Cisco asa что значит

Cisco ASA

Cisco ASA (Adaptive Security Appliance) — серия аппаратных межсетевых экранов, разработанных компанией Cisco Systems.

Является наследником следующих линеек устройств:

• Межсетевых экранов Cisco PIX;
• Систем обнаружения вторжений Cisco IPS 4200;
• VPN-концентраторов Cisco VPN 3000.

Так же как и PIX, ASA основаны на процессорах x86. Начиная с версии 7.0 PIX и ASA используют одинаковые образы операционной системы (но функциональность зависит от того, на каком устройстве она запущена).

Функциональность зависит от типа лицензии, который определяется введенным серийным номером.

Интерфейс командной строки напоминает (но не повторяет) интерфейс Cisco IOS. Управлять устройством можно через telnet, SSH, веб-интерфейс либо с помощью программы Cisco Security Manager.

Содержание

Возможности

• Межсетевое экранирование с учетом состояния соединений;
• Глубокий анализ протоколов прикладного уровня;
• Трансляция сетевых адресов;
• IPsec VPN;
• SSL VPN (подключение к сети через веб-интерфейс);
• Протоколы динамической маршрутизации (RIP, EIGRP, OSPF).

ASA не поддерживают протоколы туннелирования (такие, как GRE) и policy-based routing.

Аппаратное обеспечение

Модель	5505	5510	5520	5540	5550	5580-20	5580-40	5585-X-SSP20	5585-X-SSP60
Год выпуска	2006	2005	2005	2005	2006	2008	2008	2010	2010
Процессор	AMD Geode LX	Intel Celeron	Intel Pentium 4 Celeron	Intel Pentium 4	Intel Pentium 4	AMD Opteron (2 процессора, 4 ядра)	AMD Opteron (4 процессора, 8 ядер)	Intel (16 cores)	Intel (24 cores)
Тактовая частота	500 MHz	1.6 GHz	2.0 GHz	2.0 GHz	3.0 GHz	2.6 GHz	2.6 GHz	2.4 GHz
Чипсет	Geode CS5536	Intel 875P Canterwood
Объем ОЗУ по умолчанию	256 MB	256 MB	512 MB	1 GB	4 GB	8 GB	12 GB	12GB	24GB
Устройство хранения	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash
Объем устройства хранения	64 MB	64 MB	64 MB	64 MB	64 MB	1 GB	1 GB	2GB	2GB
Минимальная поддерживаемая версия ОС	7.2.1	7.0.1	7.0.1	7.0.1	7.1.1	8.1.1	8.1.1
Максимальное число виртуальных интерфейсов	3 или 20 с лицензией Sec Plus	50 или 100 с лицензией Sec Plus	150	200	250	250	250
Чипсет сетевых интерфейсов	Marvell 88E6095
Поддерживаемые карты расширения	AIP-SSC	CSC-SSM, AIP-SSM, 4GE-SSM	CSC-SSM, AIP-SSM, 4GE-SSM	CSC-SSM, AIP-SSM, 4GE-SSM	Не поддерживает	6 интерфейсных карт	6 интерфейсных карт	IPS-SSP SSP-20	IPS-SSP SSP-60
Число соединений SSL VPN	2 по умолчанию, максимум 25	2 по умолчанию, максимум 250	2 по умолчанию, максимум 750	2 по умолчанию, максимум 2500	2 по умолчанию, максимум 5000	2 по умолчанию, максимум 10000	2 по умолчанию, максимум 10000	2 по умолчанию, максимум 10000	2 по умолчанию, максимум 10000
Поддержка резервирования	Stateless Active/Standby (с лицензией Sec Plus)	Active/Standby, Active/Active (с лицензией Sec Plus)	Active/Standby, Active/Active	Active/Standby, Active/Active	Active/Standby, Active/Active	Active/Standby, Active/Active	Active/Standby, Active/Active	Active/Standby, Active/Active	Active/Standby, Active/Active
Модель	5505	5510	5520	5540	5550	5580-20	5580-40	5585-X-SSP20	5585-X-SSP60

