Cisco Secure Firewall ASA 简介

Cisco Secure Firewall ASA 在一台设备提供高级状态防火墙和 VPN 集中器功能。ASA 包括许多高级功能,例如多安全情景(类似于虚拟化防火墙)、集群(将多个防火墙组合成一个防火墙)、透明(第 2 层)防火墙或路由(第 3 层)防火墙操作、高级检测引擎、IPsec VPN、SSL VPN 和无客户端 SSL VPN 支持以及许多其他功能。

新增功能

本部分列出了每个版本的新功能。


系统日志消息指南中列出了新增的、更改的和已弃用的系统日志消息。

ASA 9.22(1.1) 的新功能

发布日期:2024 年 9 月 16 日

9.22(1) 未发布。

功能

说明

平台功能

Cisco Secure Firewall 1210/1220

Cisco Secure Firewall 1210/1220 是一款紧凑型桌面防火墙,带有内置交换机和以太网供电+ (PoE+),具体取决于型号。

  • Cisco Secure Firewall 1210CE - 包括 8 个 1Gbps RJ-45 铜缆数据端口。

  • Cisco Secure Firewall 1210CP - 其中四个端口上包含 PoE+。

  • Cisco Secure Firewall 1220CX - 包括两个额外的 10Gbps SFP+ 端口和更高性能。

ASA Virtual 通过 GWLB 支持 AWS 上的双臂部署模式

ASA Virtual 现在支持在 AWS 上使用 GWLB 的双臂部署模式。此模式可使 ASA Virtual 在进行流量检查后,通过互联网网关直接将互联网流量转发到互联网,同时还可执行网络地址转换 (NAT)。

双臂模式不同于单臂模式,它有助于将检查到的出站流量路由回 GWLB,然后通过互联网网关传输到互联网。

双臂模式支持在单 VPC 和多 VPC 网络环境中将已检查流量从 ASA Virtual转发到互联网。

ASA Virtual 中双臂模式的优势包括:

  • 最大限度地减少流量跳转,从而减少流量延迟,提高吞吐量性能。

  • 整合并检查来自多个 VPC 的出站流量,然后再将其转发到互联网。

  • 由于降低了基础设施要求,因此提供了一种经济高效的解决方案。

有关详细信息,请参阅《Cisco Secure Firewall ASA Virtual 入门指南,9.22》。

在 Kubernetes 或 Docker 环境中部署 Cisco Secure Firewall ASA 容器 (ASAc)

容器是一种软件包,它将代码和相关要求(如系统库、系统工具、默认设置等)捆绑在一起,以确保应用程序在计算环境中成功运行。您可以在开源 Kubernetes 或 Docker 环境中部署 ASA 容器 (ASAc)。

VMware ESXi 上的 ASA Virtual 支持

VMware 上的 ASA Virtual 现在支持 ESXi 版本 8.0。

有关详细信息,请参阅《Cisco Secure Firewall ASA Virtual 入门指南,9.22》。

防火墙功能

对象组搜索优化。

对象组搜索功能得到了增强,可在评估访问控制规则以匹配连接时减少对象查找时间,并减少 CPU 开销。配置对象组搜索没有任何变化,优化行为会自动进行。

我们在设备 CLI 或增强的命令输出中添加了以下命令:clear asp table network-object debug ac logs packet-tracer show access-list show asp table network-group show object-group

高可用性和扩展性功能

Cisco Secure Firewall 3100 和 4200 个最大集群节点增加到 16 个。

对于 Cisco Secure Firewall 3100 和 4200,最大节点数从 8 增加到 16。

Cisco Secure Firewall 3100 和 4200 集群独立接口模式

独立接口是正常的路由接口,每个接口都有自己的 本地 IP 地址 用于路由。每个接口的 主集群 IP 地址 是固定地址,始终属于控制节点。当控制节点更改时,主集群 IP 地址将转移到新的控制节点,使集群的管理得以无缝继续。

必须在上游交换机上分别配置负载均衡。

新增/修改的命令:cluster interface-mode individual

支持在 AWS 多可用性区域上部署 ASA Virtual 集群

现在,您可以在 AWS 区域的多个可用性区域内部署和配置 ASA Virtual 集群。集群还具有动态扩展能力 (Autoscale),有助于根据需求增加或减少虚拟设备。

