您的位置:时时app平台注册网站 > 彩世界网址 > 思科ACS配置案例解析【彩世界网址】

思科ACS配置案例解析【彩世界网址】

2019-09-19 07:38

出于安全需要以及为了确保保障性能,隔离可以是物理性的,即通过建立通过分离的网络设备的路径来实现。它也可以是逻辑的,即通过使用网络层的VLAN和访问控制列表ACL)来实现。配置第三层基于IP)网络设备上的ACL可以确保适当的流量路由。它也具有屏蔽不该在全球范围被访问的iSCSI LUN的效果。iSCSI通过默认的TCP端口3260运行,它引入了这样一个概念:第四层基于端口)的访问控制列表也可以提供额外的安全性。

1.一般,最好使用外部认证服务器,这样提供更好的扩展性,也能够存储审计数据

◆设置每个配置管理员的访问权限和控制指令

虽然加密流量确实提供了最高级别的安全性,但是这样做也带来了性能上的成本。加密和解密活动仅仅是需要更多的处理过程,这本身就会影响整体传输速度。因此,目前的最佳做法建议通过IPSec加密流量仅限于不信任的网络,或者用在需要极度安全的情况。

第一个匹配的服务器列表的建议被接受(最高优先级匹配)

一个RADIUS服务器可以为其他的RADIUS Server或其他种类认证服务器担当代理。

第二个稍微好一点的选择是双向CHAP身份验证,在这种情况下iSCSI目标和启动程序彼此进行身份验证。在这个配置中使用了分离的秘密,连接的各方都有一个。每一方都必须知道另一方的秘密才能启动连接。

ACS服务器主要特点

AAA服务器:

由于所有这些都适用于它,把服务器连接到存储系统的iSCSI协议似乎是跨IT环境的首要选择。但是它确实有一个缺点,这一点在匆忙加速部署新服务器时经常被忽视。

防火墙从6.x版本升级到7.0版本引入的新特性

3、 灵活的认证机制

这些因素表明真正的安全连接身份验证需要一个不同的方法,一个不会受制于CHAP漏洞的方法。IPSec可以满足这些更强的身份验证需求。IPSec工作在IP数据包层,赋予了它TCP/IP协议栈的全部功能。IPSec身份验证可以通过使用预共享密钥类似于CHAP)而存在,但是它也支持类似于Kerberos和基于证书的身份验证的更强大的框架。

2.Output规则控制去往规则所在接口的主机的连接

所有的交互都包括可变长度的属性字段。为满足实际需要,用户可以加入新的属性值。新属性的值可以在不中断已存在协议执行的前提下自行定义新的属性。

通过第三方服务的集中式验证改善了安全性管理。使用CHAP验证配置密码需要跨越多台服务器以及存储器连接来输入它们的字符串。密码数据的分布引入了犯错误的机会。仅仅记录许多密码会暴露漏洞。RADIUS服务器的集中式验证降低了投入,这就减少了这些管理风险。

1.一个冗余接口使用添加到捆绑的第一个物理接口的MAC地址

 

...

Default Authorization Policy

6、客户端或NAS发送计费请求包给RADIUS服务器;

第一层:分离的访问控制列表ACL)网络。iSCSI针对千里眼的第一层防护不会在iSCSI协议自身的内部发生。相反,创建来支持iSCSI的架构应该以这样的方式,即把iSCSI流量与其它传统网络分开。

EAP支持多种认证”等类型:

7、RADIUS服务器接收到计费请求包后开始计费,并向客户端或NAS回送开始计费响应包;

iSCSI确实是一个把服务器路由到存储器的很好的协议。对于那些熟悉TCP/IP的基本面的人来讲,iSCSI易于使用、互连简单以及需要一个较短的学习曲线,它为IT提供了一个一流的服务。然而,要谨防其经常被遗忘的缺点:由于缺乏正确的安全层,iSCSI可能会使存储器流量以容易利用的方式暴露在外。

建立管理连接

ACS安全访问控制服务器: 思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 VPN。Cisco Secure ACS 是思科网络准入控制的关键组件。
适用场合:

