Tìm hiểu các tính năng mới của Firewall Cisco ASA

Firewall Cisco

Giới thiệu một số tính năng có trên FireWall Cisco ASA

FireWall Cisco ASA một dòng sản phẩm cung cấp chức năng bộ tập trung và tường lửa Stateful tiên tiến trong một thiết bị, và đối với một số mô hình, mô-đun phòng chống xâm nhập tích hợp (IPS) hoặc mô-đun bảo mật và điều khiển nội dung tích hợp (CSC).

Loại Firewall Cisco này bao gồm nhiều tính năng nâng cao, như nhiều bối cảnh bảo mật (tương tự tường lửa ảo hóa), tường lửa trong suốt (Lớp 2) hoặc hoạt động tường lửa (Lớp 3), công cụ kiểm tra nâng cao, IPsec VPN, SSL VPN, hỗ trợ SSL VPN không cần ứng dụng và nhiều tính năng khác.

Trong bài viết đầu tiên này Ciscodata sẽ giới thiệu tổng quan các tính năng nổi bật có trên dòng sản phẩm thiết bị tường lửa Cisco ASA.

Nội dung sẽ bao gồm các phần như sau:

– Khả năng tương thích phần cứng và phần mềm
– Thông số VPN
– Tính năng mới
– Tổng quan chức năng tường lửa
– Tổng quan chức năng VPN
– Tổng quan về bối cảnh bảo mật
Trong mỗi mô hình sẽ có rất nhiều các thiết bị khác nhau và để hệ thống vận hành và hoạt động ổn định nhất thì điều đầu tiên cần đến đó chính là khả năng tương thích giữa các thiết bị này.

1. Khả năng tương thích của Cisco ASA

Đầu tiên phải nói đến chính là khả năng tương thích ASA và ASDM với các dòng sản phẩm tường lửa tiêu biếu như ASA 5506-X, ASA 5506H-X, ASA 5506W-X, ASA 5508-X, ASA 5516-X, ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X.

Sự kết hợp đa dạng này cho bạn nhiều giải pháp, sự lựa chọn hơn để có thể đáp ứng mục đích sử dụng.

– Cisco ASA Series hỗ trợ các nền tảng VPN

Khả năng tương thích của các phiên bản phần mềm dòng ASA với trình quản lý thiết bị bảo mật thích ứng và các bản phát hành khách hàng di động an toàn của Cisco AnyConnect.
Các trình duyệt Web cũng được hỗ trợ bởi truy cập SSL VPN ASAs Releases và các bản cao hơn. Hệ điều hành điểm cuối được hỗ trợ bởi AnyConnect Releases 3.1 và mới hơn, các máy khách IPsec cũng được hỗ trợ để truy cập VPN vào ASA.

– Firepower 4100/9300 Khả năng tương thích với ASA hoặc Firepower Threat Defense

– Firepower 2100 ASA và FXOS Bundle phiên bản

– Khả năng tương thích ASAv Hypervisor

– ASA Services Module, IOS và Switch tương thích

– Khả năng tương thích ASA REST API

– Tương thích phần mềm ASA 5506W-X không dây

– Tương thích ASA và ASA FirePOWER Module

– ASA 5585-X SSP và tương thích mô-đun mạng

– ASA và Firepower Threat Defense Clustering hỗ trợ phần cứng bên ngoài

– ASA và Khả năng tương thích của Bộ điều khiển cơ sở hạ tầng, chính sách, ứng dụng của Cisco (APIC).

2. Cung cấp các tính năng mới trên Cisco ASA

Cisco ASA có rất nhiều những phiên bản khác nhau và mới đây nhất là các tính năng mới được bổ sung hoàn thiện trong bản cập nhật phiên bản 8.6

Chi tiết các tính năng có thể kể đến như là:

– Tính năng phần cứng

– Tính năng IPS

– Hỗ trợ IPS SSP cho ASA 5512-X thông qua ASA 5555-X

– Hỗ trợ cho mô-đun phần mềm IPS SSP cho ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X và ASA 5555-X.

– Các tính năng truy cập từ xa

– Hỗ trợ trình duyệt SSL VPN Clientless, ASA hiện hỗ trợ SSL VPN không có khách với Microsoft Internet Explorer 9 và Firefox 4 cũng có sẵn trong Phiên bản 8.4 (3).

