SlideShare une entreprise Scribd logo

Новая Cisco ASA: тотальный контроль над пользователем

SkillFactory
SkillFactory

Эксперт школы SkillFactory, специалист в области информационной безопасности Сергей Кучеренко – о том, как использовать новую версию ПО Cisco ASA для решения актуальных задач и уверенно ориентироваться в функциях всей линейки Cisco ASA.

Technologie
1  sur  40
Télécharger pour lire hors ligne
Новая Cisco ASA: тотальный контроль над пользователем Сергей Кучеренко 15 июля 2013 serg.kucherenko@getccna.ru ведущий:
О  чем  мы  поговорим:   §  Обзор  функционала  межсетевого  экрана  Cisco  ASA   §  Продуктовая  линейка  и  позиционирование  устройств   §  История  версий  программного  обеспечения   §  Варианты  управления  устройством   §  ASA-­‐CX  –  новый  уровень  обеспечения  безопасности   §  Защищаем  виртуальные  среды  с  помощью  ASA  1000v   §  Подбор  ASA  и  лицензии  под  нужную  задачу  
Функции  Firewall:   1.      Сегментация  сети  –  разделение  сети  на  зоны  доверия  и  контроль  прохождения  трафика   между  зонами.   Сегментация  происходит  за  счет  назначения  каждому  интерфейсу  уровня  безопасности   (Security  Level)   Security  Level  –  число  в  диапазоне  от  0  до  100  (100  –  самый  безопасный,  0  –  самый  опасный)     Правила  Security  Levels:   §  Traffic  from  higher  to  lower  Security  Level  –  permihed  by  default   §  Traffic  from  lower  to  higher  Security  Levels  –  denied  by  default  для  прохождения  трафика   нужно  явное  разрешение  в  ACL   §  Idenncal  Security  Levels  -­‐  denied  by  default   Internet   WEB  Server   DMZ   Zone   Inside  Zone   Outside  Zone   permit  tcp  any  WEB_SRV  eq  80   100   50   0   Обзор  функционала  межсетевого  экрана  Cisco  ASA  
2.  Statefull  Firewall  (межсетевой  экран,  хранящий  информацию  о  сессиях)  –  если  трафик   разрешен  по  правилам  Security  Levels,  ASA  создает  запись  об  этой  сессии  в  таблице  сессий.     Получив  пакет,  ASA  проверяет,  является  ли  он  частью  ранее  созданной  сессии,  и  если  да,  то   такой  пакет  пропускается.   Protocol   Source  IP   Source  Port   Dest.  IP   Dest.  Port   Timeout   UDP   192.168.1.10   1024   1.1.1.10   53   20s   TCP   192.168.1.10   1025   1.1.1.1   80   3600s   Internet   WEB  Server   vk.com   1.1.1.1   DNS  Server   1.1.1.10   192.168.1.10   S_IP:192.168.1.10   D_IP:1.1.1.10   D_Por:53   S_Por:1024   Data:  DNS  Req   S_IP:1.1.10   D_IP:192.168.1.10   D_Por:1024   S_Por:53   Data:  DNS  Resp   S_IP:192.168.1.10   D_IP:1.1.1.1   D_Por:80   S_Por:1025   Data:  hhp  req   S_IP:1.1.1   D_Por:1025   S_Por:80   Data:  hhp  Resp   D_IP:192.168.1.10  
2.  Applicaon  Inspecon  –  инспекция  протоколов  на  7  уровне  модели  OSI     Контроль  большого  количества  приложений  на  соответствие  их  поведения  описанным   политикам  (есть  встроенные  политики,  также  есть  возможность  тонкой  настройки).  Кроме  того,   для  приложений,  использующих  динамические  подключения  (ex:  SIP),  ASA  использует  Applicanon   Inspecnon  для  создания  дополнительных  сессий.   Internet   SIP  Client  permit  tcp  any    PBX_SRV  eq  5060   To  TCP/5060   Хочу  позвонить  на  номер  111  мой  IP:5.1.1.1  и  номер  112   From  TCP/5060  Ок!  Connect  to  IP:10.1.1.10  port  UDP  16543   Voice  DATA  To  UDP/16543   Voice  DATA  From  UDP/16543   IP  PBX   ASA  Change  10.1.1.10  to  6.1.1.10   5.1.1.1  6.1.1.10   Dynamically  Open  port     UDP16543  
4.    NAT  –  трансляция  сетевых  адресов  в  пакетах  при  прохождении  межсетевого  экрана    Виды  NAT:   §  Object  NAT  –  простой  в  настройке  вид  NAT,  делаем  трансляцию  только  source  IP              Sta%c  NAT,  Dynamic  NAT,  Sta%c  PAT,  Dynamic  PAT   §  Twice  NAT  –  более  сложный,  но  более  гибкий  вид  NAT,  есть  возможность  транслировать   как  Source  (Sta%c  NAT/PAT,  Dynamic  NAT/PAT),  так  и  Desnnanon  (для  Des%na%on  только   Sta%c)   §  Identy  NAT  –  трансляция  адреса  в  себя  же              Sta%c  NAT,  используется  при  настройке  VPN  
5.  Firewall  Modes  –  устройство  может  работать  в  двух  режимах:   Routed  mode  –  ASA  работает  как  L3-­‐устройство,  выступая  шлюзом  по       умолчанию  для  ПК,  подключенных  в  сети  ее  интерфейсов,  и  может   обмениваться  маршрутной  информацией  с  другими  L3-­‐устройствами   с  использованием  протоколов  динамической  маршрутизации.     Применение:   Периметр  сети/Сегментация  кампуса   Transparent  mode  –  ASA  работает  как  L2-­‐устройство.  Устанавливается   в  разрыве  сети  на  пути  следования  трафика  –  такой  вариант  не   требует  редизайна  адресного  пространства.     Применение:   Сегментация  кампуса/ЦОД  
6.    Virtualizaon  –  в  рамках  одного  физического  устройства  есть  возможность  создать  несколько   виртуальных.   Эти  виртуальные  устройства  будут  независимые  (единственное,  в  чем  они  едины  –  это   количество  аппаратных  ресурсов  физического  устройства).     Виртуальная  ASA  =  Context  
7.    High  Availability  –  возможность  организовать  отказоустойчивую  группу  из  межсетевых  экранов,   когда  при  выходе  из  строя  одного  из  устройств  трафик  продолжает  идти  через  другое.   Методы  High  Availability:   §  Failover   A.  Ac%ve/Standby  –  одно  устройство  обрабатывает  все  запросы  (Acnve),  второе  устройство   хранит  информацию  о  текущих  подключениях  и  ожидает  (Standby)  выхода  из  строя   первого.   B.  Ac%ve/Ac%ve  –  используется  принцип  виртуализации.   Два  устройства  разделяются  на  контексты  (ex:  1,  2).   При  этом  первое  устройство  будет  Acnve  для   первого  контекста  (1-­‐A),  а  второе  будет  активным   для  второго  контекста  (2-­‐A),  в  случае  отказа  первого   устройства  весь  трафик  будет  обрабатываться   вторым.   .2  .2   .2  .1   .1  .1  
§  Clustering  –  реализация  High  Availability,  при  которой  все  устройства  занимаются   обработкой  пользовательского  трафика.  Устройства  делятся  на  следующие  роли:   ü  Master  –  одно  устройство  на  кластер,  все  настройки  выполняются  через  него   ü  Slave  –  все  остальные  устройства  в  кластере   С  точки  зрения  обработки  пакетов  ASA  в  кластере  делятся  на  следующие  роли:   SYN-­‐ACK   2.  Запрос   владельца     3.  Информация  о       владельце     4.  SYN-­‐ACK       ü  Connec%on  Owner  (Владелец)  –  та  ASA,  через  которую  началась  установка  соединения   ü  Director  (Директор)  –  ASA,  отвечающая  за  хранение  информации  о  сессии  на  случай   выходя  из  строя  владельца,  кроме  того  решает  проблемы,  связанные  с   асимметричным  трафиком   ü  Forwarder  –  все  другие  ASA  в  кластере   Перенаправление  трафика:   ü  Ether  Channel  load  balancing   ü  Equal  Cost  Mulnpath  Rounng*   ü  Route-­‐Map*     *  –  Rounng  mode  only  
8.    Identy  Firewall  –  возможность  создавать  списки  контроля  доступа,  используя  вместо  source   ip  address  логин  пользователя  в  MS  AD  или  группу,  в  которой  находится  пользователь.   Кроме  того,  вместо  desnnanon  IP  можно  использовать  FQDN.   Немного  истории:   Первоначально  для  IP  to  User/Group  Mapping  использовался  Cisco  Acnve  Directory  Agent  –  ПО,   устанавливаемое  на  контроллер  домена  либо  на  любой  сервер,  входящий  в  домен.   На  смену  ему  пришел  Context  Directory  Agent  –  виртуальный  appliance  под  Linux.   1.  Запрос  списка   пользователей  и  групп     2.  Информация  о  User     Login  через  WMI       3.  Запрос  списка  User-­‐to-­‐IP   mapping    4.  Вход  John  в   систему     5.  John  вошел  с  адреса     10.1.200.3     6.  Проверка  ACL    
VPN  Concentrator:   ASA  имеет  поддержку  различных  видов  VPN-­‐технологий   1.  Site-­‐to-­‐Site  VPN  –  объединение  сетей  двух  разнесенных  офисов  через  Интернет.  Site-­‐to-­‐Site  VPN   на  ASA  основан  на  crypto-­‐map               2.  Remote  Access  VPN  –  предоставление  доступа  к  корпоративным  ресурсам  удаленным   сотрудникам  и  мобильным  пользователям.     Разделяется  на  несколько  видов:   §  Client  VPN  –  требует  установку  на  устройство  пользователя  специализированного  ПО  (VPN   Client).  На  сегодняшний  день  есть  два  типа  клиентов,  отличные  по  функционалу.  
ü  Cisco  Easy  VPN  Client  –  использует  в  качестве  транспорта  набор  стандартов  IPsec,  для   согласования  параметров  ikev1.  При  установке  на  клиенте  создается  виртуальный  сетевой   адаптер,  на  который  после  успешной  аутентификации  и  получения  конфигурации  с  ASA   будет  назначен  IP-­‐адрес  из  корпоративной  сети.          Использование  клиента  не  требует  лицензий.          Клиент  больше  не  поддерживается  и  не  обновляется.   Host  B   195.5.110.1/24   192.168.110.0/24   195.5.111.10/24   192.168.151.10/24   Route  to:   0.0.0.0/0   Username/Password/Cernficate   Configuranon  (IP/DNS/WINS)   SRC_IP:   192.168.151.10   DST_IP:   192.168.110.10   Original  IP   Packet   SRC_IP:   195.5.111.10   DST_IP:   195.5.110.1   IPsec   Header   Проверить  включен  ли  Firewall    Расширенная  конфигурация  (Proxy  Server  Auto  Update)     Internet   Proxy   Server  
ü  Сisco  AnyConnect  Secure  Mobility  Client  –  использует  в  качестве  транспорта  SSL  либо  IPsec   ikev2.  Клиент  существует  под  все  популярные  стационарные  (образ  клиента  должен  быть   загружен  в  Flash  ASA)  и  мобильные  (загрузка  из  соответствующего  market)  OS   В  сравнении  с  традиционным  Easy  VPN  Client  имеет  ряд  преимуществ:     §  Возможность  установки  клиента  на  мобильные  устройства   §  Оценка  состояния  рабочей  станции  (Host  Scan)   §  Start  Before  Login  –  запуск  VPN  требуется  для  входа  в  систему   §  Always  ON  VPN  –  автоматически  запускать  клиента  при  входе  в  систему   §  Перенаправление  hhp/hhps/šp  трафика  на  Cisco  Web  Security  Appliance   §  Сам  клиент  имеет  модульную  структуру,  которая  дает  целый  ряд  дополнительных   возможностей,  не  имеющих  прямого  отношения  к  VPN:   a)  Менеджер  проводных  и  беспроводных  подключений   b)  Клиент  Cisco  ScanSafe  
Internet   195.5.110.1/24   192.168.110.0/24   195.5.111.10/24   192.168.151.10/24   Route  to:   0.0.0.0/0   Аутентификация  на  WEB-­‐портале   Client  Download   SRC_IP:   192.168.151.10   DST_IP:   192.168.110.10   Original  IP   Packet   SRC_IP:   195.5.111.10   DST_IP:   195.5.110.1   SSL   Header   Сбор  информации  о  состоянии  системы   OS  Version/Annvirus  type/Firewall  type  ...   Username/Password   Seœngs   SRC_IP:   192.168.151.10   DST_IP:   192.168.110.10   SRC_IP:   192.168.151.10   DST_IP:   Facebook  
Client  less  VPN  –  никакого  специализированного  ПО  пользователю  не  требуется,  достаточно   наличия  браузера  с  поддержкой  SSL.  На  ASA  создается  SSL  VPN-­‐портал,  на  котором  в  самом   простом  случае  может  осуществляется  публикация  hhp/hhps/cifs  ресурсов.   При  использовании  browser  plugin  (java  applet)  добавляются:   §  RDP   §  Telnet/SSH   §  VNC   Internet   195.5.110.1/24   Аутентификация  на  WEB-­‐портале   Аутентификация  на  WEB-­‐портале   IT  user   Finance      user  
IPS:   В  основе  IPS  (Intrusion  Prevennon  System)  от  Cisco  лежат  три  основных  подхода:   1.  Сканирование  трафика  на  соответствие  известным  сигнатурам  атак   2.  Информирование  администратора  о  сетевых  аномалиях   3.  Проверка  репутации  IP-­‐адресов  сети  Интернет  на  их  возможную  зловредность     В  ASA  функции  IPS  реализуются  в  виде:   §  Специальных  аппаратных  модулей  (старая  линейка  ASA  55xx,  а  также  ASA5585-­‐X)   §  Программных  модулей  (новая  линейка  ASA  55xx-­‐X)   Функционал  открывается  лицензией.   Сканировать  можно  как  весь  проходящий  через  устройство  трафик,  так  и  трафик  с/для   определенных  IP-­‐адресов.   Internet    WEB  Server   Client-­‐ Server   traffic   Проверка   репутации   Проверка   сигнатурами   Проверка  на   аномалии   Cisco   Inelegance   Operanons     Signature   update   Reputanon   update  
История  версий  программного  обеспечения   8.3   Историческая  эволюция   §  Изменен  принцип  работы  NAT/ACL   §  FQDN  support  in  ACL   §  Global  ACL   8.4,8.5   §  IKEv2   §  Etherchannel   §  Idennty  Firewall   8.6,8.7   §  New  family  5500-­‐X   §  ASA  1000V   §  Sošware  IPS   9.0,9.1   §  Trust  Sec  Support   §  Sošware  ASA  CX   §  ScanSafe  Support   §  Mixed  Mode     Подробную  информацию  о  новых  функциях  можно  найти  по  ключевой  фразе   Cisco  ASA  New  Features  by  Release,  введенной  в  Google   WHY?!?!  
