ASA как она есть. Введение. Чего она не умеет
Предисловие: читая курсы о безопасности cisco (вот уже 7 лет, много как то :)) сталкиваюсь с одними и теми же вопросами. Давно уже хочу излить ответы на бумаге ибо повторять одно и то же уже нет сил :) Поэтому попробую тезисно, емко рассказать об основных особенностях работы cisco ASA, настройке основных технологий с использованием CLI (настройка через web интерфейс при понимании технологии не сложна) а также некоторых дизайнерских моментах. Если не указано явно, то речь идёт об версии ОС 8 и лучше.
Итак, начну, пожалуй, с очень важной и для настройщиков, и для дизайнеров, и для предпродажников темы: чего ASA не умеет.
Часто сталкиваюсь с ситуацией, когда железо уже закуплено, «благодаря» стараниям продавцов, однако требуемых технологий, оказывается, оно не умеет. К таким критическим моментам можно отнести:
1. Разделение трафика по параллельным путям (путям с одинаковой метрикой). Не смотря на то, что ASA является устройством 3 уровня, уверенно работает с протоколами RIPv1,2, OSPF, EIGRP, она не поддерживает избыточных маршрутов, т.е. в таблицу маршрутизации всегда попадает один маршрут. Если же маршрутов с одинаковой метрикой более одного (например, OSPF прислал), то выбирается…первый попавшийся :) При его пропадании сразу же «найдётся» второй. В частности поэтому невозможно написать 2 дефолтных маршрута (route [int] 0 0 [next-hop]).
2. ASA не поддерживает Policy Based Routing (PBR). Т.е. вы не можете принудительно отправить пакет через определенный интерфейс, основываясь на адресе источника (напомню, что на маршрутизаторах это делается при помощи конструкции route-map, примененной на вход внутреннего интерфейса). Злую шутку со многими настройщиками маршрутизаторов, впервые сталкивающихся с ASA, сыграло то, что на ASA route-map есть! Только используется она исключительно для редистрибуции маршрутов.
3. На ASA нет никаких виртуальных интерфейсов (tunnel, loopback). Поэтому она не поддерживает туннели GRE (очень жаль!), а следовательно и удобную технологию DMVPN.
Это, пожалуй, основные моменты. Есть еще ряд неудобств, но как правило они не критичны в проектах. К ним могу отнести:
1. На ASA нет ни telnet, ни ssh клиента. Т.е. пойти с ASA куда то не получится.
2. У ASA нет «внутренней» маршрутизации, т.е маршрутизации внутри себя. Попасть из зоны inside на интерфейс outside не получится. Правда, с переходом на OS Linux подвижки в этом направлении появились, например, можно «увидеть» адрес внутреннего интерфейса сквозь туннель IPSec, а также позволить управлять ASA сквозь туннель, соединяясь с адресо
м внутреннего интерфейса (надо дать команду management-interface [int]). В частности поэтому на ASA надо явно указывать интерфейс, через который будет достижим тот или иной адрес, например адрес next-hop при задании статического маршрута
route outside 0 0 192.168.1.1
или при задании сервера аутентификации
aaa-server TAC (inside) host 10.1.1.100
3. На ASA нельзя сразу попасть на 15 уровень привилегий без дополнительного запроса для входа в enable.
4. На ASA нельзя увидеть стартовую конфигурацию как файл в какой-нибудь файловой системе (на маршрутизаторе этот файл лежит в nvram: ). При этом running-config увидеть можно:
more system:/running-config
5. На ASA нельзя просто залить новый файл ОС, чтобы получить новый функционал. Весь функционал уже «зашит» в ОС, а фичи включаются при помощи лицензии (activation key)
6. На ASA нельзя сделать РРТР сервер, равно как и использовать её как РРТР клиента.
7. До версии 8.2 не было нужнейшей фичи: сбора статистики с использованием netflow
Помня этот невеликий набор, надеюсь, вам удастся избежать разочарований при работе с этой надежной и удобной железякой.
Теперь поговорим о том, что при помощи ASA сделать можно:
1. Маршрутизация, в том числе динамическая
2. НАТ во всех видах, какие только можно измыслить
3. Динамическое межсетевое экранирование
4. Modular Policy Framework (MPF, конструкция для сортировки пакетов по классам и применения к ним различных действия, например, приоритизация и ограничение полосы)
5. Глубокий анализ «сложных» протоколов (FTP, H.323, SIP,TFTP, IPSec и т.д.)