Сравнение производительности

Модель	ASA 5505 [1]	ASA 5510 [1]	ASA 5520 [1]	ASA 5540 [1]	ASA 5550 [1]	ASA 5580-20 [1]	ASA 5580-40 [1]
Нешифрованный ввод/вывод, Мбит/с	150	300	450	650	1 200	5 000	10 000
Ввод/вывод AES/Triple DES, Мбит/с	100	170	225	325	425	1 000	1 000
Число одновременных соединений	10 000 (25 000 с лицензией Sec Plus)	50 000 (130 000 с лицензией Sec Plus)	280 000	400 000	650 000	1 000 000	2 000 000
Максимальное число IPsec-соединений	10 (25 с лицензией Sec Plus)	250	750	5 000	5 000	10 000	10 000
Максимальное число соединений SSL VPN	25	250	750	2 500	5 000	10 000	10 000
Модель	ASA 5505	ASA 5510	ASA 5520	ASA 5540	ASA 5550	ASA 5580-20	ASA 5580-40

Примечания

1. ↑ 1234567Cisco ASA Model Comparison page. Архивировано из первоисточника 23 июля 2012.Проверено 15 мая 2008.

Ссылки

Fortinet • Cisco • Juniper • Check Point • ViPNet Coordinator HW

Wikimedia Foundation . 2010 .

Полезное

Смотреть что такое «Cisco ASA» в других словарях:

Cisco ASA — Cisco PIX Pour les articles homonymes, voir PIX. Cisco PIX (Private Internet EXchange) est le boîtier pare feu actuellement vendu par la société Cisco Systems. Sommaire 1 Origines 2 Ci … Wikipédia en Français

Cisco ASA — In computer networking, Cisco ASA 5500 Series Adaptive Security Appliances, or simply Cisco ASA 5500 Series, is Cisco s line of network security devices introduced in 2005,[1] that succeeded three existing lines of popular Cisco products: Cisco… … Wikipedia

Cisco FWSM — Cisco PIX Pour les articles homonymes, voir PIX. Cisco PIX (Private Internet EXchange) est le boîtier pare feu actuellement vendu par la société Cisco Systems. Sommaire 1 Origines 2 Ci … Wikipédia en Français

Cisco Career Certifications — are IT Professional certifications for Cisco Systems products. The tests are administered by Pearson VUE. There are five levels of certification: Entry, Associate, Professional, Expert, and Architect, as well as seven different paths, Routing… … Wikipedia

Asa — Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. <<>> Sigles d une seule lettre Sigles de deux lettres > Sigles de trois lettres … Wikipédia en Français

Asa (homonymie) — ASA Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. <<>> Sigles d une seule lettre Sigles de deux lettres > Sigles de trois lettres … Wikipédia en Français

Cisco PIX — PIX 535 Firewall Cisco PIX (Private Internet eXchange) is a popular IP firewall and network address translation (NAT) appliance. It was one of the first products in this market segment. In 2005, Cisco introduced the newer Adaptive Security… … Wikipedia

Cisco PIX — Pour les articles homonymes, voir PIX. Cisco PIX (Private Internet EXchange) est le boîtier pare feu actuellement vendu par la société Cisco Systems. Sommaire 1 Origines 2 Cisco FWSM … Wikipédia en Français

ASA — Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. Sigles d’une seule lettre Sigles de deux lettres > Sigles de trois lettres Sigles de quatre lettres … Wikipédia en Français

Cisco VPN3000 — Le Cisco VPN3000 est un concentrateur VPN de la société Cisco Systems. Plutôt utilisé pour connecter des individus à l Intranet, il peut aussi être utilisé pour faire du LAN to LAN. Les utilisateurs peuvent s y connecter grâce au client Cisco VPN … Wikipédia en Français

Источник

Cisco ASA

Материал из Xgu.ru

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Содержание

[править] Базовые настройки

Задание имени устройству:

[править] Настройка интерфейсов

Для того чтобы разрешить прохождение трафика через интерфейсы ASA, необходимо задать имя интерфейса и IP-адрес (для режима routed).

