安全文档

小女子间歇读过几篇巨廉的文章，虽然常有嬉笑怒骂式的自黑，但的确有一定的技术含量，感觉还是蛮拼的。这次我觉得有责任和义务参与这一系列的讨论。虽然不能像巨廉大侠那样宏观全面的深度技术分析与讲解，姐就从另外一个维度来谈自己对信息安全的一点感悟吧，也算是为大家抛砖引玉了。不知道算不算是写跑题了？ 在IT日常运维中时常企业里常存在这样的现象，某些问题或服务的处理方式和步骤过度的依赖责任人的个人经验，而无规范的流程可以依据或参考。这样导致问题处理或服务提供质量的参差不齐、因人而异，安全事故频发，更不...

原创作品，未经Julian 本人授权不得转载，侵权必究。 开场前，我先跟大家说一个我切身经历过的安全事件吧。若干年前，我曾在一家信息安全公司给南方一个政府做信息安全的示范项目。结果某一天客户办公室的每台电脑都弹出一句“It’s a test. I came, I saw, I conquered!”的窗口。客户领导大呼这是什么鬼？城里人太会玩了！后来查明是我方安全测试部门的新来长腿欧巴在测试攻击时擅用到了正常办公网络所致。哎，可惜了，这位骚年程序猿，明明可以靠长相吃饭，却偏要靠这样的“才...

原创作品，未经Julian 本人授权不得转载，侵权必究。 既然算是履新，我还是先向新老朋友做一个自我介绍吧。2001年，大学三年级的我，有幸参加了一家上海软件公司的“半工半读”的机会。从武汉来到了上海，开始了一个月的高密度信息安全方面的理论以及软件编程的学习。之后，赶赴深圳参与信息安全示范工程的项目。在项目中，我从测试做起，涉世之初的我，和前来测试的软硬件产品厂商代表打起交道来略显稚嫩，我居然有一段时间特别喜欢人家叫我—“陈工”，因为这与成功谐音。我就这样边学边练，先后从事了测试、编码、系...

ASA一般用来VPN建立的终端设备，好多情况是，用户的vpn终端设备放在ASA后面，这样ASA作为VPN中间设备，所有VPN流量需要穿越ASA。当ASA不放行这些流量时，VPN无法正常建立， 如果ASA 在中间， 加密点在两端；必须放行两个加密点间的upd-500和esp-50协议号的流量。1. 实验场景：site-1 --- outside --- ASA --- inside --- site-2站点1和站点2之间建立IPSec VPN连接，此时的VPN需要经过ASA2. 如果希望 out...

1. Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile2. add 一个新的profile3. 只需要在enrollment选项里，填入相关信息即可。具体截图，见附件这个profile只是填了在获取证书时必须的选项。若还想加入其它内容，请自行增加~

有客户说ROMMON模式下升级了IOS，但是重启还是进入ROMMON.ROMMON模式下，IOS升级过程：/. 查看 ASA 正常情况下 configuration register 是 0x1，如果是 0x0 那么就会进入 ROMMON 模式1. ROMMON 下，配置： rommon #1> ADDRESS=10.132.44.177 --- asa interface ip address rommon #2> SERVER=10.129.0.30 ...

在2015年06月24日的【CSC公开课】中，思科TAC技术支持专家Manfred Zhu担任主讲者，Bing Yu 和 Linda Wang担任本次答疑专家，为与会者解答了关于“邮件安全网关新功能介绍与案例分享: 高级威胁检测与防护 ”的常见问题。问题解答列表：问：请问，如何防护从内部发起的邮件Dos攻击?答：请问您是指向internet的域名邮件服务发起Dos攻击，还是向内部邮件服务器或网关发起Dos攻击?问：向内部邮件服务器-，例如，某些用户账号发大量垃圾邮件导致邮件服务器瘫痪答：如果攻击...

