1.5 Cisco ASA设备特性
CCNP安全防火墙642-618认证考试指南
防火墙考试专注于Cisco自适应安全设备。Cisco ASA设备是防火墙吗?是,而且它不仅仅是一台简单的防火墙,同时还能够支持上文所介绍的所有防火墙技术。
除此之外,作为一台多功能设备,ASA还拥有基本防火墙所不具备的众多特性,以下内容将对ASA设备特性进行总结。读者应该熟悉这些特性,因为在考试中为了完成高级设计需求,可能会面临正确特性和技术的选择。
关键有状态包过滤引擎:SPF引擎跟踪连接和连接状态,执行TCP标准化操作和一致性检查以及动态会话协商跟踪。第9章讲解了SPF引擎的详细内容。
应用检测及控制:AIC功能分析应用层协议并跟踪其状态,使之遵循协议规范。第9章讲解了AIC功能的详细内容。
基于用户的控制访问:ASA设备能够利用直通代理对联机用户进行认证,从而基于用户对访问权限进行控制。一旦用户认证通过,直通代理将加速用户流量的检测。第10章讲解了这一功能的详细内容。
会话审计:对基于用户的会话、应用层连接及会话进行统计记录。第6章讲解了会话审计的详细内容。会话审计能够被用于审计跟踪、流量记账以及事件分析。
安全服务模块:ASA平台支持多种安全服务模块(SSM),通过安装可拆卸的专用模块,ASA设备能够增强其安全功能。ASA设备能够安装IPS或内容安全服务模块。第15章讲解了SSM的详细内容。
基于僵尸网络的流量过滤:ASA设备能够在僵尸网络中检测和过滤被感染主机的流量。Cisco定期更新在僵尸网络中进行威胁检测所使用的僵尸网络流量过滤数据库。第9章讲解了僵尸网络流量过滤的详细内容。
分类URL过滤:ASA设备能够协同外部URL过滤服务器对用户的Web服务流量执行策略和控制。
加密统一通信(UC)代理:当Cisco统一通信流量穿越ASA设备时,ASA能够配置成为已认证的UC代理。此时,在客户端和服务器之间加密保护的UC会话便能够在ASA设备上进行终结和中继转发。
拒绝式服务防御:ASA设备能够利用流量控制特性,例如协议规范化、流量策略及会话速率控制将拒绝式服务(DoS)攻击所造成的影响最小化。第9章讲解了DoS防御的详细内容。
威胁检测:威胁检测特性通过在检测网络攻击和行为侦测时,检查并关联不同连接和会话的信息,从而发现并阻塞异常行为。第9章讲解了威胁检测的详细内容。
远程访问VPN:ASA设备能够和位于不可信任网络中的信任用户建立安全的VPN连接。利用SSL VPN方式能够为用户提供一条限制性的远程访问安全Web入口,而无需使用VPN客户端软件。若需使用完整的安全网络访问,那么可以使用SSL VPN或者IPSec VPN对全部用户流量进行隧道化处理,这需要VPN客户端软件的支持。远程访问VPN的详细内容在《CCNP安全VPN 642-648认证考试指南》中进行介绍。
站点到站点VPN:ASA设备支持使用IPSec VPN连接站点或企业网络。站点到站点或局域网到局域网的VPN连接通常建立在防火墙和路由器之间。站点到站点VPN的详细内容在《CCNP安全VPN 642-648认证考试指南》中进行介绍。
高可用性故障倒换群集:将两台相同的ASA设备配置为故障倒换对,从而使得ASA设备的安全功能在硬件发生故障时能够提供冗余。第14章讲解了故障倒换群集的详细内容。
冗余接口:为了增加单一ASA设备的高可用性,多个接口能够被配置成为冗余对。当冗余对内的活动接口由于硬件故障失效时,其他接口可接替原接口继续工作。冗余接口的详细内容讲解在第3章中,且该特性能够与故障倒换群集结合使用。
以太通道:多个ASA设备接口能够被汇聚或捆绑成一个逻辑接口。通过在ASA设备和交换机之间建立以太通道连接,能够扩展带宽并提供额外的冗余性。以太通道技术将在第3章中进行介绍。
流量和策略虚拟化:ASA设备能够被配置成为多个虚拟实例或Security Context,且各自扮演独立的防火墙。每个虚拟防火墙可拥有独立的逻辑接口、安全策略及管理控制。第13章讲解了虚拟防火墙的详细内容。
丰富的IP路由功能:ASA设备能够直接转发去往直连接口上逻辑网络的流量。同时,它还支持使用静态路由或动态路由协议获取路由信息,例如RIPv1,RIPv2,EIGRP和OSPF。第4章讲解了IP路由的详细内容。
强大的网络地址转换(NAT):当ASA设备对数据包进行检测和转发时,能够执行各种类型的NAT操作对数据包源和目的信息进行转换。第7章讲解了网络地址转换的详细内容。
透明(桥接)模式:ASA设备能够配置成为透明防火墙,以有效地对其接口的桥接流量进行保护。在网络中被部署为透明防火墙模式的ASA设备不要求对网络原IP地址进行重规划。第12章讲解了透明防火墙模式的详细内容。
支持DHCP、DDNS及PPPoE:ASA设备能够配置成为DHCP客户端或PPP over Ethernet(PPPoE)客户端从连接的网络获取接口地址。同时还能作为动态DNS(DDNS)客户端记录主机名到地址的解析信息。另外,ASA设备还能扮演一台DHCP服务器为网络中的其他主机提供IP地址服务。第4章讲解了这些特性。
支持IPv6:ASA设备能够通过配置以支持IPv6网络。
支持IP多播:ASA设备能够利用Internet组管理协议(IGMP)和协议无关多播(PIM)协议来参与多播流量的转发。
管理控制和协议:ASA设备支持多种管理控制方式,这包括console控制台、Telnet、安全壳(SSH)、HTTPS及简单网络管理协议(SNMP;版本1、2c和3)。它还拥有专用带外管理端口。另外,ASA能够通过SNMP trap(自陷)、NetFlow和系统日志发送事件通知。第5章讲解了管理控制的详细内容。
简单系统管理:ASA设备支持使用本地文件系统及远程文件传输两种方式对操作系统进行升级。可以选择手动或自动地升级系统,或者利用故障倒换群集做到零宕机时间升级。第5章讲解了系统管理的详细内容。
配置的灵活性和可扩展性:在ASA设备上配置安全策略和规则时可以使用重复性对象。通过配置模块化策略结构(MPF),ASA支持使用多种方式灵活地配置和启用安全特性。第8章和第9章讲解了上述特性的详细内容。
Cisco安全管理套件:利用Cisco安全管理套件能够对多个ASA设备进行有效管理。