرده و البته یا سرچ در اینترنت بسیاری دیگر را خواهید یافت . و اینکه این سناریو با روترهای سری C7200 ورژن 15.2 طراحی شده است . یا حق
A brief explanation for those who are new to the network of friends joined together :
which are propagated in the network link-state advertisements (LSAs) say. should mention that OSPFv3 for IPv6 support. For more information, read RFC 2740 pay. At the end of the monitoring commands to the scenario Referred to dear friends and, of course, or search the internet you will find many others., and that this scenario C7200 series routers are designed version of 15.2., or right
Stub_Router# show ipv6 ospf database
OSPFv3 Router with ID (3.3.3.3) (Process ID 1)
Router Link States (Area 2)
ADV Router Age Seq# Fragment ID Link count Bits
1.1.1.1 885 0x80000007 0 1 B
3.3.3.3 919 0x80000008 0 1 None
Inter Area Prefix Link States (Area 2)
ADV Router Age Seq# Prefix
1.1.1.1 373 0x80000002 ::/0
Link (Type-8) Link States (Area 2)
ADV Router Age Seq# Link ID Interface
1.1.1.1 964 0x80000006 5 Se1/0
3.3.3.3 1165 0x80000006 5 Se1/0
Intra Area Prefix Link States (Area 2)
ADV Router Age Seq# Link ID Ref-lstype Ref-LSID
1.1.1.1 964 0x80000005 0 0x2001 0
3.3.3.3 1172 0x80000005 0 0x2001 0
Stub_Router# show ipv6 ospf database router self-originate
OSPFv3 Router with ID (3.3.3.3) (Process ID 1)
Router Link States (Area 2)
Routing Bit Set on this LSA
LS age: 753
Options: (V6-Bit R-bit DC-Bit)
LS Type: Router Links
Link State ID: 0
Advertising Router: 1.1.1.1
LS Seq Number: 80000007
Checksum: 0xFCA4
Length: 40
Area Border Router
Number of Links: 1
Link connected to: another Router (point-to-point)
Link Metric: 64
Local Interface ID: 5
Neighbor Interface ID: 5
Neighbor Router ID: 3.3.3.3
LS age: 791
Options: (V6-Bit R-bit DC-Bit)
LS Type: Router Links
Link State ID: 0
Advertising Router: 3.3.3.3
LS Seq Number: 80000008
Checksum: 0x178A
Length: 40
Number of Links: 1
Link connected to: another Router (point-to-point)
Link Metric: 64
Local Interface ID: 5
Neighbor Interface ID: 5
Neighbor Router ID: 1.1.1.1
Stub_Router# show ipv6 ospf database link self-originate
OSPFv3 Router with ID (3.3.3.3) (Process ID 1)
Link (Type-8) Link States (Area 2)
LS age: 627
Options: (V6-Bit R-bit DC-Bit)
LS Type: Link-LSA (Interface: Serial1/0)
Link State ID: 5 (Interface ID)
Advertising Router: 1.1.1.1
LS Seq Number: 80000006
Checksum: 0x215C
Length: 56
Router Priority: 1
Link Local Address: FE80::D20E:16FF:FE50:0
Number of Prefixes: 1
Prefix Address: 2002:ABAB::
Prefix Length: 64, Options: None
LS age: 828
Options: (V6-Bit R-bit DC-Bit)
LS Type: Link-LSA (Interface: Serial1/0)
Link State ID: 5 (Interface ID)
Advertising Router: 3.3.3.3
LS Seq Number: 80000006
Checksum: 0xB4C2
Length: 56
Router Priority: 1
Link Local Address: FE80::D20D:16FF:FE50:0
Number of Prefixes: 1
Prefix Address: 2001:ABAB::
Prefix Length: 64, Options: None
Stub_Router# show ipv6 route
IPv6 Routing Table - 6 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
U - Per-user Static route
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
OI ::/0 [110/65]
via FE80::D20E:16FF:FE50:0, Serial1/0
C 2001:ABAB::/64 [0/0]
via ::, Serial0/0
L 2001:ABAB::D20D:16FF:FE50:0/128 [0/0]
via ::, Serial0/0
O 2002:ABAB::/64 [110/128]
via FE80::D20E:16FF:FE50:0, Serial1/0
L FE80::/10 [0/0]
via ::, Null0