Варианты  управления  устройством   CLI:   §  Классический  способ  управления   §  IOS  like  интерфейс  с  небольшими  отличиями   §  Не  все  функции  устройства  могут  быть  настроены  из  CLI       ASDM:   §  Графический  интерфейс  на  Java   §  В  ASDM  launcher  можно  добавить  несколько  устройств  и   быстро  переключаться  между  ними   §  Не  все  функции  устройства  могут  быть  настроены  из  ASDM       Cisco  Security  Manager:   §  Централизованное  управление  большим  количеством   устройств   §  Управление  на  основе  политик   §  Интегрированный  менеджер  событий  
ASA-­‐CX  –  новый  уровень  обеспечения  безопасности   ASA  CX  –  межсетевой  экран  нового  поколения,  задачей  которого  является  обеспечение   пользовательского  доступа  на  основе  КОНТЕКСТА     Контекст:     §  Кто  инициатор  соединения  (User  login/User  Group)     §  Чем  соединение  инициировано  (Device  type/User  Agent)     §  Откуда  инициировано  соединение  (Office/Out  of  office)     §  Какое  приложение  используется  (HTTP/Torrent/Skype)     §  Какое  микро-­‐приложение  используется  (Facebook  Games/Photos  Upload)  
ASA  CX  –  как  это  выглядит?     1.  Аппаратный  модуль  в  ASA5585X  (CX  SSP),  установка  только  в  slot  1.  На  текущий  момент   доступна  установка  в  SSP-­‐10  и  SSP-­‐20.  CX  для  SSP-­‐40,  SSP-­‐60  в  Roadmap             2.  Программный  модуль  в  ASA5500-­‐X  (приобретается  в  составе  bundle  либо  как  дополнительная   лицензия).  Кроме  того,  для  ASA5500-­‐X  требуется  установить  120GB  SSD  для  хранения  логов           3.  Лицензии:   §  AVC  (Applicanon  Visibility  and  Control)  –  распознавание  и  мониторинг  приложений   §  WSE  (Web  Security  Essennal)  –  URL-­‐категории  и  WEB-­‐репутация     Лицензии  продаются  в  виде:  AVC  only  or  WSE  only  or  AVC+WSE   Нет  ограничения  по  количеству  пользователей,  чем  производительней  устройство,  тем  дороже   лицензии.  Подписка  приобретается  на  1/3/5  лет.  
ASA  CX  –  какая  производительность?                           Измерение  производительности  проводилось  для  EMIX  (Enterprise  Mix)  профайла  трафика.  
ASA  CX  –  как  туда  попадает  трафик?     Перенаправления,  как  и  для  IPS-­‐модуля,  происходит  с  помощью  Service  Policy.  Может  быть   перенаправлен  как  весь  трафик,  проходящий  через  устройство,  так  и  выбранный  администратором.                                 Ключевое  слово  auth-­‐proxy  должно  быть  использовано  в  случае  Acnve  Authenncanon*   *  будет  рассмотрено  далее  
ASA  CX  –  как  модуль  обрабатывает  трафик?     Есть  отличия  в  обработке  HTTP  и  не  HTTP  трафика:   §  Не  HTTP  трафик  –   §  HTTP-­‐трафик  –   ASA   CX-­‐Module   ASA   Фильтрация  по   L3/L4  header   Пассивная   аутентификация     Опознание   приложения   Политика  на  основе:   Source:  User/Group/Device/Address…   Service:  Applicanon/Service  group…   Desnaon:  Address/URL   Acon:  Deny/Permit   ASA   CX-­‐Module   ASA   Фильтрация  по   L3/L4  header   Пассивная   аутентификация       Опознание   приложения   Трафик   классифицирован   как  HTTP   Проверка  URL-­‐ категории  и   репутации   Активная  аутентификация,   кроме  того,  в  политиках  с   действием  Allow  есть   возможность  делать   фильтрацию  по  типам  файлов   и  микроприложениям  
ASA  CX  –  как  проходит  аутентификация  пользователей?     ASA  CX  предлагает  два  способа  аутентификации  пользователей:   §  Acve  Authencaon  –  применяется  только  к  HTTP-­‐трафику,  для  проведения  аутентификации   используется:   ü  Kerberos/NTLM  –  в  случае,  если  пользователь  уже  вошел  в  систему,  для  него  прозрачна,   если  пользователь  не  вошел  в  систему  –  происходит  переключение  на  следующий  метод   ü  Basic  –  применяется  для  LDAP-­‐каталогов.  Пользователь  видит  в  браузере  приглашение  на   ввод  логина  и  пароля   §  Passive  Authencaon  –  применяется  для   любого  типа  трафика,  возможна  только  в   домене  MS  Acnve  Directory.  Для  получения   соответствия  Username-­‐to-­‐IP  используется   Cisco  Context  Directory  Agent.  Список  групп  и   пользователей  ASA,  как  и  в  случае  с  Idennty   Firewall,  получает  с  сервера  MS  AD.  При   настройке  политики  с  пассивной   аутентификацией  в  качестве  резерва  может   быть  указана  активная  аутентификация.  
ASA  CX  –  как  управляется?     Управление  функционалом  CX  происходит  с  помощью  Prime  Security  Manager  (PRSM):     §  Графический  интерфейс  на  HTML-­‐5   §  CLI  только  для  инициализации  и  восстановления  системы     Управление  ASA  CX  с  помощью  PRSM  может  осуществляться  двумя  способами:     §  Local  –  на  каждом  модуле  PRSM  доступен  локально   §  Centralized  –  PRSM  установлен  на  выделенном  физическом  или  виртуальном  сервере  и   выполняет  настройку  и  сбор  информации  с  нескольких  ASA-­‐CX.  Кроме  того,  при   использовании  этой  модели  появляется  возможность  предоставлять  Role  Based  Access  Control   для  администраторов.     Варианты  Centralized  PRSM:       Cisco  UCS                Virtual  Machine  
ASA  CX  –  как  настраивается?     ASA  CX  имеет  три  основных  типа  политик,  с  которыми  необходимо  работать  администратору   (последовательность  обработки  политик  различного  вида  проводится  устройством,  как  указано   ниже):     1.  Identy  Policy  –  описывают,  требуется  ли  аутентификация  для  приведенного  в  политике   сочетания  Source/Service/Desnnanon,  если  требуется,  то  указывается  тип  аутентификации  (Acnve/ Passive).   Проверка  Idennty-­‐политик  происходит  сверху  вниз   Последнее  правило  в  списке  –  
2.  Decrypon  Policy  –  описывает,  требуется  ли  дешифрование  трафика  для  приведенного  в   политике  сочетания  Source/Service/Desnnanon.  В  случае  действия  Decrypt  CX  работает  по   принципу  Man-­‐in-­‐the-­‐Middle.  Для  того,  чтобы  эта  схема  заработала,  сертификат  ASA  CX  должен   быть  помещен  в  Root  Trusted  на  стороне  клиента.                             Политики  проверяются  сверху  вниз   Последнее  правило  в  списке  –   1.  Согласование   алгоритмов   1.а.  Согласование   алгоритмов   2.  Аутентификация   сертификата  сервера   3.  CX  генерирует  прокси   сертификат  сервера  для  клиента  4.  Клиент   аутентифицирует   сертификат  сервера   5.  Генерация  ключей   5.а.  Генерация  ключей  
3.  Access  Policy  –  задает  действие  Deny/Permit  для  приведенного  в  политике  сочетания  Source/ Service/Desnnanon.  Где:       Source  –  User/User  Group/Device/User  Agent/Network     Service  –  Applica%on/Port     Des%na%on  –  Network/URL/FQDN       Кроме  стандартных  действий  Permit/Deny  для  каждой  политики  доступно  включение  захвата   пакетов  и  лога  событий.     Для  HTTP-­‐трафика  и  политик  с  действием  Allow  также  доступно:     §  File  filtering  –  типы  файлов,  которые  необходимо                блокировать   §  Web  reputa%on  –  проверка  сайтов  на  их                потенциальную  зловредность  с  помощью  WBRS              (Web  Based  Reputanon  Score)  
Защищаем  виртуальные  среды  с  помощью   ASA  1000v   В  современном  ЦОД  безопасность  должна  быть  обеспечена  как  для  трафика,  входящего  и   покидающего  ЦОД,  так  и  для  трафика,  циркулирующего  между  виртуальными  машинами.     §  North-­‐south  traffic  –  трафик,  входящий  в  ЦОД  и  покидающий  его.  Для  защиты  используются   аппаратные  решения  ASA/IPS   §  East-­‐west  traffic  –  трафик,  циркулирующий  между  виртуальными  машинами  и  tenants  внутри   ЦОД.  Защита  обеспечивается  с  помощью:     ü  Virtual  Security  Gateway  (VSG)  –  решение,  способное  обеспечить  контроль  трафика  в   рамках  одного  VLAN   ü  ASA  1000v  –  виртуальная  ASA,              основной  задачей  которой  является              наложение  политик  доступа  на                трафик,  циркулирующий  между                сетевыми  сегментами  
ASA  1000v  –  как  это  выглядит?     Поставляется  как  OVA  file,  в  процессе  его  развертывания  пользователю  нужно  пройти  несложный   wizard           Важная  информация:   §  Обязательно  наличие  Nexus  1000v  (только  в  его  port-­‐group  могут  включаться  интерфейсы  ASA)   §  Режим  работ  только  Routed   §  Только  два  интерфейса  для  трафика  данных  (Inside/Outside)   §  Динамическая  маршрутизация  не  поддерживается   §  Remote  Access  VPN  не  поддерживается   В  остальном  устройство  работает  аналогично  обычной  ASA     Устройство  приобретается  в  виде  лицензии,  определяющим  моментом  является  количество  CPU   сервера,  на  котором  будет  происходить  deployment.  Количество  устройств,  которые  можно   развернуть,  при  этом  не  ограничено.  
ASA  1000v  –  какая  производительность?                         ASA  1000v  –  как  управляется?   Есть  два  варианта  управления  устройством,  вариант  управления  выбирается  в  процессе   deployment,  не  подлежит  изменению  после  развертывания        1.  ASDM/CLI              2.  VNMC  
ASA  1000v  –  как  разворачивается?     1.  Создание  необходимых  VLAN  и  Port-­‐Profile  на  Nexus  1000v   2.  Начало  Deployment  ASA,  добавление  интерфейсов  в  VLAN     3.  Выбор  варианта  работы  устройства  (Standalone/Primary/Secondary)     4.  Настройка  параметров  Management  Interface/Failover/Выбор  режима  работы  
В  случае  выбора  варианта  VNMC  необходимо  по  окончании  процесса  Deployment  подключиться  к   консоли  устройства  и  добавить  pre-­‐shared  key  для  связи  с  VNMC                   После  этого  ASA  регистрируется  на  VNMC  и  все  дальнейшие  настройки  выполняются  через   интерфейс  VNMC                   При  выборе  варианта  ASDM  –  ASA  настраивается  традиционным  способом,  через  ASDM  или  CLI  
Подбор  ASA  и  лицензии  под  нужную  задачу   §  Размещение  устройства  в  сети  (Интернет/ЦОД/Кампус/Удаленный  офис)   §  Примерная  схема  внедрения  устройства  (Режим  работы/Метод  отказоустойчивости)   §  Определить,  какие  дополнительные  функции  необходимы  (Виртуализация/IPS/Content   Security)   §  Определение  количественных  показателей:   ü  Сколько  физических  интерфейсов  необходимо  (кроме  того,  их  скорости  и  типы)   ü  Какая  производительность  потребуется  (ширина  интернет-­‐канала/стандартные  уровни   нагрузки  в  сети)   ü  Примерное  количество  соединений  в  секунду,  которые  будут  устанавливаться  (не  всегда   необходимо)   ü  Сколько  VPN-­‐подключений  потребуется  и  какого  типа   ü  и  т.  д.  
Выбор  устройства:   ТТХ  младших  моделей  (5505/5510/5512-­‐X)  –   hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-­‐701253.html   ТТХ  средних  моделей  (5520/5525-­‐X/5540/5545-­‐X/5550/5555-­‐X)  –   hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-­‐701808.html   ТТХ  старших  моделей  (5585-­‐Х)   hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html  
Выбор  лицензии:   На  младших  моделях  ASA  (5505/5510/5512-­‐X)  присутствует  деление  на  лицензии  Base  и  Security  +,   и  уникальная  для  ASA5505  лицензия  на  количество  подключенных  ПК     Base:   §  Ограничение  по  количеству  VLAN  и  Trunks  (5505/5512-­‐X)   §  Ограничение  по  количеству  VPN-­‐подключений  (5505)   §  Ограничение  по  количеству  соединений   §  Ограничение  по  скорости  интерфейсов  (5510)   Security  +   §  Устройство  работает  в  полную  меру  своих  аппаратных  возможностей   Количество  ПК  (5505):   §  10/50/Unlimited     Кроме  того,  для  всех  устройств  могут  приобретаться  лицензии  на   §  Контексты  (кроме  5505)   §  Количество  VPN-­‐клиентов   §  Функционал  Unified  Communicanons   §  IPS/Content  Security   §  и  другие  функции   Подробнее:   hhp://www.cisco.com/en/US/docs/security/asa/asa91/license/license_management/license.html  
License  Notes:   §  Подключение  клиентов  Easy  VPN  не  лицензируется   §  AnyConnect  VPN  подключения  бывают  двух  типов   §  Существуют  временные  лицензии  практически  на  все  функции   §  При  использовании  High  Availability  лицензии  приобретаются  только  на  Acnve-­‐устройство  
Полезные  ссылки:     BRKSEC-­‐2699  –  Deploying  Next  Generanon  Firewalling  with  ASA-­‐CX  (2013  London)   hhps://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=6050&backBtn=true     Cisco  PRSM  Configuranon  Guide   hhp://www.cisco.com/en/US/docs/security/asacx/9.0/user/guide/ b_User_Guide_for_ASA_CX_and_PRSM_9_0.html     ASA  1000v  lab  video   hhp://www.labminutes.com/video/sec/ASA%201000V     Nexus  1000v  lab  video   hhp://www.labminutes.com/video/rs/Nexus%201000V  
И  напоследок     Не  пропустите  ни  одного  интересного  события!   hhp://skillfactory.nmepad.ru/subscribe     Подписывайтесь  на  наш  канал  YouTube  с  записями  вебинаров:   hhp://www.youtube.com/subscripnon_center?add_user=skillfactoryvideo     Презентации  c  вебинаров  SkillFactory  на  SlideShare:   hhp://www.slideshare.net/SkillFactory  