跨 AWS 区域中的多个可用性区域扩展 ASA Virtual 集群可以在灾难恢复期间实现持续的流量检测和动态扩展。

有关详细信息,请参阅在公共云中为 ASA Virtual 机部署群集

许可证功能

Smart Transport 是默认的智能许可传输

智能许可现在使用 Smart Transport 作为默认传输。如有必要,可以选择启用前一种类型 Smart Call Home 。

新增/修改的命令:transport proxy transport type transport url

ASAvU(无限制)许可证,用于部署具有 32 核和 64 核的 ASA Virtual

ASAvU 许可证可在 32 核和 64 核部署上实现最大吞吐量,仅在 VMware 和 KVM 上受支持。

新增/修改的命令:throughput level unlimited

管理、监控和故障排除功能

禁用 USB 端口 (disk1)

默认情况下,type-A USB 端口 (disk1) 已启用并且无法禁用。现在,您可以在以下机型上出于安全目的禁用 USB 端口访问:

  • Firepower 1000

  • Cisco Secure Firewall 3100

  • Cisco Secure Firewall 4200

此设置存储在固件中,并且需要重新加载。此外,如果 USB 端口被禁用,并且您降级到不支持此功能的版本,则端口将保持禁用状态,并且在不清除 NVRAM 的情况下无法重新启用端口。

 

此功能不会影响 type-B USB 控制台端口(如果有)。

新增/修改的命令: usb-port disable show usb-port

VPN 功能

DTLS 加密加速

Cisco Secure Firewall 4200 和 3100 系列支持 DTLS 加密加速。硬件执行 DTLS 加密和解密,并提高 DTLS 加密和 DTLS 解密流量的吞吐量。硬件还会对出口加密数据包执行优化,以改善延迟。

新增/修改的命令: flow-offload-dtls flow-offload-dtls egress-optimization

防火墙功能概述

防火墙可防止外部网络上的用户在未经授权的情况下访问内部网络。防火墙同时可以为不同的内部网络提供保护,例如将人力资源网络与用户网络分开。如果需要向外部用户提供某些网络资源(例如 Web 服务器或 FTP 服务器),可以将这些资源放置在防火墙后面单独的网络上(这种网络称为隔离区 (DMZ))。防火墙允许有限访问 DMZ,但由于 DMZ 只包括公共服务器,因此发生在这个位置的攻击只会影响到服务器,而不会影响其他内部网络。还可以通过以下手段来控制内部用户何时可以访问外部网络(例如,访问互联网):仅允许访问某些地址,要求身份验证或授权,配合使用外部 URL 过滤服务器。

讨论连接到防火墙的网络时,外部网络位于防火墙之前,内部网络可以得到保护,位于防火墙之后,DMZ 虽然位于防火墙之后,却可以限制外部用户的访问权限。由于 ASA 允许您配置许多安全策略不同的接口,包括许多内部接口、许多 DMZ 甚至许多外部接口(如果需要),则仅按照常规含义使用这些术语。

安全策略概述

安全策略确定哪些流量可通过防火墙来访问其他网络。默认情况下,ASA 允许流量从内部网络(较高安全性级别)自由流向外部网络(较低安全性级别)。可以将操作应用于流量,以自定义安全策略。

通过访问规则允许或拒绝流量

您可以应用访问规则,以限制从内部到外部的流量,或者允许从外部到内部的流量。对于网桥组接口,还可以应用 EtherType 访问规则来允许非 IP 流量。

应用 NAT

NAT 的一些优势如下:

  • 可以在内部网络上使用专用地址。专用地址不能在互联网上进行路由。

  • NAT 可隐藏其他网络的本地地址,使攻击者无法获悉主机的真实地址。

  • NAT 可通过支持重叠 IP 地址来解决 IP 路由问题。

保护 IP 片段

ASA 提供 IP 片段保护。此功能对所有 ICMP 错误消息执行完全重组,并对通过 ASA 路由的剩余 IP 片段执行虚拟重组。系统会丢弃并记录未能通过安全检查的片段。不能禁用虚拟重组。