L FF00::/8 [0/0]
via ::, Null0
ABR1# show ipv6 ospf
Routing Process "ospfv3 1" with ID 1.1.1.1
It is an area border router
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
LSA group pacing timer 240 secs
Interface flood pacing timer 33 msecs
Retransmission pacing timer 66 msecs
Number of external LSA 2. Checksum Sum 0x00A1E0
Number of areas in this router is 2. 1 normal 1 stub 0 nssa
Reference bandwidth unit is 100 mbps
Area BACKBONE(0)
Number of interfaces in this area is 1
SPF algorithm executed 5 times
Number of LSA 8. Checksum Sum 0x052E71
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0
Area 2
Number of interfaces in this area is 1
It is a stub area, no summary LSA in this area
generates stub default route with cost 1
SPF algorithm executed 6 times
Number of LSA 7. Checksum Sum 0x042237
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0
ABR1# show ipv6 route
IPv6 Routing Table - 9 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
U - Per-user Static route
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
O 2001:ABAB::/64 [110/128]
via FE80::D20D:16FF:FE50:0, Serial1/0
C 2002:ABAB::/64 [0/0]
via ::, Serial0/0
L 2002:ABAB::D20E:16FF:FE50:0/128 [0/0]
via ::, Serial0/0
C 2003::/124 [0/0]
via ::, FastEthernet0/0
L 2003::1/128 [0/0]
via ::, FastEthernet0/0
OE1 2003::1:0/124 [110/26]
via FE80::D20F:BFF:FE24:0, FastEthernet0/0
OE1 2004:ABAB::/64 [110/26]
via FE80::D20F:BFF:FE24:0, FastEthernet0/0
L FE80::/10 [0/0]
via ::, Null0
L FF00::/8 [0/0]
via ::, Null0
ASBR# show ipv6 ospf
Routing Process "ospfv3 1" with ID 2.2.2.2
It is an autonomous system boundary router
Redistributing External Routes (with default metric 25) from,
rip with metric-type 1 include-connected
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
LSA group pacing timer 240 secs
Interface flood pacing timer 33 msecs
Retransmission pacing timer 66 msecs
Number of external LSA 2. Checksum Sum 0x00A1E0
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Reference bandwidth unit is 100 mbps
Area BACKBONE(0)
Number of interfaces in this area is 1
SPF algorithm executed 2 times
Number of LSA 8. Checksum Sum 0x052E71
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0
/////////////////////////////////
ASBR# show ipv6 rip
RIP process "EXT", port 521, multicast-group FF02::9, pid 156
Administrative distance is 120. Maximum paths is 16
Updates every 30 seconds, expire after 180
Holddown lasts 0 seconds, garbage collect after 120
Split horizon is on; poison reverse is off
Default routes are not generated
Periodic updates 69, trigger updates 6
Interfaces:
Serial0/0
Redistribution:
Redistributing protocol ospf 1 include-connected
Stub_Router# debug ipv6 ospf events
Stub_Router# debug ipv6 ospf packet
*Mar 1 00:14:20.999: OSPFv3: rcv. v:3 t:1 l:36 rid:1.1.1.1
aid:0.0.0.2 chk:142A inst:0 from Serial1/0
*Mar 1 00:14:21.023: OSPFv3: rcv. v:3 t:2 l:28 rid:1.1.1.1
aid:0.0.0.2 chk:EB8A inst:0 from Serial1/0
*Mar 1 00:14:21.027: OSPFv3: rcv. v:3 t:1 l:40 rid:1.1.1.1
aid:0.0.0.2 chk:E1C inst:0 from Serial1/0
*Mar 1 00:14:21.027: OSPFv3: 2 Way Communication to 1.1.1.1 on Serial1/0, state 2WAY
*Mar 1 00:14:21.027: OSPFv3: Send DBD to 1.1.1.1 on Serial0/0 seq 0x1737 opt 0x0011
flag 0x7 len 28
*Mar 1 00:14:21.031: OSPFv3: Rcv DBD from 1.1.1.1 on Serial1/0 seq 0x2402 opt 0x0011