Recommandé

Как получить максимум от сетевого экрана Cisco ASA?
Как получить максимум от сетевого экрана Cisco ASA?Как получить максимум от сетевого экрана Cisco ASA?
Как получить максимум от сетевого экрана Cisco ASA?SkillFactory
 
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...Cisco Russia
 
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Cisco Russia
 
Cisco ASA CX
Cisco ASA CXCisco ASA CX
Cisco ASA CXCisco Russia
 
Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.Cisco Russia
 
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...Cisco Russia
 
Cisco IPS 4300
Cisco IPS 4300Cisco IPS 4300
Cisco IPS 4300Cisco Russia
 
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Cisco Russia
 

Recommandé

Как получить максимум от сетевого экрана Cisco ASA?
Как получить максимум от сетевого экрана Cisco ASA?Как получить максимум от сетевого экрана Cisco ASA?
Как получить максимум от сетевого экрана Cisco ASA?SkillFactory
 
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...Cisco Russia
 
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Cisco Russia
 
Cisco ASA CX
Cisco ASA CXCisco ASA CX
Cisco ASA CXCisco Russia
 
Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.Cisco Russia
 
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...
Сводный отчет лаборатории тестирования Miercom: Cisco ASA 5515-X, ASA 5525-X,...Cisco Russia
 
Cisco IPS 4300
Cisco IPS 4300Cisco IPS 4300
Cisco IPS 4300Cisco Russia
 
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Cisco Russia
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеCisco Russia
 
Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?SkillFactory
 
Инновации Cisco для маршрутизации и коммутации в корпоративных сетях
Инновации Cisco для маршрутизации и коммутации в корпоративных сетяхИнновации Cisco для маршрутизации и коммутации в корпоративных сетях
Инновации Cisco для маршрутизации и коммутации в корпоративных сетяхCisco Russia
 
Развитие технологий построения распределенных ЦОД
Развитие технологий построения распределенных ЦОДРазвитие технологий построения распределенных ЦОД
Развитие технологий построения распределенных ЦОДCisco Russia
 
Новое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего классаНовое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего классаCisco Russia
 
Архитектура защищенного ЦОД
Архитектура защищенного ЦОДАрхитектура защищенного ЦОД
Архитектура защищенного ЦОДCisco Russia
 
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрияНовые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрияCisco Russia
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруDNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруCisco Russia
 
Линейка оборудования Cisco
Линейка оборудования CiscoЛинейка оборудования Cisco
Линейка оборудования CiscoSkillFactory
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Cisco Enterprise NFV
Cisco Enterprise NFVCisco Enterprise NFV
Cisco Enterprise NFVCisco Russia
 
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...Cisco Russia
 
Особенности реализации функционала BNG на ASR9000
Особенности реализации функционала BNG на ASR9000Особенности реализации функционала BNG на ASR9000
Особенности реализации функционала BNG на ASR9000Cisco Russia
 
Гиперконвергентное решение Cisco HyperFlex
Гиперконвергентное решение Cisco HyperFlexГиперконвергентное решение Cisco HyperFlex
Гиперконвергентное решение Cisco HyperFlexCisco Russia
 
Модульные вычислительные системы Cisco UCS M-серии
Модульные вычислительные системы Cisco UCS M-серииМодульные вычислительные системы Cisco UCS M-серии
Модульные вычислительные системы Cisco UCS M-серииCisco Russia
 
Как настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблемКак настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблемCisco Russia
 
Коммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетей
Коммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетейКоммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетей
Коммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетейCisco Russia
 
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor NetworksОбновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor NetworksCisco Russia
 
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...Построение ядра корпоративной облачной платформы на UCS Director. Собственные...
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...Cisco Russia
 
Коммутаторы для ЦОД Cisco Nexus и их развитие
Коммутаторы для ЦОД Cisco Nexus и их развитиеКоммутаторы для ЦОД Cisco Nexus и их развитие
Коммутаторы для ЦОД Cisco Nexus и их развитиеCisco Russia
 
презентация икс 2016 новая
презентация икс 2016 новаяпрезентация икс 2016 новая
презентация икс 2016 новаяDiamantigor Igor.Suharev
 
Руководство по продажам ИКС
Руководство по продажам ИКСРуководство по продажам ИКС
Руководство по продажам ИКСDiamantigor Igor.Suharev
 

Contenu connexe

Tendances

Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеCisco Russia
 
Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?SkillFactory
 
Инновации Cisco для маршрутизации и коммутации в корпоративных сетях
Инновации Cisco для маршрутизации и коммутации в корпоративных сетяхИнновации Cisco для маршрутизации и коммутации в корпоративных сетях
Инновации Cisco для маршрутизации и коммутации в корпоративных сетяхCisco Russia
 
Развитие технологий построения распределенных ЦОД
Развитие технологий построения распределенных ЦОДРазвитие технологий построения распределенных ЦОД
Развитие технологий построения распределенных ЦОДCisco Russia
 
Новое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего классаНовое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего классаCisco Russia
 
Архитектура защищенного ЦОД
Архитектура защищенного ЦОДАрхитектура защищенного ЦОД
Архитектура защищенного ЦОДCisco Russia
 
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрияНовые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрияCisco Russia
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруDNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруCisco Russia
 
Линейка оборудования Cisco
Линейка оборудования CiscoЛинейка оборудования Cisco
Линейка оборудования CiscoSkillFactory
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Cisco Enterprise NFV
Cisco Enterprise NFVCisco Enterprise NFV
Cisco Enterprise NFVCisco Russia
 
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...Cisco Russia
 
Особенности реализации функционала BNG на ASR9000
Особенности реализации функционала BNG на ASR9000Особенности реализации функционала BNG на ASR9000
Особенности реализации функционала BNG на ASR9000Cisco Russia
 
Гиперконвергентное решение Cisco HyperFlex
Гиперконвергентное решение Cisco HyperFlexГиперконвергентное решение Cisco HyperFlex
Гиперконвергентное решение Cisco HyperFlexCisco Russia
 
Модульные вычислительные системы Cisco UCS M-серии
Модульные вычислительные системы Cisco UCS M-серииМодульные вычислительные системы Cisco UCS M-серии
Модульные вычислительные системы Cisco UCS M-серииCisco Russia
 
Как настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблемКак настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблемCisco Russia
 
Коммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетей
Коммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетейКоммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетей
Коммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетейCisco Russia
 
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor NetworksОбновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor NetworksCisco Russia
 
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...Построение ядра корпоративной облачной платформы на UCS Director. Собственные...
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...Cisco Russia
 
Коммутаторы для ЦОД Cisco Nexus и их развитие
Коммутаторы для ЦОД Cisco Nexus и их развитиеКоммутаторы для ЦОД Cisco Nexus и их развитие
Коммутаторы для ЦОД Cisco Nexus и их развитиеCisco Russia
 

Tendances (20)

Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
 
Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?
 
Инновации Cisco для маршрутизации и коммутации в корпоративных сетях
Инновации Cisco для маршрутизации и коммутации в корпоративных сетяхИнновации Cisco для маршрутизации и коммутации в корпоративных сетях
Инновации Cisco для маршрутизации и коммутации в корпоративных сетях
 
Развитие технологий построения распределенных ЦОД
Развитие технологий построения распределенных ЦОДРазвитие технологий построения распределенных ЦОД
Развитие технологий построения распределенных ЦОД
 
Новое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего классаНовое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего класса
 
Архитектура защищенного ЦОД
Архитектура защищенного ЦОДАрхитектура защищенного ЦОД
Архитектура защищенного ЦОД
 
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрияНовые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруDNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
 
Линейка оборудования Cisco
Линейка оборудования CiscoЛинейка оборудования Cisco
Линейка оборудования Cisco
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
 
Cisco Enterprise NFV
Cisco Enterprise NFVCisco Enterprise NFV
Cisco Enterprise NFV
 
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
 
Особенности реализации функционала BNG на ASR9000
Особенности реализации функционала BNG на ASR9000Особенности реализации функционала BNG на ASR9000
Особенности реализации функционала BNG на ASR9000
 
Гиперконвергентное решение Cisco HyperFlex
Гиперконвергентное решение Cisco HyperFlexГиперконвергентное решение Cisco HyperFlex
Гиперконвергентное решение Cisco HyperFlex
 
Модульные вычислительные системы Cisco UCS M-серии
Модульные вычислительные системы Cisco UCS M-серииМодульные вычислительные системы Cisco UCS M-серии
Модульные вычислительные системы Cisco UCS M-серии
 
Как настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблемКак настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблем
 
Коммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетей
Коммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетейКоммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетей
Коммутаторы Cisco Catalyst для построения уровня доступа корпоративных сетей
 
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor NetworksОбновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor Networks
 
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...Построение ядра корпоративной облачной платформы на UCS Director. Собственные...
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...
 
Коммутаторы для ЦОД Cisco Nexus и их развитие
Коммутаторы для ЦОД Cisco Nexus и их развитиеКоммутаторы для ЦОД Cisco Nexus и их развитие
Коммутаторы для ЦОД Cisco Nexus и их развитие
 

En vedette

презентация икс 2016 новая
презентация икс 2016 новаяпрезентация икс 2016 новая
презентация икс 2016 новаяDiamantigor Igor.Suharev
 
Руководство по продажам ИКС
Руководство по продажам ИКСРуководство по продажам ИКС
Руководство по продажам ИКСDiamantigor Igor.Suharev
 
руководство по продажам икс
руководство по продажам иксруководство по продажам икс
руководство по продажам иксDiamantigor Igor.Suharev
 
Руководство по продажам икс
Руководство по продажам иксРуководство по продажам икс
Руководство по продажам иксDiamantigor Igor.Suharev
 
Историја архитектуре
Историја архитектуреИсторија архитектуре
Историја архитектуреMarija Djordjevic
 
постмодерна музикаaa
постмодерна музикаaaпостмодерна музикаaa
постмодерна музикаaaMarija Djordjevic
 
SRO-Service 2013
SRO-Service 2013SRO-Service 2013
SRO-Service 2013implecom
 
21. устройство наружных линий связи, в том числе телефонных, радио и телевидения
21. устройство наружных линий связи, в том числе телефонных, радио и телевидения21. устройство наружных линий связи, в том числе телефонных, радио и телевидения
21. устройство наружных линий связи, в том числе телефонных, радио и телевиденияcpkia
 
презентация икс 2016 новая1
презентация икс 2016 новая1презентация икс 2016 новая1
презентация икс 2016 новая1Diamantigor Igor.Suharev
 
презентація 3. інтегровані уроки
презентація 3. інтегровані урокипрезентація 3. інтегровані уроки
презентація 3. інтегровані урокиdenyshi123
 
NetResident - мониторинг и контент-анализ трафика
NetResident - мониторинг и контент-анализ трафикаNetResident - мониторинг и контент-анализ трафика
NetResident - мониторинг и контент-анализ трафикаMilla Bren
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesПодробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesCisco Russia
 
Настройка Cisco за 30 минут с нуля
Настройка Cisco за 30 минут с нуляНастройка Cisco за 30 минут с нуля
Настройка Cisco за 30 минут с нуляSkillFactory
 
Artificial intelligence
Artificial intelligenceArtificial intelligence
Artificial intelligenceDavid Bishay
 

En vedette (20)

презентация икс 2016 новая
презентация икс 2016 новаяпрезентация икс 2016 новая
презентация икс 2016 новая
 
Руководство по продажам ИКС
Руководство по продажам ИКСРуководство по продажам ИКС
Руководство по продажам ИКС
 
руководство по продажам икс
руководство по продажам иксруководство по продажам икс
руководство по продажам икс
 
Руководство по продажам икс
Руководство по продажам иксРуководство по продажам икс
Руководство по продажам икс
 
Историја архитектуре
Историја архитектуреИсторија архитектуре
Историја архитектуре
 
постмодерна музикаaa
постмодерна музикаaaпостмодерна музикаaa
постмодерна музикаaa
 
