我打赌你不知道你的思科ASA FW可以做的5件事

我编译了5个非常有用的ASA功能，我发现大多数客户还不知道这些功能。你可能听说过一个甚至两个，但我打赌不是全部。你的ASA知识有多深，来测试一下。应用防火墙ASAs软件中包含多个深度包检测引擎。这使得ASA不仅是一个有状态的包过滤防火墙，而且也是一个应用程序防火墙。最流行的是http引擎。所有应用程序检查引擎的工作方式是选择一个希望检查流量的接口，然后定义流量匹配条件，然后定义希望为哪些应用程序级别的数据编写策略。这是在这里ASDM:防火墙/服务策略规则配置图1:定义接口应用策略

图2:定义流量匹配标准，我选择ACL

图3:选择应用程序检查，我选择了http

图4:配置http检查规则，我选择中等安全。还有一个专家视图，您可以为任何URI字段或主体创建自己的regex表达式。

你完成了!用于VPN客户端的嵌入式主机姿态评估和修正(NAC)ASA包括NAC功能的宿主姿态评估内置。只需象征性的费用，您就可以升级到高级主机检查许可证，并获得一些补救功能和超过40个AV/AS供应商产品的详细清单。整个系统是基于OPSWAT的。它不如思科的NAC Appliance解决方案强大，但在很多情况下还是有意义的。您可以通过DAP(动态访问策略)规则配置主机姿态评估检查。这些规则也可以基于AAA标准。以下是截图:

这里有两个屏幕截图，显示了供应商列表中的一个片段，以及启用高级检查许可时获得的自动修正特性和主机防火墙规则。

认证并授权你的助理检察官管理直接通过LDAP用户大多数人使用TACACS+或RADIUS(有时后端进入LDAP数据库)对ASA管理员进行身份验证和授权。现在可以为管理员直接对LDAP数据库进行身份验证和授权。只需将LDAP属性映射到Radius属性，就可以控制它们的特权级别(1-15)。以下是来自思科文档的说明片段:

下面的示例展示了如何基于名为accessType的LDAP属性将管理会话限制到安全设备。accessType属性有三个可能的值:•VPN•admin•helpdesk每个值都映射到安全设备支持的有效IETF RADIUS服务类型之一:remote-access (Service-Type 5) Outbound、admin (Service-Type 6) Administrative和NAS - Prompt (Service-Type 7) NAS Prompt。# ldap attribute-map MGMT hostname(config-ldap-attribute-map)# map-name accessType IETF-Radius-Service-Type hostname(config-ldap-attribute-map)# map-value accessType VPN 5 hostname(config-ldap-attribute-map)# map-value accessType admin 6 hostname(config-ldap-attribute-map)# map-value accessType helpdesk# aaa-server LDAP protocol LDAP hostname(config-aaa-server-group)# aaa-server LDAP (inside) host 10.1.254.91 hostname(config-aaa-server-host)# LDAP -base-dn CN=Users,DC=cisco,DC=local hostname(config-aaa-server-host)# LDAP -scope子树hostname(config-aaa-server-host)# LDAP -login-password test . conf . conf . conf . conf . conf . conf . conf . conf . conf . confhostname(config-aaa-server-host)# ldap-login-dn CN=Administrator,CN=Users,DC=cisco,DC=local hostname(config-aaa-server-host)# server-type auto-detect hostname(config-aaa-server-host)# ldap-attribute-map

允许TCP应用程序通过无客户端sslvpn插件ASA有一个称为聪明的隧道．智能隧道允许您在没有完整的SSLVPN客户机的情况下，通过无客户端门户SSLVPN使用几乎任何基于TCP的应用程序。您定义要隧道的可执行文件(/applications/Instantmessenger.exe)的完整或部分路径，以及文件校验和的可选散列。现在，当客户端打开instantmessenger.exe时，它的流量会自动通过智能隧道回到ASA代理。值得注意的是，Cisco也有用于ssh、citrix等的应用程序插件。插件比smarttunnels有更好的性能，所以请在可用时使用它们。以下是智能隧道的截图:

通过URL访问列表控制无客户端的sslvpn用户访问的能力这就是所谓的Web acl在思科文档。它与对组应用IP ACL非常相似，只是这个ACL对实际的url进行过滤。支持http、https、ica、imap4、nfs、pop3、rdp、smarttunnel、ssh、smtp、telnet、cifs、citrix、citrixs、ftp、tn5250、vnc。在ASDM中配置:Remote access / clientless / advanced / web url web ACL配置截图

那么，你已经知道了这些特性中的多少个呢?你有什么想让别人知道的ASA模糊的特征吗?

这里提供的意见和信息是我个人的意见，而不是我的雇主。

Jamey Heary报道: 信用卡欺诈:小偷如何在你不知情的情况下窃取你的信用卡信息 思科进入了拥挤的AV和DLP客户市场 思科的新ASA代码允许您安全地携带您的思科IP电话到任何地方 思科以赛门铁克、迈克菲为目标推出了新的杀毒软件客户端 谷歌的Chrome浏览器引发了安全问题，尝起来像鸡爪去 杰米的博客 参阅更多有关安全的文章。

＊

＊

＊

＊

＊