PIXNET Logo登入

A whisper of a networker.

跳到主文

Allen Huang的生活日誌與網路技術雜筆

部落格全站分類:

  • 相簿
  • 部落格
  • 留言
  • 名片
  • 12月 19 週五 201414:40

  • 使用RSA Token 以同一passcode 登入多台設備管理

上週把ACS 5.6弄起來,把SWITCH AAA 導至ACS驗証
ACS上新增RSA Authentication Manager
用意是要登入switch時,用員編+token做one time password login
使用上也都正常,但是有個小問題,就是無法在短時間內登入多台設備
也就是說,同組passcode只能登入一台設備,下一台設備要等passcode
變成另一組才能登入,不然會驗証失敗,去查RSA Log 會出現
Passcode reuse or previous token code detected for user "xxxxx"的訊息
(繼續閱讀...)
文章標籤

allenhua 發表在 痞客邦 留言(0) 人氣(69)

  • 個人分類:Security
▲top
  • 12月 21 週三 201110:49

  • CISCO ASA 8.3 NAT

最近常接到朋友在問ASA 8.3的NAT設定..
剛好也有案子新買了六台ASA,一開始還真是不習慣
和8.3之前的設定方法完全不一樣...
(繼續閱讀...)
文章標籤

allenhua 發表在 痞客邦 留言(0) 人氣(3,764)

  • 個人分類:Security
▲top
  • 3月 11 週五 201110:52

  • Fortigate 110C switch mode改成interface mode

最近因專案需求,採購了兩台Firewall,原本屬意Juniper SSG-140

但同事Mike說Fortinet FG-110C 的性能價格比比較好
好吧,那就買兩台FG-110C
(繼續閱讀...)
文章標籤

allenhua 發表在 痞客邦 留言(8) 人氣(8,023)

  • 個人分類:Security
▲top
  • 7月 21 週六 200716:17

  • Cisco ASA 防火牆的一些經驗

最近由於專案的關係  一口氣裝了十台Cisco ASA Firewall
和之前的PIX比起來    有些不一樣的地方和用法
寫在這留個記錄...
以往PIX OS 6.x的時代  由於Adaptive Security Algorithm的關係
不同security level的interface之間要溝通
(繼續閱讀...)
文章標籤

allenhua 發表在 痞客邦 留言(4) 人氣(9,554)

  • 個人分類:Security
▲top
  • 1月 19 週五 200701:00

  • Fortigate IPS block MSN 在Proxy 下的解法

Fortigate firewall含有IPS功能
內建的Signature可以阻擋IM軟體如QQ,MSN,Skype,Yahoo Messenger...etc
但經實驗証明,內建的MSN signature在遇到user經過公司內部Proxy 之後
完全看不到MSN的traffics, 即使針對Proxy Server套用Protection Profile
還是擋不住...
(繼續閱讀...)
文章標籤

allenhua 發表在 痞客邦 留言(0) 人氣(2,253)

  • 個人分類:Security
▲top
  • 1月 08 週一 200716:31

  • Fortigate Web Filter 遇到Proxy就破功?

客戶的內部網路環境有個Proxy Server
所有的Client都要手動在Browser裡設定Proxy Server才能瀏覽網頁.

客戶內部網段為192.168.1.0/24 Proxy Server為192.168.1.1:8080,Fortigate 設定Transparent mode接在某台測試用switch的uplink port,結果WebFilter功能就完全無法發揮功能,設定要擋的網頁,user仍然高高興興地連上去,連一點log都看不到....
原來是由於Proxy Server的關係,Fortigate並不看走non-standard port的HTTP traffics. 所以必須手動下command要求Fortigate對TCP/8080看HTTP的東西
(繼續閱讀...)
文章標籤

allenhua 發表在 痞客邦 留言(0) 人氣(2,394)

  • 個人分類:Security
▲top
  • 1月 08 週一 200716:30

  • Netscreen TCP/80 VIP 建不起來?

Juniper/Netscreen Firewall 應用於單一 Public IP的環境下
HTTP VIP建不起來?

剛好在vlab看到有人在問類似的問題,順手回了一下
Netscreen本身具有Web Management的功能也佔用HTTP 80
(繼續閱讀...)
文章標籤

allenhua 發表在 痞客邦 留言(0) 人氣(435)

  • 個人分類:Security
▲top
  • 1月 08 週一 200716:28

  • Access PDM from VPN Segment

有些時候我們會需要從外部來管理公司的防火牆
當然,我們不可能允許任何來源都可以進入防火牆的管理介面
至少也要透過VPN來管理防火牆
本篇說明了如何設定Cisco PIX Firewall讓VPN網段可開啟PIX PDM管理頁面

(繼續閱讀...)
文章標籤

allenhua 發表在 痞客邦 留言(0) 人氣(231)

  • 個人分類:Security
▲top
  • 1月 08 週一 200716:25

  • Configure NAT-Traversal support on Cisco PIX 6.x

在現今的Internet環境下,愈來愈多的remote access vpn需要在NAT下與PIX建立VPN...
這時需要在PIX上設定NAT Traversal功能...

isakmp nat-traversal
Network Address Translation (NAT), include Port Address Translation(PAT), is used in many networks where IPSec is also used, but there are a number of incompatibilities that prevent IPSec packets from successfully traversing NAT devices. NAT traversal enable ESP packets to pass through one or more NAT devices.
(繼續閱讀...)
文章標籤

allenhua 發表在 痞客邦 留言(0) 人氣(769)

  • 個人分類:Security
▲top
  • 1月 08 週一 200716:23

  • Configure IP Verify Reverse Path on Cisco PIX Firewall.

用來避免被DDoS的command....
IOS Router也適用..

The ip verify reverse-path command is a security feature that does a route lookup based on the source address. Usually, the route lookup is based on the destination address. This is why it is called reverse path forwarding. With this command enabled, packets are dropped if there is no route found for the packet or the route found does not match the interface on which the packet arrived.
(繼續閱讀...)
文章標籤

allenhua 發表在 痞客邦 留言(0) 人氣(579)

  • 個人分類:Security
▲top
12»

個人資訊

allenhua
暱稱:
allenhua
分類:
好友:
累積中
地區:

留言板

自訂側欄

自訂側欄

自訂側欄

文章彙整

文章分類

toggle 網路技術 (3)
  • Network Management (3)
  • Security (14)
  • Routing & Switching (6)
  • 吃喝玩樂 (25)
  • 心情記事 (4)
  • 未分類文章 (1)