– Nén cho DTLS và TLS

Để cải thiện thông lượng, Cisco hiện hỗ trợ nén cho DTLS và TLS trên AnyConnect 3.0 hoặc mới hơn. Mỗi phương pháp đường hầm cấu hình nén riêng biệt, và cấu hình ưu tiên là có cả SSL và DTLS nén như LZS. Tính năng này tăng cường di chuyển từ các máy khách VPN cũ.

Lưu ý sử dụng nén dữ liệu trên các kết nối truy cập từ xa tốc độ cao truyền dữ liệu nén cao đòi hỏi sức mạnh xử lý đáng kể trên ASA. Với hoạt động khác và lưu lượng truy cập trên ASA, số phiên có thể được hỗ trợ trên nền tảng sẽ giảm.

3. Cảnh báo hết thời gian chờ phiên SSL SSL của máy khách

Tính năng này cho phép bạn tạo tin nhắn tùy chỉnh để cảnh báo người dùng rằng phiên VPN của họ sắp kết thúc do không hoạt động hoặc hết thời gian chờ phiên.
Chúng tôi giới thiệu các lệnh sau: vpn-session-timeout cảnh báo khoảng cách, cũng có sẵn trong Phiên bản 8.4 (3).

4. Nhiều tính năng chế độ ngữ cảnh

Tự động tạo tiền tố địa chỉ MAC

Trong chế độ đa ngữ cảnh, ASA giờ đây chuyển đổi cấu hình tạo địa chỉ MAC tự động để sử dụng tiền tố mặc định. ASA tự động tạo tiền tố dựa trên hai byte cuối cùng của địa chỉ MAC giao diện. Việc chuyển đổi này xảy ra tự động khi bạn tải lại hoặc nếu bạn có thể tạo lại địa chỉ MAC.

Phương thức tiền tố của thế hệ cung cấp nhiều lợi ích, bao gồm bảo đảm tốt hơn các địa chỉ MAC duy nhất trên một phân đoạn. Bạn có thể xem tiền tố được tạo tự động bằng cách nhập lệnh show mac-address running-config . Nếu bạn muốn thay đổi tiền tố, bạn có thể cấu hình lại đối tượng địa lý bằng tiền tố tùy chỉnh. Phương pháp kế thừa tạo địa chỉ MAC không còn khả dụng nữa.

Lưu ý Để duy trì nâng cấp không cần thiết cho các cặp chuyển đổi dự phòng, ASA không chuyển đổi phương thức địa chỉ MAC trong cấu hình hiện có khi tải lại nếu bật tính năng chuyển đổi dự phòng. Tuy nhiên, chúng tôi thực sự khuyên bạn nên thay đổi thủ công phương thức tiền tố của thế hệ. Sau khi nâng cấp, sử dụng phương thức tiền tố tạo địa chỉ MAC, có thể mở lại địa chỉ MAC để sử dụng tiền tố mặc định.

5. Tăng giá trị LDAP tối đa cho mỗi thuộc tính

Số lượng giá trị tối đa mà ASA có thể nhận cho một thuộc tính duy nhất đã tăng từ 1000 (mặc định) lên 5000, với phạm vi cho phép 500 đến 5000. Nếu nhận được thông báo phản hồi vượt quá giới hạn được định cấu hình, ASA sẽ từ chối xác thực. Nếu ASA phát hiện rằng một thuộc tính duy nhất có hơn 1000 giá trị, thì ASA tạo ra syslog thông tin 109036. Đối với hơn 5000 thuộc tính, ASA tạo ra syslog mức lỗi 109037.

Hỗ trợ cho phạm vi phụ của kết quả tìm kiếm LDAP

Khi một kết quả tìm kiếm LDAP trong một thuộc tính với một số lượng lớn các giá trị, tùy thuộc vào cấu hình máy chủ, nó có thể trả về một phạm vi phụ của các giá trị và mong đợi ASA khởi tạo các truy vấn bổ sung cho các phạm vi giá trị còn lại. ASA hiện đang thực hiện nhiều truy vấn cho các phạm vi còn lại và kết hợp các câu trả lời vào một mảng các giá trị thuộc tính hoàn chỉnh.

6. Tính năng khắc phục sự cố

Đối sánh cụm từ thông dụng cho trình phân loại bảng hiển thị asp và hiển thị các lệnh của bộ lọc bảng asp
Bây giờ bạn có thể nhập trình phân loại bảng hiển thị asp và hiển thị các lệnh bộ lọc bảng asp với cụm từ thông dụng để lọc đầu ra.