flag 0x7 len 28 mtu 1500 state EXSTART
*Mar 1 00:14:21.031: OSPFv3: First DBD and we are not SLAVE
*Mar 1 00:14:21.035: OSPFv3: rcv. v:3 t:2 l:88 rid:1.1.1.1
aid:0.0.0.2 chk:5CF3 inst:0 from Serial1/0
*Mar 1 00:14:21.039: OSPFv3: Rcv DBD from 1.1.1.1 on Serial1/0 seq 0x1737 opt 0x0011 flag
0x2 len 88 mtu 1500 state EXSTART
*Mar 1 00:14:21.039: OSPFv3: NBR Negotiation Done. We are the MASTER
*Mar 1 00:14:21.039: OSPFv3: Send DBD to 1.1.1.1 on Serial0/0 seq 0x1738 opt 0x0011 flag
0x3 len 88
*Mar 1 00:14:21.043: OSPFv3: rcv. v:3 t:2 l:28 rid:1.1.1.1
aid:0.0.0.2 chk:F85B inst:0 from Serial1/0
*Mar 1 00:14:21.047: OSPFv3: Rcv DBD from 1.1.1.1 on Serial0/0 seq 0x1738 opt 0x0011 flag
0x0 len 28 mtu 1500 state EXCHANGE
*Mar 1 00:14:21.047: OSPFv3: Send DBD to 1.1.1.1 on Serial1/0 seq 0x1739 opt 0x0011 flag
0x1 len 28Send LS REQ to 1.1.1.1 length 36 LSA count 3
*Mar 1 00:14:21.051: OSPFv3: rcv. v:3 t:3 l:52 rid:1.1.1.1
aid:0.0.0.2 chk:C326 inst:0 from Serial1/0
*Mar 1 00:14:21.055: OSPFv3: rcv. v:3 t:2 l:28 rid:1.1.1.1
aid:0.0.0.2 chk:F85A inst:0 from Serial1/0Stub_Router#
*Mar 1 00:14:21.055: OSPFv3: rcv. v:3 t:4 l:144 rid:1.1.1.1
aid:0.0.0.2 chk:58BC inst:0 from Serial1/0Rcv LS REQ from 1.1.1.1 on Serial1/0 length 52
LSA count 3Send UPD to 131.88.101.156 on Serial1/0 length 128 LSA count 3
*Mar 1 00:14:21.059: OSPFv3: Rcv DBD from 1.1.1.1 on Serial1/0 seq 0x1739 opt 0x0011 flag
0x0 len 28 mtu 1500 state EXCHANGE
*Mar 1 00:14:21.063: OSPFv3: Exchange Done with 1.1.1.1 on Serial1/0Rcv LS UPD from
1.1.1.1 on Serial0/0 length 144 LSA count 3
*Mar 1 00:14:21.067: OSPFv3: Synchronized with 1.1.1.1 on Serial1/0, state FULL
*Mar 1 00:14:21.067: %OSPFv3-5-ADJCHG: Process 1, Nbr 1.1.1.1 on Serial1/0 from
LOADING to FULL, Loading Done
*Mar 1 00:14:21.687: OSPFv3: rcv. v:3 t:4 l:60 rid:1.1.1.1
aid:0.0.0.2 chk:66EB inst:0 from Serial1/0Rcv LS UPD from 1.1.1.1 on Serial1/0 length 60
LSA count 1
*Mar 1 00:14:23.683: OSPFv3: rcv. v:3 t:5 l:96 rid:1.1.1.1
aid:0.0.0.2 chk:4BB5 inst:0 from Serial1/0http://www.cisco.com/en/US/tech/tk872/tsd_technology_support_protocol_home.html?referring_site=bodynav
http://www.cisco.com/en/US/tech/tk365/tk480/tsd_technology_support_sub-protocol_home.html?referring_site=bodynav
http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ospf.html?referring_site=bodynav
دوستان عزیزم
پیرو یادداشت قبلی مبحث ZoneBasedFirewall را براتون توضیح داده و طراحی کردم . امید که با تمرین بیشتر بتوانید پاسخگوی سئوالات امنیتی در Lab های مربوطه باشید . فدای همه ی شماها . یا حق
سلام و عرض ادب خدمت عزیزان شبکه دوست ...
شکی نیست که ماه گذشته را همراه با سئوالات شما و طراحی هایی که خواسته بودید گذراندم . بسیار خوب بود که خودمان هم مجبور به کار بر روی تکنولوژی های جدید شبیه سازی و چالش هایش شدیم که حالش را بردیم . در ادامه بنا به درخواست تنی چند از عزیزان مبنی بر توضیح پیرامون مباحث امنیتی فایروال در روتر دو عکس با توضیحات کامل برایتان آپ می کنم . بدیهی است دوستانی که دوره CCIE را می گذرانند به خوبی می دانند که وقوف به مباحث این عکس ها بخصوص Context-Based Firewall در اکثر سناریوهای امنیتی خودش چالشیست که خیلی ها بدان آگاه نیستند و برای همین نمی توانند Lab ها را درست حل کنند . در آخر بگم که اگر به این عکس توجه نمایند بخوبی می توانند لااقل به سئوالات Lab ها در این خصوص به درستی پاسخ دهند . فدای همه ی شماها و آرزومند موفقیت هایتان . یا حق
با سلام حضور دوستان فرهیخته ام ...
