文章标签为“思科”

具有IPS,ASA CX的Cisco ASA 5500-X系列防火墙&FirePower服务。应用程序可见性和控制(AVC),Web安全,僵尸网络过滤&IPS / IDS,Firepower威胁防御

思科-asa-firewall-5500-x系列ips-context-aware-firepower-firesight-services-1思科ASA防火墙5500-X系列 它是从以前的ASA 5500防火墙系列发展而来的,该系列旨在保护任务关键的公司网络和数据中心免受当今的高级安全威胁的侵害。

通过先进的软件和硬件选件(模块),ASA 5500-X系列防火墙支持许多先进的下一代安全功能,这些功能使它们与众不同。这些功能包括:

  • 思科入侵防御系统(IPS)服务。一种 基于签名的IPS解决方案 作为一个 软件或硬件模块 取决于ASA 5500-X设备型号。
  • 思科公司 ASA CX上下文感知服务。一种 软件模块 适用于ASA 5500-X设备,但ASA 5585-X作为硬件模块提供。提供IPS服务,应用程序可见性和控制(AVC),Web安全和僵尸网络过滤。
  • 思科FirePOWER服务。思科的最新软件&硬件威胁防护,通过结合IPS和CX服务以及对用户,基础架构,应用程序和内容的全面上下文意识,具有高级恶意软件防护(AMP)的URL过滤功能,取代了以前的技术。作为5500-X系列设备的软件模块提供,但5585-X除外,后者需要专用的硬件模块。注意 FirePOWER服务 与经典ASA软件并行运行。
  • 思科Firepower威胁防御(FTD)。这是继 FirePOWER服务 由思科于2015年发布。  While FirePOWER服务 与经典的Cisco ASA软件一起运行, 火力威胁防御 结合 思科ASA软件+ FirePOWER服务 在一个软件包中。这也是较新的Firepower设备(例如4100&9000系列) 火力威胁防御 软件。这一点, 火力威胁防御 正在进行持续开发,但仍不支持经典ASA软件提供的许多功能。例如,在编写站点到站点IP Sec 虚拟专用网时仍然不可用。

我们的 上一篇文章 检查过 思科的ASA 5500系列防火墙硬件模块,其中包括内容安全性 CSC-SSM &入侵防御系统(IPS)/入侵检测系统(IDS) 知识产权委员会 / AIP-SSM 模块。尽管这些解决方案不再由思科出售,但它们已广泛部署在世界各地的数据中心和公司网络中,思科将在2018年之前为其提供支持。

注意:要下载包含具有FirePOWER,IPS和CX上下文感知服务的Cisco 5500-X系列防火墙提供的技术规格和功能的数据表,请访问我们的网站。 思科ASA 5500&5500-X系列自适应安全设备下载部分.

自思科于2013年宣布停止销售ASA 5500系列防火墙设备以支持较新的5500-X下一代防火墙以来,客户一直在考虑何时升级到较新的5500-X防火墙。X 系列。鉴于Cisco不再提供对较旧ASA 5500系列的主要固件升级以及出现了新的高级安全威胁和恶意软件(例如勒索软件)的事实,现在认为有必要升级到较新的平台,以保持安全性。最高级别。

寻求高级保护的客户可能会考虑通过购买以下产品来扩展其ASA防火墙功能: IPS模组, CX上下文感知 要么 FirePOWER服务.

思科-asa-firewall-5500-x系列ips上下文感知火力-firesight-services-2

图1. ASA-5585-X防火墙的Cisco FirePOWER硬件模块

思科的 FirePOWER高级安全威胁防护解决方案 于2014年末推出,其目的是取代目前的 ASA 5500-X IPSASA CX 5500-X上下文感知 产品。

下图显示 关键安全功能 由大多数Cisco ASA防火墙设备提供。到目前为止,群集,高可用性,网络分析,身份策略控制,VPN和高级访问列表等功能一直是ASA防火墙系列中相当标准的产品,但是,较新的5500-X现在可以提供其他功能 FirePOWER服务 在下面用红色标记:

思科数据中心用户组

官方cisco数据中心用户组墨尔本澳大利亚1澳大利亚的第一个官方思科数据中心用户组是现实!

最初受到思科冠军的启发 克里斯·帕特塞尼迪斯德里克·轩尼诗在Cisco Systems的支持下,我们认为是时候将澳大利亚的Cisco社区团结在一起了。每月会议在墨尔本中央商务区的绝佳地点举行,并提供免费啤酒&食物和精彩的讨论!

使Cisco AnyConnect 4.x许可神秘化。加号,永久款,Apex&Cisco IOS路由器的迁移许可证&ASA防火墙(5500 / 5500-X系列)。支持的操作系统& Ordering Guide

思科AnyConnect许可证加上永久性Apex必需的高级SSL移动性vpn-01a2014年底,思科宣布了针对 最新的AnyConnect安全移动客户端v4.x。在此新版本中,思科引入了许多 新的功能, 但是也 简化了许可模式 这有点令人困惑。在本文中,我们将看看 新的AnyConnect 4.x许可证 其中包括: AnyConnect Plus许可证,AnyConnect Plus永久许可证AnyConnect Apex许可证.
 