Trong bản cập nhật này Cisco đã sửa đổi các lệnh sau: hiển thị bảng phân loại asp phù hợp với regex , hiển thị bộ lọc bảng asp phù hợp với regex .

Tổng quan chức năng của tường lửa

Tường lửa bảo vệ các mạng bên trong khỏi sự truy cập trái phép của người dùng trên mạng bên ngoài. Tường lửa cũng có thể bảo vệ các mạng bên trong từ các mạng khác.

Ví dụ, bằng cách giữ một mạng lưới nguồn nhân lực tách biệt khỏi mạng người dùng. Nếu bạn có tài nguyên mạng cần phải có sẵn cho người dùng bên ngoài, chẳng hạn như web hoặc máy chủ FTP, bạn có thể đặt các tài nguyên này trên một mạng riêng biệt phía sau tường lửa, được gọi là vùng phi quân sự(DMZ).

Firewall Cisco ASA giải pháp bảo mật

Tường lửa cho phép truy cập hạn chế vào DMZ, nhưng vì DMZ chỉ bao gồm các máy chủ công cộng, một cuộc tấn công chỉ ảnh hưởng đến các máy chủ và không ảnh hưởng đến các mạng bên trong khác. Bạn cũng có thể kiểm soát khi người dùng bên trong truy cập các mạng bên ngoài (ví dụ: truy cập Internet) bằng cách chỉ cho phép một số địa chỉ nhất định, bằng cách yêu cầu xác thực hoặc ủy quyền hoặc bằng cách phối hợp với máy chủ lọc URL bên ngoài.

Các chính sách bảo mật của tường lửa

– Cho phép hoặc từ chối giao thông với danh sách truy cập
– Áp dụng NAT
– Bảo vệ khỏi các phân đoạn IP
– Sử dụng AAA để thông qua giao thông
– Áp dụng bộ lọc HTTP, HTTPS hoặc FTP
– Áp dụng kiểm tra ứng dụng
– Gửi lưu lượng truy cập đến mô-đun IPS
– Gửi lưu lượng truy cập đến Mô-đun bảo mật và kiểm soát nội dung
– Áp dụng các chính sách QoS
– Áp dụng các giới hạn kết nối và chuẩn hóa TCP
– Bật phát hiện mối đe dọa
– Kích hoạt bộ lọc lưu lượng truy cập Botnet
– Cấu hình Truyền thông Hợp nhất của Cisco

Cho phép hoặc từ chối lưu lượng truy cập có danh sách truy cập

Bạn có thể áp dụng danh sách truy cập để hạn chế lưu lượng truy cập từ bên trong ra bên ngoài hoặc cho phép lưu lượng truy cập từ bên ngoài vào bên trong. Đối với chế độ tường lửa trong suốt, bạn cũng có thể áp dụng danh sách truy cập EtherType để cho phép lưu lượng truy cập không phải IP.

Áp dụng NAT

Một số lợi ích của NAT bao gồm:
• Bạn có thể sử dụng các địa chỉ riêng trên các mạng bên trong của mình. Địa chỉ riêng không thể định tuyến trên Internet.
• NAT ẩn các địa chỉ cục bộ khỏi các mạng khác, vì vậy kẻ tấn công không thể tìm hiểu địa chỉ thực của một máy chủ.
• NAT có thể giải quyết các vấn đề định tuyến IP bằng cách hỗ trợ các địa chỉ IP trùng lặp.

Tính năng NAT IP

Bảo vệ khỏi IP Fragments

ASA Firewall cung cấp bảo vệ đoạn IP. Tính năng này thực hiện khôi phục toàn bộ tất cả các thông báo lỗi ICMP và khôi phục lại ảo các đoạn IP còn lại được định tuyến thông qua ASA. Các phân đoạn thất bại trong việc kiểm tra bảo mật bị loại bỏ và được ghi lại. Không thể vô hiệu hóa việc khôi phục ảo.

Sử dụng AAA để thông qua lưu lượng truy cập

Bạn có thể yêu cầu xác thực và / hoặc ủy quyền cho một số loại lưu lượng truy cập nhất định, ví dụ, đối với HTTP. ASA cũng gửi thông tin kế toán tới máy chủ RADIUS hoặc TACACS +.