بعد از ماه ها انتظار شما عزیزان ، بالاخره آموزش مبحث بسیار مهم Cut Through Proxy روی فایروال ASA تهیه شده و از پیاده سازی شده ی آن ، ویدئو تهیه و آماده ی ارائه به شما گرامیان می باشد . در این سناریو سعی برآن شد تا ضمن ارائه تعاریفی عملی برای Proxy ، در ادامه به شکل عملی ، مبحث AAA در Security سیسکو را آموزش دهیم ؛ چالش های پیاده سازی به شکل Real Time و بر طرف ساختن مشکلات لحظه ای ؛ فیلم مربوطه را بسیار علمی و دیدنش را هیجان انگیز کرده است . در این پیاده سازی بر روی توانایی های Cisco ACS متمرکز بوده و کلیه ی Feature های مورد نیاز مربوط به این پیاده سازی را آموزش داده و تحلیل کرده ایم .
بسیار
خوب ... بنده تمام 2 ماه گذشته رو صرف و سرگرم طراحی سناریوهای امنیتی
بودم . خلاصه همان توهم امنیتی همیشگی ؛ تازه میان اون توهم ؛ مجبور به
پاسخگویی به سئوالات Routing هم بودم . ولی خوشبختانه دارم می بینم که توی
فیس بوک هم همه توهم امنیتی زدند . برای اینکه ماهم عقب نمانیم ؛ گفتیم به چند
تا سئوالی که برام ایمیل شده بود جواب دهم :
.....
سئوال اول : در مورد ریفرنس های فایروال CCNP :
باید بگم که CCNP Security
Firewall با کد 617-642 ارائه شده بود که پر از اغلاط تکنیکی و علمی بود .
در نگارش بعدی ؛ کد آن به 618-642 تغییر کرد که در آن غیر از اصلاح موارد
مذکور ؛ بعضی از مسائل علمی جدید اضافه شد . مانند ارائه کانفیگ های NAT
در ورژن های ASAی 8.2 و 8.3 به بعد ... همینطور مبحث Etherchannel و غیره
... در مورد VPN هم تغییر کد به صورت 642-648 انجام شده است . خلاصه
حواستون باشه . سایت سیسکو همه ی این موارد رو توضیح داده است . حتما برید
یه سری بزنید .
.....
سئوال دوم : در مورد ساخت ID سیسکو در سایت سیسکو :
باید عرض کنم که جواب مثبت است . همه می توانند در سایت سیسکو آی-دی بسازند . لطفا از V...P...N استفاده کنید .
.....
سئوال سوم : در مورد DNS Doctoring در ASA :
باید بگم که این امکان علمی عالی در ASA وجود دارد و معنی آن اینست که
هنگامی که از وجود سرورهای DNS در شبکه مان بهره مند هستیم با استفاده از
آن ، مقصدها از محیط اینترنت هنگام اتصال به آی پی های VALID آن سایت ؛
آدرس مربوطه را به آدرس داخلی و حقیقیه آن تبدیل می کنند . پس در اصل بوسیله
ی آن به ASA می گوییم که ترافیک های DNS را نگاه کند و ادامه داستان .
.....
سئوال چهارم : در خصوص ماژولار پالیسی فریم ورک و ACL :
در مورد انتخاب IP ؛ بعد و قبل از اعمال ACL به اینترفیس ها ... باید عرض
کنم که اگر ACL را هنگام ورود اعمال کنیم ؛ ACL ، آی پی قبل از NAT را
عملیاتی می کند و اگر در موقع خروج اعمال شود ، ACL ، آی پی بعد از NAT را
عملیاتی می کند . فقط اینو اضافه کنم که در IOS 8.3 به بعد ؛ همیشه Real IP
ی سرور را قبول می کند و اینترفیس خروجی و یا ورودی فرقی در دستور و اعمال
آن ندارد .
سئوال پنجم : در خصوص ASA و اینکه کجاها نباید NAT پیاده سازی شود ؟
در 3 جا نباید NAT پیاده سازی شود :
اول ) در جاهایی که کل ترافیک ؛ بصورت End to End ، رمز شده یا Encrypted هست . چون دستگاه NAT کننده نمی تواند آنرا NAT کند .
