Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Комментарии к выпуску адаптивных устройств обеспечения безопасности Cisco ASA 5500 Series, версия 7.1(1)

7 апреля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Английский (4 мая 2007) | Отзыв

Содержание

Комментарии к выпуску адаптивных устройств обеспечения безопасности Cisco ASA 5500 Series, версия 7.1(1)

Содержание

Введение

Требования к системе

Требования к памяти

Определение версии программного обеспечения

Обновление до новой версии ПО

Новые функции

Поддержка обеспечения безопасности и управления контентом SSM

Cisco Secure Desktop

Настраиваемое управление доступом на основе проверки сетевых узлов CSD

SSL VPN Client

Усовершенствования аутентификации и авторизации

Усовершенствования туннельной группы и групповой политики

Функциональные возможности и оптимизация производительности решения WebVPN

Поддержка Citrix для решения WebVPN

Поддержка решения WebVPN карманными компьютерами

Поддержка решением WebVPN кодировок символов для файлов CIFS

Сжатие для подключений WebVPN и SSL VPN Client

Активный режим/режим ожидания: восстановление после отказа для подключений WebVPN и SVC

Настройка решения WebVPN

Оптимизация ПО ASDM

Автоматическая загрузка сетевого приложения

Важные примечания

Лицензии SSL VPN

Решение WebVPN и подчиненные интерфейсы

ActiveX и решение WebVPN

Файлы CIFS

Восстановление после отказа и подключения WebVPN и SVC

FIPS 140-2

Решение WebVPN ACLS и имя сетевого узла DNS

Прокси-сервер и устройства ASA

Несоответствие PFS

Документ Readme для каналов передачи данных и инструмента преобразования исходящих списков Outbound List Conversion Tool 1.2

Требования по балансировке загрузки VPN

Руководство пользователя по обновлению

Функции, не поддерживаемые в версии 7.1(1)

Поддержка базы данных MIB

Возврат к предыдущей версии

Открытые предупреждения, версия 7.1(1)

Предупреждения, версия 7.0(4)

Открытые предупреждения, версия 7.0(4)

Устраненные открытые предупреждения в версии 7.0(4)

Сопутствующая документация

Советы по настройке ПО на главной странице Центра технической поддержки Cisco

Получение документации

Cisco.com

DVD-диск с документацией по оборудованию

Заказ документации

Отзывы о документации

Обзор техники безопасности при работе с оборудованием Cisco

Предоставление данных о проблемах связанных с безопасностью при работе с оборудованием Cisco

Получение технической поддержки

Веб-сайт технической поддержки и документации Cisco

Отправка запроса на обслуживание

Определение критичности запроса на обслуживание

Получение дополнительной документации и информации


Комментарии к выпуску адаптивных устройств обеспечения безопасности Cisco ASA 5500 Series, версия 7.1(1)


Февраль 2006

Содержание

Документ содержит следующие разделы:

Введение

Требования к системе

Новые функции

Важные примечания

Открытые предупреждения, версия 7.1(1)

Предупреждения, версия 7.0(4)

Сопутствующая документация

Получение документации

Обратная связь по вопросам документации

Обзор техники безопасности при работе с оборудованием Cisco

Получение технической поддержки

Получение дополнительной документации и информации

Введение

Устройства обеспечения безопасности Cisco ASA 5500 представляют собой специализированные решения, объединяющие оптимальную безопасность и сервисы VPN с инновационной архитектурой Cisco Adaptive Identification and Mitigation (AIM). Разработанные в качестве ключевого компонента самозащищающейся сети Cisco, адаптивные устройства обеспечения безопасности осуществляют проактивную защиту от угроз, останавливая атаки до того, как они распространятся по сети, контролируют активность сети и трафик приложений и обеспечивают гибкое соединение с VPN. Результатом является мощное семейство сетевых устройств многофункционального обеспечения безопасности, которое обеспечивает всеобъемлющую защиту сетей предприятий малого и среднего бизнеса при меньших затратах на развертывание и эксплуатацию и меньшей сложности поддержания этого уровня безопасности. В данной версии добавлены значительные усовершенствования в основные функциональные области, в частности: новые сервисы Anti-X, сервисы VPN и управление/мониторинг.

Дополнительную информацию обо всех новых функциях см. на странице Новые функции.

Кроме того, ПО адаптивных устройств обеспечения безопасности поддерживает Adaptive Security Device Manager. Программа ASDM предоставляет возможность качественного управления и контроля за безопасностью с помощью интуитивно понятного и простого в использовании интерфейса управления на базе веб-технологий. Работая совместно с адаптивным устройством обеспечения безопасности, ПО ASDM ускоряет внедрение устройства обеспечения безопасности с помощью интеллектуальных ассистентов, надежных административных инструментов и гибких сервисов мониторинга, которые дополняют интегрированные функции безопасности и сетевые функции, содержащиеся в ведущем на рынке наборе устройства обеспечения безопасности. Его надежная, основанная на веб-технологии структура обеспечивает доступ к адаптивным устройствам обеспечения безопасности в любое время и из любого места.

Требования к системе

В последующих разделах приведены системные требования для эксплуатации адаптивного устройства обеспечения безопасности. Данный раздел включает следующие темы:

Требования к памяти

Определение версии программного обеспечения

Обновление до новой версии ПО

Требования к памяти

В таблице 1 приведены требования к памяти DRAM для адаптивного устройства обеспечения безопасности.

Таблица 1. Требования к памяти DRAM.

Модель ASA
Память DRAM

ASA 5510

256 Мбайт

ASA 5520

512 Мбайт

ASA 5540

1 Гбайт


Все адаптивные устройства обеспечения безопасности требуют не менее 64 Мбайт внутренней памяти CompactFlash.

Определение версии программного обеспечения

Воспользуйтесь командой show version, чтобы определить версию ПО вашего адаптивного устройства обеспечения безопасности.

Обновление до новой версии ПО

При наличии входа в систему Cisco.com (CDC), можно получить ПО со следующего веб-сайта:

http://www.cisco.com/cisco/software/navigator.html

Необходимо повысить или понизить версию от 7.0.(x) к 7.1(1) и наоборот, поскольку более старые версии образов ASA не распознают новые образы ПО ASDM, а новые образы ASA не распознают старые образы ПО ASDM.

Можно также воспользоваться интерфейсом командной строки, чтобы загрузить образ; см. раздел " Загрузка ПО или конфигурационных файлов на флэш-память" в Руководстве по конфигурации командной строки Cisco Security Appliance.

Чтобы перейти от версии 7.0.(x) к 7.1(1), необходимо выполнить следующие шаги.


Шаг 1 Загрузите новый образ 7.1(1) со следующего веб-сайта: http://www.cisco.com/pcgi-bin/tablebuild.pl/asa

Шаг 2 Перезагрузите устройство, чтобы оно начало использовать образ 7.1(1).

Шаг 3 Загрузите новый образ 7.1(1) со следующего веб-сайта: http://www.cisco.com/pcgi-bin/tablebuild.pl/asa


Чтобы перейти от версии 7.1(1) к 7.0.(x), необходимо выполнить следующие шаги:


Шаг 1 Загрузите новый образ 7.1(1) со следующего веб-сайта: http://www.cisco.com/pcgi-bin/tablebuild.pl/asa

Шаг 2 Перезагрузите устройство, чтобы оно начало использовать образ 7.1(0).