本帖最后由 xilu2 于 2015-6-24 17:31 编辑 简介本文以问答的形式简要地描述了对于ASA55xx VPN/防火墙等设备在处理数字证书时的故障切换需求。Q. 关于ASA 55xx 设备的常规故障切换功能和需求是什么？A.常规故障切换需求在下述链接中可以被找到。高可用性的配置指南Q. 数字证书复制到主备配置？A.可以。第三方数字证书（如：信托、威瑞信、微软等）被安装在ASA上，之后复制到备用ASA上，进行主备配置。然而， ASA的本地/内置CA生成的证书(用于SSL VPN远程...

本帖最后由 xilu2 于 2015-6-24 17:29 编辑 情形 1：欲了解更多有关网络处理器作用的信息，请参考下面文档：https://supportforums.cisco.com/docs/DOC-12713情景2：有一个从FWSM迁移到ASA5585的客户，他们希望知道FWSM上的Licenses是否能在安全的环境下转移到ASA5585。 解决方案：在RMA (退货授权)请求下，FWSM和ASAlicenses只能在相同的硬件单元之间转换。从一个平台迁移到另一个，需要新的lice...

今天为大家带来一份L2L VPN的配置案例，针对某些用户本地没有internet访问权限，所有流量都通过VPN到达中心站点，然后经过中心站点访问internet.1. 拓扑: 2. 基本步骤： 俩侧站点分别使用ASA 9.x 或 8.4 通过IPsec VPN实现互联。站点1是中心站点，站点2是分支站点。俩个站点间的所有通信都是经过IPsec 隧道加密保护。站点1中的192.168.1.0/24网段的主机通过ASA1本地的internet出口访问互联网。站点2中的192.168.2.0/24网段...

介绍本文档介绍了如何解决 ISE 将苹果设备识别为未知设备的问题。由于 ISE 数据库缺乏最新的组织唯一标识符（OUI），一些新的苹果 iDevices 可能被身份服务引擎（ISE）识别为未知设备。本文给出了正确的方法使这些设备可以被识别。先决条件要求本文件有没有具体的要求。使用的组件*思科 ISE 1.1.x 版本*苹果 iOS 设备本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺省（默认）配置开始配置。如果您的网络是正在使用的生产系统，请确保您了解所有命令带来...

最近客户有两台SNS-3415-K9服务器出现了故障，由于RMA不会更换硬盘和电源，因此这两个组件还是原有的。当机箱回来后，插上硬盘和电源，开机，发现无法识别硬盘，而且也无法使用CTRL+M进入到RAID的管理界面配置RAID信息，由于SNS-3415-K9使用的ROM5的软RAID，在主板上会有一个U盘大小的KEY, 打开机箱，key是存在。两台设备都是同样的问题，看来应该是设置的问题。于是就进入到BIOS，在Advace--South Bridge查看Onboard SCU选项是开启的。查了...

用户发现其网络出口区互联网出口突发大量异常双向流量，且流量发生的时间与次数没有规律。突发流量致使带宽占用60%，用户担心发生端口带宽耗尽而造成业务影响。用户在出口处部署了思科GUARD防护模块(WS-SVC-AGM-1-K9),用户发现故障时GUARD保护ZONE中有大量异常流量，并最终被GUARD模块丢弃。详细信息见附件。

最近调试ASA5525防火墙遇到一个问题，所有配置做完之后，想开启ASDM监控防火墙的状态，在浏览器输入防火墙的管理地址后，本以为会弹出下载安装ASDM的页面，但是显示的却是无法连接。下面是排错过程分享给大家，希望遇到相同的问题可以顺利解决。1.ping 管理地址，测试结果，通。2.检查http服务，没问题，已经开启了。3. 检查http的认证信息 aaa authentication http console LOCAL ，也已经配置，没有问题。4.开始怀疑防火墙的版本, 这台墙是K8版本，不...

本帖最后由 fangni 于 2015-3-17 14:06 编辑 若你的iphone iOS7.x 之前使用的是legacy（传统）方式来获取到的证书，那么当升级到iphone iOS 8.x后就无法获取到证书了。（当然，之前存在手机里的证书，只要没有到期/被删除之前，都是可以用来anyconnect连接的~）针对iphone iOS 8.x anyconnect时如何获取证书，我们可以使用ASA的 SCEP-Proxy feature来获取证书。（ASA的版本要在9.0以上。）Topo:...