IPSec的最大的局限性在于存储设备的支持上。尽管CHAP身份验证与iSCSI连接更加密切相关,但是IPSec的功能可能不是存储器操作系统的功能集的一部分。请查阅制造商的文档来获取关于存储器硬件的支持的相关信息。

粘性的访问允许端口安全限制访问一个特定的,动态地学习到的mac地址。

AAA是验证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。AAA服务器(AAA server)是一个能够处理用户访问请求的服务器程序。提供验证授权以及帐户服务。AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。具体为:

作为存储协议的互联网小型计算机接口iSCSI)以其管理的简单性著称。如果一个管理员知道TCP/IP协议以及有自尊心的管理员所不知道的内容,那么他们就拥有了成功管理iSCSI连接所需的知识。

1.静态转换在转换表中是持久稳固和永远存在的(转换槽位一直存在而且无法清除)

◆通过动态端口分配简化防火墙接入和控制

第四层:互联网协议安全验证。不幸的是,CHAP验证自身并不是一个非常强大的保护连接安全的机制。据报道,CHAP会受到离线字典攻击,一个持久的攻击者可以通过强力手段最终猜到密码。正是由于这个原因,在创建CHAP密码时推荐使用随机的字母和数字串。实际上RADIUS自身也仅仅是一个管理CHAP密码的服务,这暗示着它的实施并不会增加太多超过秘密总合的安全性。

–Cisco NAC支持

2、客户端或NAS产生一个“接入请求(Access-Request)”报文到RADIUS服务器,其中包括用户名、口

iSCSI还得益于其硬件选择。在大多数情况下,周围同样的以太电缆和网络设备可以用来顺利传送iSCSI流量。

思科VPN服务器增加了几个新的命令以Cisco PIX安全设备软件版 本6.3及更高版本。

令、客户端(NAS)ID 和用户访问端口的ID。口令经过MD5算法进行加密。

第三层:远程身份验证拨入用户服务RADIUS)验证。RADIUS,或者称为远程身份验证拨入用户服务,长久以来与电话和调制解调器联系在一起。这个服务也已经演变成验证其它协议的一个标准。iSCSI的启动程序和目标不是彼此验证,而是通过RADIUS服务器来验证。

默认情况下,所有intrazone的流量 是允许互访的。

1、 验证(Authentication): 验证用户是否可以获得访问权限;

这个缺点是iSCSI保护这些连接的选项。不像连接从不离开服务器机架的直接附加式存储,也不像光纤通道的完全独立和单次使用的连接基础架构,iSCSI的在已有网络上使用它的价值掩盖了很多安全问题,这些问题并不能显而易见地解决。

步骤4:配置组策略类型。

◆安全的服务器权限和加密

第二层:挑战握手认证协议CHAP)验证。虽然ACL也许能确保iSCSI流量准确地转到正确的主机,但是它并没有为存储器验证服务器。这个过程通过这个协议的挑战握手认证协议支持来处理,它使用了两个可能的配置之一。第一个是单向的CHAP身份验证,存储器上的iSCSI目标验证服务器的启动程序。存储器上设置了单向CHAP身份验证的秘密,本质上它是iSCSI密码。任何正在进入的服务器启动程序必须知道这个密码才能发起会话。

在15.0(1)M之前,区域内流量是允许通讯并不做监控的。

4、若认证成功,RADIUS服务器向客户端或NAS发送允许接入包(Access-Accept),否则发送拒绝加接

但是保护iSCSI网络连接的解决方案确实存在。特别有趣的是,这些解决方案可以在各自之上进行分层来创造安全数据所需的任何深度。当管理员考虑把iSCSI暴露在他们的环境中时,他们应该仔细考虑这一点。

–safeword令牌服务器

4. 扩展协议

第五层:互联网协议安全加密。这一点的所有安全层都集中它们的精力来确保两个设备可以进行通信。这就是身份验证过程。这一点对保护存储器数据没有给予任何关注,因为它是通过网络流动。解决这个问题需要加密技术,这是IPSec支持的另一项活动。IPSec加密代表了这五层的最后部分,因为只有在服务器启动程序已经被存储设备的目标验证后它才发生。产生的流量在源端进行加密,然后传送成功之后进行解密。