[править] Management интерфейс

[править] Задание IP-адреса

Cisco ASA не поддерживает secondary-адреса на интерфейсах [1]. При необходимости, можно попробовать такой вариант [2].

[править] Уровни безопасности интерфейсов

На ASA каждому интерфейсу присваивается уровень безопасности:

• Значение уровня безопасности может быть от 0 до 100;
• 100 — максимальный уровень безопасности. Как правило, присваивается интерфейсу, который находится в локальной сети;
• 0 — минимальный уровень безопасности. Присваивается внешнему интерфейсу;
• По умолчанию на всех интерфейсах уровень безопасности 0

[править] Влияние уровней безопасности на другие функции

Уровни безопасности контролируют поведение ASA в таких ситуациях:

• Доступ к сети — по умолчанию трафик, который идет с интерфейса с более высоким уровнем безопасности на интерфейс с меньшим уровнем безопасности, разрешен. Хосты, которые находятся на более безопасном интерфейсе могут получить доступ к любому хосту, находящемуся на менее безопасном интерфейсе. Это правило можно ограничить, применив access-list.
• Инспектирование — инспектирование некоторых протоколов зависит от уровней безопасности интерфейсов:
  • Инспектирование NetBIOS — применяется только для исходящих соединений.
  • Инспектирование SQLNet— если между парой хостов существует control connection к порту SQLNet (OraServ), то только входящий трафик разрешен.
• Фильтрация — фильтрация HTTP(S) и FTP применяется только к исходящим соединениям (с более безопасного уровня на менее безопасный).
• NAT control — когда включен NAT control, то для хостов, которые находятся на интерфейсе с более высоким уровнем безопасности, обязательно должны быть настроены правила трансляции для того чтобы они могли получить доступ к хостам, которые находятся на интерфейсе с более низким уровнем безопасности.
• Команда established — эта команда пропускает соединения с менее безопасного интерфейса на более безопасный, если уже существует установленное обратное соединение.

[править] Правила взаимодействия между интерфейсами с различными уровнями безопасности

По умолчанию прохождение трафика от менее безопасного интерфейса к более безопасному запрещено. ASA пропускает обратный трафик, если инициатором соединения был хост, находящийся за более безопасным интерфейсом.

[править] Правила взаимодействия между интерфейсами с одинаковыми уровнями безопасности

По умолчанию передача трафика между интерфейсами с одинаковыми уровнями безопасности не разрешена.

Разрешить передачу трафика между интерфейсами с одинаковыми уровнями безопасности:

Правила взаимодействия между интерфейсами с одинаковыми уровнями безопасности (после разрешения коммуникаций между ними):

• Разрешена передача трафика между интерфейсами с одинаковым уровнем безопасности.
• Правила инспектирования применяются к трафику, который передается в обоих направлениях (для тех правил инспектирования в которых учитывается направление трафика).
• Правила фильтрации HTTP(S) и FTP применяются в обоих направлениях.
• Правила трансляции не обязательно должны быть настроены, даже если включен NAT control.
• Команда established может применяться в обоих направлениях.

[править] Просмотр информации об интерфейсах

Просмотр информации о именах интерфейсов и уровнях безопасности:

Информация о статусе интерфейсов и IP-адресах:

This command shows the primary IP addresses (called “System” in the display) for when you configure high availability as well as the current IP addresses. If the unit is active, then the system and current IP addresses match. If the unit is standby, then the current IP addresses show the standby addresses.

[править] Использование имен

[править] Команды

[править] Просмотр всех существующих команд

Так как количество команд очень большое, то желательно выполнять команду с соответствующим фильтром.