Áp dụng bộ lọc HTTP, HTTPS hoặc FTP

Mặc dù bạn có thể sử dụng danh sách truy cập để ngăn chặn truy cập ra ngoài tới các trang web cụ thể hoặc máy chủ FTP, việc định cấu hình và quản lý việc sử dụng web theo cách này là không thực tế do kích thước và tính chất động của Internet. Chúng tôi khuyên bạn nên sử dụng ASA kết hợp với một máy chủ riêng chạy một trong các sản phẩm lọc Internet sau đây:
• Doanh nghiệp Websense
• SmartFilter tính toán an toàn

Áp dụng kiểm tra ứng dụng

Công cụ kiểm tra được yêu cầu cho các dịch vụ nhúng thông tin địa chỉ IP trong gói dữ liệu người dùng hoặc mở các kênh phụ trên các cổng được gán động. Các giao thức này yêu cầu ASA thực hiện kiểm tra gói sâu.

Gửi lưu lượng truy cập đến mô-đun IPS

Nếu mô hình của bạn hỗ trợ mô-đun IPS để ngăn chặn xâm nhập, thì bạn có thể gửi lưu lượng truy cập đến mô-đun để kiểm tra. Mô-đun IPS giám sát và thực hiện phân tích thời gian thực của lưu lượng mạng bằng cách tìm kiếm các dị thường và lạm dụng dựa trên thư viện chữ ký mở rộng, nhúng.

Khi hệ thống phát hiện hoạt động trái phép, nó có thể chấm dứt kết nối cụ thể, chặn vĩnh viễn máy chủ tấn công, ghi lại sự cố và gửi cảnh báo đến trình quản lý thiết bị. Các kết nối hợp pháp khác tiếp tục hoạt động độc lập mà không bị gián đoạn. Để biết thêm thông tin, hãy xem tài liệu cho mô-đun IPS của bạn.

Gửi lưu lượng truy cập đến Mô-đun bảo mật và kiểm soát nội dung

Nếu mô hình của bạn hỗ trợ nó, CSC SSM cung cấp khả năng bảo vệ chống lại vi-rút, phần mềm gián điệp, spam và các lưu lượng truy cập không mong muốn khác. Nó thực hiện điều này bằng cách quét lưu lượng FTP, HTTP, POP3 và SMTP mà bạn định cấu hình ASA để gửi cho nó.

Áp dụng chính sách QoS

Một số lưu lượng mạng, chẳng hạn như thoại và video trực tuyến, không thể chịu đựng được thời gian chờ lâu. QoS là một tính năng mạng cho phép bạn ưu tiên cho các loại lưu lượng truy cập này. QoS đề cập đến khả năng của một mạng để cung cấp dịch vụ tốt hơn cho lưu lượng mạng được chọn.

Áp dụng giới hạn kết nối và chuẩn hóa TCP

Bạn có thể giới hạn các kết nối TCP và UDP và các kết nối phôi. Hạn chế số lượng kết nối và
bảo vệ bạn khỏi tấn công DoS. ASA sử dụng giới hạn phôi để kích hoạt TCP Intercept, giúp bảo vệ các hệ thống bên trong từ một cuộc tấn công DoS gây ra bởi lũ lụt một giao diện với các gói TCP SYN. Một kết nối phôi là một yêu cầu kết nối mà không hoàn thành việc bắt tay cần thiết giữa nguồn và đích.

TCP bình thường hóa là một tính năng bao gồm các cài đặt kết nối TCP nâng cao được thiết kế để thả các gói không xuất hiện bình thường.

Bật phát hiện mối đe dọa

Bạn có thể cấu hình phát hiện mối đe dọa quét và phát hiện mối đe dọa cơ bản, và cũng làm thế nào để sử dụng số liệu thống kê để phân tích các mối đe dọa.

Phát hiện mối đe dọa cơ bản phát hiện hoạt động có thể liên quan đến tấn công, chẳng hạn như tấn công DoS và tự động gửi thông báo nhật ký hệ thống.

Một cuộc tấn công quét điển hình bao gồm một máy chủ kiểm tra khả năng truy cập của mọi địa chỉ IP trong mạng con (bằng cách quét qua nhiều máy chủ trong mạng con hoặc quét qua nhiều cổng trong máy chủ hoặc mạng con). Tính năng phát hiện mối đe dọa quét sẽ xác định thời điểm máy chủ đang thực hiện quét. Không giống như phát hiện quét IPS dựa trên chữ ký giao thông, tính năng phát hiện mối đe dọa quét ASA duy trì một cơ sở dữ liệu mở rộng có chứa số liệu thống kê máy chủ có thể được phân tích để quét hoạt động.