SRO-Service 2013
SRO-Service 2013SRO-Service 2013
SRO-Service 2013
 
Tурскаa
TурскаaTурскаa
Tурскаa
 
21. устройство наружных линий связи, в том числе телефонных, радио и телевидения
21. устройство наружных линий связи, в том числе телефонных, радио и телевидения21. устройство наружных линий связи, в том числе телефонных, радио и телевидения
21. устройство наружных линий связи, в том числе телефонных, радио и телевидения
 
презентация икс 2016 новая1
презентация икс 2016 новая1презентация икс 2016 новая1
презентация икс 2016 новая1
 
графи
графиграфи
графи
 
презентація 3. інтегровані уроки
презентація 3. інтегровані урокипрезентація 3. інтегровані уроки
презентація 3. інтегровані уроки
 
презентация икс 2017
презентация икс 2017презентация икс 2017
презентация икс 2017
 
NetResident - мониторинг и контент-анализ трафика
NetResident - мониторинг и контент-анализ трафикаNetResident - мониторинг и контент-анализ трафика
NetResident - мониторинг и контент-анализ трафика
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesПодробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER Services
 
Настройка Cisco за 30 минут с нуля
Настройка Cisco за 30 минут с нуляНастройка Cisco за 30 минут с нуля
Настройка Cisco за 30 минут с нуля
 
лоптаa
лоптаaлоптаa
лоптаa
 
мэ икс
мэ иксмэ икс
мэ икс
 
Artificial intelligence
Artificial intelligenceArtificial intelligence
Artificial intelligence
 

Similaire à Новая Cisco ASA: тотальный контроль над пользователем

Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераCisco Russia
 
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе CiscoСетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе CiscoSkillFactory
 
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспектыОблака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспектыDe Novo
 
Другая виртуализация
Другая виртуализацияДругая виртуализация
Другая виртуализацияYandex
 
Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе C...
Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе C...Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе C...
Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе C...Cisco Russia
 
Сетевое оборудование Cisco в индустриальном исполнении
Сетевое оборудование Cisco в индустриальном исполненииСетевое оборудование Cisco в индустриальном исполнении
Сетевое оборудование Cisco в индустриальном исполненииCisco Russia
 
S terra-presentations new
S terra-presentations newS terra-presentations new
S terra-presentations newAndrey Avdeev
 
Технология Cisco Instant Access для упрощения структуры кампусных сетей.
Технология Cisco Instant Access для упрощения структуры кампусных сетей. Технология Cisco Instant Access для упрощения структуры кампусных сетей.
Технология Cisco Instant Access для упрощения структуры кампусных сетей. Cisco Russia
 
Построение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОДПостроение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОДCisco Russia
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)SkillFactory
 
Get inside stage2 new
Get inside stage2 newGet inside stage2 new
Get inside stage2 newInfoTeCS
 
Управление инфраструктурой Центров Обработки Данных Cisco с помощью Cisco Pri...
Управление инфраструктурой Центров Обработки Данных Cisco с помощью Cisco Pri...Управление инфраструктурой Центров Обработки Данных Cisco с помощью Cisco Pri...
Управление инфраструктурой Центров Обработки Данных Cisco с помощью Cisco Pri...Cisco Russia
 
Networks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solutionNetworks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solutionVadim Ponomarev
 
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Маршрутизаторы Cisco как устройства обеспечения информационной безопасностиCisco Russia
 
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1Cisco Russia
 
Развитие вычислительной платформы Cisco UCS
Развитие вычислительной платформы Cisco UCSРазвитие вычислительной платформы Cisco UCS
Развитие вычислительной платформы Cisco UCSCisco Russia
 
Технология Cisco Instant Access для упрощения структуры кампусных сетей
Технология Cisco Instant Access для упрощения структуры кампусных сетейТехнология Cisco Instant Access для упрощения структуры кампусных сетей
Технология Cisco Instant Access для упрощения структуры кампусных сетейCisco Russia
 
Практические советы по выбору и настройке Cisco VPN
Практические советы по выбору и настройке Cisco VPNПрактические советы по выбору и настройке Cisco VPN
Практические советы по выбору и настройке Cisco VPNSkillFactory
 

Similaire à Новая Cisco ASA: тотальный контроль над пользователем (20)

Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
 
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе CiscoСетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
 
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспектыОблака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
 
Другая виртуализация
Другая виртуализацияДругая виртуализация
Другая виртуализация
 
Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе C...
Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе C...Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе C...
Кулинарный мастер-класс "Готовим безопасный офис нового поколения на основе C...
 
Сетевое оборудование Cisco в индустриальном исполнении
Сетевое оборудование Cisco в индустриальном исполненииСетевое оборудование Cisco в индустриальном исполнении
Сетевое оборудование Cisco в индустриальном исполнении
 
S terra-presentations new
S terra-presentations newS terra-presentations new
S terra-presentations new
 
Архитектура Метафабрика. Универсальный шлюз SDN.
Архитектура Метафабрика. Универсальный шлюз SDN.Архитектура Метафабрика. Универсальный шлюз SDN.
Архитектура Метафабрика. Универсальный шлюз SDN.
 
Технология Cisco Instant Access для упрощения структуры кампусных сетей.
Технология Cisco Instant Access для упрощения структуры кампусных сетей. Технология Cisco Instant Access для упрощения структуры кампусных сетей.
Технология Cisco Instant Access для упрощения структуры кампусных сетей.
 
VMware NSX и интеграция с продуктами Juniper
VMware NSX и интеграция с продуктами JuniperVMware NSX и интеграция с продуктами Juniper
VMware NSX и интеграция с продуктами Juniper
 
Построение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОДПостроение катастрофоустойчивых и распределённых ЦОД
Построение катастрофоустойчивых и распределённых ЦОД
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
 
Get inside stage2 new
Get inside stage2 newGet inside stage2 new
Get inside stage2 new
 
Управление инфраструктурой Центров Обработки Данных Cisco с помощью Cisco Pri...
Управление инфраструктурой Центров Обработки Данных Cisco с помощью Cisco Pri...Управление инфраструктурой Центров Обработки Данных Cisco с помощью Cisco Pri...
Управление инфраструктурой Центров Обработки Данных Cisco с помощью Cisco Pri...
 
Networks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solutionNetworks in the cloud on OpenStask: problems we face and their solution
Networks in the cloud on OpenStask: problems we face and their solution
 
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
 
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
 
Развитие вычислительной платформы Cisco UCS
Развитие вычислительной платформы Cisco UCSРазвитие вычислительной платформы Cisco UCS
Развитие вычислительной платформы Cisco UCS
 
Технология Cisco Instant Access для упрощения структуры кампусных сетей
Технология Cisco Instant Access для упрощения структуры кампусных сетейТехнология Cisco Instant Access для упрощения структуры кампусных сетей
Технология Cisco Instant Access для упрощения структуры кампусных сетей
 
Практические советы по выбору и настройке Cisco VPN
Практические советы по выбору и настройке Cisco VPNПрактические советы по выбору и настройке Cisco VPN
Практические советы по выбору и настройке Cisco VPN
 

Plus de SkillFactory

Как подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей SkypeКак подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей SkypeSkillFactory
 
Ключевые тенденции отрасли в последнее время
Ключевые тенденции отрасли в последнее времяКлючевые тенденции отрасли в последнее время
Ключевые тенденции отрасли в последнее времяSkillFactory
 
Сервисы NFV
Сервисы NFVСервисы NFV
Сервисы NFVSkillFactory
 
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атакСовременные методы защиты от DDoS атак
Современные методы защиты от DDoS атакSkillFactory
 
Бизнес под прицелом: как компаниям защищаться от киберугроз
Бизнес под прицелом: как компаниям защищаться от киберугрозБизнес под прицелом: как компаниям защищаться от киберугроз
Бизнес под прицелом: как компаниям защищаться от киберугрозSkillFactory
 
Вопросы балансировки трафика
Вопросы балансировки трафикаВопросы балансировки трафика
Вопросы балансировки трафикаSkillFactory
 
IP/LDP fast protection schemes
IP/LDP fast protection schemesIP/LDP fast protection schemes
IP/LDP fast protection schemesSkillFactory
 
Варианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствВарианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствSkillFactory
 
End to End Convergence
End to End ConvergenceEnd to End Convergence
End to End ConvergenceSkillFactory
 
Виртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPEВиртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPESkillFactory
 
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.SkillFactory
 
Почему не работает Wi-Fi? Ошибки при проектировании сети
Почему не работает Wi-Fi? Ошибки при проектировании сетиПочему не работает Wi-Fi? Ошибки при проектировании сети
Почему не работает Wi-Fi? Ошибки при проектировании сетиSkillFactory
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусовSkillFactory
 
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отделаПравила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отделаSkillFactory
 
Технология операторов связи DWDM: все самое важное за 1 вебинар
Технология операторов связи DWDM: все самое важное за 1 вебинарТехнология операторов связи DWDM: все самое важное за 1 вебинар
Технология операторов связи DWDM: все самое важное за 1 вебинарSkillFactory
 
Wi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинарWi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинарSkillFactory
 
Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?SkillFactory
 
Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика SkillFactory
 
Строим единую коммуникационную платформу для офиса
Строим единую коммуникационную платформу для офиса Строим единую коммуникационную платформу для офиса
Строим единую коммуникационную платформу для офиса SkillFactory
 
Сдать экзамен CCIE: миссия выполнима
Сдать экзамен CCIE: миссия выполнимаСдать экзамен CCIE: миссия выполнима
Сдать экзамен CCIE: миссия выполнимаSkillFactory
 

Plus de SkillFactory (20)

Как подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей SkypeКак подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей Skype
 
Ключевые тенденции отрасли в последнее время
Ключевые тенденции отрасли в последнее времяКлючевые тенденции отрасли в последнее время
Ключевые тенденции отрасли в последнее время
 
Сервисы NFV
Сервисы NFVСервисы NFV
Сервисы NFV
 
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атакСовременные методы защиты от DDoS атак
Современные методы защиты от DDoS атак
 
Бизнес под прицелом: как компаниям защищаться от киберугроз
Бизнес под прицелом: как компаниям защищаться от киберугрозБизнес под прицелом: как компаниям защищаться от киберугроз
Бизнес под прицелом: как компаниям защищаться от киберугроз
 
Вопросы балансировки трафика
Вопросы балансировки трафикаВопросы балансировки трафика
Вопросы балансировки трафика
 
IP/LDP fast protection schemes
IP/LDP fast protection schemesIP/LDP fast protection schemes
IP/LDP fast protection schemes
 
Варианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствВарианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройств
 
End to End Convergence
End to End ConvergenceEnd to End Convergence
End to End Convergence
 
Виртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPEВиртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPE
 
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
 
Почему не работает Wi-Fi? Ошибки при проектировании сети
Почему не работает Wi-Fi? Ошибки при проектировании сетиПочему не работает Wi-Fi? Ошибки при проектировании сети
Почему не работает Wi-Fi? Ошибки при проектировании сети
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
 
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отделаПравила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
 
Технология операторов связи DWDM: все самое важное за 1 вебинар
Технология операторов связи DWDM: все самое важное за 1 вебинарТехнология операторов связи DWDM: все самое важное за 1 вебинар
Технология операторов связи DWDM: все самое важное за 1 вебинар
 
Wi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинарWi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинар
 
Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?
 
Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика
 
Строим единую коммуникационную платформу для офиса
Строим единую коммуникационную платформу для офиса Строим единую коммуникационную платформу для офиса
Строим единую коммуникационную платформу для офиса
 
Сдать экзамен CCIE: миссия выполнима
Сдать экзамен CCIE: миссия выполнимаСдать экзамен CCIE: миссия выполнима
Сдать экзамен CCIE: миссия выполнима
 

Новая Cisco ASA: тотальный контроль над пользователем

  • 1. Новая Cisco ASA: тотальный контроль над пользователем Сергей Кучеренко 15 июля 2013 serg.kucherenko@getccna.ru ведущий:
  • 2. О  чем  мы  поговорим:   §  Обзор  функционала  межсетевого  экрана  Cisco  ASA   §  Продуктовая  линейка  и  позиционирование  устройств   §  История  версий  программного  обеспечения   §  Варианты  управления  устройством   §  ASA-­‐CX  –  новый  уровень  обеспечения  безопасности   §  Защищаем  виртуальные  среды  с  помощью  ASA  1000v   §  Подбор  ASA  и  лицензии  под  нужную  задачу  
  • 3. Функции  Firewall:   1.      Сегментация  сети  –  разделение  сети  на  зоны  доверия  и  контроль  прохождения  трафика   между  зонами.   Сегментация  происходит  за  счет  назначения  каждому  интерфейсу  уровня  безопасности   (Security  Level)   Security  Level  –  число  в  диапазоне  от  0  до  100  (100  –  самый  безопасный,  0  –  самый  опасный)     Правила  Security  Levels:   §  Traffic  from  higher  to  lower  Security  Level  –  permihed  by  default   §  Traffic  from  lower  to  higher  Security  Levels  –  denied  by  default  для  прохождения  трафика   нужно  явное  разрешение  в  ACL   §  Idenncal  Security  Levels  -­‐  denied  by  default   Internet   WEB  Server   DMZ   Zone   Inside  Zone   Outside  Zone   permit  tcp  any  WEB_SRV  eq  80   100   50   0   Обзор  функционала  межсетевого  экрана  Cisco  ASA  
  • 4. 2.  Statefull  Firewall  (межсетевой  экран,  хранящий  информацию  о  сессиях)  –  если  трафик   разрешен  по  правилам  Security  Levels,  ASA  создает  запись  об  этой  сессии  в  таблице  сессий.     Получив  пакет,  ASA  проверяет,  является  ли  он  частью  ранее  созданной  сессии,  и  если  да,  то   такой  пакет  пропускается.   Protocol   Source  IP   Source  Port   Dest.  IP   Dest.  Port   Timeout   UDP   192.168.1.10   1024   1.1.1.10   53   20s   TCP   192.168.1.10   1025   1.1.1.1   80   3600s   Internet   WEB  Server   vk.com   1.1.1.1   DNS  Server   1.1.1.10   192.168.1.10   S_IP:192.168.1.10   D_IP:1.1.1.10   D_Por:53   S_Por:1024   Data:  DNS  Req   S_IP:1.1.10   D_IP:192.168.1.10   D_Por:1024   S_Por:53   Data:  DNS  Resp   S_IP:192.168.1.10   D_IP:1.1.1.1   D_Por:80   S_Por:1025   Data:  hhp  req   S_IP:1.1.1   D_Por:1025   S_Por:80   Data:  hhp  Resp   D_IP:192.168.1.10  
  • 5. 2.  Applicaon  Inspecon  –  инспекция  протоколов  на  7  уровне  модели  OSI     Контроль  большого  количества  приложений  на  соответствие  их  поведения  описанным   политикам  (есть  встроенные  политики,  также  есть  возможность  тонкой  настройки).  Кроме  того,   для  приложений,  использующих  динамические  подключения  (ex:  SIP),  ASA  использует  Applicanon   Inspecnon  для  создания  дополнительных  сессий.   Internet   SIP  Client  permit  tcp  any    PBX_SRV  eq  5060   To  TCP/5060   Хочу  позвонить  на  номер  111  мой  IP:5.1.1.1  и  номер  112   From  TCP/5060  Ок!  Connect  to  IP:10.1.1.10  port  UDP  16543   Voice  DATA  To  UDP/16543   Voice  DATA  From  UDP/16543   IP  PBX   ASA  Change  10.1.1.10  to  6.1.1.10   5.1.1.1  6.1.1.10   Dynamically  Open  port     UDP16543  
  • 6. 4.    NAT  –  трансляция  сетевых  адресов  в  пакетах  при  прохождении  межсетевого  экрана    Виды  NAT:   §  Object  NAT  –  простой  в  настройке  вид  NAT,  делаем  трансляцию  только  source  IP              Sta%c  NAT,  Dynamic  NAT,  Sta%c  PAT,  Dynamic  PAT   §  Twice  NAT  –  более  сложный,  но  более  гибкий  вид  NAT,  есть  возможность  транслировать   как  Source  (Sta%c  NAT/PAT,  Dynamic  NAT/PAT),  так  и  Desnnanon  (для  Des%na%on  только   Sta%c)   §  Identy  NAT  –  трансляция  адреса  в  себя  же              Sta%c  NAT,  используется  при  настройке  VPN  
  • 7. 5.  Firewall  Modes  –  устройство  может  работать  в  двух  режимах:   Routed  mode  –  ASA  работает  как  L3-­‐устройство,  выступая  шлюзом  по       умолчанию  для  ПК,  подключенных  в  сети  ее  интерфейсов,  и  может   обмениваться  маршрутной  информацией  с  другими  L3-­‐устройствами   с  использованием  протоколов  динамической  маршрутизации.     Применение:   Периметр  сети/Сегментация  кампуса   Transparent  mode  –  ASA  работает  как  L2-­‐устройство.  Устанавливается   в  разрыве  сети  на  пути  следования  трафика  –  такой  вариант  не   требует  редизайна  адресного  пространства.     Применение:   Сегментация  кампуса/ЦОД  
  • 8. 6.    Virtualizaon  –  в  рамках  одного  физического  устройства  есть  возможность  создать  несколько   виртуальных.   Эти  виртуальные  устройства  будут  независимые  (единственное,  в  чем  они  едины  –  это   количество  аппаратных  ресурсов  физического  устройства).     Виртуальная  ASA  =  Context  
  • 9. 7.    High  Availability  –  возможность  организовать  отказоустойчивую  группу  из  межсетевых  экранов,   когда  при  выходе  из  строя  одного  из  устройств  трафик  продолжает  идти  через  другое.   Методы  High  Availability:   §  Failover   A.  Ac%ve/Standby  –  одно  устройство  обрабатывает  все  запросы  (Acnve),  второе  устройство   хранит  информацию  о  текущих  подключениях  и  ожидает  (Standby)  выхода  из  строя   первого.   B.  Ac%ve/Ac%ve  –  используется  принцип  виртуализации.   Два  устройства  разделяются  на  контексты  (ex:  1,  2).   При  этом  первое  устройство  будет  Acnve  для   первого  контекста  (1-­‐A),  а  второе  будет  активным   для  второго  контекста  (2-­‐A),  в  случае  отказа  первого   устройства  весь  трафик  будет  обрабатываться   вторым.   .2  .2   .2  .1   .1  .1  
  • 10. §  Clustering  –  реализация  High  Availability,  при  которой  все  устройства  занимаются   обработкой  пользовательского  трафика.  Устройства  делятся  на  следующие  роли:   ü  Master  –  одно  устройство  на  кластер,  все  настройки  выполняются  через  него   ü  Slave  –  все  остальные  устройства  в  кластере   С  точки  зрения  обработки  пакетов  ASA  в  кластере  делятся  на  следующие  роли:   SYN-­‐ACK   2.  Запрос   владельца     3.  Информация  о       владельце     4.  SYN-­‐ACK       ü  Connec%on  Owner  (Владелец)  –  та  ASA,  через  которую  началась  установка  соединения   ü  Director  (Директор)  –  ASA,  отвечающая  за  хранение  информации  о  сессии  на  случай   выходя  из  строя  владельца,  кроме  того  решает  проблемы,  связанные  с   асимметричным  трафиком   ü  Forwarder  –  все  другие  ASA  в  кластере   Перенаправление  трафика:   ü  Ether  Channel  load  balancing   ü  Equal  Cost  Mulnpath  Rounng*   ü  Route-­‐Map*     *  –  Rounng  mode  only  
  • 11. 8.    Identy  Firewall  –  возможность  создавать  списки  контроля  доступа,  используя  вместо  source   ip  address  логин  пользователя  в  MS  AD  или  группу,  в  которой  находится  пользователь.   Кроме  того,  вместо  desnnanon  IP  можно  использовать  FQDN.   Немного  истории:   Первоначально  для  IP  to  User/Group  Mapping  использовался  Cisco  Acnve  Directory  Agent  –  ПО,   устанавливаемое  на  контроллер  домена  либо  на  любой  сервер,  входящий  в  домен.   На  смену  ему  пришел  Context  Directory  Agent  –  виртуальный  appliance  под  Linux.   1.  Запрос  списка   пользователей  и  групп     2.  Информация  о  User     Login  через  WMI       3.  Запрос  списка  User-­‐to-­‐IP   mapping    4.  Вход  John  в   систему     5.  John  вошел  с  адреса     10.1.200.3     6.  Проверка  ACL    
  • 12. VPN  Concentrator:   ASA  имеет  поддержку  различных  видов  VPN-­‐технологий   1.  Site-­‐to-­‐Site  VPN  –  объединение  сетей  двух  разнесенных  офисов  через  Интернет.  Site-­‐to-­‐Site  VPN   на  ASA  основан  на  crypto-­‐map               2.  Remote  Access  VPN  –  предоставление  доступа  к  корпоративным  ресурсам  удаленным   сотрудникам  и  мобильным  пользователям.     Разделяется  на  несколько  видов:   §  Client  VPN  –  требует  установку  на  устройство  пользователя  специализированного  ПО  (VPN   Client).  На  сегодняшний  день  есть  два  типа  клиентов,  отличные  по  функционалу.  
