CLI 书籍 1:Cisco Secure Firewall ASA 系列常规操作 CLI 配置指南,9.19 版

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

Book Contents
Find Matches in This Book
语言选择
Download Options

Book Title

CLI 书籍 1:Cisco Secure Firewall ASA 系列常规操作 CLI 配置指南,9.19 版

Chapter Title

Secure Firewall ASA 简介

Results

已更新:
2024年4月30日

Chapter: Secure Firewall ASA 简介

Secure Firewall ASA 简介

Cisco Secure Firewall ASA 在一台设备。ASA 包括许多高级功能,例如多安全情景(类似于虚拟化防火墙)、集群(将多个防火墙组合成一个防火墙)、透明(第 2 层)防火墙或路由(第 3 层)防火墙操作、高级检测引擎、IPsec VPN、SSL VPN 和无客户端 SSL VPN 支持以及许多其他功能。

新增功能

本部分列出了每个版本的新功能。


系统日志消息指南中列出了新增的、更改的和已弃用的系统日志消息。

ASA 9.19(1)的新功能

发布日期:2022 年 11 月 29 日

特性

说明

平台功能

Secure Firewall 3105

我们为安全防火墙 3105引入了 ASA。

使用 Azure 网关负载均衡器的 ASA Virtual Auto Scale 解决方案

现在,您可以在 Microsoft Azure 上部署具有网关负载均衡器的 ASA Virtual Auto Scale 解决方案。有关详细信息,请参阅接口功能。

防火墙功能

网络服务组支持

您现在最多可以定义 1024 个网络服务组。

高可用性和扩展性功能

删除偏差语言

包含术语“主”和“从”的命令、命令输出和系统日志消息已被更改为“控制”和“数据”。

新增/修改的命令:cluster control-node enable as-data-node prompt show cluster history show cluster info

ASA Virtual Amazon Web Services (AWS) 集群

ASA Virtual 支持 AWS 上最多 16 个节点的单个接口集群。无论是否有 AWS 网关负载均衡器,您都可以使用集群。

路由功能

IPv6 支持 BGP 平稳重启

已添加 IPv6 地址系列的 BGP 平稳重启支持。

新增/修改的命令:现有命令,扩展为支持 IPv6 系列:ha-mode graceful-restart

接口功能

ASA Virtual 支持 IPv6

ASAv 在私有云和公共云平台上支持 IPv6 网络协议。

用户现在可以:

  • 通过 day0 配置来启用和配置 IPv6 管理地址。

  • 使用 DHCP 和静态方法来分配 IPv6 地址。

ASA Virtual 用于 Azure 网关负载均衡器的已配对代理 VXLAN

您可以在 Azure 中为 ASA Virtual 配置配对代理模式 VXLAN 接口,以便与 Azure 网关负载均衡器 (GWLB) 配合使用。ASA Virtual 通过利用成对代理中的 VXLAN 网段在单个 NIC 上定义外部接口和内部接口。

新增/修改的命令: external-port、external-segment-id、internal-port、internal-segment-id、proxy paired

Cisco Secure Firewall 3100 固定端口上的默认前向纠错 (FEC) 从第 74 条 FC-FEC 更改为第 108 条 RS-FEC,适用于 25 GB+ SR、CSR 和 LR 收发器。

当您在安全防火墙 3100 固定端口上将 FEC 设置为自动时,对于 25 GB SR、CSR 和 LR 收发器,默认类型现在设置为 cl108-rs 而不是 cl74-fc。

新增/修改的命令:fec

许可证功能

在 KVM 和 VMware 上为 ASAv5 提供 ASA Virtual 永久许可证预留支持

 当您在 KVM 和 VMware 上部署具有 2GB RAM 的 ASAv 时,可以执行一个新命令来覆盖默认 PLR 许可证授权,并请求思科智能软件管理器 (SSM) 颁发 ASAv5 PLR 许可证。您可以通过添加 <no> 将许可证授权从 ASAv5 恢复为与 RAM 配置相对应的默认 PLR 许可证。

管理、监控和故障排除功能

CiscoSSH 堆栈现在为默认设置

现在默认使用思科 SSH 堆栈。

新增/修改的命令:ssh stack ciscossh

VPN 功能

VTI 环回接口支持

现在,您可以将环回接口设置为 VTI 的源接口。还添加了支持以从环回接口继承 IP 地址,而不是静态配置的 IP 地址。环回接口有助于克服路径故障。如果接口发生故障,您可以通过分配给环回接口的 IP 地址来访问所有接口。

