最近,思科发布了他们的最新版本自适应安全设备(ASA) 5500软件发行版8.2。这个新版本有一些我想与您分享的新特性,以便您知道当您升级ASA防火墙时将会发生什么。这些特性包括对ASDM和透明防火墙的IPv6支持,僵尸网络流量过滤器,SNMPv3, IPv6 IPS 6.2支持等等。
我过去对思科PIX防火墙不是很感兴趣。我第一次尝到PIX是在1997年,那种苦涩的余味一直持续到2005年思科引入ASA。从那时起,我就对ASA防火墙的特性及其设置的方便性留下了深刻印象。我特别喜欢它的IPv6功能。我喜欢ASA的其他方面是易于实现的高可用性配置、多上下文配置、集成的SSL-VPN、包跟踪功能和ASDM图形界面。
在过去的几年里,我一直在为许多客户端部署8.0,但是ASA 8.1版本只用于ASA 5580。ASA 8.2版本计划在2009年第一季度发布,所以现在可以从CCO购买和下载。ASA发行版8.2的伟大之处在于它可以在任何ASA 5500模型上运行。在下载和安装它之前,应该先阅读一下ASA 5500 8.2软件发布产品公告,常见问题(FAQ),发布说明。还有一个短进行重播介绍8.2版新特性的视频。
僵尸网络流量过滤是一种新的功能,它可以查找僵尸网络命令和控制流量,这些流量可能包含被恶意软件感染的计算机通过防火墙发送的个人识别信息(PII)、密码或信用卡数据。防火墙检查信息的目的地,以确定它是否在不良站点列表中。这个僵尸网络控制域数据库是由思科安全情报运营中心如果您拥有该特性的许可,它会自动下载。僵尸网络流量过滤器的目的不是为恶意软件的保护替代其他周长或内部防御,而是作为防御深度和防御体系结构多样性的一部分的免费解决方案。思科有白皮书上面更详细地描述了这一点。
SNMPv1/v2的弱点已经广为人知很多年了。这就是为什么在设备上努力配置SNMPv3能够确保与DES、3DES或AES的信息交换的安全,并对可能从SNMP代理检索的信息进行身份验证是有益的。最后,在8.2版中,我们可以使用SNMPv3来认证和保护这个管理协议。NetFlow安全事件日志记录(NSEL)原本是8.1的特性,现在已经添加到8.2中。它使用NetFlow v9向NetFlow收集器发送流创建、流销毁和流拒绝消息。NSEL还将通过NetFlow以事件的形式发送syslog消息的子集。
TCP状态旁路是8.2的另一个特性,防火墙将禁用它的TCP检查某些流量类型。当存在将导致ASA重置连接的非对称流量流时,这很有用,因为ASA只检查流量的一个方向。通过绕过ASA处理TCP连接状态的方式,您将给您的配置带来一些风险。这个特性是通过“set connection advanced tcp-state-bypass”命令启用的。
ASA 8.2版现在支持IPv6上的ASDM通信。以前ASDM通信只能在IPv4上进行,但是现在可以指定一个IPv6地址作为要联系的设备。您只需要确保在ASDM-IDM启动程序中输入的地址周围使用大括号,以便它跟随RFC2732格式。
或者,您可以使用web浏览器通过使用IPv6地址的HTTPS与ASA通信。在URL中,您还必须遵循RFC2732URL格式。
一旦启动ASDM,就可以执行在使用IPv4时习惯的任何配置。
IPv6透明防火墙是一个新的8.2特性,其中防火墙可以像一个二层透明防火墙(在线中碰撞)。尽管IPv4的透明防火墙功能已经存在多年,release 8.2在透明防火墙模式下增加了对IPv6的支持。我能够在实验室中设置并验证它的工作效果。下面是一个配置为具有IPv4和IPv6透明模式的ASA 5500示例。这个配置是针对ASA 5505的,因此它使用VLAN接口作为安全级别和接口名称,然后全局配置了管理IPv4/IPv6地址。请不要遵循我在这里展示的策略配置,因为这只是一个简单的防火墙策略测试,该策略允许所有流量通过它(非常不安全)。另外,请注意,为了简洁起见,已经删除了一些配置命令。
ASA5500# sh运行:已保存:ASA版本8.2(1)!防火墙透明主机名ASA5500名!接口Vlan1描述内部接口名称,如果内部安全级别为100 !接口Vlan2描述外部接口名称,如果外部安全级别为0 !接口Ethernet0/0描述外部接口交换机访问vlan 2 !接口Ethernet0/1说明内部接口!访问列表FULLIP扩展允许tcp任何任何访问列表FULLIP扩展允许udp任何任何访问列表FULLIP扩展允许icmp任何任何访问列表FULLIP扩展允许ip任何任何日志启用日志asdm信息的ip地址192.168.11.1 255.255.255.0 ipv6地址2001:db8:11: 1/64 ipv6访问列表FULLIPv6允许tcp任何任何ipv6访问列表FULLIPv6允许icmp6任何任何ipv6访问列表FULLIPv6允许udp任何任何ipv6访问列表FULLIPv6允许esp任何任何ipv6访问列表FULLIPv6允许icmp任何任何ipv6访问列表FULLIPv6允许啊任何任何ipv6访问列表FULLIPv6允许ip任何任何访问组FULLIP在接口访问组FULLIPv6在接口访问组FULLIP外的接口访问组FULLIPv6在http服务器启用http接口192.168.11.0 255.255.255.0在http 2001: db8:11:: 2001年/ 64在里面192.168.11.0 255.255.255.0 ssh: db8:11:: / 64内超时60 ssh版本2。
思科ASA版本8.2还提供了对AIP模块的支持,运行IPS传感器软件版本6.2,并将IPv6流量传递到IPS SSM和SSC模块。以前,ASAs没有能力发送IPv6流量到一个内部IPS 6.2模块。现在,这意味着ASA可以将IPv6通信传递给AIP模块。以前我写的关于IPv6的能力在IPS版本6.2和现在所有这些功能都是可用的嵌入IPS 6.2模块在一个ASA。
思科还推出了先进的检查和保护安全服务卡5 (AIP SSC-5),它在ASA 5505中工作。这张卡支持高达75mbps的IPS交通检查,并支持与更大的AIP IPS SSM模块相同的签名。Jamey Heary最近写了一本网络世界思科子网博客文章新SSC-5。
发行版8.2中还包括其他特性,所以您可能需要查看发行说明,以找出所有可用的新特性。
斯科特