思科防火牆的一個容易疏忽的問題總結

思科防火牆一個容易疏忽的問題

問題描述：

有些工程師在工程實踐中會遇到這樣的問題，當調試思科×××的時候，尤爲是遠程撥入×××的調試，你會發現，當調試路由器的時候，客戶端撥入能夠直接訪問路由器的內口地址，可是當設備是思科的安全設備（PIX,ASA）的時候，你去嘗試一下，你會發如今訪問INSIDE接口的時候，結果是不通的。

 

解決辦法：

由於思科的安全設備安全級別高一些，因此他默認會對從低安全級別的訪問作必定的限制，例如設備的管理權限；你們都知道防火牆從外網是不能TELNET到本機上的，相比SSH自己安全的多的多，可是INSIDE能夠TELNET，默認內部是最高安全級別，因此TELNET固然對自己不會形成多大破壞，可是思科的人性化體現的很淋漓盡致，對於遠程客戶端經過×××客戶端撥入的用戶（可能會出現賬戶泄露等因素），防火牆默認是不容許這些客戶訪問他自己的，這樣就更加強了自身的安全性，我的以爲很是好！！！！

解決此辦法很容易

在全局模式下 輸入

management-access  inside 這條命令就能夠了

 

應用領域：

總部是固定IP，各分部是動態IP，可是總部也要管理分部的PIX，由於分部的公網地址會變化，因此使用客戶端撥入經過內口管理分部設備是個很好的辦法！！！

固然也能夠經過使用 SHOW CRYPTO ISA SA查看 ×××狀態，可是若是分支沒有感興趣流，那麼網絡管理員就鞭長莫及了！！！