应用 HTTP、HTTPS 或 FTP 过滤

虽然可以使用访问列表来防止对于特定网站或 FTP 服务器的出站访问,但由于互联网的规模和动态性质,以这种方式配置和管理网络使用并不切合实际。

可以在 ASA 上配置云网络安全。您还可以将 ASA 与思科网络安全设备 (WSA) 等外部产品结合使用。

应用应用检测

针对在用户数据包内嵌入 IP 寻址信息的服务或在动态分配端口上打开辅助信道的服务,需要使用检测引擎。这些协议要求 ASA 执行深度数据包检测。

应用 QoS 策略

某些网络流量(例如声音和流传输视频)不允许出现长时间延迟。QoS 是一种网络功能,使您可以向此类流量赋予优先级。QoS 是指一种可以向所选网络流量提供更好服务的网络功能。

应用连接限制和 TCP 规范化

可以限制 TCP 连接、UDP 连接和半开连接。限制连接和半开连接的数量可防止遭受 DoS 攻击。ASA 通过限制初期连接的数量来触发 TCP 拦截,从而防止内部系统受到 DoS 攻击(这种攻击使用 TCP SYN 数据包对接口发起泛洪攻击)。半开连接是源与目标之间尚未完成必要握手的连接请求。

TCP 规范化是指一种包含高级 TCP 连接设置的功能,用以丢弃有异常迹象的数据包。

启用威胁检测

可以配置扫描威胁检测和基本威胁检测,还可以配置如何使用统计信息来分析威胁。

基本威胁检测会检测可能与攻击(例如 DoS 攻击)相关的活动,并自动发送系统日志消息。

典型的扫描攻击包含测试子网中每个 IP 地址可达性(通过扫描子网中的多台主机或扫描主机或子网中的多个端口)的主机。扫描威胁检测功能确定主机何时执行扫描。ASA 扫描威胁检测功能与基于流量签名的 IPS 扫描检测不同,前者维护着一个广泛的数据库,其中包含可用来分析扫描活动的主机统计信息。

主机数据库跟踪可疑的活动(例如没有返回活动的连接、访问关闭的服务端口、如非随机 IPID 等易受攻击的 TCP 行为以及更多行为)。

您可以将 ASA 配置为发送有关攻击者的系统日志消息,也可以自动避开主机。

防火墙模式概述

ASA 在两种不同的防火墙模式下运行:

  • 路由

  • 透明

在路由模式下,ASA 被视为网络中的一个路由器跃点。

在透明模式下,ASA 如同是“线缆中的块”或“隐蔽的防火墙”,不被视为路由器跃点。ASA 在“网桥组”中连接至其内部和外部接口上的同一子网。

您可以使用透明防火墙简化网络配置。如果希望防火墙对攻击者不可见,透明模式同样有用。还可以针对在路由模式中会以其他方式被阻止的流量使用透明防火墙。例如,透明防火墙可通过 EtherType 访问列表允许组播数据流。

路由模式支持集成路由和桥接,因此也可以在路由模式下配置网桥组,并在网桥组和普通接口之间路由。在路由模式下,您可以复制透明模式功能;如果您不需要多情景模式或集群,可以考虑改用路由模式。

状态监测概述

系统使用自适应安全算法检测通过 ASA 的所有流量,要么允许通过,要么将其丢弃。简单的数据包过滤器可以检查源地址、目标地址和端口是否正确,但不会检查数据包序列或标记是否正确。过滤器还可以根据过滤器本身检查每个数据包,但这个过程可能比较慢。


TCP 状态绕行功能使您可以自定义数据包流量。

但 ASA 等状态防火墙会考虑数据包的状态:

  • 这是新连接吗?

    如果是新连接,ASA 必须对照访问列表检查数据包,并执行其他任务以确定允许还是拒绝数据包。为了执行此检查,会话的第一个数据包将通过“会话管理路径”,根据流量类型,它还可能通过“控制平面路径”。

    会话管理路径负责执行以下任务:

    • 执行访问列表检查

    • 执行路由查找

    • 分配 NAT 转换 (xlate)

    • 在“快速路径”中建立会话

    ASA 会在快速路径中为 TCP 流量创建转发和反向流;ASA 还会为无连接协议(例如 UDP、ICMP)创建连接状态信息(启用 ICMP 检测时),以便它们也可以使用快速路径。


    对于其他 IP 协议,例如 SCTP,ASA 不会创建反向流路径。因此,涉及这些连接的 ICMP 错误数据包将被丢弃。

    需要第 7 层检测的某些数据包(必须检测或改变数据包负载)会传递到控制平面路径。具有两个或多个信道(一个使用已知端口号的数据信道,一个对每个会话使用不同端口号的控制信道,)的协议需要第 7 层检测引擎。这些协议包括 FTP、H.323 和 SNMP。

  • 这是已建立的连接吗?

