请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 1144|回复: 1

【专家面对面】问题汇总_思科NGFW下一代防火墙及Q&A

[复制链接]
发表于 2019-7-29 19:41:24 | 显示全部楼层 |阅读模式

感谢大家参与微信公众号“思科助力客户成功(微信号:Cisco-CS)”7月24日举办的“专家面对面”思科NGFW下一代防火墙微信在线答疑活动,此次活动收到许多思科用户的提问,同时也十分感谢我们的TAC专家Gerry Zhang热心参与解答。以下为此次思科NGFW下一代防火墙微信在线答疑的部分问题及回复,以供参考:


【问题一】
Q:有没有关于asa的中文配置文档

A:您可以参考如下link是关于ASA 9.4和9.7的中文配置文档: https://www.cisco.com/c/dam/en/us/td/docs/security/asa/asa94/configuration/firewall/Localization/asa-firewall-cli-zh_CN.pdf
https://www.cisco.com/c/dam/en/us/td/docs/security/asa/asa97/configuration/firewall/Localization/asa-97-firewall-config_zh_CN.pdf


【问题二】
Q:我想咨询一下ASA5525-X 注册上FMC ,显示无license,这个是否会影响在console 下配置策略路由

A:您这个问题需要您再具体确认下背景信息,1, 您是配置的ASA启用的SFR module or 2. 您是直接安装的FTD. 如果是第一种情况是不受限制. 第二种情况默认状态下FMC提供一个90天的demon license,您可以先启用这个license, 默认状态下我们需要一个control base license.

Q:第一个问题的背景是ASA5525-X 使用sfr module 去注册FMC,但是smart license 之前就已经启用Evaluation Mode了,那ASA5525-X 还要去哪个界面启用Evaluation Mode,如果不需要,那为何还是显示unlicensed?

A:您需要在FMC的管理界面,去到Device层级,在license界面把所有的license enable一下

Q:ASA5525-1 注册到FMC上,interface 是空的?

A:这个您需要具体看一下您是FTD还是SFR module,是否尝试过更换chrome或者firefox浏览器.如果是纯FTD一直无法正确显示接口配置建议您open tac case做进一步的诊断.

Q:我自己搭建FMCv与FTDv,测试anyconnect使用AAA服务器认证,在FMC上点击“deploy”时报错,要Export-Controlled Features enable,这个无使用license吗?

A:这个报错实际是指我们需要高级加密feature的支持,因为Anyconnect需要高级加密算法保证数据的机密性,我看到您的注册页面这个feature是disabled。

Q:第2个问题,点击试用,这个feature是默认不会激活码?那这个feature无法试用,我的anyconnect就无法测试?

A:您需要去设备上show license features 看一下设备的3DES license是否正常激活,没有这个feature无法使用Anyconnect


【问题三】
Q:我们现在使用的是FirePower4110的防火墙产品,碰到两个问题:一是连接日志的保存问题,不知道是我们的配置有问题,还是本身设备的逻辑原因,连接日志只能看到近24小时的,时间再长的就看不到了

A:这个我理解您指的应该是connection event中的日志,这里可能要先看一下您的purge policy是否做了修改,此外如果还是继续有这个问题出现,建议您open一个tac case做进一步的诊断.

Q:第二个是在推送新的policy时,会偶发的导致全部会话重连,导致IP电话经常重新注册,不知应如何解决

A:这个具体需要看您是推送的什么policy,包括您现在使用的版本,比如vdb或者ips rule的更新会trigger Snort引擎重启,可能会导致您说的这种现象,这个时候需要您配置下snort fail-down策略保证流量的bypass,具体建议您open一个tac case做进一步的诊断.


【问题四】
Q:请下一代防火墙有哪些新技术亮点

A:NGFW和传统防火墙比较,优势主要就是在于我们对application level的识别,传统的FW更多的是在网络层面的阻断,无法识别应用层的威胁,而NGFW完全可以实现对应用威胁的识别和阻断。以我们的FTD为例,我们针对病毒,木马,漏洞检测,anti-DDoS, 加密流量的识别,基于用户的精细策略都有卓越的提升.