Шаг 3 Загрузите новый образ 7.1(3) со следующего веб-сайта: http://www.cisco.com/pcgi-bin/tablebuild.pl/asa


Новые функции

В данном разделе описаны новые функции в этой версии. Раздел включает следующие темы:

Поддержка обеспечения безопасности и управления контентом SSM

Cisco Secure Desktop

Настраиваемое управление доступом на основе проверки сетевых узлов CSD

SSL VPN Client

Усовершенствования аутентификации и авторизации

Усовершенствования туннельной группы и групповой политики

Функциональные возможности и оптимизация производительности решения WebVPN

Поддержка Citrix для решения WebVPN

Поддержка решения WebVPN карманными компьютерами

Поддержка решением WebVPN кодировок символов для файлов CIFS

Сжатие для подключений WebVPN и SSL VPN Client

Активный режим/режим ожидания: восстановление после отказа для подключений WebVPN и SVC

Настройка решения WebVPN

Оптимизация ПО ASDM

Автоматическая загрузка сетевого приложения

Поддержка обеспечения безопасности и управления контентом SSM

Данная функция объединяет комплексную защиту от вредоносных программ с усовершенствованным выводом сообщений для адаптивных устройств многофункционального обеспечения безопасности. Результатом является мощное решение, которое защищает от множества угроз, приходящих из Интернета (в частности, вирусы, шпионящее ПО, спам, хакерские атаки, нежелательные посетители, нежелательное содержание веб-сайтов) при более низких затратах на эксплуатацию и меньшей сложности внедрения и управления многоточечными решениями.

Обеспечение безопасности и управление контентом (CSC) SSM, составная часть решения Cisco Anti-X, предоставляет современный уровень управления контентом и защиты от угроз в Интернете с помощью комплексных сервисов по защите от вирусов, шпионского ПО, блокированию файлов, защите от спама, фишинга, блокированию и фильтрации адресов URL и фильтрации контента. Сервисный модуль CSC SSM помогает предприятиям более эффективно защищать свои сети, повышать доступность сети и производительность сотрудников благодаря следующим ключевым компонентам.

Таблица 2. Основные функции и преимущества.

Основная функция
Преимущество

Антивирус

Ведущее антивирусное ПО, выпущенное компанией Trend Micro, защищает ресурсы внутренней сети от атак известных и неизвестных вирусов в наиболее важной точке инфраструктуры — шлюзе Интернет. Очищая электронную почту и веб-трафик, оно устраняет потребность в регулярных очистках от вредоносного ПО, требующих значительных ресурсов, и обеспечивает бесперебойность бизнес-операций.

Защита от шпионского ПО

Не позволяет шпионскому ПО проникать во внутреннюю сеть через интернет-трафик (HTTP & FTP) и электронную почту. Освобождает ресурсы поддержки ИТ от необходимости выполнять дорогостоящие процедуры удаления шпионского ПО и повышает производительность сотрудников, блокируя шпионское ПО на шлюзе.

Защита от спама

Эффективное блокирование спама с низким числом ложных срабатываний помогает восстановить эффективность работы с электронной почтой, так что общение с клиентами, поставщиками и партнерами будет происходить без помех.

Защита от фишинга

Защита от краж идентификационных данных предохраняет от атак с целью фишинга, а также предотвращает ненамеренное раскрытие сотрудниками информации о компании или личных данных, что может привести к финансовым потерям.

Автоматические обновления от TrendLabs

Решение поддерживается одной из крупнейших групп экспертов по вирусам, шпионскому ПО и спаму; она работает круглосуточно и ежедневно, гарантируя, что используемое решение будет автоматически предоставлять самый современный уровень защиты.

Централизованное управление

Простое управление с помощью удаленно доступной веб-консоли и автоматические обновления снижают затраты на поддержку ИТ.

Защита в режиме реального времени для доступа в Интернет, почты (SMTP & POP3) и FTP (передача файлов)

Даже если почта компании уже защищена, многие сотрудники будут обращаться к своей личной интернет-почте с рабочих ПК или ноутбуков, что является дополнительной точкой для проникновения угроз из Интернета. Кроме того, сотрудники могут непосредственно загружать программы и файлы, которые могут быть заражены. Защита в режиме реального времени всего интернет-трафика на шлюзе Интернета существенно уменьшают эту уязвимость, которую часто недооценивают.

Комплексные функции фильтрации адресов URL с категориями, расписанием и кэшем

Фильтрация адресов URL позволяет контролировать использование сотрудниками Интернета путем блокирования доступа к нежелательным или не связанным с работой веб-сайтам, что повышает производительность и снижает риск подачи сотрудниками судебных исков при встрече с оскорбительным веб-контентом.

Фильтрация содержания электронной почты

Фильтрация электронной почты минимизирует юридическую ответственность, связанную с пересылкой по электронной почте оскорбительных материалов и обеспечивает выполнение компанией требований законодательства, в частности GLB и Акта о защите данных.


Дополнительную информацию см. в разделе "Управление модулем безопасности CSC SSM" в Руководстве по конфигурации командной строки Cisco Security Appliance.

Cisco Secure Desktop

Cisco Secure Desktop (CSD) представляет собой дополнительный пакет ПО для платформы Windows, который можно установить на устройстве обеспечения безопасности, чтобы проверить безопасность клиентских компьютеров, запрашивающих доступ к вашей SSL VPN и убедиться, что они останутся защищенными при подключении, а также удалить все следы сеанса после отключения.

После того, как удаленный ПК, работающий под Microsoft Windows, подключится к адаптивному устройству обеспечения безопасности, CSD установится и на основе информации об IP-адресе и наличии специальных файлов, ключей реестра и сертификатов проверит тип местоположения, из которого подключается ПК. После аутентификации пользователя CSD использует дополнительные критерии в качестве условий для предоставления прав доступа. К этим критериям относится операционная система ПК, наличие на ПК антивирусного ПО, защиты от шпионского ПО и брандмауэра.

Чтобы обеспечить безопасность, когда ПК подключен к вашей сети, Secure Desktop, приложение CSD, которое работает на клиентах Microsoft Windows XP и Windows 2000, ограничивает операции, доступные пользователю во время сеанса. Для удаленных пользователей с правами администратора Secure Desktop использует 168-битный Triple Data Encryption Standard (3DES) для шифрования данных и файлов, связанных с сеансом SSL VPN или загружаемых во время сеанса. Для удаленных пользователей с меньшими правами он использует алгоритм шифрования Rivest Cipher 4 (RC4). После завершения сеанса Secure Desktop уничтожает все данные с удаленного ПК с помощью стандарта безопасности министерства обороны США для надежного удаления файлов. Эта очистка гарантирует, что файлы cookies, хронологические данные браузера, временные файлы и загруженное содержимое не сохранятся после завершения сеанса удаленным пользователем или истечения срока сеанса SSL VPN. CSD также удаляется с клиентского ПК.

Cache Cleaner, который очищает кэш клиента при завершении сеанса, поддерживает клиентов Windows XP, Windows 2000, Windows 9x, Linux и Apple Macintosh OS X.

Дополнительную информацию о функциях CSD см. в разделе Руководство по конфигурации Cisco Secure Desktop для администраторов Cisco ASA 5500 Series.

Настраиваемое управление доступом на основе проверки сетевых узлов CSD

Адаптивные устройства обеспечения безопасности с установленным Cisco Secure Desktop могут применять альтернативную групповую политику. Адаптивное устройство обеспечения безопасности использует этот атрибут для ограничения прав доступа к удаленным клиентам CSD следующим образом.

Всегда использовать, если указана политика функции VPN "Использовать групповую политику сбоя."

Использовать, если указана политика функции VPN "Использовать групповую политику успеха, если условия удовлетворены" и тогда критерии не удовлетворяются.

Этот атрибут задает имя альтернативной групповой политики, которую требуется использовать. Выберите групповую политику, чтобы присвоить права доступа, отличные от прав, связанных со стандартной групповой политикой. По умолчанию используется значение Cisco DfltGrpPolicy.


Примечание. Адаптивное устройство обеспечения безопасности не использует этот атрибут, если указать политику функции VPN "Всегда использовать групповую политику успеха."


Дополнительную информацию см. в разделе Руководство по конфигурации Cisco Secure Desktop для инструкции по администрированию Cisco ASA 5500 Series.