6. AAA, в том числе перехватывающая аутентификация
7. IPSec Site-to-site, Easy VPN Server (ASA 5505 может быть и hardware client)
8. SSLVPN gate
9. Виртуальные межсетевые экраны (Context)
10. Failover (Active/Standby и Active/Active)
11. «Прозрачное» экранирование (Transparent Firewall)
Поговорим об этих технологиях подробнее. Позже, как изыщу время и силы :)
(Продолжение следует)
ЗЫ Если вы вспомнили что то ещё, чего АСА не умеет по сравнению с маршрутизатором — не держите в себе, пишите :) Если не можете здесь — пишите мне на форум на anticisco.ru в «Остальное»
Итак, начну, пожалуй, с очень важной и для настройщиков, и для дизайнеров, и для предпродажников темы: чего ASA не умеет.
Часто сталкиваюсь с ситуацией, когда железо уже закуплено, «благодаря» стараниям продавцов, однако требуемых технологий, оказывается, оно не умеет. К таким критическим моментам можно отнести:
1. Разделение трафика по параллельным путям (путям с одинаковой метрикой). Не смотря на то, что ASA является устройством 3 уровня, уверенно работает с протоколами RIPv1,2, OSPF, EIGRP, она не поддерживает избыточных маршрутов, т.е. в таблицу маршрутизации всегда попадает один маршрут. Если же маршрутов с одинаковой метрикой более одного (например, OSPF прислал), то выбирается…первый попавшийся :) При его пропадании сразу же «найдётся» второй. В частности поэтому невозможно написать 2 дефолтных маршрута (route [int] 0 0 [next-hop]).
2. ASA не поддерживает Policy Based Routing (PBR). Т.е. вы не можете принудительно отправить пакет через определенный интерфейс, основываясь на адресе источника (напомню, что на маршрутизаторах это делается при помощи конструкции route-map, примененной на вход внутреннего интерфейса). Злую шутку со многими настройщиками маршрутизаторов, впервые сталкивающихся с ASA, сыграло то, что на ASA route-map есть! Только используется она исключительно для редистрибуции маршрутов.
3. На ASA нет никаких виртуальных интерфейсов (tunnel, loopback). Поэтому она не поддерживает туннели GRE (очень жаль!), а следовательно и удобную технологию DMVPN.
Это, пожалуй, основные моменты. Есть еще ряд неудобств, но как правило они не критичны в проектах. К ним могу отнести:
1. На ASA нет ни telnet, ни ssh клиента. Т.е. пойти с ASA куда то не получится.
2. У ASA нет «внутренней» маршрутизации, т.е маршрутизации внутри себя. Попасть из зоны inside на интерфейс outside не получится. Правда, с переходом на OS Linux подвижки в этом направлении появились, например, можно «увидеть» адрес внутреннего интерфейса сквозь туннель IPSec, а также позволить управлять ASA сквозь туннель, соединяясь с адресо
м внутреннего интерфейса (надо дать команду management-interface [int]). В частности поэтому на ASA надо явно указывать интерфейс, через который будет достижим тот или иной адрес, например адрес next-hop при задании статического маршрута
route outside 0 0 192.168.1.1
или при задании сервера аутентификации
aaa-server TAC (inside) host 10.1.1.100
3. На ASA нельзя сразу попасть на 15 уровень привилегий без дополнительного запроса для входа в enable.
4. На ASA нельзя увидеть стартовую конфигурацию как файл в какой-нибудь файловой системе (на маршрутизаторе этот файл лежит в nvram: ). При этом running-config увидеть можно:
more system:/running-config
5. На ASA нельзя просто залить новый файл ОС, чтобы получить новый функционал. Весь функционал уже «зашит» в ОС, а фичи включаются при помощи лицензии (activation key)
6. На ASA нельзя сделать РРТР сервер, равно как и использовать её как РРТР клиента.
7. До версии 8.2 не было нужнейшей фичи: сбора статистики с использованием netflow
Помня этот невеликий набор, надеюсь, вам удастся избежать разочарований при работе с этой надежной и удобной железякой.
Теперь поговорим о том, что при помощи ASA сделать можно:
1. Маршрутизация, в том числе динамическая
2. НАТ во всех видах, какие только можно измыслить
3. Динамическое межсетевое экранирование
4. Modular Policy Framework (MPF, конструкция для сортировки пакетов по классам и применения к ним различных действия, например, приоритизация и ограничение полосы)
5. Глубокий анализ «сложных» протоколов (FTP, H.323, SIP,TFTP, IPSec и т.д.)
6. AAA, в том числе перехватывающая аутентификация
7. IPSec Site-to-site, Easy VPN Server (ASA 5505 может быть и hardware client)
8. SSLVPN gate
9. Виртуальные межсетевые экраны (Context)
10. Failover (Active/Standby и Active/Active)
11. «Прозрачное» экранирование (Transparent Firewall)
Поговорим об этих технологиях подробнее. Позже, как изыщу время и силы :)
(Продолжение следует)
ЗЫ Если вы вспомнили что то ещё, чего АСА не умеет по сравнению с маршрутизатором — не держите в себе, пишите :) Если не можете здесь — пишите мне на форум на anticisco.ru в «Остальное»
комментарии (21)