新增/修改的命令:tunnel source interface ip unnumbered ipv6 unnumbered

动态虚拟隧道接口(动态 VTI)支持

ASA 使用动态 VTI 进行了增强。单个动态 VTI 可以替换中心上的多个静态 VTI 配置。您可以将新的分支添加到中心,而无需更改中心配置。动态 VTI 支持动态 (DHCP) 分支。

新增/修改的命令: interface virtual-Template、ip unnumbered、ipv6 unnumbered、tunnel protection ipsec policy。

VTI 支持 EIGRP 和 OSPF

虚拟隧道接口现在支持 EIGRP 和 OSPFv2/v3 路由。现在,您可以使用这些路由协议在对等体之间共享路由信息并通过基于 VTI 的 VPN 隧道路由流量。

远程访问 VPN 中的 TLS 1.3

您现在可以使用 TLS 1.3 加密远程访问 VPN 连接。

TLS 1.3 增加了对以下密码的支持:

  • TLS_AES_128_GCM_SHA256

  • TLS_CHACHA20_POLY1305_SHA256

  • AES256-GCM-SHA384

此功能需要思科安全客户端版本 5.0.01242 及更高版本。

新增/修改的命令: sslserver-version、sslclient-version

对 IKEv2 第三方客户端的双堆栈支持

安全防火墙 ASA 现在支持来自 IKEv2 第三方远程访问 VPN 客户端的双堆栈 IP 请求。如果第三方远程访问 VPN 客户端同时请求 IPv4 和 IPv6 地址,ASA 现在可以使用多个流量选择器分配两个 IP 版本地址。此功能使第三方远程访问 VPN 客户端能够使用单个 IPsec 隧道发送 IPv4 和 IPv6 数据流量。

新增/修改的命令: show crypto ikev2 sa、show crypto ipsec sa、show vpn-sessiondb ra-ikev2-ipsec

静态 VTI 接口的流量选择器

现在,您可以为静态 VTI 接口分配流量选择器。

新增/修改的命令:tunnel protection ipsec policy

防火墙功能概述

防火墙可防止外部网络上的用户在未经授权的情况下访问内部网络。防火墙同时可以为不同的内部网络提供保护,例如将人力资源网络与用户网络分开。如果需要向外部用户提供某些网络资源(例如 Web 服务器或 FTP 服务器),可以将这些资源放置在防火墙后面单独的网络上(这种网络称为隔离区 (DMZ))。防火墙允许有限访问 DMZ,但由于 DMZ 只包括公共服务器,因此发生在这个位置的攻击只会影响到服务器,而不会影响其他内部网络。还可以通过以下手段来控制内部用户何时可以访问外部网络(例如,访问互联网):仅允许访问某些地址,要求身份验证或授权,配合使用外部 URL 过滤服务器。

讨论连接到防火墙的网络时,外部网络位于防火墙之前,内部网络可以得到保护,位于防火墙之后,DMZ 虽然位于防火墙之后,却可以限制外部用户的访问权限。由于 ASA 允许您配置许多安全策略不同的接口,包括许多内部接口、许多 DMZ 甚至许多外部接口(如果需要),则仅按照常规含义使用这些术语。

安全策略概述

安全策略确定哪些流量可通过防火墙来访问其他网络。默认情况下,ASA 允许流量从内部网络(较高安全性级别)自由流向外部网络(较低安全性级别)。可以将操作应用于流量,以自定义安全策略。

通过访问规则允许或拒绝流量

您可以应用访问规则,以限制从内部到外部的流量,或者允许从外部到内部的流量。对于网桥组接口,还可以应用 EtherType 访问规则来允许非 IP 流量。

应用 NAT

NAT 的一些优势如下:

  • 可以在内部网络上使用专用地址。专用地址不能在互联网上进行路由。

  • NAT 可隐藏其他网络的本地地址,使攻击者无法获悉主机的真实地址。

  • NAT 可通过支持重叠 IP 地址来解决 IP 路由问题。

保护 IP 片段

ASA 提供 IP 片段保护。此功能对所有 ICMP 错误消息执行完全重组,并对通过 ASA 路由的剩余 IP 片段执行虚拟重组。系统会丢弃并记录未能通过安全检查的片段。不能禁用虚拟重组。