SSL VPN Client

SSL VPN client представляет собой туннельную технологию VPN, которая дает удаленным пользователям преимущества соединения с помощью клиента IPSec VPN, причем сетевым администраторам не требуется устанавливать и настраивать клиенты IPSec VPN на удаленных компьютерах. SVC использует шифрование SSL, которое уже имеется на удаленном компьютере, а также имя пользователя решения WebVPN и аутентификационную информацию адаптивного устройства обеспечения безопасности.

Чтобы начать сеанс SVC, удаленный пользователь вводит в браузере IP-адрес интерфейса решения WebVPN для адаптивного устройства обеспечения безопасности, и браузер подключается к этому интерфейсу и отображает экран регистрации решения WebVPN. Если пользователь выполняет вход в систему и аутентификацию, и адаптивное устройство обеспечения безопасности определит, что ему требуется SVC, то это устройство загрузит SVC на удаленный компьютер. Если адаптивное устройство обеспечения безопасности определит, что пользователю не обязательно использовать SVC, то оно загрузит SVC на удаленный компьютер, показывая на экране пользователя ссылку, позволяющую пропустить установку SVC.

После загрузки SVC устанавливается и настраивается. После завершения соединения SVC остается на удаленному компьютере или удаляется (в зависимости от конфигурации).

Можно настроить SVC с помощью ПО ASDM или команд CLI.

Дополнительную информацию см. в разделе "Настройка SSL VPN Client" в Руководстве по конфигурации командной строки Cisco Security Appliance.

Усовершенствования аутентификации и авторизации

Версия 7.1(1) содержит следующие усовершенствования аутентификации и авторизации.

Override Account Disabled (Игнорировать отключение учетной записи)

Можно настроить адаптивное устройство обеспечения безопасности, чтобы оно игнорировало сообщение сервера AAA об отключении учетной записи и позволяло пользователю зарегистрироваться в любом случае.

Дополнительную информацию см. в разделе "Настройка общих атрибутов туннельной группы удаленного доступа IPSec" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды override account disabled приведено в Справочнике по командам Cisco Security Appliance.

Поддержка базы данных LDAP

Можно настроить устройство обеспечения безопасности, чтобы оно осуществляло аутентификацию и авторизацию пользователей IPSec VPN, клиентов SSL VPN и пользователей решения WebVPN на сервере каталогов LDAP. В процессе аутентификации устройство обеспечения безопасности работает как клиентский прокси-сервер для сервера LDAP для пользователя VPN и осуществляет аутентификацию на сервере LDAP с нешифрованным паролем или с помощью протоколе Simple Authentication and Security Layer (SASL). Устройство обеспечения безопасности поддерживает любой сервер каталогов, совместимый с LDAP V3 или V2. Оно поддерживает функции управления паролем только на серверах Sun Microsystems Java System Directory Server и Microsoft Active Directory.

Дополнительную информацию см. в разделе "Поддержка сервера LDAP" в Руководстве по конфигурации командной строки Cisco Security Appliance.

Управление паролями

Можно настроить адаптивное устройство обеспечения безопасности, чтобы оно предупреждало пользователей об окончании срока действия их паролей. Если настроить эту функцию, то адаптивное устройство обеспечения безопасности будет уведомлять удаленного пользователя при регистрации о том, что срок действия текущего пароля скоро истечет или уже истек. Затем пользователю будет предложено изменить пароль. Если срок действия текущего пароля еще не истек, то пользователь может зарегистрироваться, используя этот пароль. Эта команда действует для серверов AAA, которые поддерживают подобные уведомления; это серверы RADIUS, RADIUS с NT и LDAP. Адаптивное устройство обеспечения безопасности игнорирует эту команду, если аутентификация RADIUS или LDAP не была настроена.

Отметим, что эта команда не изменяет число дней до истечения срока действия пароля, а указывает, за сколько дней адаптивное устройство обеспечения безопасности должно начинать предупреждать пользователя о том, что срок действия его пароля скоро истечет. Значение по умолчанию — 14 дней.

Только для аутентификации на сервере LDAP: можно указать, за сколько дней до истечения срока действия следует начинать предупреждать пользователя.

Дополнительную информацию см. в разделе "Поддержка сервера LDAP" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды password management приведено в Справочнике по командам Cisco Security Appliance.

SSO

Поддержка однократного предъявления пароля (SSO) позволяет пользователям решения WebVPN вводить имя пользователя и пароль для доступа к разным защищенным сервисам и веб-серверам только один раз. Для настройки SSO можно выбрать один из следующих методов.

Сервер Computer Associates eTrust SiteMinder SSO (ранее Netegrity SiteMinder) — как правило, следует выбирать реализацию SSO с помощью SiteMinder, если инфраструктура безопасности веб-сайта уже включает SiteMinder.

Формуляры HTTP — общий и стандартный подход к аутентификации SSO, который можно расценивать также как метод AAA. Его можно использовать с другими серверами AAA, в частности, RADIUS или LDAP.

SSO с базовой аутентификацией HTTP и NTLM — простейший из трех методов SSO передает данные об имени пользователя решения WebVPN для аутентификации внутренним серверам с помощью базовой аутентификации HTTP или NTLM. Для этого метода не требуется внешний сервер SSO.

Дополнительную информацию см. в разделе &quotИспользование однократного предъявления пароля с WebVPN" в Руководстве по конфигурации командной строки Cisco Security Appliance.

Усовершенствования туннельной группы и групповой политики

Версия 7.1(1) включает следующие новые усовершенствования туннельной группы и групповой политики.

Тип туннельной группы решения WebVPN

В данной версии добавлена туннельная группа WebVPN, что позволяет настраивать туннельную группу с атрибутами, специфическими для решения WebVPN, включая метод аутентификации, который требуется использовать, настройку решения WebVPN, которую следует применять к GUI пользователя, используемую группу DNS, альтернативные названия групп (псевдонимы), URL групп, сервер NBNS, который следует использовать для разрешения имен CIFS, а также альтернативную групповую политику, которую следует применять для пользователей CSD для ограничения прав доступа к удаленным клиентам CSD.

Дополнительную информацию см. в разделе "Настройка SSL VPN Client" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды приведено в Справочнике по командам Cisco Security Appliance.

Конфигурация DNS на базе групп для решения WebVPN

Можно определить список DNS-серверов для группы. Список DNS-серверов, доступных пользователю, зависит от группы, которой принадлежит пользователь. Можно указать DNS-сервер, который следует использовать для туннельной группы решения WebVPN. По умолчанию используется значение Cisco DefaultDNS.

Дополнительную информацию см. в разделе "Поддержка сервера LDAP" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды приведено в Справочнике по командам Cisco Security Appliance.

Параметр "Новая страница регистрации" для пользователей решения WebVPN

Можно настроить решение WebVPN, чтобы отображать страницу регистрации пользователя, позволяющую пользователю выбирать, какую туннельную группу использовать для регистрации. Если настроить эту опцию, то страница регистрации будет содержать дополнительное поле с раскрывающимся списком, из которого можно будет выбрать группу. Аутентификация пользователя будет производиться для выбранной группы.

Дополнительную информацию см. в разделе "Настройка SSL VPN Client" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды приведено в Справочнике по командам Cisco Security Appliance.

Псевдоним группы и адрес URL группы

Можно создать одно или несколько альтернативных имен, которые пользователь может использовать для туннельной группы; для этого указываются один или несколько псевдоним группы. Псевдонимы групп, заданные здесь, появляются в раскрывающемся списке на странице регистрации пользователя. Каждая группа может иметь несколько псевдонимов или не иметь ни одного. Чтобы в этом списке появилось фактическое имя туннельной группы, укажите его в качестве псевдонима. Эта функция полезна, если одна группа известна под несколькими названиями, например, "Devtest" и "QA".

Указание URL группы позволяет пользователю не выбирать группу при регистрации. Когда пользователь регистрируется, адаптивное устройство обеспечения безопасности ищет входящий URL пользователя в таблице политики туннельной группы. Если она находит адрес URL, и эта функция включена, то устройство автоматически выбирает соответствующий сервер и показывает пользователю в окне регистрации только поля для имени пользователя и пароля. Если адрес URL отключен, то раскрывающийся появляется также список групп, и пользователь должен сделать выбор.

Для группы можно задать несколько адресов URL (или не задавать URL). Можно включать или отключать каждый адрес URL отдельно. Для каждого адреса URL следует использовать отдельную спецификацию (команда group-url). Необходимо вводить весь адрес URL; можно использовать протоколы HTTP или HTTPS.

Нельзя ассоциировать один адрес URL с несколькими группами. Адаптивное устройство обеспечения безопасности проверяет уникальность адреса URL перед его принятием в качестве адреса для туннельной группы.

Дополнительную информацию см. в разделе "Настройка SSL VPN Client" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды приведено в Справочнике по командам Cisco Security Appliance.

Функциональные возможности и оптимизация производительности решения WebVPN

Данная версия повышает производительность и функциональность решения WebVPN благодаря следующим компонентам.

Гибкая трансформация/перезапись контента, включающая комплекс JavaScript, VBScript и Java

Кэширование на стороне сервера и в браузере

Сжатие

Обход прокси

Поддержка основы для настройки профиля приложения

Обработка состояния активности и времени ожидания приложения

Поддержка логических интерфейсов (VLAN)

Дополнительную информацию см. в разделе "Настройка SSL VPN Client" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды приведено в Справочнике по командам Cisco Security Appliance.

Поддержка Citrix для решения WebVPN

Пользователи решения WebVPN могут теперь использовать подключение адаптивному устройству обеспечения безопасности для доступа к сервисам Citrix MetaFrame. В данной конфигурации адаптивное устройство обеспечения безопасности работает как защищенный шлюз Citrix. Поэтому необходимо настроить свое ПО Citrix Web Interface для работы в режиме, который не использует защищенный шлюз Citrix. Установите сертификат SSL в интерфейс адаптивного устройства обеспечения безопасности, для подключения к которому удаленные пользователи используют полное доменное имя (FQDN); эта функция не работает, если для сертификата SSL в качестве общего имени (CN) не указан IP-адрес. Удаленный пользователь пытается использовать FQDN для подключения к адаптивному устройству обеспечения безопасности. Удаленный ПК должен иметь возможность использовать DNS или запись в файле System32\drivers\etc\hosts, чтобы разрешить FQDN. Кроме того, воспользуйтесь командой functions, чтобы включить Citrix.

Дополнительную информацию см. в разделе "Настройка доступа к сервисам Citrix MetaFrame" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды приведено в Справочнике по командам Cisco Security Appliance.

Поддержка решения WebVPN карманными компьютерами

Доступ к решению WebVPN возможен из операционных систем Pocket PC 2003 или Windows Mobile X. использование карманного компьютера делает доступ к частной сети более удобным. Для реализации этой возможности специальная настройка не требуется.

Дополнительную информацию см. в разделе "Настройка SSL VPN Client" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды приведено в Справочнике по командам Cisco Security Appliance.

Поддержка решением WebVPN кодировок символов для файлов CIFS

Теперь решение WebVPN поддерживает дополнительные кодировки символов страниц портала, чтобы обеспечить правильное отображение файлов общей файловой системы Интернет на целевом языке. Кодировка символов поддерживает наборы символов, указанные на следующей веб-странице, включая символы Shift-JIS:

http://www.iana.org/assignments/character-sets

Воспользуйтесь командой character-encoding, чтобы указать набор символов, которые требуется кодировать на страницах портала WebVPN, предоставляемых удаленным пользователям. По умолчанию, тип кодировки, установленный на удаленном браузере, определяет набор символов для страниц портала WebVPN.

Атрибут кодировка символов является глобальной настройкой, которую по умолчанию наследуют все страницы портала WebVPN. Однако можно воспользоваться командой file-encoding, чтобы указать кодировку для страниц портала WebVPN с определенных серверов CIFS. Таким образом, можно использовать разные значения кодировки файлов дл серверов CIFS, для которых требуются разные кодировки символов.

Отображение серверов CIFS в соответствующей кодировке символов, глобально — с помощью атрибута webvpn character-encoding, индивидуально — с помощью file-encoding overrides, обеспечивает корректное отображение страниц CIFS, когда правильная передача имен файлов и путей каталогов, а также страниц является проблемой.


Совет. Значения параметров character-encoding и file-encoding не исключают семейство шрифтов, которое должен использовать браузер. Необходимо дополнить задание одного из этих значений командой page style в режиме команды webvpn customization, чтобы заменить семейство шрифтов, если используется кодировка символов Japanese Shift_JIS, или ввести команду no page style в режиме команды webvpn customization, чтобы удалить семейство шрифтов.


Дополнительную информацию см. в разделе "Настройка SSL VPN Client" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды приведено в Справочнике по командам Cisco Security Appliance.

Сжатие для подключений WebVPN и SSL VPN Client

Сжатие позволяет уменьшить размер передаваемых пакетов и увеличить производительность коммуникации, особенно при подключениях с ограничениями полосы пропускания, например, соединений по телефонной линии и портативных устройств, используемых для удаленного доступа.

Сжатие включается по умолчанию для подключений WebVPN и SVC. Можно настроить сжатие с помощью команд ПО ASDM или CLI.

Можно отключить сжатие для всех подключений WebVPN или SVC с помощью команды compression из режима глобальной конфигурации.

Можно отключить сжатие для конкретной группы или пользователя для подключений WebVPN с помощью команды http-comp, а для подключений SVC — с помощью команды svc compression, в режимах group policy или username webvpn.

Дополнительную информацию см. в разделе "Настройка SSL VPN Client" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды приведено в Справочнике по командам Cisco Security Appliance.

Активный режим/режим ожидания: восстановление после отказа для подключений WebVPN и SVC

Во время восстановления после отказа подключения WebVPN и SVC, а также подключения IPSec, устанавливаются заново для бесперебойной работы с помощью вспомогательного устройства обеспечения безопасности, находящегося в режиме ожидания. Для восстановления после отказа необходимо однозначное соответствие для каждого подключения, которое активно или в режиме ожидания.

Устройство обеспечения безопасности, настроенное для восстановления после отказа, предоставляет аутентификационные данные пользователей решения WebVPN устройству обеспечения безопасности, находящимся в режиме ожидания. Поэтому при восстановлении после отказа пользователям решения WebVPN не требуется проходить аутентификацию заново.

Подключения SVC при восстановлении после отказа восстанавливаются заново с помощью резервного устройства обеспечения безопасности.

Дополнительную информацию см. в разделе "Разделение сеансов SVC" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды приведено в Справочнике по командам Cisco Security Appliance.

Настройка решения WebVPN

Можно настроить страницу решения WebVPN так, чтобы пользователи видели, когда они подключены к устройству обеспечения безопасности; можно также настроить главную страницу решения WebVPN для каждого пользователя, группы или туннельной группы. Пользователи или группы видят настроенную главную страницу решения WebVPN после аутентификации на устройстве обеспечения безопасности.

Можно использовать команды ПО ASDM или CLI для настройки внешнего вида решения WebVPN с помощью параметров каскадных таблиц стилей (CSS). Для упрощения настройки мы рекомендуем использовать ПО ASDM, который содержит удобные функции для конфигурации элементов стилей, включая возможности выбора цвета и предварительного просмотра.

Дополнительную информацию см. в разделе "Настройка SSL VPN Client" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды приведено в Справочнике по командам Cisco Security Appliance.

Оптимизация ПО ASDM

Оптимизация ПО ASDM включает следующие задачи.

Поддержка управления и мониторинга для модуля безопасности CSC SSM

ПО ASDM версии 5.1 предоставляет ведущее для отрасли решение, объединяющее простоту панелей настройки Trend Micro на базе HTML с универсальностью технологии ASDM. Это помогает обеспечить непротиворечивость политик, упрощает процессы инициализации, конфигурации и мониторинга для объединенных многочисленных функций управления угрозами, предлагаемых модулем безопасности CSC SSM. ПО ASDM предоставляет дополнительное решение для мониторинга с новой главной страницей модуля безопасности CSC SSM и новыми панелями мониторинга. После установки модуля безопасности CSC SSM главная страница ПО ASDM автоматически обновляется для отображения новой панели модуля CSC SSM, которая содержит историю угроз, вирусов, пришедших по электронной почте, живых событий и статистику важнейших модулей, например, последние установленные обновления ПО/подписей, системные ресурсы и т.д. В разделе мониторинга ПО ASDM обширный набор инструментов анализа предоставляет детальный обзор угроз, обновлений ПО, графиков ресурсов и т.д. Live Security Event Monitor — это инструмент для устранения неполадок и мониторинга, который предоставляет в режиме реального времени информацию о проверенных или блокированных сообщениях электронной почты, идентифицированных вирусах/червях, обнаруженных атаках и т.д. Он дает администраторам возможность фильтровать сообщения с помощью регулярных выражений, что позволяет сосредоточиться на определенных видах атак и сообщений, тщательно анализируя их.

Инструмент Syslog to Access Rule Correlation

Данная версия ASDM вводит новый инструмент Syslog to Access Rule Correlation, который существенно оптимизирует повседневную работу по управлению безопасностью и устранению неполадок. С помощью этого динамичного инструмента администраторы безопасности могут быстро решать общие проблемы конфигурации, а также большинство проблем пользователей и сетевых подключений. Пользователи могут выбрать сообщение системного журнала на панели Real-Time Syslog Viewer и, просто нажав кнопку Создать в верхней части панели, вызвать режимы управления доступом для данного журнала. Разумные значения по умолчанию помогают обеспечить простоту процесса конфигурации, что повышает эффективность работы и уменьшает время отклика в критических для бизнеса ситуациях. Инструмент Syslog to Access Rule Correlation предоставляет также возможность интуитивно понятного обзора сообщений системного журнала, вызванных настроенными пользователем правилами доступа.

Настраиваемая цветовая маркировка системного журнала

ПО ASDM позволяет для быстрой идентификации критических системных сообщений и удобного мониторинга системного журнала помечать сообщения цветом в соответствии с их уровнем. Пользователи могут выбрать параметры цветовой маркировки по умолчанию или создать собственные цветовые профили журнала для удобства работы.

Автоматическая загрузка сетевого приложения

Чтобы выполнить удаленное приложение через WebVPN, пользователь нажимает Start Application Access на главной странице решения, чтобы загрузить и запустить сетевое приложение Java для переадресации портов. Чтобы упростить доступ к приложению и уменьшить время запуска, можно сконфигурировать WebVPN так, чтобы это сетевое приложений переадресации портов загружалось автоматически при первой регистрации пользователя в решении WebVPN.

Дополнительную информацию см. в разделе "Автоматическая загрузка сетевого приложения для переадресации портов" в Руководстве по конфигурации командной строки Cisco Security Appliance. Полное описание синтаксиса команды приведено в Справочнике по командам Cisco Security Appliance.

Важные примечания

В этом разделе приведены важные примечания, касающиеся версии 7.1(1).

Лицензии SSL VPN

Начиная с версии 7.1(1), для сервисов SSL VPN (WebVPN) необходима лицензия. Теперь эти сервисы лицензируются на базе пользовательских сеансов с уровнями лицензирования 10, 50, 100, 250, 500, 750, 1000 и 2500 пользовательских сеансов. В эту единую лицензию SSL VPN включена полная функциональность SSL VPN, предлагаемая адаптивным устройством обеспечения безопасности. Лицензии на функции не требуются. Эта лицензия SSL VPN оплачивается один раз и действует все время жизни адаптивного устройства обеспечения безопасности. При установке версии 7.1(1) или выше для анализа включаются две одновременных пользовательских сеанса SSL VPN.

Решение WebVPN и подчиненные интерфейсы

Нельзя включить WebVPN на подчиненном интерфейсе.

ActiveX и решение WebVPN

Многие элементы ActiveX являются пользовательскими и требуют особой обработки в решении WebVPN. Обратитесь в Центр технической поддержки Cisco, если приложение использует элементы ActiveX, и при их работе через подключение WebVPN возникают проблемы (CSCsb85180).

Файлы CIFS

Если удаленный пользователь обращается к файлам CIFS с помощью Internet Explorer, то имя файла в окне File Download может неправильно отображать некоторые символы Japanese Shift_JIS. Однако функции "Открыть" и "Сохранить" работают должным образом. Эта проблема не возникает в браузере Netscape.

Восстановление после отказа и подключение WebVPN и SVC

Чтобы обеспечить быстрое восстановление подключений WebVPN и SVC после отказа, следует разрешить устройству обеспечения безопасности отвечать на входящие TCP-пакеты клиента с помощью команды service resetoutside в режиме глобальной конфигурации.

[no] service resetoutside

Эта команда заставляет устройство обеспечения безопасности, которое берет на себя существующие подключения WebVPN и SVC, отправлять пакеты TCP RST в ответ на входящие TCP-пакеты клиента, в результате чего клиентские подключения восстанавливаются быстрее. Если не разрешить выполнение команды service resetoutside, то устройство обеспечения безопасности будет игнорировать TCP-пакеты от подключений и ожидать, пока каждый клиент не восстановит TCP-подключение. Это может потребовать более длительного времени или привести к завершению сеанса из-за превышения времени ожидания.

Следующие пример разрешает устройству обеспечения безопасности отправлять TCP RST-пакеты.

F1-asa1(config)# service resetoutside

FIPS 140-2

Адаптивные устройства обеспечения безопасности находятся в списке предварительной проверки FIPS 140-2.

Решение WebVPN ACLS и имя узла сети DNS

Если список управления доступом deny webtype URL (на основе DNS) определен, но адрес URL, получаемый с помощью DNS, недоступен, браузер отображает всплывающее окно "DNS Error". Счетчик использования ACL не увеличивается.

Если IP-адрес, а не DNS-имя, определяет адрес URL запрещенного интернет-соединения, то счетчик использования не регистрирует трафик, направленный в ACL, и браузер показывает сообщение "Connection Error.".

Прокси-сервер и устройства ASA

Если решение WebVPN настроено для использования прокси-сервера HTTP(S) для обслуживания всех запросов на просмотр веб-сайтов HTTP и/или HTTPS, то клиент/браузер может ожидать следующего поведения.

1. Если устройство ASA не может подключиться к прокси-серверу HTTPS или HTTPS, в браузере клиента выводится сообщение "connection error".

2. Если прокси-сервер HTTP(S) не может разрешить или достичь запрошенного адреса URL, он должен отправить соответствующую ошибку в устройство ASA, которое, в свою очередь, выведет ее в браузере клиента.

Только если прокси-сервер HTTP(S) уведомляет устройство ASA о недостижимости адреса URL, ASA может уведомить браузер клиента об ошибке.

Несоответствие PFS

Настройки PFS в клиенте VPN и устройстве обеспечения безопасности должны соответствовать.

Документ Readme для каналов передачи данных и инструмента преобразования исходящих списков 1.2

Инструмент преобразования исходящих списков адаптивного устройства обеспечения безопасности помогает преобразовывать конфигурации с помощью команд outbound или conduit в аналогичные конфигурации, использующие списки ACL. Конфигурации на основе списков ACL, обеспечивают единообразие и возможность использования мощного набора функций ACL. Конфигурации, основанные на списках ACL, обеспечивают следующие преимущества.

Функция ACE Insertion — настройка и управление системой значительно упрощаются с помощью функции ACE insertion, которая позволяет пользователям добавлять, удалять или изменять отдельные записи управления доступом.

Требования по балансировке загрузки VPN

Балансировка загрузки VPN для адаптивного устройства обеспечения безопасности требует устройства ASA 5520 или ASA 5540. Кроме того, необходима также лицензия на шифрование 3DES-AES.

Руководство пользователя по обновлению

См. список нерекомендуемых к использованию функций и информацию об обновлениях по адресу:

http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_70/migr_vpn/index.htm

Функции, не поддерживаемые в версии 7.1(1)

В версии 7.1(1) не поддерживаются следующие функции:

PPPoE

L2TP через IPSec

PPTP

Поддержка базы данных MIB

См. информацию о поддержке базы данных MIB по адресу:

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Возврат к предыдущей версии

Чтобы вернуться к предыдущей версии операционной системы ПО (образ ПО), воспользуйтесь командой downgrade в привилегированном режиме EXEC. Полное описание синтаксиса команды приведено в Справочнике по командам Cisco Security Appliance.

Открытые предупреждения, версия 7.1(1)

Следующие открытые предупреждения являются новыми в версии 7.1(1).

CSCsb85180

Компонент Terminal Services ActiveX client нельзя использовать через соединение WebVPN.

Обходной путь. Используйте SSL VPN Client (полнотуннельный клиент) для работы с этим приложением

CSCsc27946

При использовании доступа через подключение WebVPN без клиентов к серверу доступа к Интернет Domino нельзя редактировать формат главной страницы Domino. При попытке возникает ошибка Internet Explorer.

CSCsc93042

Игровые сетевые приложения Java Yahoo game могут не загрузиться через машину перезаписи WebVPN.

Обходной путь. Загрузите сетевое приложение Java непосредственно, а не через решение WebVPN.

CSCsd00382

С подключениями SVC связаны списки доступа, которые можно загрузить. Завершение сеанса (команда vpn-sessiondb logoff) может привести к тому, что список доступа останется на устройстве обеспечения безопасности и может взаимодействовать с новыми подключениями с тем же IP-адресом.

CSCsd02916

При использовании прокси-сервера http пользователи могут вызывать Citrix через подключение WebVPN, даже если метафайл Citrix не настроен для групповой политики.

CSCsd04381

При попытке добавить файл-вложение к существующему контакту в Outlook Web Access 2000 или 2003 с помощью машины перезаписи решения WebVPN, открывается пустое модальное окно.

Обходной путь. Создайте новый контакт письмо и прикрепите вложение с помощью машины перезаписи. Вторая возможность — обратиться напрямую к серверам Outlook Web Access 2000 или 2003, а не через подключение WebVPN, чтобы запустить программу прикрепления к существующему контакту.

CSCsd08212

Webtype ACL с синтаксисом URI типа "http(s)://host address/path,": программа проверки списков ACL дает сбой. Если это правило допуска, то пользователи не смогут открыть этот веб-сайт. Однако правило Webtype ACL работает с адресом URI типа "http(s)://host address". Отличием между этими двумя списками ACL является "/path". Путь "/path" может означать любую область на данном веб-сайте, а также файл или каталог.

Обходной путь. Определите Webtype ACLS с синтаксисом URI http(s)://адрес узла сети, например,
access-list test webtype permit url http://serverA.com).

Предупреждения, версия 7.0(4)

Следующие разделы описывают предупреждения для версии 7.0(4).

Для удобства поиска пояснений в пакете инструментов диагностики дефектов Cisco (Bug Toolkit), заголовки предупреждений, приведенные в данном разделе, взяты непосредственно из базы данных пакета инструментов диагностики дефектов. Эти предупреждений не следует читать, как завершенные предложения, поскольку длина поля ограничена. В заголовках предупреждений может потребоваться обрезать слова или опускать знаки препинания, чтобы предоставить максимально полное и лаконичное описание. В эти заголовки внесены только следующие изменения.

Команды выделены полужирным шрифтом.

Названия продуктов и акронимы могут быть стандартизованы.

Могут быть исправлены орфографические ошибки и опечатки.


Примечание. Являясь зарегистрированным пользователем cisco.com, посмотрите пакет инструментов диагностики дефектов на следующем веб-сайте:

http://www.cisco.com/cgi-bin/Support/Bugtool/launch_bugtool.pl

Чтобы стать зарегистрированным пользователем cisco.com, посетите следующий веб-сайт:

http://tools.cisco.com/RPF/register/register.do


Открытые предупреждения, версия 7.0(4)

В Таблице 3 приведены предупреждения, оставшиеся открытыми в версии 7.0(4).

Таблица 3. Открытые предупреждения.

Идентификационный номер
Предупреждения, версия 7.0(4)
Исправлено
Заголовок предупреждения

CSCeg57001

Нет

Пакет не поступает на проверку после того, как

CSCeh15557

Нет

Подтверждение в tmatch_compile_proc, не вся память освобождается.

CSCeh32087

Нет

PIM отправляет регистр с непреобразованными IP при переполнении пула NAT.

CSCeh43554

Нет

Устройство может перезагрузиться, если конфигурация просматривается и удаляется одновременно

CSCeh60845

Нет

Очередь регистрации неправильно регистрирует блоки размером 8192 256 байт

CSCeh84006

Нет

Неверный номер версии http недопустим

CSCeh93834

Нет

Список реплик RSA SecurID теряется после перезагрузки

CSCej04099

Нет

статический xlate выполняет внутреннее прерывание доступа для управления

CSCsb28708

Нет

Консольная трассировка с использованием команды show route

CSCsb40188

Нет

SCEP дает сбой, если сертификат RA имеет битовый ключ 4096

CSCsb41742

Нет

P2P/IM/туннельный трафик удаляется, только если для strict-http задано действие "удалить"

CSCsb51038

Нет

Обратная трассировка: _snp_sp_create_flow+1937 с исходящим ACL и Policy Statics

CSCsb80170

Нет

Групповой политике требуются пулы адресов — отсутствует функциональность VPN3K

CSCsb81593

Нет

удаление клиента sunrpc-server не останавливает трафик sunrpc

CSCsb90046

Нет

При создании контекста GTP возможен сбой с ошибкой Tunnel Limit exceeded

CSCsb99385

Нет

strict-http: при наличии пробела перед http будет инициирована перезагрузка tcp

CSCsc01017

Нет

ASA - VPN3K L2L: не удается сменить ключ в основном режиме, 3des, sha, rsa, pfs-2, dh-2

CSCsc07421

Нет

Обратная трассировка в Dispatch Unit — декодирование сообщения h323

CSCsc10617

Нет

GTP: утечка памяти после <clear config all> в gtp_init

CSCsc11724

Нет

Регистрация: неверное поведение при направлении системного журнала на неработающий tcp-сервер

CSCsc12094

Нет

Восстановление аутентификации AAA не работает в режиме повторной активации

CSCsc16041

Нет

'clear local host' приводит к утечке памяти

CSCsc16607

Нет

fixup pptp не работает при конфигурации static pat server

CSCsc17051

Нет

VPNFO: при восстановлении VPN после отказа не происходит разбор P2 SA, если используется IPCOMP

CSCsc18911

Нет

Устройство ASA не удаляет маршрут OSPF для глобальной записи PAT после удаления


Устраненные открытые предупреждения в версии 7.0(4)

В таблице 4 перечислены предупреждения, устраненные в версии 7.0(4).

Таблица 4. Устраненные предупреждения.

Идентификационный номер
Предупреждения, версия 7.1(1)
Исправлено
Заголовок предупреждения

CSCeh18115

Да

При включенной фильтрации адресов URL аутентификация иногда не начинается.

CSCeh46345

Да

Динамический L2L не может корректно передавать текстовый трафик при завершении туннеля

CSCeh90617

Да

Перекомпиляция списков ACL может приводить к потере пакетов на низкопроизводительных платформах

CSCei02273

Да

1-е сообщение журнала не отправляется по почте в прозрачном брандмауэре

CSCei43588

Да

Обратная трассировка при попытке сопоставить пакет и acl с отказом

CSCsc00176

Да

clear xlate требует 4.5+ мин для очистки 60K PAT xlate

CSCsc02485

Да

Команда Session: отправка \036x\r в ssm для завершения приводит к обратному отслеживанию

CSCsc07614

Да

Минимальное время опроса устройства приводит к проблеме при восстановлении после отказа с платой 4GE

CSCsc14591

Да

в xlate и xlate perfmon print graph выдаются одни нули

CSCsc15434

Да

Нарушение подтверждения с трафиком icmp и проверкой icmp

CSCsc16503

Да

Прозрачный брандмауэр ASR UDP: в исходящем трафике возникают ошибки и происходит сбой входящего трафика

CSCsc17409

Да

dhcprelay: устройство ASA блокирует пакеты RELEASE

CSCsc17428

Да

Обратное отслеживание для ci/console с 'clear config all'

CSCsc18444

Да

Туннельная группа для определенного однорангового узла не создается при обновлении до 7.0 с сертификатами


Сопутствующая документация

Дополнительная информация об адаптивном устройстве обеспечения безопасности приведена в следующих документах на веб-сайте Cisco.com.

Cisco ASA 5500 — Руководство по установке оборудования

Инструкция по началу работы с Cisco ASA 5500 Series Adaptive Security Appliance

Cisco ASDM: комментарии к выпуску

Руководство по конфигурации командной строки Cisco Security Appliance

Справочник по командам Cisco Security Appliance

Переход на устройство ASA для администраторов концентратора VPN 3000 Series Concentrator

Комментарии к выпуску для Cisco SSL VPN Client

Руководство по конфигурации Cisco Secure Desktop

Комментарии к выпуску для Cisco Secure Desktop

Соглашения по техническим условиям и информация о безопасности для Cisco ASA 5500 Series

Избранные процедуры настройки ASDM VPN для Cisco ASA 5500 Series

Настройка регистрации и сообщений системного журнала для Cisco Security Appliance

Советы по настройке ПО на главной странице Центра технической поддержки Cisco

У Центра технической поддержки Cisco имеется много полезных страниц. При наличии учетной записи CDC, можно обратиться на следующие веб-сайты.

Центр технической поддержки: устранение неполадок, примеры конфигураций, информация об оборудовании, установки ПО и т.д.

http://www.cisco.com/en/US/customer/products/hw/vpndevc/ps2030/tsd_products_support_eol_series_home.html

Получение документации

Документацию Cisco и дополнительную литературу см. на веб-сайте Cisco.com. Компания Cisco предлагает несколько способов предоставления технической поддержки и других ресурсов. В следующих разделах представлена информация о том, как получить техническую поддержку компании Cisco Systems.

Cisco.com

См. актуальную версию документации Cisco по адресу:

http://www.cisco.com/cisco/web/RU/support/index.html

См. веб-сайт Cisco по адресу:

http://www.cisco.com

См. международный веб-сайт Cisco по адресу:

http://www.cisco.com/web/siteassets/locator/index.html

DVD-диск с документацией по продуктам

DVD-диск "Product Documentation DVD" является полным комплектом технической литературы по оборудованию, размещенный на компактном носителе. Настоящий диск содержит данные по установке и конфигурированию аппаратного и программного обеспечения оборудования Cisco различных версий. Диск позволяет получать доступ к аналогичной документации в формате HTML, находящейся на веб-сайте компании Cisco при условии наличия доступа к сети Интернет. Для некоторых продуктов представлена документация в формате PDF.

DVD-диск "Product Documentation" можно получить единовременно либо по подписке. Зарегистрированные пользователи Cisco.com (клиенты Cisco Direct) могут заказать DVD-диск "Product Documentation" (номера оборудования DOC-DOCDVD= или DOC-DOCDVD=SUB) в разделе Cisco Marketplace сайта компании, расположенного по адресу:

http://www.cisco.com/go/marketplace/

Заказ документации

Зарегистрированные пользователи Cisco.com могут заказать документацию Cisco в разделе Product Documentation Store/Cisco Marketplace на сайте компании, расположенном по адресу:

http://www.cisco.com/go/marketplace/

Незарегистрированные пользователи могут заказать техническую документацию с 8:00 до 17:00 (08:00-17:00) PDT (дневное тихоокеанское время), позвонив по номеру 1 866 463-3487 (для США и Канады) или по номеру 011 408 519-5055 (для других стран). Кроме того, документацию можно заказать, отправив заявку по электронной почте на адрес: tech-doc-store-mkpl@external.cisco.com или по факсу 1 408 519-5001 (для США и Канады) и 011 408 519-5001 (для других стран).

Отзывы о документации

Свои отзывы о качестве технической документации можно направить в компанию Cisco, заполнив специальную форму в на сайте Cisco.com в интерактивном режиме.

Для обратной связи можно использовать открытку для отзывов (если таковая присутствует), которая прикреплена к первой страницей обложки изнутри или написать письмо по следующему адресу

Cisco Systems
Attn: Customer Document Ordering
170 West Tasman Drive
San Jose, CA 95134-9883

Спасибо за присланную информацию!

Обзор техники безопасности при работе с оборудованием Cisco

Портал Security Vulnerability Policy (Нормы политики безопасности) компании Cisco находится по адресу:

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

Данный веб-сайт содержит информацию по следующим вопросам.

Предоставление данных о проблемах вязанных с безопасностью при работе с оборудованием Cisco.

Получение технической поддержки при возникновении проблем с безопасностью оборудования Cisco.

Регистрация и получение информации по безопасности от компании Cisco.

Текущий список рекомендаций по безопасности, уведомлений о безопасности и обновлений системы безопасности можно найти по адресу:

http://www.cisco.com/go/psirt

Для получения рекомендаций по безопасности, уведомлений о безопасности и обновлений системы безопасности, предоставляемых в режиме реального времени, необходимо оформить подписку на услугу PSIRT RSS (Служба немедленного реагирования на проблемы с безопасностью, с интерфейсом в RSS-формате). Инструкцию о том, как правильно подписаться на услугу PSIRT RSS, см. найти по адресу:

http://www.cisco.com/en/US/products/products_psirt_rss_feed.html

Предоставление данных о проблемах, связанных с безопасностью при работе с оборудованием Cisco

Компания Cisco старается предоставлять только оборудование, обладающее высокой степенью безопасности. Все оборудование проходит строгий контроль качества. Специалисты компании готовы устранить любые проблемы в кратчайшие сроки. В случае обнаружения неисправности с оборудованием Cisco, свяжитесь с центром PSIRT.

В случае экстренной необходимости обратитесь по адресу: security-alert@cisco.com

Экстренной считается такая ситуация, когда система атакуется извне, либо имеется серьезная проблема, требующая немедленного решения. Остальные ситуации экстренными не считаются.

В случаях, не являющихся экстренными, обращайтесь по адресу: psirt@cisco.com

В случае экстренной необходимости можно связаться с PSIRT по телефону:

1 877 228-7302

1 408 525-6532


Совет. Рекомендуем использовать продукт Pretty Good Privacy (PGP) или совместимое решение (например, GnuPG) для шифрования всех данных, отправляемых Cisco. PSIRT может работать с данными, зашифрованными при помощи PGP версии 2.x при помощи 9.x.

Запрещается использовать аннулированные или просроченные ключи. При обмене корреспонденцией с PSIRT необходимо использовать ключ, соединенный с разделом Contact Summary страницы Security Vulnerability Policy, расположенной по адресу

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

Ссылка по данному адресу имеет идентификатор текущего ключа PGP.

При отсутствии PGP, свяжитесь с PSIRT по адресу электронной почты, упомянутому выше, или по телефону для того, чтобы узнать способы шифрования чувствительных данных перед тем, как отправлять их


Получение технической поддержки

Служба технической поддержки компании Cisco предоставляет круглосуточную помощь заказчикам. Веб-сайт технической поддержки и документации Cisco на сервере Cisco.com содержит широкий ассортимент справочных ресурсов, доступных в интерактивном режиме. Кроме того, при наличии действующего сервисного контракта с компанией Cisco, инженеры Cisco Technical Assistance Center (Центр технической поддержки Cisco) предоставят полную техническую поддержу по телефону. Если подобного контракта нет, необходимо вязаться со своим дистрибьютором Cisco.

Веб-сайт технической поддержки и документации Cisco

На веб-сайте технической поддержки и документации Cisco представлены интерактивные документы и средства для устранения неполадок и решения технических вопросов, связанных с продуктами и технологиями Cisco. Веб-сайт доступен 24 часа в сутки по адресу:

http://www.cisco.com/cisco/web/RU/support/index.html

Для того, чтобы получить доступ ко всем ресурсам веб-сайта технической поддержки и документации необходим идентификатор и пароль пользователя на сервере Cisco.com. При наличии действующего сервисного контракта, но отсутствии идентификатора пользователя и пароля можно зарегистрироваться по адресу:

http://tools.cisco.com/RPF/register/register.do


Примечание. Используйте средство идентификации изделий Cisco (Cisco Product Identification) для поиска серийного номера оборудования перед тем, как направлять запрос на обслуживание через Интернет или по телефону. Доступ к средству CPI можно получить с веб-сайта технической поддержки и документации Cisco, выбрав пункт Tools & Resources в меню Documentation & Tools. Выберите Cisco Product Identification Tool из списка Alphabetical Index, либо нажмите Cisco Product Identification Tool в меню Alerts & RMAs. Средство CPI предлагает 3 режима поиска: по идентификатору или наименованию модели оборудования; при помощи дерева поиска; по типу оборудования, путем вставки и копирования команды показать. В результатах поиска представлено графическое изображение оборудования с цветовым выделением серийного номера. Перед тем, как обратиться в службу поддержки, определите серийный номер своего оборудования и запишите его.


Отправка запроса на обслуживание

Применение средства открытия запроса в Центр технической поддержки Cisco (TAC Service Request Tool) является самым быстрым способом отправки запросов на обслуживание уровней S3 и S4. (Запросы на обслуживание уровней S3 и S4 применяются в случае, если повреждения сети минимальны или нужна информация о продукте.) После того как будет описана текущая ситуация TAC Service Request Tool автоматически предложит рекомендуемое решение. Если не удалось решить проблему с помощью рекомендуемых ресурсов, она будет передана для рассмотрения инженеру Центра технической поддержки Cisco. Средство открытия запроса в Центр технической поддержки Cisco (TAC Service Request Tool) располагается по адресу:

http://www.cisco.com/cisco/web/RU/support/index.html/servicerequest

В случае запросов уровня S1 или S2, а также при отсутствии доступа к Интернету, в Центр технической поддержки Cisco можно обратиться по телефону. (Запросы на техническое обслуживание уровней S1 и S2 применяются в случае, выхода из строя или серьезного повреждения производственной сети.) На запросы уровней S1 и S2 сразу же назначаются инженеры Центра технической поддержки Cisco, что позволяет поддерживать бесперебойное выполнение бизнес-операций в компании-клиента.

Номера телефонов Центра технической поддержки Cisco:

Азия и страны Тихоокеанского региона: +61 2 8446 7411 (Австралия: 1 800 805 227)
Европа, Африка и Ближний Восток: +32 2 704 55 55
США: 1 800 553-2447

Полный список контактов Центра технической поддержки Cisco см. по адресу:

http://www.cisco.com/cisco/web/RU/support/index.html/contacts

Определение критичности запроса на обслуживание

Чтобы обеспечить подачу всех запросов на обслуживание в стандартном формате, в компании Cisco применяются установленные определения критичности запросов на обслуживание.

Критичность 1 (S1) — полное прекращение работы сети или неполадки, оказывающие критическое влияние на выполнение бизнес-операций. Для разрешения ситуации все ресурсы компании-клиента и Cisco задействуются в круглосуточном режиме.

Критичность 2 (S2) — значительное снижение производительности существующей сети или негативное воздействие некорректной работы продуктов Cisco на важные аспекты бизнес-операций компании. Для разрешения ситуации штатные ресурсы компании-клиента и Cisco задействуются в рабочее время.

Критичность 3 (S3) — производительность сети снижена, однако большая часть бизнес-операций продолжает выполняться. Для разрешения ситуации компания-клиент и Cisco принимают меры и задействуют ресурсы для восстановления приемлемого уровня работы оборудования.

Критичность 4 (S4) — требуется информация или помощь при установке, рекомендации по конфигурированию продуктов Cisco или информация об их функциональных возможностях. Негативное воздействие на бизнес-операции незначительно или отсутствует.

Получение дополнительной документации и информации

Информация по продуктам, технологиям и сетевым решениям Cisco доступна из различных печатных и электронных источников.

Краткий справочник по оборудованию Cisco представляет собой удобное в обращении, компактное справочное руководство, включающее краткое описание оборудования, ключевых особенностей, образцы инвентарных номеров устройств, а также сокращенные технические спецификации. Справочник можно приобрести через партнерскую сеть Cisco. Информация в справочнике обновляется дважды в год, что обеспечивает ее актуальность. Получить более подробную информацию о кратком справочнике по оборудованию Cisco, а также заказать его, можно по адресу:

http://www.cisco.com/go/guide

На веб-сайте Cisco Marketplace можно найти различные книги, справочные руководства и сувенирные продукты с логотипом Cisco. Посетите корпоративный магазин Cisco Marketplace по адресу:

http://www.cisco.com/go/marketplace/

Издательство Cisco Press выпускает широкий ассортимент литературы по сетевым технологиям, обучению и сертификации. Публикации предназначаются как для молодых, так и для опытных специалистов. Полный список изданий Cisco Press и сопутствующую информацию см. на веб-сайте издательства по адресу:

http://www.ciscopress.com

Журнал Packet — техническое издание Cisco Systems, выпускаемое в целях распространения Интернет-технологий и стимулирования инвестиций в сетевые технологии. Каждый квартал журнал Packet проводит обзор последних тенденций в промышленности, технологических прорывов, а также продуктов и решений Cisco, публикует советы по развертыванию сети и устранению неисправностей, примеры конфигурации, разборы вопросов клиентов информация по обучению и сертификации, а также ссылки на множество профессиональных веб-ресурсов. См. журнал Packet по адресу:

http://www.cisco.com/packet

Журнал iQ Magazine — ежеквартальное издание компании Cisco Systems, содержащее советы развивающимся компаниям о том, как правильно использовать новые технологии и увеличить прибыль, развить свой бизнес и расширить сферу обслуживания. В настоящем издании освещаются проблемы, с которыми приходится сталкиваться компаниям, а также технологии, позволяющие устранять их. Журнал содержит реальные примеры и бизнес-стратегии, позволяющие читателям принимать адекватные решения при размещении инвестиций. См. журнал iQ Magazine по адресу:

http://www.cisco.com/go/iqmagazine

либо загрузите электронную версию журнала, находящуюся по адресу:

http://ciscoiq.texterity.com/ciscoiq/sample/

Ежеквартальный журнал Internet Protocol Journal выпускается Cisco Systems для инженерного персонала, участвующего в проектировании, разработке и эксплуатации общественных и частных глобальных и внутренних сетей. См. журнал Internet Protocol Journal по адресу:

http://www.cisco.com/ipj

Информацию о сетевых продуктах, предлагаемых компанией Cisco Systems, а также техническую поддержку можно получить по адресу:

http://www.cisco.com/en/US/products/index.html

Networking Professionals Connection — интерактивный Интернет-ресурс, предназначенный для специалистов, занятых в области сетевых технологий. В нем специалистами Cisco освещаются вопросы, делаются предложения и предоставляется информация о сетевых продуктах и технологиях. Присоединиться к обсуждению можно по адресу:

https://supportforums.cisco.com/index.jspa

Компания Cisco проводит обучение по сетевым технологиям с качеством международного уровня. Текущие программы обучения см. по адресу:

http://www.cisco.com/en/US/learning/index.html