دوم ) در جایی که در ترافیک ها ؛ کل پاکت ها ، Authenticate می شود .
مانند BGP که در برقراری ارتباط بصورت دوطرفه ، هر دو سمت ، بوسیله ی Hash
پاکت ها ، همدیگر را Authenticate می کنند . حالا اگه توی مسیر NAT انجام
بشه و آدرس ها Translate بشوند ، Authentication سمت مقابل به درستی انجام
نمیشه و اتصال BGP آپ نخواهد شد .
سوم ) در جایی که IP ی مبدا و
مقصد ، در لایه ی App ذخیره شود . مانند ترافیک های FTP . چرا که هنگامی که
Reply از FTP بر می گردد ؛ در اصل به آی پی یی که در Header لایه ی App
هست ، Reply داده می شود و نه Header آی پی . پس چون IP InValid از اینترنت
به درستی دیده نمی شود ؛ ارتباط به درستی بر قرار نخواهد شد .
.....
سئوال ششم ) در خصوص راه حل مربوط به سئوال پنجم :
برای هر 3 مورد بهتر است از راه حل NAT Exemption استفاده کنیم و یا
بوسیله ی Application NAT ؛ به NAT بگوییم که غیر از هدر IP ، هدر لایه ی
App ؛ یا به اصطلاح هر دوی آنها را Translate کند . فقط حواستون باشه که
چون ASA به اصطلاح Application Ever NAT است ، App را درک می کند و NAT را
هم درک می کند . پس به راحتی سرور FTP از داخل و بیرون شبکه مان دیده می
شود . ولی اگر بجای ASA از Router استفاده کنیم ، ارتباط FTP برقرار نمی
شود .
.....
سئوال هفتم ) در مورد Outside NAT هست . که خواستند بگم یعنی چی ؟
جوابش که خیلی راحته . یعنی اگر از سمت LAN1 با آدرس X بخواهیم به مثلا
LAN2 با همان آدرس X ؛ که مابین آنها یک اتصال WAN هست ، متصل شویم ، این
NAT را Outside می گویند . یعنی برقراری ارتباط ما بین 2 شعبه با Range
آدرس یکسان که باید دوطرفه هم باشد . همین .
..................
خوب دوستان . نیم دو جین سئوال دیگه هم برام رسیده و ایمیل شده که یک کم
حالم بهتر بشه و حس اش بیاد براتون کاور می کنم . فدای همتون . یا حق
سلام و
عرض ادب به حضور دوستانم
کلا دوباره دوستان چند هفته پیش ایمیلی برایم فرستاده بودند که ندیده بودمش . گویا دوستان دوباره توهم امنیتی زدند و سئوالات سکیوریتی مطرح می کنند . خیلی هم خوب . بنده خودم دائم التوهم هستم پس سریع می رم سر اصل مطلب . سئوال کرده بودند در فایروال ASA ، چگونه اکسس لیست ها رو از بین ببریم یا موقتا از کار بندازیمشون ?
سلام
مجدد به حضور دوستانم
دو تا ایمیل در مورد فایروال و تکنیک time-based Access Rules زده شده که خواسته بودند با مثال و کد نویسی براشون توضیح بدم که جریان چیه . به روی چشم . راستی من نمی دونم این دوستان کجا کار می کنند و نمی دونم آیا اصلا به دردشون می خوره یا نه .
ولی کاور می کنم .
پاسخ :
time-range PERIODIC10
periodic Weekdays 08:00 to 13:00
exit
Access-list 110 permit tcp any any eq www time-range PERIODIC10
مانند پریودیک هست . لطفا نگاه کنید absolute
time-range ABSOLUTE10
periodic Weekdays start 08:00 10 jan 2012 end 09:00 10 jan 2012
....
Access-list 110 permit tcp any any eq www time-range ABSOLUTE10
این هم یه پست انفجاری دیگه . حالشو ببرین . همیشه برای موفقیتتون دعا می کنم . امید که خیلی از شما دوستانم را از نزدیک ببینم . از اینکه نظرات و سئوالهای خود را با کلیک نمودن بر روی آیکون حباب ارائه می نمایید سپاسگزارم . فدای دوست . یا حق
لینک برای تحقیق و مطالعه بیشتر :
http://www.cisco.com/en/US/docs/security/asa/asa83/asdm63/configuration_guide/access_rules.html