    如果连接已建立,则 ASA 不需要重新检查数据包;多数匹配的数据包都可以双向通过“快速”路径。快速路径负责执行以下任务:

    • IP 校验和验证

    • 会话查找

    • TCP 序列号检查

    • 基于现有会话的 NAT 转换

    • 第 3 层和第 4 层报头调整

    需要第 7 层检测的协议的数据包也可以通过快速路径。

    某些建立的会话数据包必须继续通过会话管理路径或控制平面路径。通过会话管理路径的数据包包括需要检测或内容过滤的 HTTP 数据包。通过控制平面路径的数据包包括需要第 7 层检测的协议的控制数据包。

VPN 功能概述

VPN 是一个跨 TCP/IP 网络(例如互联网)的安全连接,显示为私有连接。这种安全连接被称为隧道。ASA 使用隧道传输协议协商安全参数,创建和管理隧道,封装数据包,通过隧道收发数据包,然后再对它们解除封装。ASA 相当于一个双向隧道终端:可以接收普通数据包,封装它们,再将它们发送到隧道的另一端,在那里系统将对数据包解除封装并将其发送到最终目标。它也可以接收已封装的数据包,解除数据包封装,然后将它们发送到最终目标。ASA 可调用各种标准协议来完成这些功能。

ASA 可执行以下功能:

  • 建立隧道

  • 协商隧道参数

  • 对用户进行身份验证

  • 分配用户地址

  • 数据加密和解密

  • 管理安全密钥

  • 管理隧道范围内的数据传输

  • 按隧道终端或路由器方式管理入站和出站数据传输

ASA 可调用各种标准协议来完成这些功能。

安全情景概述

您可以将一台 ASA 设备分区成多个虚拟设备,这些虚拟设备被称为安全情景。每个 context 都是一台独立设备,拥有自己的安全策略、接口和管理员。多情景类似于拥有多台独立设备。多情景模式支持很多功能,包括路由表、防火墙功能、IPS 和管理;但是,某些功能不受支持。有关详细信息,请参阅相关功能章节。

在多情景模式中,ASA 包括用于每个情景的配置,其中确定安全策略、接口以及可以在独立设备中配置的几乎所有选项。系统管理员可在系统配置中配置情景以添加和管理情景;系统配置类似于单模式配置,是启动配置。系统配置可标识 ASA 的基本设置。系统配置本身并不包含任何网络接口或网络设置;相反,当系统需要访问网络资源(例如,从服务器下载情景)时,它使用指定为管理情景的某个情景。

管理情景类似于任何其他情景,唯一不同之处在于,当用户登录管理情景时,该用户拥有系统管理员权限并能访问系统和所有其他情景。

ASA 集群概述

通过 ASA 集群,您可以将多台 ASA 组合成单个逻辑设备。集群具有单个设备的全部便捷性(管理、集成到一个网络中),同时还能实现吞吐量增加和多个设备的冗余性。

只能在控制设备上执行所有配置(引导程序配置除外);然后配置将被复制到成员设备中。

特殊服务和传统服务

对于某些服务,可以在主配置指南和在线帮助以外找到相关文档。

特殊服务指南

特殊服务使 ASA 可以与其他思科产品实现互操作;例如,为电话服务提供安全代理(统一通信),同时提供僵尸网络流量过滤和思科更新服务器上的动态数据库,或者为思科网络安全设备提供 WCCP 服务。某些特殊服务在单独的指南中进行介绍:

传统服务指南

ASA 仍支持传统服务,但可能还有更好的替代服务可供使用。传统服务在单独的指南中进行介绍:

思科 ASA 传统功能指南

本指南包含以下章节:

  • 配置 RIP

  • 适用于网络接入的 AAA 规则

  • 使用保护工具,其中包括防止 IP 欺骗 (ip verify reverse-path)、配置分段大小 (fragment)、阻止不需要的连接 (shun)、配置 TCP 选项(适用于 ASDM)以及为基本 IPS 支持配置 IP 审核 (ip audit)。

  • 配置过滤服务