思科ASA版本8.3

思科最新的ASA软件版本增加了重要的功能

上周,思科最近发布了最新版本的Cisco Adaptive Security Appliance (ASA) 5500固件8.3版(1)。从8.2(1)版发布到现在已经6个月了,在这个最新的版本中进行了大量的工作。您可能会利用这个新版本的一些新特性和增强功能。本文介绍了我认为大多数人会发现有用的新特性和增强。

下载图片

新软件于2010年3月8日开始下载,使用起来和以前的版本一样简单。如果您有ASA 5505、5510、5520、5540或5550,那么您想要下载的文件是asa831-k8.bin。如果您有一个ASA 5580-20或ASA 5580-40,那么您需要一个不同的图像文件“asa831-smp-k8.bin”。不要忘记下载当前的自适应安全设备管理器(ASDM)版本6.3(1)文件“ASDM -631”。然后把它放到ASA的flash上。这个版本的ASDM将工作的只要是运行版本8.0,8.1,8.2,或8.3。

文档

思科还发布了ASA 8.3版本的新文档。思科有一个新的配置指南,一个ASDM配置指南。新命令参考指南。思科有关于迁移和开始。甚至还有相关的文档管理许可证开源许可证。我很高兴看到管理文档没有被遗忘。有一个指南NetFlow收藏家SNMPv3,甚至syslog消息。

IPv6局域网到局域网的手动配置隧道

虽然你们中的许多人现在可能还没有迁移到IPv6,但是今天你应该仍然在形成你的IPv6过渡策略。其中一个策略可能涉及到创建一个通道,通过你的跛脚ipv4服务提供商到一个具有IPv6能力的ISP。如果您在防火墙外有一个路由器,那么您很可能在这里配置这个隧道。但是,如果您的环境中与当前ISP的切换是ASA上的外部以太网接口,那么现在您可以配置一个IPv6 LAN-to-LAN隧道

启用ipv6状态故障转移

IPv6的早期用户已经熟悉这个限制一段时间了。在8.2(1)和更早的版本中,对于如何配置an有一些限制HA对ASA防火墙拥有ipv6地址的接口。新版本消除了这些问题,并允许使用IPv6地址的接口在有状态的主动/被动故障转移中执行。

智能打电话回家

智能呼叫家庭版本3.0(1)允许更快的与思科TAC通信和更快的MTBF故障排除实例。它允许主动诊断和实时警报发送给专家在思科TAC快速解决问题。下面是您将用于配置此特性的一些命令。

服务呼叫-home呼叫-home联系人-电子邮件-地址 邮件 优先级10配置taco - asa - test目标地址email callhome@cisco.com目标传输方法email订阅警报组诊断订阅警报组环境订阅警报组库存定期每月订阅警报组配置定期每月订阅警报组遥测定期每日

完成配置后,可以使用“show call-home [detail]”命令

无客户端SSL浏览器支持

ASA版本8.3(1)对新版本的无客户端SSL VPN提供了更强大的支持。版本8.3(1)现在支持以下功能浏览器及操作系统平台。对于希望向最广泛的远程用户提供SSL VPN服务的组织来说,这是一个好消息。

  • Win7 32位和64位ie8。和Firefox 3.X
  • Vista 64位ie7。X & 8。和Firefox 3.X
  • Vista 32位SP1/2 ie6。X, 7。X, 8。和Firefox 3.X
  • Windows XP 64位ie6。X, 7。X, 8。和Firefox 3.X
  • Windows XP 32位SP2/3 IE 6。X, 7。和Firefox 3.X
  • Mac OS X 32/64位Safari 3。X & 4。和Firefox 3.X
  • Linux与Firefox 3.X

智能隧道增强

智能隧道是基于ssl的VPN连接,允许TCP应用程序通过一个ASA(比如代理服务器)连接。它们的性能优于浏览器插件,但仍然允许无客户端VPN访问,不需要用户对其计算机拥有管理权限。智能隧道可通过“智能隧道列表”、“智能隧道网络”和“智能隧道策略”进行配置。命令。不过,我觉得使用这些类型的无客户端VPN特性更容易配置ASDM

NAT简化

NAT配置已经重新设计以允许简单的配置和增加灵活性。没有了“nat-control”、“静态”、“全局”和“别名”命令。新的语法使用“dat动态”和“nat静态”命令。因此,当您迁移到8.3版本时,您的nat语句将会有一些迁移。

僵尸网络流量过滤

虽然这不仅仅是一个8.3版本的特性,但是僵尸网络流量过滤是值得探索的。僵尸网络流量过滤从ASA 8.2(1)版本开始可用。僵尸网络流量过滤器检查出站网络流量是否连接到黑名单网站,以及是否有恶意软件连接到命令和控制系统。这是一个基于订阅的服务,提供更新的动态数据库的恶意DNS和IP地址。您还可以调整数据库并添加自己的IP地址和范围。用户连接到这些黑名单地址会被自动阻止。它很容易配置,将肯定帮助您的组织观察僵尸网络命令和控制流量,并识别受僵尸网络感染的计算机在您的组织。与ASA上的其他特性一样,您可以使用CLI,但是该特性可能更容易与ASDM接口。思科已经建立了一个视频以帮助您了解如何配置此特性。

内存需要增加

运行8.3的一个缺点是它会需要额外的内存ASA的型号为5505、5510、5520和5540。ASA 5505s上的最小内存是512MB RAM,而5510s需要1GB RAM,而ASA 5520s和5540s需要2GB RAM。请查看此发布指南文档的内存需求部分。

结论

新的8.3版的ASA固件提供了一些有用的特性,这些特性将继续在ASA的坚实基础上构建。希望你将能够命令你的内存升级,然后安排一些维护来安装内存和获得最新版本的固件和ASDM安装在你的ASAs。一定要检查发布说明在迁移之前确保这个新版本不会给您的系统带来任何问题。

斯科特

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对最重要的话题发表评论。
相关:

斯科特·霍格(Scott Hogg)是HexaBuild的联合创始人。IPv6咨询和培训公司,拥有超过25年的云、网络和安全经验。

版权©2010Raybet2

工资调查:结果在