액세스 제어
ASA CLI 또는 ADSM을 사용하여 ASA를 구성할 때는 항상 한 번에 하나의 디바이스만 구성합니다.
이에 비해 Secure Firewall Management Center의 액세스 제어 정책은 항상 공유 정책입니다. 정책을 생성한 다음 하나 이상의 디바이스에 할당합니다.
일반적으로 여러 디바이스에 대한 액세스 제어 정책을 생성합니다. 예를 들어 모든 원격 위치 방화벽(원격 사이트를 기본 기업 네트워크에 연결)에 동일한 정책을 할당할 수 있습니다. 그런 다음 코어 데이터 센터에 상주하는 방화벽에 대해 다른 정책을 가질 수 있습니다. 물론 각 디바이스에 대해 별도의 정책을 생성할 수는 있지만 여러 디바이스 관리자를 효율적으로 사용하는 것은 아닙니다.
지정된 액세스 제어 규칙이 디바이스에 적용되는지 여부는 규칙에 지정된 인터페이스에 의해 제어됩니다.
-
인터페이스를 지정하지 않으면 정책이 할당된 모든 디바이스에 규칙이 적용됩니다.
-
특정 디바이스 인터페이스의 목록인 개체인 보안 영역을 지정하면 지정된 영역에 인터페이스가 있는 디바이스에만 규칙이 적용되고 구축됩니다. 보안 영역은 단순히 인터페이스 이름을 포함하는 것이 아니라 "디바이스의 인터페이스" 쌍을 포함합니다. 예를 들어, "inside on device1"은 "inside on device2"를 포함하지 않는 영역에 있을 수 있습니다.
다음 표에는 ASA의 기본 액세스 제어 기능 및 Secure Firewall Threat Defense 디바이스에서 해당 기능을 구성할 수 있는 위치가 나와 있습니다.
ASA 기능 |
Secure Firewall Management Center의 Threat Defense 기능 |
참고 |
---|---|---|
액세스 제어용 개체. |
개체 UI 경로: .참조: 개체 관리. 방법: 동적 개체 구성 |
또한 액세스 제어 정책을 편집할 때 네트워크 및 포트(서비스) 개체를 생성할 수 있습니다. 보안 그룹 태그 및 시간 범위도 지원됩니다. 네트워크 서비스 및 로컬 사용자 그룹은 지원되지 않거나 필요하지 않습니다. 액세스 제어 규칙에서 사용할 수 있는 추가 개체: 애플리케이션 필터, 지리위치, 인터페이스 보안 영역, URL 및 VLAN 태그 이러한 개체는 ASA에서 사용할 수 없는 기능에 적용됩니다. |
비 액세스 제어 그룹/규칙에 대한 ACL(Access Control List) |
ACL(액세스 제어 목록) UI 경로: 표준 및 확장 ACL: .Ethertype ACL: .참조: 개체 괸리 및 FlexConfig 정책. 방법:
|
표준 또는 확장 ACL에 대한 개체를 생성한 다음 ACL이 필요한 라우팅 또는 기타 기능을 구성할 때 해당 개체를 사용합니다. |
Access Control Rules(액세스 제어 규칙) - 기본(네트워크, 포트, 프로토콜, ICMP) |
액세스 컨트롤 규칙 UI 경로: .참조: 액세스 제어 규칙. 방법:
|
액세스 제어 정책은 기본 5-튜플 및 VLAN 액세스 제어 규칙을 지원합니다. 또한 지리위치 개체를 사용하여 특정 지리적 위치와 연결된 IP 주소를 대상으로 지정할 수 있습니다. 또한 사전 필터 정책을 사용하여 터널링된 트래픽(예: GRE) 및 기타 5-튜플 트래픽을 제어할 수 있습니다. 사전 필터 규칙은 액세스 제어 규칙보다 먼저 처리되며 ASA에서 사용할 수 없습니다. 를 참조하십시오. |
액세스 제어 규칙 - 사용자 기반 제어 |
액세스 컨트롤 규칙 UI 경로: 사용자 이름 및 그룹 매핑을 가져오기 위한 규칙을 구성하려면 로 이동합니다.그런 다음 액세스 제어 규칙에서 사용자 이름 및 그룹을 선택할 수 있습니다. .방법: 동적 개체에 대한 액세스 제어 정책 규칙 구성 |
ASA에 비해 사용자/그룹 멤버십을 획득할 수 있는 옵션이 더 많습니다. |
액세스 제어 규칙 - 보안 그룹 및 Trustsec |
액세스 컨트롤 규칙 UI 경로: ID 서비스 엔진을 설정하려면 로 이동합니다.그런 다음 액세스 제어 규칙에서 보안 그룹 태그를 선택할 수 있습니다. . |
Identity Services Engine을 사용하여 사용자 기반 제어를 위한 사용자 이름/사용자 그룹 정보를 수집할 수도 있습니다. |
(ASA에서는 사용할 수 없음) 액세스 제어 규칙—레이어 7 애플리케이션 제어. |
액세스 컨트롤 규칙 UI 경로: .참조: 액세스 제어 규칙. |
예를 들어, 동일한 프로토콜 및 포트를 사용하는 애플리케이션에 대한 액세스 제어 규칙을 작성할 수 있습니다. 이를 통해 서로 다른 유형의 HTTP/HTTPS 트래픽을 구분할 수 있습니다. 애플리케이션 필터링을 사용하면 ASA에서 사용 가능한 것보다 더 세부적인 제어를 적용할 수 있습니다. |
액세스 제어 규칙 - URL 필터링. |
액세스 컨트롤 규칙 UI 경로: .참조: URL 필터링. |
URL 범주 및 평판을 기반으로 액세스를 제어하려면 URL 필터링 라이선스가 필요합니다. 또한 액세스 제어 정책 내에 정의된 보안 인텔리전스 정책을 사용하여 URL 또는 네트워크 개체를 기반으로 초기 필터링을 수행할 수 있습니다. DNS 정책은 DNS 조회 요청에 대해 동일한 작업을 수행할 수 있습니다. |
디바이스 간 트래픽에 대한 ICMP 액세스 규칙(icmp permit/deny 및 ipv6 icmp permit/deny 명령) |
ICMP 액세스 규칙 UI 경로: ICMP Access(ICMP 액세스) 페이지. . ,참조: 플랫폼 설정 |
액세스 제어 정책과 마찬가지로 플랫폼 설정 정책도 공유되며 여러 디바이스에 정책을 적용할 수 있습니다. |
Cisco Umbrella |
Cisco Umbrella UI 경로:
. |
Umbrella DNS 정책 및 Umbrella SASE VPN 토폴로지를 생성할 수 있습니다. |