ISAKMP/IKE阶段2的安全协议

3、RADIUS服务器对用户进行认证;

EAP:

RADIUS服务器负责接收用户的连接请求,对用户身份进行认证,并为客户端返回所有为用户提供服务所必须的配置信息。

– 代理

◆集中控制用户通过有线或者无线连接登录网络

当切换发生时

入包(Access-Reject);

站点到站点VPN

◆记录记帐信息,包括安全审查或者用户记帐

认证只能判定用户是否可以穿越。

   2、 授权(Authorization) : 授权用户可以使用哪些服务;

仅需服务器证书

RADIUS协议:

6.在特定的VLAN中开启DHCP snooping

◆用于 Aironet 密钥重设置的虚拟 VSA

(相同硬件型号,相同数量和类型的接口,相同类型的SSM模块,相同的内存)

RADIUS的工作过程

2.通常为需要对外提供服务的内部服务器做转换(inbound连通)

◆统一的用户AAA服务

– 可下载的IP

RADIUS(Remote Authentication Dial In User Service)协议是在IETF的RFC 2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS客户机是网络访问服务器,它通常是一个路由器、交换机或无线访问点。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。RADIUS 协议的认证端口是1812 ,计费端口是1813。

在相关接口,被访问控制规则控制的所有流量

RADIUS协议的主要特点
1、 客户/服务模式(Client/Server)

Private VLAN介绍

RADIUS协议旨在简化认证流程。其典型认证授权工作过程是:

恶意接入网络可能破坏安全。

客户端和RADIUS服务器之间的交互经过了共享保密字的认证。另外,为了避免某些人在不安全的网络上监听获取用户密码的可能性,在客户端和RADIUS服务器之间的任何用户密码都是被加密后传输的。

有限

1、用户输入用户名、密码等信息到客户端或连接到NAS;

6.调整error-disable行为。

接收到拒绝接入包,则拒绝用户的连接请求,结束协商过程;

4.一旦激活IP Source guard所有IP流量都被阻止,只允DHCPSnooping允许的DHCP流量。

3、 记账(Accounting) : 记录用户使用网络资源的情况。

NAT or PAT是没有用的

     2、 网络安全

分离隧道

RADIUS服务器可以采用多种方式来鉴别用户的合法性。当用户提供了用户名和密码后,RADIUS服务器可以支持点对点的PAP认证(PPP PAP)、点对点的CHAP认证(PPP CHAP)、UNIX的登录操作(UNIX Login)和其他认证机制。

允许基于802.1X端口认证,您必须启用AAA和指定的身份验证方法列表 。

彩世界网址 1

2.Output规则控制去往规则所在接口的主机的连接要放行一个网络运用穿越ASA,在初始化的方向上,所有的规则集都应该放行

8、用户断开连接,客户端或NAS发送停止计费包给RADIUS服务器;

HMAC

5、若客户端或NAS接收到允许接入包,则为用户建立连接,对用户进行授权和提供服务,并转入6;若

(相同的操作模式,相同的主版本和子版本)

9、RADIUS服务器接收到停止计费包后停止计费,并向客户端或NAS回送停止计费响应包,完成该用户的一次计费,记录计费信息。

1.(可选)放行内部合法流量访问外部非信任网络。

◆设置每个网络用户的权限

–EAP通过安全隧道的灵活验证(快速)的无线认证支持

RADIUS是一种C/S结构的协议,它的客户端最初就是网络接入服务器NAS(Network Access Server),现在运行在任何硬件上的RADIUS客户端软件都可以成为RADIUS的客户端。客户端的任务是把用户信息(用户名,口令等)传递给指定的RADIUS服务器,并负责执行返回的响应。