应用 HTTP、HTTPS 或 FTP 过滤

虽然可以使用访问列表来防止对于特定网站或 FTP 服务器的出站访问,但由于互联网的规模和动态性质,以这种方式配置和管理网络使用并不切合实际。

可以在 ASA 上配置云网络安全。您还可以将 ASA 与思科网络安全设备 (WSA) 等外部产品结合使用。

应用应用检测

针对在用户数据包内嵌入 IP 寻址信息的服务或在动态分配端口上打开辅助信道的服务,需要使用检测引擎。这些协议要求 ASA 执行深度数据包检测。

应用 QoS 策略

某些网络流量(例如声音和流传输视频)不允许出现长时间延迟。QoS 是一种网络功能,使您可以向此类流量赋予优先级。QoS 是指一种可以向所选网络流量提供更好服务的网络功能。

应用连接限制和 TCP 规范化

可以限制 TCP 连接、UDP 连接和半开连接。限制连接和半开连接的数量可防止遭受 DoS 攻击。ASA 通过限制初期连接的数量来触发 TCP 拦截,从而防止内部系统受到 DoS 攻击(这种攻击使用 TCP SYN 数据包对接口发起泛洪攻击)。半开连接是源与目标之间尚未完成必要握手的连接请求。

TCP 规范化是指一种包含高级 TCP 连接设置的功能,用以丢弃有异常迹象的数据包。

启用威胁检测

可以配置扫描威胁检测和基本威胁检测,还可以配置如何使用统计信息来分析威胁。

基本威胁检测会检测可能与攻击(例如 DoS 攻击)相关的活动,并自动发送系统日志消息。

典型的扫描攻击包含测试子网中每个 IP 地址可达性(通过扫描子网中的多台主机或扫描主机或子网中的多个端口)的主机。扫描威胁检测功能确定主机何时执行扫描。ASA 扫描威胁检测功能与基于流量签名的 IPS 扫描检测不同,前者维护着一个广泛的数据库,其中包含可用来分析扫描活动的主机统计信息。

主机数据库跟踪可疑的活动(例如没有返回活动的连接、访问关闭的服务端口、如非随机 IPID 等易受攻击的 TCP 行为以及更多行为)。

您可以将 ASA 配置为发送有关攻击者的系统日志消息,也可以自动避开主机。

防火墙模式概览

ASA 在两种不同的防火墙模式下运行:

  • 路由

  • 透明

在路由模式下,ASA 被视为网络中的一个路由器跃点。

在透明模式下,ASA 如同是“线缆中的块”或“隐蔽的防火墙”,不被视为路由器跃点。ASA 在“网桥组”中连接至其内部和外部接口上的同一子网。

您可以使用透明防火墙简化网络配置。如果希望防火墙对攻击者不可见,透明模式同样有用。还可以针对在路由模式中会以其他方式被阻止的流量使用透明防火墙。例如,透明防火墙可通过 EtherType 访问列表允许组播数据流。

路由模式支持集成路由和桥接,因此也可以在路由模式下配置网桥组,并在网桥组和普通接口之间路由。在路由模式下,您可以复制透明模式功能;如果您不需要多情景模式或集群,可以考虑改用路由模式。

状态监测概览

系统使用自适应安全算法检测通过 ASA 的所有流量,要么允许通过,要么将其丢弃。简单的数据包过滤器可以检查源地址、目标地址和端口是否正确,但不会检查数据包序列或标记是否正确。过滤器还可以根据过滤器本身检查每个数据包,但这个过程可能比较慢。


TCP 状态绕行功能使您可以自定义数据包流量。

但 ASA 等状态防火墙会考虑数据包的状态:

  • 这是新连接吗?

    如果是新连接,ASA 必须对照访问列表检查数据包,并执行其他任务以确定允许还是拒绝数据包。为了执行此检查,会话的第一个数据包将通过“会话管理路径”,根据流量类型,它还可能通过“控制平面路径”。

    会话管理路径负责执行以下任务:

    • 执行访问列表检查

    • 执行路由查找

    • 分配 NAT 转换 (xlate)

    • 在“快速路径”中建立会话

    ASA 会在快速路径中为 TCP 流量创建转发和反向流;ASA 还会为无连接协议(例如 UDP、ICMP)创建连接状态信息(启用 ICMP 检测时),以便它们也可以使用快速路径。


    对于其他 IP 协议,例如 SCTP,ASA 不会创建反向流路径。因此,涉及这些连接的 ICMP 错误数据包将被丢弃。

    需要第 7 层检测的某些数据包(必须检测或改变数据包负载)会传递到控制平面路径。具有两个或多个信道(一个使用已知端口号的数据信道,一个对每个会话使用不同端口号的控制信道,)的协议需要第 7 层检测引擎。这些协议包括 FTP、H.323 和 SNMP。

  • 这是已建立的连接吗?