Cơ sở dữ liệu máy chủ theo dõi hoạt động đáng ngờ như các kết nối không có hoạt động trả lại, truy cập các cổng dịch vụ đóng, các hành vi TCP dễ bị tấn công như IPID không ngẫu nhiên và nhiều hành vi khác.Bạn có thể định cấu hình ASA để gửi thông báo nhật ký hệ thống về kẻ tấn công hoặc bạn có thể tự động loại bỏ máy chủ.

Bật bộ lọc lưu lượng truy cập Botnet

Phần mềm độc hại là phần mềm độc hại được cài đặt trên máy chủ không xác định. Phần mềm độc hại cố gắng gửi dữ liệu cá nhân (mật khẩu, số thẻ tín dụng, nét chính hoặc dữ liệu độc quyền) có thể được Bộ lọc lưu lượng truy cập Botnet phát hiện khi phần mềm độc hại bắt đầu kết nối với địa chỉ IP đã biết.

Bộ lọc lưu lượng truy cập Botnet kiểm tra các kết nối vào và ra khỏi cơ sở dữ liệu động của các tên miền và địa chỉ IP đã biết (danh sách đen) và sau đó ghi lại bất kỳ hoạt động đáng ngờ nào. Khi bạn thấy thông báo nhật ký hệ thống về hoạt động của phần mềm độc hại, bạn có thể thực hiện các bước để cách ly và khử trùng máy chủ lưu trữ.

Định cấu hình Truyền thông Hợp nhất của Cisco

Dòng sản phẩm Cisco ASA 5500 là một nền tảng chiến lược để cung cấp các chức năng proxy cho việc triển khai truyền thông hợp nhất. Mục đích của proxy là chấm dứt và tái tạo kết nối giữa máy khách và máy chủ. Proxy cung cấp một loạt các chức năng bảo mật như kiểm tra lưu lượng, tuân thủ giao thức và kiểm soát chính sách để đảm bảo an ninh cho mạng nội bộ. Một chức năng ngày càng phổ biến của proxy là chấm dứt các kết nối được mã hóa để áp dụng các chính sách bảo mật trong khi vẫn duy trì tính bảo mật của các kết nối.

Tổng quan chức năng VPN

VPN là kết nối an toàn trên mạng TCP / IP (chẳng hạn như Internet) xuất hiện dưới dạng kết nối riêng tư. Kết nối an toàn này được gọi là đường hầm. ASA sử dụng các giao thức đường hầm để thương lượng các tham số bảo mật, tạo và quản lý các đường hầm, gói gọn các gói dữ liệu, truyền hoặc nhận chúng thông qua đường hầm và giải phóng chúng. Firewall ASA hoạt động như một điểm cuối đường hầm hai chiều: nó có thể nhận các gói tin đơn giản, đóng gói chúng và gửi chúng đến đầu kia của đường hầm nơi chúng không bị đóng gói và gửi đến đích cuối cùng của chúng. Nó cũng có thể nhận các gói tin đóng gói, mở gói chúng và gửi chúng đến đích cuối cùng của chúng. ASA gọi các giao thức chuẩn khác nhau để thực hiện các chức năng này.
ASA thực hiện các chức năng sau:

• Thiết lập đường hầm
• Thương lượng các thông số đường hầm
• Xác thực người dùng
• Chỉ định địa chỉ người dùng
• Mã hóa và giải mã dữ liệu
• Quản lý các khóa bảo mật
• Quản lý truyền dữ liệu qua đường hầm
• Quản lý truyền dữ liệu trong và ngoài như một điểm cuối đường hầm hoặc tuyến đường

Trên đây là những điểm nổi bật cơ bản của dòng sản phẩm Firewall Cisco ASA với các tính năng mới nhất hiện nay. Qúy khách hàng cần tư vấn, hỗ trợ gì xin vui lòng liên hệ trực tiếp với Ciscodata theo các số điện thoại trên Website để được tư vấn tốt nhất.

Tìm hiểu các tính năng mới của Firewall Cisco ASA
5 (100%) 1 đánh giá

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *