Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Краткое руководство по началу работы с модулями адаптивной защиты Cisco серии ASA 5500, версия 7.0

7 апреля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Отзыв

Содержание

Модуль адаптивной защиты Cisco серии ASA 5500.
Краткое руководство по началу работы.

О модуле адаптивной защиты Cisco серии ASA 5500

Проверка содержимого упаковки

Установка модуля адаптивной защиты Cisco серии ASA 5500

Монтаж шасси в стойке

Подключение интерфейсных кабелей

Настройка модуля адаптивной защиты Cisco серии ASA 5500

О заводской конфигурации по умолчанию

Об интерфейсе Adaptive Security Device Manager

О настройке при помощи интерфейса командной строки

Использование мастера запуска Startup Wizard

Основные сценарии настройки

Сценарий 1: настройка DMZ

Сценарий 2: VPN с удаленным доступом

Сценарий 3: настройка VPN типа "сеть-сеть"

Дальнейшие действия

Порядок установки и настройки дополнительных модулей SSM

Порядок действий для модулей 4GE SSM

Порядок действий для модулей AIP SSM

Дополнительные операции по обслуживанию и модернизации

Получение лицензий для шифрования DES и 3DES/AES

Восстановление конфигурации по умолчанию

Проверка показаний светодиодов

Получение документации

Отзывы о документации

Обзор безопасности продуктов Cisco

Обращение за технической помощью

Получение дополнительных публикаций и информационных материалов


Краткое руководство по началу работы

Краткое руководство по началу работы

Модуль адаптивной защиты Cisco серии ASA 5500.
Краткое руководство по началу работы.


О модуле адаптивной защиты Cisco серии ASA 5500

Семейство модулей адаптивной защиты 5500 объединяет специально разработанные устройства, воплощающие в себе блочную концепцию и обеспечивающие защиту корпоративного класса для сетей средних и крупных предприятий. Универсальное исполнение в одну единицу высоты (1RU) поддерживает до восьми интерфейсов Gigabit Ethernet 10/100/1000 (в моделях 5520 и 5540) и один управляющий интерфейс 10/100 Fast Ethernet. Такое сочетание характеристик делает устройство идеальным выбором для предприятий, нуждающихся в экономичных, устойчивых решениях для сетевой защиты с поддержкой демилитаризованной зоны (DMZ). Дополнительно может быть установлен модуль 4GE SSM с четырьмя портами (по два интерфейса на каждом) для медных кабелей RJ-45 (Ethernet) и оптоволоконных разъемов формата SFP. Модели Cisco ASA 5500, входящие в число передовых модульных решений Cisco для защиты сетей,
обладают обширным набором встроенных средств защиты, поддерживает аппаратное ускорение VPN и реализует полноценную защиту от вторжения. Устройство заслужило широкое признание за максимальный уровень доступности, отличается высокой производительностью, а благодаря мощным средствам дистанционного управления может легко развертываться.

О данном документе

В этом документе описан порядок установки и настройки модулей адаптивной защиты Cisco ASA 5510, 5520 и 5540, используемых для реализации VPN, DMZ, удаленного доступа и для защиты от вторжения.

После выполнения операций, описанных в данном документе, модуль адаптивной защиты будет стабильно функционировать для реализации VPN, DMZ или конфигурации удаленного доступа, отвечающей наиболее распространенным схемам развертывания. В этом документе приводится только минимум информации, необходимой для подготовки и запуска модуля адаптивной защиты в базовой конфигурации.

Дополнительные сведения можно найти в следующей документации:

Замечания к выпуску серии Cisco ASA 5500

Руководство по установке оборудования серии Cisco ASA 5500

Руководство по настройке модулей защиты Cisco при помощи интерфейса командной строки

Справочник по командам модулей защиты Cisco

Настройка ведения журналов и описание сообщений системного журнала в модулях защиты Cisco

1 Проверка содержимого упаковки

Проверьте содержимое упаковки, чтобы убедиться, что модуль адаптивной защиты Cisco ASA 5500 поставлен в полном комплекте.

2 Установка модуля адаптивной защиты Cisco серии ASA 5500


Предупреждение Этот значок предупреждает об опасности. Сложившаяся ситуация может привести к телесным повреждениям. Прежде чем начинать работу с оборудованием, ознакомьтесь с возможными опасностями при работе с электрическими схемами, а также со стандартными мерами предупреждения несчастных случаев. После каждого предупреждения приведен номер, по которому соответствующий пункт можно найти в переведенных предупреждениях по технике безопасности, сопровождающих устройство. Пункт 1071



Внимание Следуйте всем предупреждениям о мерах безопасности, изложенным в документе Сведения о нормативном соответствии и безопасности устройств Cisco серии ASA 5500. При выполнении всех операций соблюдайте технику безопасности.

Предупреждение


Во избежание травм при монтаже или обслуживании данного модуля в стойке необходимо принять специальные меры для обеспечения механической устойчивости системы. Обеспечить безопасность помогут следующие рекомендации:

Если модуль является единственным устройством в стойке, он должен располагаться в нижней части стойки.

При установке в частично заполненную стойку необходимо придерживаться порядка снизу вверх, располагая снизу самое тяжелое устройство.

Если стойка оснащена стабилизаторами, перед монтажом или обслуживанием модуля в стойке установите стабилизаторы. Пункт 1006


Рекомендации по монтажу модуля адаптивной защиты в стойке:

Оставьте вокруг стойки свободное пространство, чтобы иметь к ней доступ для технического обслуживания.

Если устройство устанавливается в закрытой стойке, предусмотрите достаточную вентиляцию. Закрытая стойка не должна заполняться плотно, поскольку каждое устройство выделяет тепло.

При установке устройства в открытую стойку следите за тем, чтобы рама стойки не загораживала входные и выходные вентиляционные проемы.


Предупреждение Перед выполнением любой из описанных ниже операций отключите цепь постоянного тока. Чтобы убедиться, что питание полностью отключено, найдите на панели выключатель цепи постоянного тока, переведите его в положение OFF (ВЫКЛ.) и закрепите тумблер выключателя в выключенном положении липкой лентой. Пункт 7


Монтаж шасси в стойке

Для установки шасси в стойку выполните следующие операции.


Шаг 1 С помощью винтов из комплекта закрепите скобы для монтажа в стойке на шасси. Скобы крепятся к отверстиям рядом с передней или задней стороной шасси. (См. рис. 1).

Рис. 1. Установка скоб

Шаг 2 С помощью винтов из комплекта закрепите шасси в стойке. (См. рис. 2).

Рис. 2. Монтаж шасси в стойке


Подключение интерфейсных кабелей

Для подключения интерфейсных кабелей выполните следующие операции:


Шаг 1 С помощью винтов из комплекта закрепите шасси в стойке.


Примечание Перед подключением компьютера или терминала к консольному порту проверьте скорость передачи. Скорость передачи должна совпадать со скоростью консольного порта модуля адаптивной защиты (по умолчанию — 9600 бод). Настройте компьютер или терминал следующим способом: скорость 9600 бод (по умолчанию), 8 битов данных, без контроля четности, 1 стоповый бит, квитирование — аппаратное.


Шаг 2 Возьмите синий консольный кабель из комплекта принадлежностей. Данный кабель снабжен с одного конца разъемом RJ-45, с другого — разъемом DB-9.

Шаг 3 Подключите разъем RJ-45 синего консольного кабеля к консольному порту на задней панели модуля адаптивной защиты. (См. рис. 3).

Шаг 4 Подключите разъем DB-9 синего консольного кабеля к последовательному порту компьютера или терминала.

Рис. 3. Подключение консольного кабеля к шасси

1

Консольный порт RJ-45

2

Консольный (нуль-модемный) кабель RJ-45 — DB-9



Примечание Вместо консольного кабеля для управления устройством можно подключить Ethernet-кабель к порту MGMT. Порт MGMT с интерфейсом Fast Ethernet предназначен только для трафика, относящегося к управлению устройством, и обозначается как Management0/0. Порт MGMT аналогичен консольному порту, но принимает только входящий трафик.


Шаг 5 Возьмите желтый Ethernet-кабель из комплекта принадлежностей.

Шаг 6 Соедините Ethernet-кабелем Ethernet-порт модуля с другим сетевым устройством, например, маршрутизатором, коммутатором или концентратором.

Шаг 7 Подключите шнур питания к модулю адаптивной защиты и соедините его с источником питания.

Шаг 8 Включите питание шасси.


3 Настройка модуля адаптивной защиты Cisco серии ASA 5500

В этом разделе описывается начальная настройка модуля адаптивной защиты. Операции, связанные с настройкой модуля, можно выполнять через веб-интерфейс диспетчера устройств адаптивной защиты Cisco (ASDM) или через интерфейс командной строки (CLI).


Примечание Для использования диспетчера ASDM необходима лицензия DES или 3DES-AES. Дополнительную информацию см. в разделе Получение лицензий для шифрования DES и 3DES/AES.


О заводской конфигурации по умолчанию

Модули адаптивной защиты Cisco поставляются в заводской конфигурации по умолчанию, обеспечивающей быстрый первоначальный запуск. Эта конфигурация отвечает потребностям сетевых окружений на большинстве малых и средних предприятий. По умолчанию модуль адаптивной защиты настроен следующим образом:

На внутреннем интерфейсе (GigabitEthernet0/1) настроен пул адресов DHCP по умолчанию.

Эта конфигурация позволяет клиенту во внутренней сети получить DHCP-адрес от адаптивного модуля защиты для подключения к модулю. После этого администраторы могут настраивать модуль и управлять им с помощью диспетчера ASDM.

Внешний интерфейс (GigabitEthernet0/0) используется для подключения к открытой сети и по умолчанию настроен на запрет всего входящего трафика.

Такая настройка защищает внутреннюю сеть от нежелательного трафика.

В соответствии с действующей политикой сетевой безопасности следует также рассмотреть возможность настройки модуля для запрета всего ICMP-трафика через внешний или любой другой интерфейс, для которого такой запрет был бы обоснован. Эту политику управления доступом можно настроить с помощью команды icmp. Подробное описание команды icmp можно найти в Справочнике по командам модулей защиты Cisco.

Об интерфейсе Adaptive Security Device Manager

Диспетчер устройств адаптивной защиты (ASDM) представляет собой многофункциональный графический интерфейс для управления и наблюдения за модулем адаптивной защиты. Поскольку диспетчер построен на веб-интерфейсе, подключаться к модулю адаптивной защиты и управлять им можно из любого места посредством веб-браузера.

Помимо полного набора средств для настройки и управления в диспетчер ASDM входят интеллектуальные мастера, упрощающие и ускоряющие развертывание модуля адаптивной защиты.

Для использования ASDM необходима лицензия DES или 3DES-AES. Кроме того, в веб-браузере должно быть разрешено выполнение Java и JavaScript.

О настройке при помощи интерфейса командной строки

Вместо веб-интерфейса ASDM для настройки модуля адаптивной защиты можно также использовать интерфейс командной строки. Дополнительную информацию см. в Руководстве по настройке модулей защиты Cisco при помощи интерфейса командной строки и Справочнике по командам модулей защиты Cisco.

Использование мастера запуска Startup Wizard

В состав ASDM входит мастер запуска Startup Wizard, упрощающий первоначальную настройку модуля адаптивной защиты. За несколько шагов мастер Startup Wizard позволяет настроить модуль адаптивной защиты так, чтобы он обеспечивал защищенную транспортировку пакетов между внутренней сетью (GigabitEthernet0/1) и внешней сетью (GigabitEthernet0/0).

Прежде чем начать работу с мастером Startup Wizard, необходимо подготовить следующую информацию:

Уникальное имя узла сети для идентификации модуля адаптивной защиты в вашей сети.

IP-адреса внешнего, внутреннего и других интерфейсов.

IP-адреса, используемые для настройки NAT или PAT.

Диапазон IP-адресов для DHCP-сервера.

Чтобы вызвать мастер Startup Wizard для базовой настройки модуля адаптивной защиты, выполните следующие операции:


Шаг 1 Соедините интерфейс MGMT с коммутатором или концентратором посредством кабеля Ethernet, если это еще не сделано. К этому же коммутатору подключите ПК, с которого будет осуществляться настройка модуля адаптивной защиты.

Шаг 2 Настройте ПК на использование протокола DHCP (чтобы автоматически получить IP-адрес от модуля) или присвойте ПК статический IP-адрес в сети 192.168.1.0. (Допустимы адреса с 192.168.1.2 по 192.168.1.254, маска сети — 255.255.255.0, маршрутизатор по умолчанию — 192.168.1.1.)


Примечание Интерфейс MGMT на модуле адаптивной защиты по умолчанию использует адрес 192.168.1.1, поэтому присвоить этот адрес компьютеру нельзя.


Шаг 3 Проверьте светодиодный индикатор LINK на интерфейсе MGMT.

После установки соединения светодиод LINK на модуле и соответствующий ему светодиод на коммутаторе или концентраторе должен непрерывно гореть зеленым светом.

Шаг 4 Запустите мастер Startup Wizard.

а. На ПК, подключенном к коммутатору или концентратору, запустите веб-браузер.

б. В поле адреса браузера введите следующий URL: https://192.168.1.1/.


Примечание По умолчанию модуль адаптивной защиты настроен на IP-адрес 192.168.1.1. Не забудьте букву "s" в названии протокола "https", иначе соединение не установится. HTTPS (HTTP поверх SSL) обеспечивает защищенное соединение между браузером и модулем адаптивной защиты.


Шаг 5 В диалоговом окне, запрашивающем имя пользователя и пароль, оставьте пустыми оба поля. Нажмите клавишу Enter.

Шаг 6 Нажмите кнопку Yes (Да), чтобы принять сертификаты. Во всех последующих диалоговых окнах, касающихся аутентификации и сертификатов, выбирайте Yes (Да).

Запустится диспетчер ASDM.

Шаг 7 В меню Wizards, расположенном в верхней части окна ASDM, выберите Startup Wizard.

Шаг 8 Для настройки модуля адаптивной защиты следуйте указаниям мастера Startup Wizard. Для информации об отдельных полях мастера выберите Help (Справка) в нижней части окна.


4 Основные сценарии настройки

В этом разделе приводятся примеры настройки модуля адаптивной защиты для трех наиболее распространенных применений:

Хостинг веб-сервера в сети DMZ

Настройка VPN-соединений для удаленного доступа, позволяющих клиентам устанавливать защищенную связь с внутренней сетью извне

Настройка VPN-соединения типа "сеть-сеть" для объединения с сетями бизнес-партнеров или филиалов

Эти сценарии можно использовать в качестве ориентировочных при настройке собственной сети, подставив собственные сетевые адреса и применив необходимые дополнительные политики.

Сценарий 1: настройка демилитаризованной зоны

Демилитаризированная зона (DMZ) представляет собой отдельную сеть в нейтральной зоне между частной (внутренней) сетью и общей (внешней) сетью. Топология сети в этом примере соответствует наиболее распространенным схемам реализации DMZ при помощи модуля адаптивной защиты. Веб-сервер находится на интерфейсе DMZ, и HTTP-клиенты как из внутренней, так и из внешней сети имеют к нему доступ в защищенной среде.

На рис. 4 показан пример, в котором HTTP-клиент (10.10.10.10) во внутренней сети инициирует HTTP-сеанс с веб-сервером, расположенным в DMZ (10.30.30.30). Доступ по HTTP к веб-серверу в DMZ предоставляется всем клиентам из Интернета, но связь с остальными узлами для них запрещена. Для сети настроен пул IP-адресов с 10.30.30.50 по 10.30.30.60. (Пул IP-адресов — это диапазон адресов, доступных для интерфейса DMZ.)

Рис. 4. Схема сети для сценария настройки DMZ

Поскольку веб-сервер расположен в частной сети DMZ, необходимо преобразовывать его частный IP-адрес во внешний (маршрутизируемый) IP-адрес. Используя этот адрес, клиенты извне могут обращаться к веб-серверу DMZ точно так же, как к любому серверу в Интернете.

В сценарии конфигурации DMZ, показанном на рис. 4, доступными для внешних подключений сделаны два маршрутизируемых IP-адреса. Один адрес принадлежит внешнему интерфейсу (209.165.200.225) модуля адаптивной защиты, другой соответствует внешнему IP-адресу веб-сервера в DMZ (209.165.200.226). Ниже описан порядок операций в ASDM по настройке модуля адаптивной защиты для защищенного взаимодействия между клиентами HTTP и веб-сервером.

В этом сценарии DMZ модуль адаптивной защиты имеет заранее настроенный внешний интерфейс dmz. Необходимо настроить модуль адаптивной защиты для вашей конфигурации DMZ с помощью мастера Startup Wizard. Убедитесь, что уровень безопасности установлен в диапазоне от 0 до 100 (обычно выбирается значение 50).

Необходимая информация

Прежде чем приступить к настройке, необходимо подготовить следующую информацию:

Внутренние IP-адреса серверов в DMZ (в данном сценарии — веб-сервера), которые вы хотите сделать доступными клиентам во внешней сети.

Внешние IP-адреса, используемые для серверов в DMZ. (Клиенты во внешней сети для доступа к серверу в DMZ будут использовать внешний IP-адрес.)

Клиентский IP-адрес, подставляемый вместо внутренних IP-адресов в исходящем трафике. (Этот адрес будет присутствовать в исходящем трафике к клиентам, которые не смогут определить внутренний IP-адрес.)

Шаг 1: настройка пулов IP-адресов для преобразования.

Чтобы внутренний HTTP-клиент (10.10.10.10) мог обращаться к веб-серверу в сети DMZ (10.30.30.30), необходимо определить пул IP-адресов (10.30.30.50-10.30.30.60) для интерфейса DMZ. Аналогичным образом необходимо определить пул IP-адресов для внешнего интерфейса (209.165.200.225), чтобы внутренний HTTP-клиент имел доступ к любым устройствам во внешней сети. ASDM позволяет эффективно управлять пулами IP-адресов и обеспечивать безопасный обмен данными между защищенными сетевыми клиентами и устройствами в Интернете.

1. Запустите ASDM, указав в поле адреса браузера следующий IP-адрес по умолчанию: https://192.168.1.1/admin/.


Примечание Не забудьте букву "s" в названии протокола "https", иначе соединение не установится. HTTPS (HTTP поверх SSL) обеспечивает защищенное соединение между браузером и модулем адаптивной защиты.


2. Выберите Configuration (Конфигурация) в верхней части окна ASDM.

3. Выберите функцию NAT в левой части окна ASDM.

4. Выберите Manage Pools (Управление пулами) в нижней части окна ASDM. Откроется диалоговое окно Manage Global Address Pools (Управление глобальными пулами адресов), позволяющее добавлять и редактировать глобальные адресные пулы.


Примечание В большинстве конфигураций глобальные пулы назначаются менее безопасным (т.е. внешним) интерфейсам.


5. В диалоговом окне Manage Global Address Pools (Управление глобальными пулами адресов):

а. Выберите интерфейс dmz (настроенный заранее в мастере Startup Wizard).

б. Нажмите кнопку Add (Добавить) Появится диалоговое окно Add Global Pool Item (Добавление элемента глобального пула).

6. В диалоговом окне Add Global Pool Item:

а. Выберите dmz в раскрывающемся меню Interface.

б. Выберите Range, чтобы указать диапазон IP-адресов.

в. Введите диапазон IP-адресов для интерфейса DMZ. В этом сценарии используется диапазон с 209.165.200.230 по 209.165.200.240.

г. Введите уникальный идентификатор пула. В этом сценарии используется идентификатор пула 200.

д. Нажмите кнопку OK, чтобы возвратиться в диалоговое окно Manage Global Address Pools.


Примечание Если набор IP-адресов для интерфейса DMZ ограничен, то также можно выбрать режим преобразования адресов портов: Port Address Translation (PAT) (Преобразование адресов портов) или Port Address Translation (PAT) using the IP address of the interface (Преобразование адресов портов с помощью IP-адреса интерфейса).


7. В диалоговом окне Manage Global Address Pools (Управление глобальными пулами адресов):

а. Выберите внешний интерфейс (outside).

б. Нажмите кнопку Add (добавить)

8. После появления диалогового окна Add Global Pool Item:

а. Выберите outside в раскрывающемся меню Interface.

б. Выберите.Port Address Translation (PAT) using the IP address of the interface (преобразование адресов портов с использованием IP-адреса интерфейса).

в. Назначьте этому пулу тот же идентификатор, что и в шаге 6г. (В этом сценарии используется идентификатор пула 200.)

г. Нажмите кнопку ОК. Конфигурация на экране должна иметь примерно следующий вид:

9. Убедитесь, что значения параметров указаны верно, затем:

а. Нажмите кнопку ОК.

б. В основном окне ASDM нажмите кнопку Apply (Применить).


Примечание Поскольку число внешних IP-адресов ограничено двумя, один из которых зарезервирован для сервера в DMZ, весь трафик от внутреннего HTTP-клиента будет исходить из модуля адаптивной защиты с IP-адресом внешнего интерфейса. Такая конфигурация позволяет осуществлять маршрутизацию трафика между внутренним клиентом и Интернетом.


Шаг 2: настройка преобразования адресов в частных сетях.

Преобразование сетевых адресов (NAT) заменяет исходные IP-адреса в сетевом трафике, проходящем между двумя интерфейсами на модуле адаптивной защиты. Это преобразование обеспечивает возможность маршрутизации через внешнюю сеть с сокрытием внутренних адресов.

Преобразование адресов портов (PAT) представляет собой расширение функции NAT, предназначенное для представления нескольких IP-адресов узлов частной сети в виде одного IP-адреса во внешней сети. Использование PAT будет наиболее целесообразным для малых и средних предприятий, которым доступно ограниченное число внешних IP-адресов.

Для настройки NAT между внутренним интерфейсом и интерфейсом DMZ для внутреннего HTTP-клиента перейдите на главную страницу ASDM и выполните следующие операции:

1. Выберите Configuration (Конфигурация) в верхней части окна ASDM.

2. Выберите функцию NAT в левой части окна ASDM.

3. Выберите Translation Rules (Правила преобразования), затем нажмите кнопку Add справа на странице ASDM.

4. В диалоговом окне Add Address Translation Rule (добавление правила преобразования адресов) убедитесь, что выбран режим Use NAT (использовать NAT) и выберите внутренний интерфейс (inside ).

5. Введите IP-адрес внутреннего клиента. В этом сценарии используется IP-адрес 10.10.10.10.

6. Выберите 255.255.255.224 в раскрывающемся меню Mask (маска).

7. В раскрывающемся меню Translate Address on Interface (Преобразование адреса на интерфейсе) выберите интерфейс DMZ.

8. В разделе Translate Address To (Преобразование адреса в) выберите Dynamic (Динамически).

9. В раскрывающемся меню Address Pools (Пулы адресов) выберите идентификатор пула 200.

10. Нажмите кнопку ОК.

11. Появится диалоговое окно с запросом продолжения операции. Выберите Proceed.(Продолжить)

12. На странице Translation Rules (Правила преобразования NAT) проверьте точность показанной конфигурации.

13. Чтобы завершить настройку модуля адаптивной защиты, нажмите кнопку Apply (Применить).

Конфигурация на экране должна иметь примерно следующий вид:

Шаг 3: настройка внешнего идентификатора для веб-сервера в DMZ.

Веб-сервер в DMZ должен быть доступен всем сетевым узлам в Интернете. Для этого необходимо преобразование адресов, при которой IP-адрес веб-сервера представляется как адрес сетевого узла в Интернете, по которому HTTP-клиенты могут обращаться к серверу, не зная о существовании модуля адаптивной защиты. Чтобы статически привязать IP-адрес веб-сервера (10.30.30.30) к внешнему IP-адресу (209.165.200.225), выполните следующие операции:

1. Выберите Configuration (Конфигурация) в верхней части окна ASDM.

2. Выберите функцию NAT в левой части окна ASDM.

3. Выберите Translation Rules (правила преобразования), затем нажмите кнопку Add справа на странице ASDM.

4. Выберите внешний интерфейс dmz в раскрывающемся списке интерфейсов.

5. Введите адрес веб-сервера (10.30.30.30) в поле IP address (IP-адрес).

6. В раскрывающемся меню Mask выберите 255.255.255.224, затем выберите Static (Статическая).

7. Введите внешний IP-адрес веб-сервера (209.165.200.226). Затем нажмите кнопку ОК.

8. Проверьте введенные значения и нажмите кнопку Apply (Применить).

Конфигурация на экране должна иметь примерно следующий вид:

Шаг 4: разрешение доступа по HTTP к веб-серверу в DMZ.

По умолчанию модуль адаптивной защиты запрещает прохождение любого трафика из внешней сети. Чтобы разрешить прохождение определенных видов трафика из внешней сети через модуль адаптивной защиты к ресурсам в DMZ, необходимо создать правила управления доступом в модуле адаптивной защиты.

Для настройки правила управления доступом, разрешающего прохождение трафика HTTP через модуль адаптивной защиты и доступ к веб-серверу в DMZ для любого клиента в Интернете, необходимы следующие операции:

1. В окне ASDM:

а. Выберите Configuration (Конфигурация).

б. Выберите Security Policy (Политика защиты) в левой части экрана ASDM.

в. В таблице выберите Add (Добавить).

2. В диалоговом окне Add Access Rule (добавление правила доступа):

а. В разделе Action (Действие) выберите permit (разрешить) в раскрывающемся меню, чтобы разрешить прохождение трафика через модуль адаптивной защиты.

б. В разделе Source Host/Network (Узел/сеть источника) выберите IP Address (IP-адрес).

в. Выберите outside в раскрывающемся меню Interface (Интерфейс).

г. Введите IP-адрес источника в разделе Source Host/Network (Узел/сеть источника). (0.0.0.0 соответствует трафику, исходящему из любого узла или сети.)

д. В разделе Destination Host/Network (Узел/сеть назначения) выберите IP Address.

е. Выберите dmz в раскрывающемся меню Interface (Интерфейс)

ж. В поле IP-адреса введите IP-адрес узла или сети адресата, например, адрес веб-сервера. (В этом сценарии веб-серверу присвоен адрес 10.30.30.30.)

з. Выберите 255.255.255.224 в раскрывающемся меню Mask (Маска).


Примечание Кроме того, в обоих случаях можно выбрать узлы и сети, нажав соответствующую кнопку Browse (Просмотр).


3. Укажите тип трафика, который требуется разрешить.


Примечание HTTP-трафик всегда направлен с произвольного TCP-порта источника на TCP-порт получателя с фиксированным номером 80.


а. В разделе Protocol and Service (Протокол и служба) выберите протокол TCP.

б. В разделе Source Port (Порт-источник) в раскрывающемся меню Service выберите условие "=" (равенство).

в. Нажмите кнопку со знаком многоточия (...), пролистайте список вариантов и выберите Any (Любой).

г. В разделе Destination Port (Порт назначения) в раскрывающемся меню Service выберите операцию " =" (равенство).

д. Нажмите кнопку со знаком многоточия (...), пролистайте список вариантов и выберите HTTP.

е. Нажмите кнопку ОК.


Примечание Для настройки дополнительных функций, включая ведение журналов системных сообщений по ACL, выберите More Options (Дополнительные параметры) в верхней части экрана. В диалоговом окне, расположенном снизу, можно указать название правила доступа.


ж. Проверьте введенные значения и нажмите кнопку OK.


Примечание Несмотря на то, что указанный адрес получателя является частным адресом веб-сервера DMZ (10.30.30.30), HTTP-трафик от любого сетевого узла в Интернете, адресованный 209.165.200.225, будет пропускаться через модуль адаптивной защиты. Прохождение трафика разрешено благодаря преобразованию адресов (10.30.30.30 = 209.165.200.225).


з. Нажмите кнопку Apply (Применить) в основном окне.

Конфигурация на экране должна иметь примерно следующий вид:

Теперь HTTP-клиенты в частных и внешних сетях могут обращаться к веб-серверу в защищенной среде DMZ.

Сценарий 2: VPN с удаленным доступом

Удаленный доступ через виртуальную частную сеть (VPN) позволяет предоставить защищенный доступ к вашей сети пользователям, находящимся за пределами сети. С помощью ASDM можно настроить модуль адаптивной защиты для организации защищенных сеансов, или туннелей, через Интернет.

На рис. 5 показан пример настройки модуля адаптивной защиты для приема запросов и установления защищенных соединений с VPN-клиентами в Интернете.

Рис. 5. Структура сети для сценария удаленного доступа через VPN

С помощью мастера VPN в составе ASDM можно настроить адаптивный модуль защиты в качестве головного узла VPN-сети для удаленного доступа за несколько простых шагов.

Шаг 1: настройка модуля адаптивной защиты для удаленного доступа через VPN.

1. Запустите ASDM, указав в поле адреса браузера следующий IP-адрес по умолчанию: https://192.168.1.1/admin/.

2. На основной странице ASDM в раскрывающемся меню Wizards выберите VPN Wizard. Появится окно первого шага мастера VPN.

3. На этом этапе необходимо выполнить следующие операции:

а. Выберите параметр Remote Access VPN.

б. В раскрывающемся меню выберите внешний интерфейс (outside), чтобы разрешить прием VPN-пакетов через этот интерфейс.

в. Для продолжения нажмите кнопку Next (Далее).

Шаг 2: выбор клиентов VPN.

1. На втором шаге мастера VPN выберите переключатель, разрешающий удаленным пользователям соединяться с модулем адаптивной защиты посредством или VPN-клиента Cisco или любых других продуктов Easy VPN Remote.


Примечание В данный момент этот экран предусматривает всего один вариант выбора, но по мере появления других типов туннелей все они будут доступны для выбора на одном экране.


2. Для продолжения нажмите кнопку Next (Далее).

Шаг 3: определение названия группы туннеля VPN и метода аутентификации.

На третьем шаге мастера VPN необходимо выполнить следующие операции:

1. Введите название группы туннеля (например, "CiscoASA") для множества пользователей с одинаковыми параметрами подключения и атрибутами клиента.

2. Укажите требуемый тип аутентификации одним из следующих способов:

Чтобы использовать статические предварительные ключи, выберите Pre-Shared Key (предварительный ключ) и введите ключ (например, "CisCo").

Чтобы использовать для аутентификации цифровые сертификаты, выберите Certificate, затем в раскрывающемся меню укажите алгоритм электронной подписи сертификата (rsa-sig/dsa-sig) и выберите в другом раскрывающемся меню предопределенную доверенную сторону.

3. Для продолжения нажмите кнопку Next (Далее).

Шаг 4: выбор метода аутентификации пользователей.

Аутентификация пользователей может осуществляться либо по локальной базе данных аутентификации, либо на внешних серверах аутентификации, авторизации и учета (AAA): RADIUS, TACACS+, SDI, NT и Kerberos.

На четвертом шаге мастера VPN необходимо выполнить следующие операции:

1. Отметьте переключателем требуемый способ аутентификации пользователей:

Локальная база данных

Внешняя группа серверов AAA

2. Выберите предопределенную группу серверов в раскрывающемся списке или нажмите New, чтобы добавить новую группу серверов.

3. Для продолжения нажмите кнопку Next (Далее).

Шаг 5: настройка учетных записей пользователей (если это необходимо).

Если аутентификация пользователей производится по локальной базе данных, создайте учетные записи отдельных пользователей на шаге 5 мастера VPN.

1. Чтобы добавить нового пользователя, введите имя пользователя и пароль, затем нажмите кнопку Add (Добавить).

2. Завершив добавление новых пользователей, нажмите кнопку Next (Далее) для продолжения.

Шаг 6: настройка адресных пулов.

Чтобы удаленные клиенты могли получить доступ к вашей сети, необходимо настроить пул IP-адресов, которые могут быть назначены удаленным клиентам VPN в случае успешного подключения. В этом сценарии пул настроен на диапазон IP-адресов с 209.165.201.1 по 209.166.201.20.

Чтобы настроить пул адресов, выполните следующие операции:

1. Введите имя пула, или выберите предварительно настроенный пул из раскрывающегося списка.

2. Введите начальный адрес диапазона IP-адресов, используемых в пуле.

3. Введите конечный адрес диапазона IP-адресов, используемых в пуле.

4. Введите маску подсети или выберите предварительно настроенное значение из раскрывающегося списка.

5. Для продолжения нажмите кнопку Next (Далее).

Шаг 7: настройка атрибутов клиентов.

Для доступа к вашей сети каждый клиент удаленного доступа должен иметь основные сведения о конфигурации сети, например, адреса DNS- и WINS-серверов имя домена по умолчанию. Вместо того, чтобы настраивать отдельно каждый удаленный клиент, можно указать параметры клиентов в ASDM. Модуль адаптивной защиты передаст эту информацию удаленному клиенту при установлении соединения.

Убедитесь, что все параметры введены правильно, в противном случае удаленные клиенты не смогут преобразовывать адреса через DNS или использовать сетевое окружение Windows.

На седьмом шаге мастера VPN необходимо выполнить следующие операции:

1. Введите информацию о конфигурации сети, которая будет использоваться удаленными клиентами.

2. Для продолжения нажмите кнопку Next (Далее).

Шаг 8: настройка политики IKE.

IKE — протокол согласования, включающий метод шифрования для защиты данных и обеспечения конфиденциальности, а также метод аутентификации, гарантирующий подлинность обеих сторон соединения. В большинстве случаев для настройки безопасных туннелей VPN достаточно оставить в ASDM значения по умолчанию.

Чтобы указать политику IKE, выполните следующие операции:

1. Выберите алгоритмы шифрования (DES/3DES/AES), аутентификации (MD5/SHA) и группу Диффи-Хелмана (1/2/5/7), используемую модулем адаптивной защиты во время формирования ассоциации безопасности IKE.

2. Для продолжения нажмите кнопку Next (Далее).

Шаг 9: настройка параметров шифрования и аутентификации IPSec.

1. Выберите алгоритм шифрования (DES/3DES/AES) и алгоритм аутентификации (MD5/SHA).

2. Для продолжения нажмите кнопку Next (Далее).

Шаг 10: исключения в преобразовании адресов и раздельное туннелирование.

Для изоляции внутренних IP-адресов от внешней сети модуль адаптивной защиты использует преобразование сетевых адресов (NAT). Можно предусмотреть исключения в этой схеме защиты, указав локальные узлы и сети, которые должны быть открыты доверенным удаленным пользователям. Укажите состав открываемых ресурсов по IP-адресам узлов или сетей, именам или группам. (В этом сценарии удаленным клиентам открывается вся внутренняя сеть: 10.10.10.0.)

На десятом шаге мастера VPN осуществляется добавление или удаление узлов, групп и сетей в динамическом режиме на панели Selected (Выбранные).

1. Нажмите кнопку Add (Добавить) для добавления или Delete (Удалить) для удаления.


Примечание Для включения раздельного туннелирования отметьте флажок в нижней части экрана. Раздельное туннелирование позволяет пересылать трафик, не относящийся к настроенным сетям, непосредственно в Интернет в обход туннеля с шифрованием VPN.


2. Указав ресурсы, открываемые удаленным клиентам, нажмите кнопку Next (Далее) для продолжения.

Шаг 11: проверка конфигурации VPN для удаленного доступа.

Проверьте атрибуты конфигурации для созданного туннеля VPN. Конфигурация на экране должна иметь примерно следующий вид:

Если конфигурация отвечает вашим требованиям, нажмите кнопку Finish (Готово), чтобы завершить работу с мастером и применить изменения конфигурации в модуле адаптивной защиты

Сценарий 3: настройка VPN типа "сеть-сеть"

Вариант VPN (виртуальной частной сети) типа "сеть-сеть" позволяет предприятиям объединять корпоративные сети по недорогим внешним интернет-каналам с деловыми партнерами и удаленными филиалами, сохраняя при этом безопасность. VPN-соединение позволяет передать информацию из одной точки в другую в защищенном сеансе или, предварительно установив туннель с аутентификацией обеих сторон соединения, автоматически шифровать все данные пересылаемые между двумя точками.

На рис. 6. приведен пример VPN-туннеля между двумя модулями адаптивной защиты.

Рис. 6. Структура сети для сценария конфигурации VPN типа "сеть-сеть"

Конфигурация VPN типа "сеть-сеть", аналогичная изображенной на рис. 6, требует настройки двух модулей адаптивной защиты — по одному с каждой стороны соединения.

В ASDM предусмотрен мастер настройки, который ориентирует пользователя в настройке VPN типа "сеть-сеть".

Шаг 1: настройка модуля адаптивной защиты на первой стороне соединения.

Настройте модуль адаптивной защиты на первой стороне соединения (в данном примере — модуль адаптивной защиты 1, обозначаемый в дальнейшем ASA 1).

1. Запустите ASDM, указав в поле адреса браузера следующий IP-адрес по умолчанию: https://192.168.1.1/admin/.

2. На основной странице ASDM в раскрывающемся меню Wizards выберите VPNWizard. В ASDM откроется первая страница мастера VPN.

На первой странице мастера выполните следующие операции:

а. Выберите параметр Site-to-Site VPN (VPN типа "сеть-сеть")


Примечание Параметр "Site-to-Site VPN" служит для соединения двух шлюзов IPSec, в качестве которых могут выступать модули адаптивной защиты, VPN-концентраторы или другие устройства, которые поддерживают объединение сегментов сети через IPSec.


б. В раскрывающемся меню выберите внешний интерфейс (outside), чтобы разрешить прием VPN-пакетов через этот интерфейс.

в. Для продолжения нажмите кнопку Next (Далее).

Шаг 2: указание сведений об удаленной стороне VPN-соединения.

Удаленная сторона VPN-соединения — это система (обычно удаленная территориально), с которой настраивается двустороннее соединение.

На странице 2 мастера VPN укажите информацию об удаленной стороне VPN-соединения. В этом сценарии удаленной стороной VPN-соединения является второй модуль адаптивной защиты (ASA 2). Выполните следующие шаги:

1. Введите IP-адрес удаленной стороны (ASA 2) и название группы туннеля.

2. Укажите требуемый тип аутентификации одним из следующих способов:

Чтобы использовать для аутентификации предварительно согласованный ключ (например, "CisCo"), выберите переключатель Pre-Shared Key (Предварительный ключ) и введите предварительный ключ, который будет общим для согласования IPSec между модулями адаптивной защиты.


Примечание При настройке ASA 2 на противоположной стороне в качестве удаленной стороны соединения указывается ASA 1. Убедитесь, что для обоих устройств введен одинаковый предварительный ключ (CisCo).


Чтобы использовать вместо предварительных ключей цифровые сертификаты, установите переключатель в значение Certificate (Сертификат), затем выберите из раскрывающегося списка имя доверенной стороны.

3. Для продолжения нажмите кнопку Next (Далее).

Шаг 3: настройка политики IKE.

IKE — протокол согласования, включающий метод шифрования для защиты данных и обеспечения конфиденциальности, а также метод аутентификации, гарантирующий подлинность обеих сторон соединения. В большинстве случаев для настройки двусторонних защищенных туннелей VPN достаточно оставить в ASDM значения по умолчанию.

Чтобы указать политику IKE, выполните следующие операции:

1. Выберите алгоритмы шифрования (DES/3DES/AES), аутентификации (MD5/SHA) и группу Диффи-Хелмана (1/2/5), используемую модулем адаптивной защиты во время формирования ассоциации безопасности IKE.


Примечание При настройке ASA 2 необходимо указать для каждого параметра такое же значение, которое было выбрано для ASA 1. Несовпадение параметров шифрования — частая причина неработающих туннелей VPN, требующая дополнительных затрат времени для устранения ошибок.


2. Для продолжения нажмите кнопку Next (Далее).

Шаг 4: настройка параметров шифрования и аутентификации IPSec.

1. Выберите алгоритм шифрования (DES/3DES/AES) и алгоритм аутентификации (MD5/SHA).

2. Для продолжения нажмите кнопку Next (Далее).

Шаг 5: указание локальных узлов и сетей.

Укажите локальные узлы и сети, которым будет разрешено использовать данный туннель IPSec для взаимодействия с удаленными сторонами. (Удаленные стороны будут указаны позднее.)

На странице 5 мастер VPN предлагает в динамическом режиме добавить или удалить узлы или сети. Для добавления служит кнопка Add (Добавить), для удаления — кнопка Delete (Удалить). В рассматриваемом сценарии трафик от сети A (10.10.10.0) шифруется с помощью ассоциации безопасности SA 1 и передается по VPN-туннелю.

На странице 5 мастера VPN укажите локальный узел или сеть, которой будет разрешен доступ к туннелю IPSec. Выполните следующие шаги:

1. Выберите IP Address.

2. Укажите, является ли интерфейс внутренним (inside) или внешним (outside), выбрав тип интерфейса из раскрывающегося меню.

3. Введите IP-адрес и маску подсети.

4. Нажмите кнопку Add (Добавить).

5. Повторите шаги 1 — 5 для каждого узла или сети, которым должен быть разрешен доступ к туннелю.

6. Для продолжения нажмите кнопку Next (Далее).

Шаг 6: указание удаленных узлов и сетей.

Укажите удаленные узлы и сети, которым будет разрешено использовать данный туннель IPSec для взаимодействия с локальными узлами и сетями, определенными на шаге 5. Добавлять и удалять узлы или сети можно в динамическом режиме. Для добавления служит кнопка Add (Добавить), для удаления — кнопка Delete (Удалить). В данном сценарии для ASA 1 удаленной сетью является сеть B (10.20.20.0), и зашифрованному трафику из этой сети разрешается проходить через туннель.

Чтобы указать удаленный узел или сеть, которым будет разрешен доступ к туннелю IPSec, выполните следующие операции:

1. Выберите IP Address.

2. Укажите, является ли интерфейс внутренним (inside) или внешним (outside), выбрав тип интерфейса из раскрывающегося меню Interface.

3. Введите IP-адрес и маску подсети.

4. Нажмите кнопку Add (Добавить).

5. Повторите шаги 1 — 5 для каждого узла или сети, которым должен быть разрешен доступ к туннелю.

6. Для продолжения нажмите кнопку Next (Далее).

Шаг 7: просмотр атрибутов VPN и завершение работы с мастером.

Проверьте список параметров конфигурации для созданного туннеля VPN. Если конфигурация отвечает вашим требованиям, нажмите кнопку Finish, чтобы завершить работу с мастером и применить изменения конфигурации в модуле адаптивной защиты

На этом процесс настройки ASA 1 завершен.

Дальнейшие действия

Настроив локальный модуль адаптивной защиты, необходимо настроить модуль адаптивной защиты на удаленной стороне.

Это устройство будет выступать в качестве второй стороны VPN-соединения. Придерживайтесь указаний, изложенных в процедуре настройки локального модуля адаптивной защиты, с шага 1 (настройка модуля адаптивной защиты на первой стороне соединения , стр. 36), по шаг 7 (просмотр атрибутов VPN и завершение работы с мастером , стр. 43).


Примечание При настройке ASA 2 необходимо указать для каждого параметра такое же значение, которое было выбрано для ASA 1. Несовпадение параметров настройки — распространенная причина неработающих конфигураций VPN.


5 Порядок установки и настройки дополнительных модулей SSM

Модуль адаптивной защиты поддерживает дополнительные функциональные модули защиты (SSM), которые устанавливаются в шасси и обеспечивают дополнительные функциональные возможности. В этом разделе описана процедура установки и настройки двух модулей SSM: 4GE и AIP.

Порядок действий для модулей 4GE SSM

Функциональный модуль защиты (SSM) 4GE снабжен восемью портами Ethernet: четырьмя портами для медной витой пары RJ-45 10/100/1000 Мбит/с и четырьмя оптоволоконными портами 1000 Мбит/с в компактном формате SFP. На одной плате 4GE можно одновременно использовать как порты для медного кабеля, так и оптоволоконные порты.

Если вы приобрели 4GE SSM, следуйте указаниям в этом разделе для:

подключения кабелей к требуемым интерфейсам;

смены типа передающей среды для используемых SFP-интерфейсов.


Примечание Поскольку по умолчанию в качестве передающей среды выбран интерфейс Ethernet, перенастраивать порты, на которых предполагается использовать интерфейс Ethernet, не требуется.


Шаг 1: подключение кабелей к интерфейсам 4GE SSM

Для подключения кабелей к интерфейсам 4GE SSM выполните следующие операции с каждым портом, подключаемым к сетевому устройству:


Шаг 1 Для подключения интерфейса RJ-45 (Ethernet) к сетевому устройству выполните следующие операции с каждым интерфейсом:

а. Возьмите желтый Ethernet-кабель из комплекта принадлежностей.

б. Подключите один конец кабеля к Ethernet-порту 4GE SSM.

Рис. 7. Подключение к порту Ethernet

1

Порт RJ-45 (Ethernet)


в. Подключите второй конец кабеля к сетевому устройству.

Шаг 2 (необязательно) Если используется оптоволоконный порт SFP, установите и подключите модули SFP, как показано на рис. 8:

а. Вставьте модуль SFP и вдвиньте его в порт SFP до щелчка. Щелчок будет означать, что модуль SFP закреплен в порте.

б. Удалите заглушки оптических портов с установленного модуля SFP.

а. Возьмите оптоволоконный кабельный соединитель LC из комплекта принадлежностей модуля 4GE SSM.

б. Подключите соединитель LC к порту SFP.

Рис. 8. Подключение соединителя LC

1

Соединитель LC

2

Модуль SFP


в. Второй конец соединителя подключите к сетевому устройству.


После подключения сетевых устройств к портам SFP необходимо изменить для каждого интерфейса SFP настройку передающей среды. См. "Шаг 2: (необязательно) выбор типа передающей среды для оптоволоконных интерфейсов 4GE SSM".

Шаг 2: (необязательно) выбор типа передающей среды для оптоволоконных интерфейсов 4GE SSM.

Для каждого интерфейса SFP необходимо изменить тип передающей среды с настройки по умолчанию (Ethernet) на Fiber Connector.


Примечание Поскольку по умолчанию в качестве передающей среды выбран интерфейс Ethernet, перенастраивать порты, на которых предполагается использовать интерфейс Ethernet, не требуется.


Чтобы установить тип передающей среды для интерфейсов SFP, используя ASDM, выполните следующие операции, начав с главной страницы ASDM:


Шаг 1 Выберите Configuration в верхней части окна ASDM.

Шаг 2 Слева в окне ASDM выберите функцию Interfaces.

Шаг 3 Выберите интерфейс 4GE SSM и щелкните Edit. Появится диалоговое окно редактирования интерфейса (Edit Interface).

Шаг 4 Выберите Configure Hardware Properties. Появится диалоговое окно параметров оборудования (Hardware Properties).

Шаг 5 Войдите в раскрывающееся меню Media Type и выберите Fiber Connector.

Шаг 6 Нажмите кнопку OK, чтобы возвратиться в диалоговое окно Edit Interfaces. Затем снова нажмите OK.

Шаг 7 Повторите описанные операции для каждого интерфейса SFP.


Тип передающей среды также можно задать из командной строки. Дополнительную информацию см. в разделе Настройка параметров и субинтерфейсов Ethernet в Руководстве по настройке модулей защиты Cisco через интерфейс командной строки.

Порядок действий для модулей AIP SSM

Дополнительный модуль AIP SSM снабжен мощным программным обеспечением IPS, обеспечивающим дополнительные возможности контроля безопасности в линейном режиме или в режиме дублирования всех пакетов. Непосредственно перед отправкой пакета, прошедшего другие политики брандмауэра, через выходной интерфейс (и до выполнения шифрования VPN, если оно требуется), модуль защиты передает пакеты на AIP SSM. При этом, в частности, пакеты, заблокированные по списку доступа, на AIP SSM не передаются.

Если вы приобрели AIP SSM, следуйте указаниям в этом разделе для:

подключения кабеля к управляющему интерфейсу;

настройки модуля адаптивной защиты для определения трафика, подлежащего передаче на AIP SSM;

установления сеанса с AIP SSM и запуска настройки.

Поскольку программное обеспечение IPS, выполняемое на AIP SSM, реализует широкий набор функций, выходящий за рамки данного документа, подробную информацию о его настройке можно найти в следующих отдельных документах:

Настройка датчика системы предотвращения вторжения Cisco через интерфейс командной строки

Справочник по командам системы предотвращения вторжения Cisco

Шаг 1: подключение кабелей управляющего интерфейса AIP SSM

Для подключения кабелей к интерфейсу управления AIP SSM выполните следующие операции:


Шаг 1 Возьмите желтый Ethernet-кабель из комплекта принадлежностей.

Шаг 2 Подключите один конец кабеля к порту управления AIP SSM. См. рис. 9.

Шаг 3 Подключите второй конец кабеля к сетевому устройству.

Рис. 9. Подключение к порту управления

1

Порт управления

2

Кабель RJ-45 — RJ-45



Шаг 2: настройка ASA 5500 для передачи трафика на AIP SSM

Чтобы определить трафик, подлежащий передаче с модуля защиты на AIP SSM, выполните следующие операции:


Шаг 1 Добавьте карту классов с помощью команды class-map. Дополнительную информацию см. в разделе Использование системы модульных политик в Руководстве по настройке модулей защиты Cisco через интерфейс командной строки.

Шаг 2 Чтобы добавить или отредактировать карту политик, определяющую действия над трафиком, отнесенным к карте классов, введите следующую команду:

hostname(config)# policy-map name

Шаг 3 Чтобы указать карту классов из шага 1, которой требуется присвоить действие, введите команду:

hostname(config-pmap)# class class_map_name

Шаг 4 Чтобы присвоить трафик AIP SSM, введите команду:

hostname(config-pmap-c)# ips {inline | promiscuous} {fail-close | fail-open}

Ключевое слово inline включает AIP SSM непосредственно в поток трафика. В этом случае никакой трафик не может пройти через модуль защиты, не будучи предварительно проверен модулем AIP SSM. Этот режим наиболее безопасен, поскольку каждый пакет анализируется перед тем, как ему разрешается пройти через модуль. AIP SSM может также реализовать политику блокирования отдельных пакетов, но в этом режиме возможно снижение пропускной способности.

Ключевое слово promiscuous дублирует трафик отдельным потоком на AIP SSM. Этот режим, будучи менее защищенным, практически не сказывается на пропускной способности. В отличие от линейного режима, AIP SSM может блокировать трафик только сообщая модулю защиты о нежелательном трафике (shun) или сбрасывая соединение модуля защиты. Кроме того, пока AIP SSM анализирует трафик, некоторая часть трафика может пройти через модуль защиты до того, как AIP SSM успеет его заблокировать.

Ключевое слово fail-close настраивает модуль защиты на блокирование всего трафика при недоступности AIP SSM.

Ключевое слово fail-open разрешает модулю защиты при недоступности AIP SSM пропускать весь трафик без проверки.

Шаг 5 Чтобы активировать карту политик на одном или нескольких интерфейсах, введите следующую команду:

hostname(config)# service-policy policymap_name {global | interface 
interface_name}

Где global означает, что карта политик применяется ко всем интерфейсам, а interface применяет карту политик к одному интерфейсу. Допускается только одна глобальная политика. Можно заменить глобальную политику на интерфейсе, применив на нем политику обслуживания. К каждому интерфейсу может применяться только одна карта политик.


В следующем режиме весь IP-трафик отклоняется на AIP SSM в режиме дублирования всех пакетов. При любом сбое платы AIP SSM весь IP-трафик блокируется.

hostname(config)# access-list IPS permit ip any any
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list IPS
hostname(config-cmap)# policy-map my-ids-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips promiscuous fail-close
hostname(config-pmap-c)# service-policy my-ips-policy global

Шаг 3: установление сеанса с AIP SSM и запуск настройки

Завершив настройку модуля адаптивной защиты серии ASA 5500 для передачи трафика на AIP SSM, соединитесь с AIP SSM и войдите в утилиту начальной настройки.


Примечание Установить сеанс управления AIP SSM можно из модуля адаптивной защиты (при помощи команды session 1) или подключившись напрямую к AIP SSM по протоколу SSH или Telnet через управляющий интерфейс. Также можно использовать ASDM.


Для подключения к AIP SSM с модуля адаптивной защиты выполните следующие операции:


Шаг 1 Введите команду session 1, чтобы установить сеанс между модулем адаптивной защиты ASA 5500 и AIP SSM.

hostname# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is 'CTRL-^X'.

Шаг 2 Введите имя пользователя и пароль. По умолчанию действует имя пользователя "cisco" с паролем "cisco".


Примечание При первом входе в AIP SSM модуль предлагает сменить пароль по умолчанию. Пароль должен иметь длину не менее восьми знаков и не должен быть простым словом из словаря.


login: cisco
Password:
Last login: Fri Sep  2 06:21:20 from xxx.xxx.xxx.xxx
***NOTICE***
This product contains cryptographic features and is subject to United States and 
local country laws governing import, export, transfer and use. Delivery of Cisco 
cryptographic products does not imply third-party authority to import, export, 
distribute or use encryption. Importers, exporters, distributors and users are 
responsible for compliance with U.S. and local country laws. By using this product 
you agree to comply with applicable laws and regulations. If you are unable to 
comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to 
export@cisco.com.

***LICENSE NOTICE***
There is no license key installed on the system.
Please go to http://www.cisco.com/go/license
to obtain a new license or install a license.
AIP SSM# 


Примечание Приведенное выше предупреждение об отсутствии лицензии (которое появляется только в некоторых версиях ПО) можно игнорировать, кроме тех случаев, когда требуется установить в AIP SSM новые файлы сигнатур. AIP SSM продолжает работать с имеющимися сигнатурами до установки действительного лицензионного ключа. Установить лицензионный ключ можно в любое время в дальнейшем. Лицензионный ключ не влияет на текущие функции AIP SSM.


Шаг 3 Введите команду setup, чтобы запустить средство начальной настройки AIP SSM.

AIP SSM# setup


Дальнейшие действия

Теперь AIP SSM готов к настройке для защиты от вторжений. Сведения о настройке AIP SSM можно найти в следующих документах:

Настройка датчика системы предотвращения вторжения Cisco через интерфейс командной строки

Справочник по командам системы предотвращения вторжения Cisco

6 Дополнительные операции по обслуживанию и модернизации

Получение лицензий для шифрования DES и 3DES/AES

Для модуля адаптивной защиты можно приобрести лицензию DES или 3DES-AES, активирующую некоторые функции шифрования для таких применений, как удаленное администрирование (SSH, ASDM и т.п.), объединение сегментов сетей по VPN и удаленный доступ через VPN. Для активации лицензии на шифрование требуется лицензионный ключ.

Если вы заказали модуль адаптивной защиты с лицензией DES или 3DES-AES, лицензионный ключ для шифрования поставляется в комплекте с модулем адаптивной защиты.

Если вы не заказывали ключ DES или 3DES-AES вместе с модулем и хотите приобрести его сейчас, лицензии на шифрование бесплатно доступны на сайте Cisco.com.

Если вы являетесь зарегистрированным пользователем сайта Cisco.com и желаете приобрести лицензию на шифрование DES или 3DES/AES, откройте следующий веб-сайт:

http://www.cisco.com/pcgi-bin/Software/FormManager/formgenerator.pl

Если вы не являетесь зарегистрированным пользователем сайта Cisco.com, перейдите на следующий веб-сайт:

http://www.cisco.com/pcgi-bin/Software/FormManager/formgenerator.pl

Укажите ФИО, адрес электронной почты, а также серийный номер модуля адаптивной безопасности в том виде, в котором его сообщает команда show version.


Примечание Новый ключ активации для модуля адаптивной защиты будет выслан в течение двух часов (или раньше).


Дополнительную информацию с примерами ключей активации и описанием процедуры обновления ПО см. в Руководстве по настройке модулей защиты Cisco при помощи интерфейса командной строки.

Для активации лицензии ключом выполните следующие действия:

Команда
Назначение

Шаг 1

hostname# show version

Просмотр версии ПО, конфигурации оборудования, лицензионного ключа и соответствующих данных о времени работы устройства.

Шаг 2

hostname# configure terminal

Вход в режим глобальной конфигурации.

Шаг 3

hostname(config)# activation-key строка-ключа

Обновление ключа активации шифрования путем замены содержимого переменной строка-ключа новым ключом, полученным с лицензией. Переменная строка-ключа представляет собой шестнадцатеричную строку из нескольких элементов, разделенных одинарным пробелом. Пример: 0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e. Префикс "0x" необязателен; все значения по умолчанию считаются шестнадцатеричными.

Шаг 4

hostname(config)# exit

Выход из режима глобальной конфигурации.

Шаг 5

hostname# copy running-config startup-config

Сохранение конфигурации.

Шаг 6

hostname# reload

Перезагрузка модуля адаптивной защиты с повторной загрузкой конфигурации.

Восстановление конфигурации по умолчанию

Восстановить заводскую конфигурацию по умолчанию можно одним из следующих способов:

Войдя в мастер Startup Wizard по следующем адресу: https://192.168.1.1.

Также можно воспользоваться командной строкой, как описано ниже.

Для восстановления заводской конфигурации по умолчанию выполните следующие операции:

Команда
Назначение

Шаг 1

hostname# configure factory-default [внутренний_IP-адрес [маска]]1

Удаление текущей конфигурации и замена ее заводской конфигурацией по умолчанию.

Шаг 2

hostname# write memory

Запись заводской конфигурации по умолчанию во флэш-память.

1 Если указаны необязательный внутренний IP-адрес и маска подсети, эти значения будут отражены в восстановленной заводской конфигурации.

Подробное описание команд с примерами настройки см. в Руководстве по настройке модулей защиты Cisco при помощи интерфейса командной строки.

Покупатели могут обратиться за технической поддержкой на сайт Cisco TAC. Сайт TAC доступен по следующему адресу:

http://www.cisco.com/cisco/web/RU/support

Проверка показаний светодиодов

В этом разделе описаны передняя и задняя панели модуля адаптивной защиты, а также светодиодные индикаторы на панели устройства.

На рис. 10 показан вид модуля спереди.

Рис. 10. Основные элементы передней панели модуля адаптивной защиты Cisco ASA 5540

СИД
Цвет
Состояние
Описание
1

Power (Питание)

Зеленый

Вкл.

Горит, когда модуль адаптивной защиты получает питание.

2

Status (Статус)

Зеленый

Мигает

Индицирует прохождение стартовой диагностики или загрузку системы.

Горит непрерывно

Горит зеленым светом после успешного прохождения стартовой диагностики.

Желтый

Горит непрерывно

Горит желтым цветом в случае ошибки стартовой диагностики.

3

Active (Активность)

Зеленый

Мигает

Индицирует активность в сети.

4

VPN

Зеленый

Горит непрерывно

Индицирует передачу данных по интерфейсу.

5

Flash (Флэш)

Зеленый

Горит непрерывно

Индицирует обращение к устройству CompactFlash.


На рис. 11 показаны основные элементы задней панели модуля.

Рис. 11. Основные элементы задней панели модуля адаптивной защиты Cisco ASA 5540

1

MGMT

8

Индикатор питания

2

Внешнее устройство CompactFlash

9

Индикатор состояния

3

Последовательный консольный порт

10

Активность

4

Выключатель питания

11

VPN

5

Индикатор питания

12

Флэш

6

USB 2.0

13

Порты AUX

7

Сетевые интерфейсы

14

Разъем питания


На рис. 12 показаны светодиоды на задней панели модуля.

Рис. 12. Светодиоды на задней панели модуля адаптивной защиты Cisco ASA 5540.

В табл. 1 перечислены состояния светодиодов на задней панели модуля адаптивной защиты.

Таблица 1. СИД на задней панели

Индикатор
Цвет
Описание

Левый

Постоянно светится зеленым

Мигает зеленым

Физическое соединение

Активность в сети

Правый

Не горит

Зеленый

Желтый

10 Мбит/с

100 Мбит/с

1000 Мбит/с


Получение документации

Документация и дополнительная литература Cisco доступна на сайте Cisco.com. Компания Cisco также предлагает различные способы технической поддержки и другие технические ресурсы. В следующих разделах описаны способы получения технической информации от компании Cisco Systems.

Cisco.com

Текущие редакции документации Cisco можно найти по следующему адресу:

http://www.cisco.com/univercd/home/home.htm

Сайт Cisco доступен по следующему адресу:

http://www.cisco.com

Перейти на международные сайты Cisco можно со следующей страницы:

http://www.cisco.com/web/siteassets/locator/index.html

DVD-диск с документацией

Документация и дополнительные информационные материалы Cisco предлагаются в комплекте DVD-диска с документацией, который может поставляться с купленным вами продуктом. Документациея на DVD-диске регулярно обновляется и может быть более новой, чем печатная документация. DVD-диск с документацией также доступен отдельно.

Зарегистрированные пользователи Cisco.com (покупатели, приобретающие непосредственно у компании Cisco) могут заказать DVD-диск с документацией Cisco (номер продукта DOC-DOCDVD=) с помощью инструмента для оформления заказа или на сайте Cisco Marketplace.

Инструмент для оформления заказа Cisco:

/en/US/partner/ordering/

Веб-страница магазина Cisco Marketplace:

http://www.cisco.com/go/marketplace/

Заказ документации

Инструкции по заказу документации можно найти по следующему адресу:

http://www.cisco.com/en/US/docs/general/Illus_process/PDI/pdi.htm

Заказать документацию Cisco можно тремя способами:

Зарегистрированные пользователи Cisco.com (покупатели, приобретающие непосредственно у компании Cisco) могут заказать документацию Cisco с помощью инструмента для оформления заказа:

/en/US/partner/ordering/

Пользователи, не зарегистрированные на сайте Cisco.com, могут заказать документацию через местное представительство по связям с клиентами, обратившись в штаб-квартиру компании Cisco Systems (штат Калифорния, США) по тел. +1 408 526-7208 или (из стран Северной Америки) 1 800 553-NETS (6387).

Отзывы о документации

Отзывы о технической документации можно направлять по адресу bug-doc@cisco.com.

Вы также можете прислать ваши замечания на карточке отзыва (если она предусмотрена) под обложкой документа или по следующему адресу:

Cisco Systems
Attn: Customer Document Ordering
170 West Tasman Drive
San Jose, CA 95134-9883

Мы будем благодарны за ваши отзывы.

Обзор безопасности продуктов Cisco

Компания Cisco поддерживает бесплатный интерактивный портал, посвященный уязвимости средств сетевой безопасности:

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

На этой веб-странице можно выполнить следующие задачи:

Сообщить об уязвимости системы безопасности в продуктах Cisco.

Получить помощь в разрешении проблем безопасности, возникших в продуктах Cisco.

Зарегистрироваться для получения информации по безопасности от Cisco.

С текущим списком уведомлений и рекомендаций о безопасности для продуктов Cisco можно ознакомиться на веб-странице по следующему адресу:

http://www.cisco.com/go/psirt

Если вы предпочитаете следить за рекомендациями и уведомлениями в реальном времени по мере их выхода, вы можете подключиться к RSS-трансляции группы экстренного реагирования на инциденты, касающиеся безопасностью продуктов (PSIRT):

http://www.cisco.com/en/US/products/products_psirt_rss_feed.html

Сообщения о проблемах безопасности продуктов Cisco

Компания Cisco самым бдительным образом относится к безопасности выпускаемой продукции. Все продукты перед выходом на рынок проходят внутренние испытания. В отношении любых уязвимостей принимаются срочные меры по их устранению. Если вы подозреваете, что в продукте Cisco имеется уязвимость, обратитесь в группу PSIRT:

Экстренные обращения — security-alert@cisco.com

Несрочные обращения — psirt@cisco.com


Совет Для шифрования всех конфиденциальных данных, сообщаемых компании Cisco, мы рекомендуем применять Pretty Good Privacy (PGP) или совместимые программные продукты. PSIRT принимает зашифрованные данные в форматах, совместимых с версиями PGP с 2.x по 8.x.

Ни в коем случае не используйте отозванный или просроченный ключ шифрования. Для переписки с PSIRT можно использовать только актуальный ключ, имеющий самую позднюю дату в списке сервера открытых ключей:

http://pgp.mit.edu:11371/pks/lookup?search=psirt%40cisco.com&op=index&exact=on


В экстренной ситуации можно связаться с группой PSIRT по телефону:

1 877 228-7302

1 408 525-6532

Обращение за технической помощью

Для всех покупателей, партнеров, торговых представителей и дистрибьюторов, имеющих действующие контракты на обслуживание Cisco, отдел технической поддержки Cisco обеспечивает круглосуточную высококвалифицированную техническую помощь. В разделе технической поддержки на сайте Cisco.com собрано большое число ресурсов, посвященных поддержке. Кроме того, получить консультации специалистов можно по телефону Центра технической поддержки Cisco (TAC). Если у вас нет действующего контракта на обслуживание Cisco, обратитесь к торговому представителю.

Сайт технической поддержки Cisco

На сайте технической поддержки Cisco можно найти интерактивные документы и инструменты для устранения неполадок и решения технических вопросов, касающихся продуктов и технологий Cisco. Сайт доступен ежедневно и круглосуточно по следующему адресу:

http://www.cisco.com/cisco/web/RU/support/index.html

Для доступа к инструментам сайта технической поддержки Cisco необходимы идентификатор пользователя и пароль на сайте Cisco.com. Если у вас есть действующий контракт на техническую поддержку, зарегистрироваться для получения идентификатора пользователя и пароля можно по следующему адресу:

http://tools.cisco.com/RPF/register/register.do


Примечание Перед обращением в службу технической поддержки через сайт или по телефону воспользуйтесь средством идентификации продуктов Cisco (CPI) для установления серийного номера продукта. Средство CPI доступно на сайте технической поддержки Cisco по ссылке Tools & Resources под заголовком Documentation & Tools. В алфавитном раскрывающемся списке выберите Cisco Product Identification Tool или пройдите по ссылке Cisco Product Identification Tool под заголовком Alerts & RMA. Средство CPI предусматривает три способа поиска: поиск по коду или модели продукта, поиск через дерево или (для некоторых продуктов) копирование и вставка вывода команды show. В результатах поиска будет показано изображение вашего продукта и отмечено местонахождение серийного номера. Перед тем, как обратиться в службу поддержки, определите серийный номер оборудования и запишите его.


Обращение в службу поддержки

Инструмент оформления запросов в службу поддержки (TAC Service Request Tool) представляет собой самый простой способ открытия запросов уровня S3 и S4. (Уровни S3 и S4 предназначены для ситуаций, связанных с незначительными нарушениями в работе сети или с запросом информации о продуктах). После того, как вы опишете ситуацию, инструмент для оформления запросов предложит рекомендуемые решения. Если решить проблему при помощи рекомендованных ресурсов не удастся, ваш запрос будет передан инженеру Cisco TAC. Инструмент для оформления запросов в службу поддержки доступен по следующему адресу:

http://www.cisco.com/cisco/web/RU/support/index.html/servicerequest

Для оформления запросов уровня S1 или S2, а также в том случае, если доступ к Интернету у вас отсутствует, следует обращаться в Cisco TAC по телефону. (Запросы уровней S1 и S2 касаются ситуаций, в которых эксплуатируемая сеть вышла из строя или работает со значительными отклонениями.) Чтобы обезопасить ваш бизнес, запросы уровней S1 и S2 незамедлительно назначаются инженерам Cisco TAC.

Чтобы открыть запрос в службу поддержки по телефону, позвоните по одному следующих номеров:

Азиатско-тихоокеанский регион: +61 2 8446 7411 (Австралия: 1 800 805 227)
EMEA (Европа, Ближний Восток, Африка): +32 2 704 55 55
США: 1 800 553-2447

Полный список контактных данных Cisco TAC можно найти по следующему адресу:

http://www.cisco.com/cisco/web/RU/support/index.html/contacts

Определения уровней значимости обращений в службу поддержки

Для стандартизации формата отчетности по обращениям компания Cisco ввела формализованную систему уровней значимости.

Уровень 1 (S1) — сеть полностью вышла из строя, либо создает серьезные препятствия для нормальной производственной деятельности. Вы и персонал Cisco готовы выделить все необходимые ресурсы в круглосуточном режиме для решения проблемы.

Уровень 2 (S2) — работа существующей сети сильно нарушена, либо неудовлетворительная работа продуктов Cisco значительным образом влияет на вашу производственную деятельность. Вы и персонал Cisco готовы выделить все необходимые ресурсы в рамках обычного рабочего дня для решения проблемы.

Уровень 3 (S3) — работа сети ухудшена, но не препятствует осуществлению производственной деятельности в обычном режиме. Вы и персонал Cisco выделите ресурсы в рамках обычного рабочего дня для восстановления удовлетворительной работы сети.

Уровень 4 (S4) — вам необходима информация о характеристиках продукции Cisco, консультация по установке или настройке. Влияние на производственную деятельность минимальное или отсутствует полностью.

Получение дополнительных публикаций и информационных материалов

Информация о продукции, технологиях и сетевых решениях Cisco доступна из различных интерактивных и печатных источников.

На сайте Cisco Marketplace можно найти широкое разнообразие книг, справочников и рекламных материалов Cisco. Корпоративный магазин Cisco Marketplace доступен по следующему адресу:

http://www.cisco.com/go/marketplace/

Издательство Cisco Press выпускает широкий спектр литературы по общим вопросам организации сетей, обучению и сертификации. Издания ориентированы как на начинающих, так и на опытных пользователей. Текущий перечень изданий Cisco Press и дополнительные сведения можно найти на сайте Cisco Press:

http://www.ciscopress.com

Технический журнал Packet издается компанией Cisco Systems в помощь пользователям, желающим получить максимальную отдачу от капиталовложений в Интернет и сетевую инфраструктуру. В этом ежеквартальном издании можно найти обзор последних тенденций отрасли, передовых технологических достижений, продукции и решений Cisco. Журнал также освещает советы по развертыванию и наладке сетей, приводит примеры конфигураций, анализирует практику внедрения, предлагает информацию о сертификации и обучении, а также ссылки на многие десятки специализированных онлайн-ресурсов. Журнал Packet доступен по следующему адресу:

http://www.cisco.com/packet

Журнал iQ — ежеквартальное периодическое издание Cisco Systems, из которого развивающиеся компании могут узнать о технологиях, позволяющих повысить прибыль, рационализировать свою деятельность и расширить спектр услуг. В журнале рассматриваются актуальные вопросы, возникающие перед такими компаниями, и технологии, призванные их решить. Анализ реальной международной практики и бизнес-стратегий помогает читателям принимать обоснованные решения о капиталовложениях в технологическую инфраструктуру. Журнал iQ можно найти по следующему адресу:

http://www.cisco.com/go/iqmagazine

Internet Protocol Journal — ежеквартальный журнал, издаваемый компанией Cisco Systems для технических специалистов, чья работа связана с проектированием, построением и эксплуатацией внешних и внутренних Интернет- и интранет-сетей. Журнал Internet Protocol Journal доступен по следующему адресу:

http://www.cisco.com/ipj

Компания Cisco предлагает обучение по сетевым технологиям мирового класса. О текущих предложениях можно узнать по следующему адресу:

http://www.cisco.com/en/US/learning/index.html