我们还将展示新许可证如何映射到旧许可证 AnyConnect基础AnyConnect高级版许可证,以及可用的迁移路径。最后,我们还介绍了思科的 软件应用支持(SAS)软件应用程序支持和升级(SASU),这是购买AnyConnect时必需的。

所有 版本4之前的AnyConnect许可证AnyConnect基础 高级许可 方案。较新的v4.x AnyConnect许可证 现在有一个 三种许可选项:

  • 思科AnyConnect Plus许可证 (基于订阅)
  • 思科AnyConnect Plus永久许可证 (永久–无订阅)
  • 思科AnyConnect Apex许可证 (基于订阅)

借助新的AnyConnect许可证,思科已迁移到 基于订阅的许可模式 从长远来看,这意味着客户将需要花更多的钱。  的 加上永久授权 另一方面,它允许Cisco客户购买一次性许可证,但是该许可证的成本明显高于基于订阅的许可证。

我们还应该注意 未基于同时连接许可AnyConnect 4.0 (如以前的AnyConnect 3.x),但现在 基于用户。这意味着用户同时通过他的智能手机和笔记本电脑进行连接 将只占用一个许可证.

根据思科的说法,由于较新的AnyConnect许可证是基于订阅的,因此如果它们的订阅到期且未续订,它们将停止工作。
 
思科公司 AnyConnect 安全 Mobility Client 4.0支持以下操作系统:

  • 视窗 8.1(32位& 64Bit)
  • 视窗 8(32位& 64Bit)
  • 视窗 7(32位& 64Bit)
  • 的Linux Ubuntu 12.X 64位
  • 的Linux RedHat 6 64位
  • Mac OS X 10.10 – 10.8

与预期的一样,不再支持Windows XP。

让我们看一下每个许可证功能,以及旧的AnyConnect基础和Premium许可证如何映射到较新的AnyConnect Plus和Apex许可证:

思科AnyConnect许可证加上永久性Apex必需的高级SSL移动性vpn-01

图1.映射AnyConnect 3.x 必需品&优于AnyConnect 4.x Plus& Apex

 

Firewall.cx上的相关AnyConnect文章:

 

思科AnyConnect Plus许可(相当于旧的Essentials许可)为期5年,3年或1年

AnyConnect Plus许可证 是一个 基于订阅的许可证 与一个选项 5, 3 要么 一年可续订n并支持以下功能:

  • 设备的VPN支持。包括工作站和笔记本电脑。
  • 安全移动客户端支持(AnyConnect Mobile)。包括手机,平板电脑等
  • SSL 虚拟专用网(基于客户端)
  • 每应用程式VPN。授权特定的应用程序访问VPN。 支持特定的设备和软件。
  • 基本端点上下文收集
  • IEEE 802.1X 视窗请求方
  • 思科云Web安全代理 对于Windows& Mac OS X platforms
  • Cloud Web 安全和Web 安全 Appliance支持
  • 思科公司 先进的恶意软件防护 端点启动器。 AMP 对于 Endpoints单独许可
  • 网络访问管理器
  • 联邦信息处理标准FIPS)合规

值得一提的是 AnyConnect 3.x 需要购买 必需品 要么 保费 执照+ AnyConnect移动 (L-ASA-AC-M-55xx),以支持移动设备(智能手机,平板电脑等)。  AnyConnect移动 就是现在 集成 进入新的 AnyConnect Plus 执照。

 

思科AnyConnect Plus永久(永久)许可证

启用&在Cisco路由器上配置SSH。限制SSH进行管理&为SSH会话启用AAA身份验证

思科路由器SSH支持配置RSA密钥生成01本文介绍了如何 配置和设置SSH 对于 远程管理思科公司 IOS路由器。我们会告诉你 如何检查是否支持SSH 由你 iOS版本,如何启用它, 生成RSA密钥 为您的路由器,最后配置 SSH作为首选管理协议 在下面 VTY接口.

安全壳 (SSH)提供了 安全可靠 连接到远程设备的意思。这是一个 加密网络协议 允许用户 安全访问 设备通过 命令行界面 会议。 SSH利用 TCP协议 端口22,用于安全登录,文件传输和端口转发。

SSH使用公共密钥对远程设备进行身份验证并加密该设备与工作站之间的所有数据,这使其成为公共网络的最佳选择,而(telnet)则以纯文本形式传输数据,从而使其受到安全威胁,因此(telnet )建议仅用于专用网络,以确保数据不被破坏。

 

在路由器上验证SSH支持

第一步涉及检查您的思科路由器的IOS是否支持SSH。大多数现代的Cisco路由器都支持SSH,因此这不是问题。

图片名称中带有(K9)的产品,例如c2900-universal k9-mz.SPA.154-3.M2.bin支持使用3DES / AES的强加密,而(K8)IOS捆绑包支持使用过时的DES的弱加密。

要检查,只需输入 特权模式 并使用 显示ip ssh 命令:

