Announcement

Collapse
No announcement yet.

Вопрос по ASA firewall

Collapse

Forum Topic List

Collapse
X
  • Filter
  • Time
  • Show
Clear All
new posts

  • Вопрос по ASA firewall

    In which three cases does the ASA firewall permit inbound HTTP GET requests during normal operations? (Choose three).

    A. when matching NAT entries are configured
    B. when matching ACL entries are configured
    C. when the firewall receives a SYN-ACK packet
    D. when the firewall receives a SYN packet
    E. when the firewall requires HTTP inspection
    F. when the firewall requires strict HTTP inspection

    Ну A и B - понятно, а 3-е что (с объяснением, если можно)?

  • #2
    Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

    SYN-ACK и SYN тут никоим боком. Поэтому их отбрасываем.

    То есть остается HTTP inspection. По большому счету это "HTTP Application Proxy", которая проверяет протокол на соответствие стандартам. По-поводу "strict inspection" деталей не помню - по-моему там нужно создавать "полиси мап" и указывать "экшен". Поэтому я склоняюсь к default http ispection (E)/

    Comment


    • #3
      Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

      Originally posted by MedicalExaminer
      SYN-ACK и SYN тут никоим боком. Поэтому их отбрасываем.
      Согласен, хотя гугл больше склоняется к SYN, но это очевидный бред.

      То есть остается HTTP inspection. По большому счету это "HTTP Application Proxy", которая проверяет протокол на соответствие стандартам. По-поводу "strict inspection" деталей не помню - по-моему там нужно создавать "полиси мап" и указывать "экшен". Поэтому я склоняюсь к default http ispection (E)/
      По идее - это самое наименее фантастическое, но тоже бред. Это не прокси, как я понимаю, а HTTP outbound and return traffic. Откуда там взяться GET? Да даже если и прокси.

      Comment


      • #4
        Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

        По-поводу "инспекшн"... Да, это не полноценный "прокси", но и не просто "рул", разрешающий ЛЮБОЙ трафик через порт 80. Инспекшн разбирает запрос и ответ на соответствие протоколу (после того, как "3-х стороннее рукопожатие" установило соединение). То есть "инспекшн" как раз понимает, идет ли в "потоке данных через порт 80" нормальный запрос (GET / POST / HEAD / etc.). Как, собственно, и происходит блокировка URL, запрещается JAVA или скачивание определенных файлов. То есть это однозначно "inspection". Просто я не нашел однозначного описания, что происходит с "обычной инспекцией", а что с "strict".

        Comment


        • #5
          Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

          Originally posted by MedicalExaminer
          По-поводу "инспекшн"... Да, это не полноценный "прокси", но и не просто "рул", разрешающий ЛЮБОЙ трафик через порт 80. Инспекшн разбирает запрос и ответ на соответствие протоколу (после того, как "3-х стороннее рукопожатие" установило соединение). То есть "инспекшн" как раз понимает, идет ли в "потоке данных через порт 80" нормальный запрос (GET / POST / HEAD / etc.). Как, собственно, и происходит блокировка URL, запрещается JAVA или скачивание определенных файлов. То есть это однозначно "inspection". Просто я не нашел однозначного описания, что происходит с "обычной инспекцией", а что с "strict".
          Да, но ведь тут inbound HTTP GET. Как она его пропустит без NAT и ACL?

          Comment


          • #6
            Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

            Насколько я могу судить, тут нужно (желательно) иметь все 3 ВМЕСТЕ.

            1. Нужна "трансляция адресов" (с публичного "внешнего" на частный "внутренний")
            2. Нужно "правило", разрешающее входящий HTTP трафик на этот "внутренний адрес"

            По идее этих двух правил достаточно, чтобы разрешить входящий трафик на порт 80. Однако без "инспекции" любой "мусор" может проходить извне на этот хост через порт 80. А раз в вопросе конкретно указан "тип запроса", то в дополнение должна быть включена "инспекция".

            Comment


            • #7
              Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

              Originally posted by MedicalExaminer
              Насколько я могу судить, тут нужно (желательно) иметь все 3 ВМЕСТЕ.

              1. Нужна "трансляция адресов" (с публичного "внешнего" на частный "внутренний")
              2. Нужно "правило", разрешающее входящий HTTP трафик на этот "внутренний адрес"

              По идее этих двух правил достаточно, чтобы разрешить входящий трафик на порт 80. Однако без "инспекции" любой "мусор" может проходить извне на этот хост через порт 80. А раз в вопросе конкретно указан "тип запроса", то в дополнение должна быть включена "инспекция".
              NAT необязателен, т.к. дело вообще может происходить в локальной сети.
              ACL тоже необязательно, если коннекшн from higher security zone to lower security zone.

              Теперь по поводу traffic inspection. Если мы делаем такой rule, то мы его апплаим на outbound interface, чтобы обратный трафик мог беспрепятственно попасть назад. В этом случае inbound HTTP GET никак не пройдет. То есть получается что? Inspection rule applied on inbound interface. Теоретически наверно можно, вопрос в том, зачем?

              + Если такое и сделано, то оно будет работать только при наличии соответствующего ACL, ну или если будет connection from higher security zone to lower security zone. Во 2-м случае наличие inspection rule значения не имеет.

              Вот такие маразматические вопросы нынче на экзаменах.

              Comment


              • #8
                Re: Вектор развития и перспективы: Network Engineer или M2M/IoT

                Еще раз внимательно читаем вопрос (на экзамене это КРАЙНЕ ВАЖНО). Речь про "инбаунд". В формулировках Циско это именно "с менее безопасной зоны в более безопасную". И для этого требуется NAT и access list.

                И еще раз - inspection служит для того, чтобы "заглянуть внутрь трафика" (который уже разрешен через NAT и access-list). Можно и без него, но тогда любой траффик на 80-м порту будет идти без проверки (то есть потеряется смысл firewall)

                Comment

                Working...
                X