  • 13. ü  Cisco  Easy  VPN  Client  –  использует  в  качестве  транспорта  набор  стандартов  IPsec,  для   согласования  параметров  ikev1.  При  установке  на  клиенте  создается  виртуальный  сетевой   адаптер,  на  который  после  успешной  аутентификации  и  получения  конфигурации  с  ASA   будет  назначен  IP-­‐адрес  из  корпоративной  сети.          Использование  клиента  не  требует  лицензий.          Клиент  больше  не  поддерживается  и  не  обновляется.   Host  B   195.5.110.1/24   192.168.110.0/24   195.5.111.10/24   192.168.151.10/24   Route  to:   0.0.0.0/0   Username/Password/Cernficate   Configuranon  (IP/DNS/WINS)   SRC_IP:   192.168.151.10   DST_IP:   192.168.110.10   Original  IP   Packet   SRC_IP:   195.5.111.10   DST_IP:   195.5.110.1   IPsec   Header   Проверить  включен  ли  Firewall    Расширенная  конфигурация  (Proxy  Server  Auto  Update)     Internet   Proxy   Server  
  • 14. ü  Сisco  AnyConnect  Secure  Mobility  Client  –  использует  в  качестве  транспорта  SSL  либо  IPsec   ikev2.  Клиент  существует  под  все  популярные  стационарные  (образ  клиента  должен  быть   загружен  в  Flash  ASA)  и  мобильные  (загрузка  из  соответствующего  market)  OS   В  сравнении  с  традиционным  Easy  VPN  Client  имеет  ряд  преимуществ:     §  Возможность  установки  клиента  на  мобильные  устройства   §  Оценка  состояния  рабочей  станции  (Host  Scan)   §  Start  Before  Login  –  запуск  VPN  требуется  для  входа  в  систему   §  Always  ON  VPN  –  автоматически  запускать  клиента  при  входе  в  систему   §  Перенаправление  hhp/hhps/šp  трафика  на  Cisco  Web  Security  Appliance   §  Сам  клиент  имеет  модульную  структуру,  которая  дает  целый  ряд  дополнительных   возможностей,  не  имеющих  прямого  отношения  к  VPN:   a)  Менеджер  проводных  и  беспроводных  подключений   b)  Клиент  Cisco  ScanSafe  
  • 15. Internet   195.5.110.1/24   192.168.110.0/24   195.5.111.10/24   192.168.151.10/24   Route  to:   0.0.0.0/0   Аутентификация  на  WEB-­‐портале   Client  Download   SRC_IP:   192.168.151.10   DST_IP:   192.168.110.10   Original  IP   Packet   SRC_IP:   195.5.111.10   DST_IP:   195.5.110.1   SSL   Header   Сбор  информации  о  состоянии  системы   OS  Version/Annvirus  type/Firewall  type  ...   Username/Password   Seœngs   SRC_IP:   192.168.151.10   DST_IP:   192.168.110.10   SRC_IP:   192.168.151.10   DST_IP:   Facebook  
  • 16. Client  less  VPN  –  никакого  специализированного  ПО  пользователю  не  требуется,  достаточно   наличия  браузера  с  поддержкой  SSL.  На  ASA  создается  SSL  VPN-­‐портал,  на  котором  в  самом   простом  случае  может  осуществляется  публикация  hhp/hhps/cifs  ресурсов.   При  использовании  browser  plugin  (java  applet)  добавляются:   §  RDP   §  Telnet/SSH   §  VNC   Internet   195.5.110.1/24   Аутентификация  на  WEB-­‐портале   Аутентификация  на  WEB-­‐портале   IT  user   Finance      user  
  • 17. IPS:   В  основе  IPS  (Intrusion  Prevennon  System)  от  Cisco  лежат  три  основных  подхода:   1.  Сканирование  трафика  на  соответствие  известным  сигнатурам  атак   2.  Информирование  администратора  о  сетевых  аномалиях   3.  Проверка  репутации  IP-­‐адресов  сети  Интернет  на  их  возможную  зловредность     В  ASA  функции  IPS  реализуются  в  виде:   §  Специальных  аппаратных  модулей  (старая  линейка  ASA  55xx,  а  также  ASA5585-­‐X)   §  Программных  модулей  (новая  линейка  ASA  55xx-­‐X)   Функционал  открывается  лицензией.   Сканировать  можно  как  весь  проходящий  через  устройство  трафик,  так  и  трафик  с/для   определенных  IP-­‐адресов.   Internet    WEB  Server   Client-­‐ Server   traffic   Проверка   репутации   Проверка   сигнатурами   Проверка  на   аномалии   Cisco   Inelegance   Operanons     Signature   update   Reputanon   update  
  • 18. История  версий  программного  обеспечения   8.3   Историческая  эволюция   §  Изменен  принцип  работы  NAT/ACL   §  FQDN  support  in  ACL   §  Global  ACL   8.4,8.5   §  IKEv2   §  Etherchannel   §  Idennty  Firewall   8.6,8.7   §  New  family  5500-­‐X   §  ASA  1000V   §  Sošware  IPS   9.0,9.1   §  Trust  Sec  Support   §  Sošware  ASA  CX   §  ScanSafe  Support   §  Mixed  Mode     Подробную  информацию  о  новых  функциях  можно  найти  по  ключевой  фразе   Cisco  ASA  New  Features  by  Release,  введенной  в  Google   WHY?!?!  
  • 19. Варианты  управления  устройством   CLI:   §  Классический  способ  управления   §  IOS  like  интерфейс  с  небольшими  отличиями   §  Не  все  функции  устройства  могут  быть  настроены  из  CLI       ASDM:   §  Графический  интерфейс  на  Java   §  В  ASDM  launcher  можно  добавить  несколько  устройств  и   быстро  переключаться  между  ними   §  Не  все  функции  устройства  могут  быть  настроены  из  ASDM       Cisco  Security  Manager:   §  Централизованное  управление  большим  количеством   устройств   §  Управление  на  основе  политик   §  Интегрированный  менеджер  событий  
  • 20. ASA-­‐CX  –  новый  уровень  обеспечения  безопасности   ASA  CX  –  межсетевой  экран  нового  поколения,  задачей  которого  является  обеспечение   пользовательского  доступа  на  основе  КОНТЕКСТА     Контекст:     §  Кто  инициатор  соединения  (User  login/User  Group)     §  Чем  соединение  инициировано  (Device  type/User  Agent)     §  Откуда  инициировано  соединение  (Office/Out  of  office)     §  Какое  приложение  используется  (HTTP/Torrent/Skype)     §  Какое  микро-­‐приложение  используется  (Facebook  Games/Photos  Upload)  
  • 21. ASA  CX  –  как  это  выглядит?     1.  Аппаратный  модуль  в  ASA5585X  (CX  SSP),  установка  только  в  slot  1.  На  текущий  момент   доступна  установка  в  SSP-­‐10  и  SSP-­‐20.  CX  для  SSP-­‐40,  SSP-­‐60  в  Roadmap             2.  Программный  модуль  в  ASA5500-­‐X  (приобретается  в  составе  bundle  либо  как  дополнительная   лицензия).  Кроме  того,  для  ASA5500-­‐X  требуется  установить  120GB  SSD  для  хранения  логов           3.  Лицензии:   §  AVC  (Applicanon  Visibility  and  Control)  –  распознавание  и  мониторинг  приложений   §  WSE  (Web  Security  Essennal)  –  URL-­‐категории  и  WEB-­‐репутация     Лицензии  продаются  в  виде:  AVC  only  or  WSE  only  or  AVC+WSE   Нет  ограничения  по  количеству  пользователей,  чем  производительней  устройство,  тем  дороже   лицензии.  Подписка  приобретается  на  1/3/5  лет.  
  • 22. ASA  CX  –  какая  производительность?                           Измерение  производительности  проводилось  для  EMIX  (Enterprise  Mix)  профайла  трафика.  
  • 23. ASA  CX  –  как  туда  попадает  трафик?     Перенаправления,  как  и  для  IPS-­‐модуля,  происходит  с  помощью  Service  Policy.  Может  быть   перенаправлен  как  весь  трафик,  проходящий  через  устройство,  так  и  выбранный  администратором.                                 Ключевое  слово  auth-­‐proxy  должно  быть  использовано  в  случае  Acnve  Authenncanon*   *  будет  рассмотрено  далее  
  • 24. ASA  CX  –  как  модуль  обрабатывает  трафик?     Есть  отличия  в  обработке  HTTP  и  не  HTTP  трафика:   §  Не  HTTP  трафик  –   §  HTTP-­‐трафик  –   ASA   CX-­‐Module   ASA   Фильтрация  по   L3/L4  header   Пассивная   аутентификация     Опознание   приложения   Политика  на  основе:   Source:  User/Group/Device/Address…   Service:  Applicanon/Service  group…   Desnaon:  Address/URL   Acon:  Deny/Permit   ASA   CX-­‐Module   ASA   Фильтрация  по   L3/L4  header   Пассивная   аутентификация       Опознание   приложения   Трафик   классифицирован   как  HTTP   Проверка  URL-­‐ категории  и   репутации   Активная  аутентификация,   кроме  того,  в  политиках  с   действием  Allow  есть   возможность  делать   фильтрацию  по  типам  файлов   и  микроприложениям  
  • 25. ASA  CX  –  как  проходит  аутентификация  пользователей?     ASA  CX  предлагает  два  способа  аутентификации  пользователей:   §  Acve  Authencaon  –  применяется  только  к  HTTP-­‐трафику,  для  проведения  аутентификации   используется:   ü  Kerberos/NTLM  –  в  случае,  если  пользователь  уже  вошел  в  систему,  для  него  прозрачна,   если  пользователь  не  вошел  в  систему  –  происходит  переключение  на  следующий  метод   ü  Basic  –  применяется  для  LDAP-­‐каталогов.  Пользователь  видит  в  браузере  приглашение  на   ввод  логина  и  пароля   §  Passive  Authencaon  –  применяется  для   любого  типа  трафика,  возможна  только  в   домене  MS  Acnve  Directory.  Для  получения   соответствия  Username-­‐to-­‐IP  используется   Cisco  Context  Directory  Agent.  Список  групп  и   пользователей  ASA,  как  и  в  случае  с  Idennty   Firewall,  получает  с  сервера  MS  AD.  При   настройке  политики  с  пассивной   аутентификацией  в  качестве  резерва  может   быть  указана  активная  аутентификация.  
