iT邦幫忙

0

請教cisco防火牆故障問題

  • 分享至 

  • xImage

公司網路架構是ADSL > CISCO PIX515E(防火牆) >CISCO 2600(Router) > swtich > swtich > HUB > PC

各位先進大大好,本公司人數約50人,從事人資業,因最近公司內部常常網路斷線,往回ping到router都有通,ping到防火牆就不通了,公司有另外一條ADSL線單接一台電腦測試ADSL正常,進機房看防火牆ACT還有亮,但就是PING不通,防火牆重開後就開始不亮了,最後的解決方式都是重複開關防火牆到ACT燈亮起為止,曾經試過網路正常狀態重開防火牆測試馬上ACT燈不亮,最後結果也是重複開關到正常,因此我判斷是防火牆硬體故障,查過資料防火牆跟ROUTER都已經用了15年,不知道各位先進的看法是如何

另外如果是防火牆故障,有想過ADSL跳過防火牆直接進ROUTER,不知道安全性會不會有很大的漏洞
安全性有問題的話請各位大大推薦50人適用的防火牆,感謝

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

4
mytiny
iT邦超人 1 級 ‧ 2015-11-24 10:19:14
最佳解答

版大的設備應該都沒有廠商維護了吧
首先小弟認為cmwang大大說得很對,設備真的太老舊需要更換了
再者,現今多功能防火牆UTM、NGFW都具備路由功能,可直接取代路由器

至於版大的需求,應該要仔細評估一個50人的人資公司需求
是否需要做入侵防護、上網行為管理甚至BYOD設備管制等功能
如果答案是肯定,就不是單算50通訊上網的能量而已
剛好近期有建議一個網友相關的問題如下,供您參酌
http://ithelp.ithome.com.tw/question/10178437?aid=331777#331777

看更多先前的回應...收起先前的回應...
s26319500 iT邦新手 5 級 ‧ 2015-11-24 11:43:07 檢舉

感謝回覆,聽說一直以來都是早期工程師在維護的,公司主要是預防入侵如DDoS攻擊,另有用卡巴斯基防毒,上網行為沒有特別做控管,至於BYOD是沒有再使用,所以建議是買兼具路由及防火牆功能的設備一次汰換嗎?

mytiny iT邦超人 1 級 ‧ 2015-11-24 19:15:36 檢舉

其實版大您不用太多想法,
現在只要是知名廠牌的防火牆,都有路由功能
您要考慮的是,公司現在及未來幾年會需要用什麼?
簡單說,多功能防火牆可以防入侵(IPS),但對DDoS則效能不佳
就算有簡易DDoS防護能力的防火牆,價格也會較高
請找廠商參考UTM或NGFW,並留意專業資安維護能力
不然用了X華X信的資XX隊,後續找人來做細部設定維護
那就是另外一回事了(除非版大自己網路資安技術很熟練)
忙

cmwang iT邦大師 1 級 ‧ 2015-11-25 08:08:43 檢舉

mytiny提到:
請找廠商參考UTM或NGFW,並留意專業資安維護能力

鵝現在混的地方是搞mail的,有個金融業的客戶網路架構混亂就算了,每次有啥狀況就只會來盧鵝,鵝連進去server看就看到一堆send-queue,很明顯是FW/IDS亂濾一通(TCP的Ack相關問題),要他找FW/IDS的廠商,FW/IDS的人連看都沒看就說他的設備沒問題(鵝已經好好對他說了,應該是TCP的Ack相關問題偷笑),搞到鵝發火,直接把server端sniffer到的一坨duplicated acknowledge丟給他,他只好摸摸鼻子去幹活,不過那個臉之臭的(應該說是巴不得把鵝吃了哈哈),鵝很想對user說你們FW/IDS的MA也甭簽了,乾脆付consultant fee給鵝還比較實在OrzOrz....

zyman2008 iT邦大師 6 級 ‧ 2015-11-25 08:29:42 檢舉

UTM要能搞好TCP SACK,是門學問.

s26319500 iT邦新手 5 級 ‧ 2015-11-25 17:05:00 檢舉

感謝mytiny大回覆,因為小弟不是專業IT人員,找廠商評估似乎是最快最直接的方法,已經有請廠商近期內評估,再次感謝

cmwang大 最近也有員工連上客戶Express伺服器連不上,結果一查都是對方MAIL伺服器斷線,導致我們家的OUTLOOK無法正常使用問題~"~ 無奈,弄到最後都要用WEB版MAIL應急

zyman2008大 如果真的要用UTM也只能努力學習了

0
cmwang
iT邦大師 1 級 ‧ 2015-11-24 09:31:32

機器用了15年就算故障了也沒啥好意外的,至於沒有防火牆會不會危險只能說危險的程度當然是比有防火牆高,只是就算有防火牆而沒有適當的管理/維護也不見得安全到哪去就是了OrzOrz....

PS:以目前的狀況而言,那顆2600通常是不太用得到了....

s26319500 iT邦新手 5 級 ‧ 2015-11-24 11:46:00 檢舉

感謝回覆,所以大大是建議防火牆跟路由一起汰換掉囉

WilliamHuang
iT邦研究生 1 級 ‧ 2015-11-24 09:33:14
【**此則訊息已被站方移除**】

我要發表回答

立即登入回答