R1# 显示ip ssh
SSH禁用-版本1.99
%请创建RSA密钥以启用SSH(对于SSH v2,至少为768位)。
验证超时:120秒;验证重试次数:3
Diffie Hellman的最小预期密钥大小:1024位
SECSH格式的iOS密钥(ssh-rsa,base64编码):无

在上面的输出中,系统显示了SSH支持,但由于未生成RSA密钥,因此当前已被禁用。 还值得注意的是,必须生成至少768位的密钥才能启用SSHv2。

 

保护对路由器的访问

在启用SSH之前首先限制访问Cisco路由器始终是一个好主意。这一点非常重要,尤其是当设备具有面向公共网络(例如Internet,Public Hotspot)的接口时。

我们首先为设备创建用户凭据,然后 启用认证,授权&会计服务(AAA).  Finally, ensure a 秘密密码 设置为保护对 特权模式, 随着 服务密码加密 命令确保所有 明文密码加密的:

路由器(配置)# 用户名管理员权限15个机密Firewall.cx
路由器(配置)# aaa新模型
路由器(配置)# aaa身份验证登录默认本地
路由器(配置)# 启用秘密$ FirewAll.cx!
路由器(配置)# 服务密码加密

接下来,强烈建议仅通过SSH协议限制远程访问。这将确保不能使用诸如Telnet之类的不安全服务来访问路由器。 Telnet发送所有未加密的信息,包括用户名/密码,因此被认为存在安全风险。

我们将使用 传输输入ssh VTY部分下的命令以仅使用SSH限制远程访问。请注意,我们也可以使用 访问列表限制SSH连接 到我们的路由器:

R1(配置)# 行vty 0 4
R1(配置行)# 传输输入ssh
R1(配置行)# 登录身份验证默认
R1(配置行)# 密码$ 思科公司!

注意: 密码 下命令 行vty 0 4 本节是完全可选的,由于 登录身份验证默认 命令强制路由器使用 AAA机制 用于所有用户身份验证。

 

生成路由器的RSA密钥-数字证书

防火墙

防火墙只是一个旨在防止未经授权访问私有网络或从私有网络进行访问的系统。防火墙既可以在硬件和软件中实现,也可以在两者的结合中实现。防火墙通常用于防止未经授权的Internet用户访问连接到Internet的专用网络。所有进入或离开Intranet的数据都通过防火墙,防火墙检查每个数据包并阻止那些不符合指定安全标准的数据包。

通常,将防火墙配置为防止来自外部世界的未经身份验证的交互式登录。这有助于防止“黑客”登录到网络上的计算机。更复杂的防火墙阻止从外部到内部的通信,但允许内部用户更自由地与外部进行通信。

防火墙也是必不可少的,因为它们可以提供可以实施安全性和审核的单个阻止点。防火墙提供了重要的日志记录和审核功能;通常,他们向管理员提供有关通过它处理的流量的类型/数量的摘要。这一点很重要:提供此封锁点可以(在您的网络上)起到与武装警卫(用于物理场所)相同的目的。

从理论上讲,有两种类型的防火墙:

1.网络层

2.应用层

如下所述,它们并没有您想像的那么不同。

哪一个取决于防火墙使用什么机制将流量从一个安全区域传递到另一个安全区域。用于网络的国际标准组织(ISO)开放系统互连(OSI)模型定义了七个层,其中每个层提供高层依赖的服务。要认识的重要一点是,转发机制的级别越低,防火墙可以执行的检查就越少。

 

网络层防火墙

这种类型通常根据单个IP数据包中的源地址,目标地址和端口来做出决定。简单的路由器是传统的网络层防火墙,因为它无法对数据包实际交谈的内容或数据的真正来源做出特别复杂的决定。现代网络层防火墙已经变得越来越复杂,现在可以维护内部信息。关于随时通过它们的连接状态。

许多网络层防火墙的一个重要区别是它们直接通过它们路由流量,因此要使用一个防火墙,您要么需要有效分配的IP地址块,要么使用私有Internet地址块。网络层防火墙往往速度非常快,并且对用户几乎都是透明的。

 

应用层防火墙

这些主机通常是运行代理服务器的主机,这些代理服务器不允许直接在网络之间进行通信,并且会对通过它们的通信进行详细的记录和检查。由于代理应用程序只是在防火墙上运行的软件,因此是进行大量日志记录和访问控制的好地方。应用程序层防火墙可以用作网络地址转换器,因为流量在经过有效掩盖发起连接来源的应用程序之后,会从一侧传到另一侧。

在某些情况下以某种方式拥有应用程序可能会影响性能,并使防火墙的透明度降低。早期的应用层防火墙对最终用户不是特别透明,可能需要进行一些培训。但是,更现代的应用程序层防火墙通常是完全透明的。与网络层防火墙相比,应用层防火墙倾向于提供更详细的审核报告,并倾向于实施更为保守的安全模型。

防火墙的未来介于网络层防火墙和应用程序层防火墙之间。网络层防火墙可能会越来越了解通过它们的信息,而应用程序层防火墙将变得越来越透明。最终结果将是一种快速的数据包筛选系统,该系统可以在数据通过时记录并检查数据。

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置