Просмотр всех существующих команд включающих слова debug vpn:

[править] Создание alias для команд

Просмотр настроенных alias:

[править] Справка

Справка о команде:

Например, справка о команде hostname:

[править] Работа с конфигурационными файлами и ОС

Посмотреть текущую конфигурацию:

В ASA есть много настроек по умолчанию. Для того чтобы не загромождать конфигурационный файл, они не отображаются в выводе команды show run. Для просмотра всех команд конфигурационного файла используется команда show run all.

Посмотреть текущую конфигурацию и скрытые команды:

Посмотреть стартовую конфигурацию:

Удалить стартовую конфигурацию:

Удалить текущую конфигурацию:

Скопировать текущую конфигурацию в стартовую:

более быстрый вариант:

[править] Управление процессом загрузки ОС и конфигурационных файлов

Показать содержимое директорий:

Показать содержимое файла:

Указать файл ОС, который будет использовать ASA:

Просмотр текущих настроек загрузки ОС и конфигурационного файла:

[править] Перезагрузка ASA

Установить время перезагрузки:

Отменить запланированную перезагрузку:

Проверить настройки перезагрузки:

[править] Просмотр информации

[править] Трансляция адресов

. Если нет соединений обновить браузер

Зайти на веб сервер Зайти на ftp сервер

[править] Маршрутизация

[править] ACL

[править] Отличия от настройки ACL на маршрутизаторах

ACL на ASA настраиваются точно также как и на маршрутизаторах, с небольшими отличиями по синтаксису команд. Главное отличие – это маска, в ASA маска применяется не wildcard, а обычная.

Например, если в ACL необходимо разрешить прохождение IP-трафика из сети 192.168.5.0/24 в любую другую сеть, то:

• на маршрутизаторе ACL будет выглядеть таким образом:

• а на ASA:

Кроме того, отличается применение ACL на интерфейсе. На ASA ACL применяется так:

Пример применения ACL TEST для входящего трафика на интерфейсе outside:

ACL обязательно должен быть extended формата. На один интерфейс может быть повешен только один ACL в одно направление — один в in и один в out. По умолчанию каждый ACL имеет в конце запрещающее правило для всего, что не попало под разрешение — это правило не видно в каком-либо выводе просто помните, что оно есть.

[править] Разрешение ICMP

По умолчанию прохождение icmp пакетов через АСА запрещено

1 Запретили прохождение icmp request

2. Настраиваем ACL для трафика из интернета

2.1. Статические записи для внутреннего хоста и DMZ хоста

2.2. Проверяем, что без ACL не получается зайти во внутр сеть. Packet tracer 2.3. Создаем ACL чтобы трафик (icmp, ftp, ssh, http) проходил к DMZ хосту (не забывать о том что адреса транслируются) 2.4. Создаем ACL чтобы трафик (icmp, ftp, ssh, http) проходил к внутреннему хосту 2.5. Смотрим командами show на ACL

3. Проверяем пройдет ли теперь трафик. Packet tracer

[править] Time-based ACL

4. Настройка и проверка time-based ACL 4.1 Настройка периода времени

4.2. Удаляем строку из ACL

Добавляем времменую запись

Заходим SSH и у нас ничего не получаеттся

4.3. Меняем время на ASA. Теперь запись активна Проверяем

4.4. Возвращаем запись и время меняем на правильное

5. Настройка исходящего ACL

6. Проверка исходящего ACL

После проверки удаляем его

[править] object group

1. Настраиваем service object group

2. Настраиваем icmp-type object group

3. Настраиваем network object group

4. Настраиваем ACL с object group

4.1 www и ftp к DMZ хосту: ACL на внешний интерфейс для входящего трафика:

5. ACL на внешний интерфейс. Разрешаем входящий www, ssh и icmp трафик

ACL на dmz интерфейс. Разрешаем icmp

6. Проверяем ACL

[править] AAA

7.1. Настраиваем ACS

7.2. Настраиваем AAA на ASA для входящего соединения (из инета в лок сеть)

Смотрим на пользователя:

7.3. Настраиваем AAA на ASA для исходящего соединения (из лок сети в инет):

Проверяем FTP и HTTP

7.4. Настраиваем AAA аутентификацию для telnet соединений:

Зайти telnet’ом на АСУ

7.5. Настраиваем virtual telnet

Заходим telnet’ом на адрес 192.168.1.5 и вводим имя пользователя и пароль.