【问题五】
Q:防火墙SSL VPN的APX许可和PLS许可以及VPNO许可有功能方面的差别吗?有的话具体都有哪些差别,然后这三类许可在5500和2100,4100都能用吗?

A:首先VPN only license 只能给单个的ASA的使用,无法像APX 和PLus在HA中share, 且这个license不能移植和累加.此外特别注意下,VPN-only只支持clientless,third-part IPsec IKEv2, Suite B and VPN HostScan. 而APX和PLus您可以简单理解Plus支持更多的Anyconnect feature. 可以在如上设备使用。更具体的建议您参考如下link:https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html#anc8


【问题六】
Q:之前安装了一台5506-X,没买附加的服务,是不是不能算下一代防火墙啊?具有的功能还只是传统3层防火墙的功能啊?

A:这个具体应该看您安装的image是什么,如果是传统的ASA就是传统的FW,如果您安装的是FTD,那就支持下一代防火墙的功能。此外确实需要您购买相应的license来激活高级功能,默认您需要购买一个TA license,激活基本的control和IPS功能.


【问题七】
Q:您好,在当前防火墙的产品中存在从ASA发展来的ASA5525-FPWR-K9和FP2110两个大类。那么当FMC对两种设备的进行管理的时候存在哪些限制?FMC在管理ASA5525-FPWR-K9时能够管理哪些模块,不能够管理哪些模块?

A:针对FTD层面的管理不存在限制,但是FMC是无法管理您的ASA层面.

Q:也就是说FMC管理ASA5525-FPWR-K9的时候能够管理类型防病毒、入侵检测等,但是不能管理到ASA5525-FPWR-K9实际的物理接口、nat等。是这样吗?

A:如果您是在ASA的基础上安装的SFR,那确实如您所说无法管理到实际的物理接口和NAT,因为这些都是在ASA层面来完成的


【问题八】
Q:我有一台firepower ,安装了ASA,这一台ASA不能联通internet,请问如何申请smart license

A:三种模式,一种是采用卫星server的方式,保证卫星server有internte连通性. 二是采用申请PLR的方式, 三是否可也考虑临时授予短暂的internet权限

Q:PLR方式是否思科严格受控?我申请的PLR至今两周了没有回应

A:PLR模式确实在Cisco这边需要比较严格的审批,因为这涉及到我们后端的研发部门放开您的权限,确实是会有些时间上的delay

Q:谢谢你的回答,请问有没有便捷的得到一个离线设备的PLR license,我们的项目真的等不起

A:非常理解您的心情,我建议您可以involve我们的销售团队一同帮忙推进PLR的审批流程,我们会优先保障您的项目的实施


【问题九】
Q:我想要通过ssl vpn管理防火墙,需要使用management-access inside这个feature,请问在firepower里怎么实现,谢谢

A:首先firepower可以安装俩种image.一种是传统的ASA image,您可以按照之前的方式配置,另外一种是FTD image,但是当您move到FTD后,所有的操作应该都FMC下达,传统的CLI已经无法配置FTD. 具体如何通过FMC配置FTD的管理可以参考如下link:https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-firewalls/212420-configure-firepower-threat-defense-ftd.html

Q:如果没有安装asa image,只安装ftd,我使用rfc1213的snmp mib 去读取firepower的状态信息和接口信息会有问题吗?谢谢

A:我们有官方support的MIB库,您可以去到FTD download page,再最下方会有我们支持的MIB库download.


【问题十】
Q:cat3850配置当wlc,怎么做?

A:这个是无线相关问题,您可以咨询无线team做进一步的confirm, 也可以参考如下external link做简单配置.http://www.iplife.sk/cisco-catalyst-3850-basic-configuration-for-wireless/


本期【专家面对面】同主题相关资料:
【专家面对面】立即报名思科下一代防火墙微信答疑


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-8-2 14:05:55 | 显示全部楼层
沙发沙发
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-8-24 17:56 , Processed in 0.099659 second(s), 34 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表