    如果连接已建立,则 ASA 不需要重新检查数据包;多数匹配的数据包都可以双向通过“快速”路径。快速路径负责执行以下任务:

    • IP 校验和验证

    • 会话查找

    • TCP 序列号检查

    • 基于现有会话的 NAT 转换

    • 第 3 层和第 4 层报头调整

    需要第 7 层检测的协议的数据包也可以通过快速路径。

    某些建立的会话数据包必须继续通过会话管理路径或控制平面路径。通过会话管理路径的数据包包括需要检测或内容过滤的 HTTP 数据包。通过控制平面路径的数据包包括需要第 7 层检测的协议的控制数据包。

VPN 功能概述

VPN 是一个跨 TCP/IP 网络(例如互联网)的安全连接,显示为私有连接。这种安全连接被称为隧道。ASA 使用隧道传输协议协商安全参数,创建和管理隧道,封装数据包,通过隧道收发数据包,然后再对它们解除封装。ASA 相当于一个双向隧道终端:可以接收普通数据包,封装它们,再将它们发送到隧道的另一端,在那里系统将对数据包解除封装并将其发送到最终目标。它也可以接收已封装的数据包,解除数据包封装,然后将它们发送到最终目标。ASA 可调用各种标准协议来完成这些功能。

ASA 可执行以下功能:

  • 建立隧道

  • 协商隧道参数

  • 对用户进行身份验证

  • 分配用户地址

  • 数据加密和解密

  • 管理安全密钥

  • 管理隧道范围内的数据传输

  • 按隧道终端或路由器方式管理入站和出站数据传输

ASA 可调用各种标准协议来完成这些功能。

安全情景概述

您可以将一台 ASA 设备分区成多个虚拟设备,这些虚拟设备被称为安全情景。每个 context 都是一台独立设备,拥有自己的安全策略、接口和管理员。多情景类似于拥有多台独立设备。多情景模式支持很多功能,包括路由表、防火墙功能、IPS 和管理;但是,某些功能不受支持。有关详细信息,请参阅相关功能章节。

在多情景模式中,ASA 包括用于每个情景的配置,其中确定安全策略、接口以及可以在独立设备中配置的几乎所有选项。系统管理员可在系统配置中配置情景以添加和管理情景;系统配置类似于单模式配置,是启动配置。系统配置可标识 ASA 的基本设置。系统配置本身并不包含任何网络接口或网络设置;相反,当系统需要访问网络资源(例如,从服务器下载情景)时,它使用指定为管理情景的某个情景。

管理情景类似于任何其他情景,唯一不同之处在于,当用户登录管理情景时,该用户拥有系统管理员权限并能访问系统和所有其他情景。

ASA 集群概述

通过 ASA 集群,您可以将多台 ASA 组合成单个逻辑设备。集群具有单个设备的全部便捷性(管理、集成到一个网络中),同时还能实现吞吐量增加和多个设备的冗余性。

只能在控制设备上执行所有配置(引导程序配置除外);然后配置将被复制到成员设备中。

特殊服务和传统服务

对于某些服务,可以在主配置指南和在线帮助以外找到相关文档。

特殊服务指南

特殊服务使 ASA 可以与其他思科产品实现互操作;例如,为电话服务提供安全代理(统一通信),同时提供僵尸网络流量过滤和思科更新服务器上的动态数据库,或者为思科网络安全设备提供 WCCP 服务。某些特殊服务在单独的指南中进行介绍:

传统服务指南

ASA 仍支持传统服务,但可能还有更好的替代服务可供使用。传统服务在单独的指南中进行介绍:

思科 ASA 传统功能指南

本指南包含以下章节:

  • 配置 RIP

  • 适用于网络接入的 AAA 规则

  • 使用保护工具,其中包括防止 IP 欺骗 (ip verify reverse-path)、配置分段大小 (fragment)、阻止不需要的连接 (shun)、配置 TCP 选项(适用于 ASDM)以及为基本 IPS 支持配置 IP 审核 (ip audit)。

  • 配置过滤服务

此文档是否有帮助?

Feedback反馈

联系我们