Проверяем, что аутентификация прошла — теперь заходим на веб сервер и у нас не запрашивают пароль!!

Еще раз броузер открываем и нас спрашивают пароль!!

7.6. Настраиваем приглашения при аутентификации и таймауты:

Проверяем. Заходим telnet’ом на адрес 192.168.1.5

7.7. Настраиваем ACS и downloadable ACL

[править] Инспектирование трафика

[править] Настройки по умолчанию

По умолчанию на ASA выполняется инспектирования трафика.

Если в class-map указано match default-inspection-traffic, то к этому классу может применяться только действие inspect

Протоколы, которые инспектируются по умолчанию:

Настройки применены ко всем интерфейсам (global):

Восстановить настройки по умолчанию:

Статистика срабатываний default policy-map:

[править] Инспектирование FTP

Инспектирование FTP выполняет такие действия:

• Подготавливает динамическое соединение для передачи данных,
• Отслеживает порядок команд и ответов на команды FTP,
• Генерирует сообщения (audit trail),
• Транслирует встроенные IP-адреса.

Без включенного инспектирование будет работать только Passive FTP для исходящего трафика.

Убрать инспектирование FTP трафика:

[править] Использование параметра strict

После включения параметра strict:

• Команды FTP должны быть подтверждены прежде чем ASA разрешит новую команду,
• ASA отбрасывает соединения, которые передают встроенные команды,
• Команды 227 и PORT проверяются для того чтобы убедиться, что они не появляются в строке ошибки.

После включения параметра strict, каждая команда и ответ на неё отслеживаются и проверяются по таким критериям:

• Truncated command — количество запятых в ответах PORT и PASV проверяется. Если количество запятых отлично от 5, то команда считается сокращенной (truncated) и TCP-соединение закрывается.

[править] Настройка дополнительных критериев анализа трафика

Настройка policy-map которая будет запрещать запросы get:

Применение созданной policy-map в default policy-map:

[править] Инспектирование HTTP

[править] Запрет файлов с расширением .gif или .txt

Создать регулярное выражение для файлов с расширением .gif .txt

Проверка правильности созданного выражения:

Объединение регулярных выражений в regex class-map:

Создание class-map 3/4 уровня для выделения http трафика:

Создание inspect policy-map и настройка действия drop-connection если присутствуют файлы с расширением .gif .txt:

Создание policy-map 3/4 уровня для инспектирования http трафика с применением policy-map BLOCK_FILES:

Применение INSIDE_POLICY к интерфейсу inside:

[править] Запрет файлов с расширением .gif или .txt и с URI больше чем 29 байт

Создание класса, в котором будут обозначены файлы с расширением .gif или .txt и с URI больше чем 29 байт

Применение класса в раннее созданной политике (удаляем класс BAD_FILES):

[править] DNS rewrite (DNS doctoring)

[править] Site-to-site VPN

[править] Remote VPN

[править] Split tunneling

Для указания сетей в split tunneling, необходимо создать стандартный ACL, который описывает сети находящиеся за ASA.

[править] WebVPN

[править] Transparent firewall

[править] Security context

Разделение ASA на контексты позволяет создать внутри одного физического устройства несколько виртуальных.

В режиме нескольких контекстов не поддерживается:

• Динамическая маршрутизация,
• QoS
• VPN
• Маршрутизация multicast
• Threat Detection
• Phone Proxy

Источник