  • 26. ASA  CX  –  как  управляется?     Управление  функционалом  CX  происходит  с  помощью  Prime  Security  Manager  (PRSM):     §  Графический  интерфейс  на  HTML-­‐5   §  CLI  только  для  инициализации  и  восстановления  системы     Управление  ASA  CX  с  помощью  PRSM  может  осуществляться  двумя  способами:     §  Local  –  на  каждом  модуле  PRSM  доступен  локально   §  Centralized  –  PRSM  установлен  на  выделенном  физическом  или  виртуальном  сервере  и   выполняет  настройку  и  сбор  информации  с  нескольких  ASA-­‐CX.  Кроме  того,  при   использовании  этой  модели  появляется  возможность  предоставлять  Role  Based  Access  Control   для  администраторов.     Варианты  Centralized  PRSM:       Cisco  UCS                Virtual  Machine  
  • 27. ASA  CX  –  как  настраивается?     ASA  CX  имеет  три  основных  типа  политик,  с  которыми  необходимо  работать  администратору   (последовательность  обработки  политик  различного  вида  проводится  устройством,  как  указано   ниже):     1.  Identy  Policy  –  описывают,  требуется  ли  аутентификация  для  приведенного  в  политике   сочетания  Source/Service/Desnnanon,  если  требуется,  то  указывается  тип  аутентификации  (Acnve/ Passive).   Проверка  Idennty-­‐политик  происходит  сверху  вниз   Последнее  правило  в  списке  –  
  • 28. 2.  Decrypon  Policy  –  описывает,  требуется  ли  дешифрование  трафика  для  приведенного  в   политике  сочетания  Source/Service/Desnnanon.  В  случае  действия  Decrypt  CX  работает  по   принципу  Man-­‐in-­‐the-­‐Middle.  Для  того,  чтобы  эта  схема  заработала,  сертификат  ASA  CX  должен   быть  помещен  в  Root  Trusted  на  стороне  клиента.                             Политики  проверяются  сверху  вниз   Последнее  правило  в  списке  –   1.  Согласование   алгоритмов   1.а.  Согласование   алгоритмов   2.  Аутентификация   сертификата  сервера   3.  CX  генерирует  прокси   сертификат  сервера  для  клиента  4.  Клиент   аутентифицирует   сертификат  сервера   5.  Генерация  ключей   5.а.  Генерация  ключей  
  • 29. 3.  Access  Policy  –  задает  действие  Deny/Permit  для  приведенного  в  политике  сочетания  Source/ Service/Desnnanon.  Где:       Source  –  User/User  Group/Device/User  Agent/Network     Service  –  Applica%on/Port     Des%na%on  –  Network/URL/FQDN       Кроме  стандартных  действий  Permit/Deny  для  каждой  политики  доступно  включение  захвата   пакетов  и  лога  событий.     Для  HTTP-­‐трафика  и  политик  с  действием  Allow  также  доступно:     §  File  filtering  –  типы  файлов,  которые  необходимо                блокировать   §  Web  reputa%on  –  проверка  сайтов  на  их                потенциальную  зловредность  с  помощью  WBRS              (Web  Based  Reputanon  Score)  
  • 30. Защищаем  виртуальные  среды  с  помощью   ASA  1000v   В  современном  ЦОД  безопасность  должна  быть  обеспечена  как  для  трафика,  входящего  и   покидающего  ЦОД,  так  и  для  трафика,  циркулирующего  между  виртуальными  машинами.     §  North-­‐south  traffic  –  трафик,  входящий  в  ЦОД  и  покидающий  его.  Для  защиты  используются   аппаратные  решения  ASA/IPS   §  East-­‐west  traffic  –  трафик,  циркулирующий  между  виртуальными  машинами  и  tenants  внутри   ЦОД.  Защита  обеспечивается  с  помощью:     ü  Virtual  Security  Gateway  (VSG)  –  решение,  способное  обеспечить  контроль  трафика  в   рамках  одного  VLAN   ü  ASA  1000v  –  виртуальная  ASA,              основной  задачей  которой  является              наложение  политик  доступа  на                трафик,  циркулирующий  между                сетевыми  сегментами  
  • 31. ASA  1000v  –  как  это  выглядит?     Поставляется  как  OVA  file,  в  процессе  его  развертывания  пользователю  нужно  пройти  несложный   wizard           Важная  информация:   §  Обязательно  наличие  Nexus  1000v  (только  в  его  port-­‐group  могут  включаться  интерфейсы  ASA)   §  Режим  работ  только  Routed   §  Только  два  интерфейса  для  трафика  данных  (Inside/Outside)   §  Динамическая  маршрутизация  не  поддерживается   §  Remote  Access  VPN  не  поддерживается   В  остальном  устройство  работает  аналогично  обычной  ASA     Устройство  приобретается  в  виде  лицензии,  определяющим  моментом  является  количество  CPU   сервера,  на  котором  будет  происходить  deployment.  Количество  устройств,  которые  можно   развернуть,  при  этом  не  ограничено.  
  • 32. ASA  1000v  –  какая  производительность?                         ASA  1000v  –  как  управляется?   Есть  два  варианта  управления  устройством,  вариант  управления  выбирается  в  процессе   deployment,  не  подлежит  изменению  после  развертывания        1.  ASDM/CLI              2.  VNMC  
  • 33. ASA  1000v  –  как  разворачивается?     1.  Создание  необходимых  VLAN  и  Port-­‐Profile  на  Nexus  1000v   2.  Начало  Deployment  ASA,  добавление  интерфейсов  в  VLAN     3.  Выбор  варианта  работы  устройства  (Standalone/Primary/Secondary)     4.  Настройка  параметров  Management  Interface/Failover/Выбор  режима  работы  
  • 34. В  случае  выбора  варианта  VNMC  необходимо  по  окончании  процесса  Deployment  подключиться  к   консоли  устройства  и  добавить  pre-­‐shared  key  для  связи  с  VNMC                   После  этого  ASA  регистрируется  на  VNMC  и  все  дальнейшие  настройки  выполняются  через   интерфейс  VNMC                   При  выборе  варианта  ASDM  –  ASA  настраивается  традиционным  способом,  через  ASDM  или  CLI  
  • 35. Подбор  ASA  и  лицензии  под  нужную  задачу   §  Размещение  устройства  в  сети  (Интернет/ЦОД/Кампус/Удаленный  офис)   §  Примерная  схема  внедрения  устройства  (Режим  работы/Метод  отказоустойчивости)   §  Определить,  какие  дополнительные  функции  необходимы  (Виртуализация/IPS/Content   Security)   §  Определение  количественных  показателей:   ü  Сколько  физических  интерфейсов  необходимо  (кроме  того,  их  скорости  и  типы)   ü  Какая  производительность  потребуется  (ширина  интернет-­‐канала/стандартные  уровни   нагрузки  в  сети)   ü  Примерное  количество  соединений  в  секунду,  которые  будут  устанавливаться  (не  всегда   необходимо)   ü  Сколько  VPN-­‐подключений  потребуется  и  какого  типа   ü  и  т.  д.  
  • 36. Выбор  устройства:   ТТХ  младших  моделей  (5505/5510/5512-­‐X)  –   hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-­‐701253.html   ТТХ  средних  моделей  (5520/5525-­‐X/5540/5545-­‐X/5550/5555-­‐X)  –   hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-­‐701808.html   ТТХ  старших  моделей  (5585-­‐Х)   hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html  
  • 37. Выбор  лицензии:   На  младших  моделях  ASA  (5505/5510/5512-­‐X)  присутствует  деление  на  лицензии  Base  и  Security  +,   и  уникальная  для  ASA5505  лицензия  на  количество  подключенных  ПК     Base:   §  Ограничение  по  количеству  VLAN  и  Trunks  (5505/5512-­‐X)   §  Ограничение  по  количеству  VPN-­‐подключений  (5505)   §  Ограничение  по  количеству  соединений   §  Ограничение  по  скорости  интерфейсов  (5510)   Security  +   §  Устройство  работает  в  полную  меру  своих  аппаратных  возможностей   Количество  ПК  (5505):   §  10/50/Unlimited     Кроме  того,  для  всех  устройств  могут  приобретаться  лицензии  на   §  Контексты  (кроме  5505)   §  Количество  VPN-­‐клиентов   §  Функционал  Unified  Communicanons   §  IPS/Content  Security   §  и  другие  функции   Подробнее:   hhp://www.cisco.com/en/US/docs/security/asa/asa91/license/license_management/license.html  
  • 38. License  Notes:   §  Подключение  клиентов  Easy  VPN  не  лицензируется   §  AnyConnect  VPN  подключения  бывают  двух  типов   §  Существуют  временные  лицензии  практически  на  все  функции   §  При  использовании  High  Availability  лицензии  приобретаются  только  на  Acnve-­‐устройство  
  • 39. Полезные  ссылки:     BRKSEC-­‐2699  –  Deploying  Next  Generanon  Firewalling  with  ASA-­‐CX  (2013  London)   hhps://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=6050&backBtn=true     Cisco  PRSM  Configuranon  Guide   hhp://www.cisco.com/en/US/docs/security/asacx/9.0/user/guide/ b_User_Guide_for_ASA_CX_and_PRSM_9_0.html     ASA  1000v  lab  video   hhp://www.labminutes.com/video/sec/ASA%201000V     Nexus  1000v  lab  video   hhp://www.labminutes.com/video/rs/Nexus%201000V  
  • 40. И  напоследок     Не  пропустите  ни  одного  интересного  события!   hhp://skillfactory.nmepad.ru/subscribe     Подписывайтесь  на  наш  канал  YouTube  с  записями  вебинаров:   hhp://www.youtube.com/subscripnon_center?add_user=skillfactoryvideo     Презентации  c  вебинаров  SkillFactory  на  SlideShare:   hhp://www.slideshare.net/SkillFactory