4.2配置802.1x基于端口的认证

2.因为互联网出现了异步路由,返回流量从ASA2的61.128.1.10返回

当802.1x端口认证前启用,其他2层功能已启用。

1.接口访问控制列表只能控制穿越流量

4.会话信息在接口202.100.1.20上被查找到,这个接口属于C1的备用单元。 这些状态化信息是从ASA1通过Stateful FO复制到了ASA2。

DHCP介绍

配置用户认证

IP检查名称iosfw警报关闭TCP超时1800跟踪审计

虚拟私有网络配置

Cisco Easy VPN Server特点

1.缓解全球地址耗尽

–任务6:验证正确的安装和操作。

3.把连接合法DHCP服务器的端口配置为Trust信任

定义对等体间需要保护何种流量

– 导入大量用户的csutil.exe命令行的能力

Network Static NAT介绍

TCP规范化

步骤4:(可选)隐含地允许IPSec数据包绕过安全设备的ACL和访问组。

接口访问控制规则的方向(1)

一帧格式,使用UDP协议

考虑如下的一般部署准则,在Cisco ASA上配置用于限 制每用户的策略时:

第一步:正确桥接设备

结合认证和授权

Failover对软件的支持

定义传输模式

点对点

相同安全级别接口之间的流量

环路检测和禁用与2层单向连接的接口,保护网络免受异常STP条件。

当一个安全设备启动后,它开始一个FO选举过程

如果这个时候Primary设备启动了,Secondary设备将改变MAC地址到Primary

Static NAT DNS Rewrite介绍

IPSec VPN的连接端口号

2.最简单和经常被使用的部署方式是,在ASA的所有接 口上都运用入方向的访问控制列表

一个用户为所有的认证规则,只需要认证一次,因为ASA缓存用户的源IP地址。

请记住,该地址是一组配置文件中唯一需要的参数,所有其他参数都是可选的.

“相互认证”,用户和美联社需要进行身份验证

验证遵循TCP协议和防止逃避攻击。

– 借助于连接失败

MM_KEY_EXCH

5.ASA检查是否存在这个用户ACL

身份验证、访问控制和用户策略的组合

配置切换到Switch-to-RADIUS-Server(要求)

Intrazone访问控制

一个变换的集合是一个组合的算法和协议,制定交通安全政策。

如果思科VPN服务器显示认证成功,Cisco VPN客户端请求的其余配置参数从Cisco VPN服务器:

Failover的部署方式

思科的LEAP

1.Input规则控制源自于规则所在接口主机的连接

信任端口可以转发任何ARP信息

启用特权支持级别

接口访问规则注意事项

a.至少要deny返回流量。

Secure HTTP

当它成为active设备之后,检测到了另外一个active设备,那么这两个Active设备将重新协商FO的角色

ASA运用这个下载的访问控制列表来过滤源自于这个认证用户的流量

个人防火墙执行:思科安全代理,赛门铁克Sygate,[插入‖和―或‖或―每响应查询列 表对此]检查点区域报警窗口

VPN建立“保护”网络实体之间的通信

目的WEB服务器需要使用不同的用户数据库来实现认证

接口规则和接口安全级别

配置Easy VPN Server扩展认证

RADIUS host以其配置的顺序进行尝试。

secureid RSA令牌服务器

基于TCP协议

你可以在任何时候手动重新验证客户端连接到一个特定的端口。

通常在另一个协议的上面如802.1x或半径。(可能是TACACS ,等)

IPSec VPN原理与配置

注意:你可以同时配置全局访问控制规则和接口的访问规则,在这种情况下,接口访问规则总是优先于全局访问规则处理。

4,配置JAVA过滤

配置IP Source Guard步骤

– EAP-MD5

EtherChannel(以太通道)介绍

数据完整性验证防止数据被破坏、篡改

步骤2:配置IKE阶段1政策。

改变安静时期(可选)

对等体成功进行设备验证,之后会过渡到QM_IDLE状态

Summary总结

任务8包含以下步骤:

NAT主要是为了解决和克服internet地址耗尽的问题

对等体之间ISAKMP策略协商成功后处于该状态

2.需要基于DHCP snooping绑定表或手动配置的IP Source绑定表过滤流量。

DHCP Snooping (DHCP监听)

DHCP包交换

1.对进和出接口的流量进行控制

2.全局访问控制策略不会被复制到每一个接口,因此节省内存 消耗。

第二步:初始化Primary接口

Cisco VPN Client as Cisco Easy VPN Remote

AAA服务器回答一个认证回应,这个回应中包含一个每用户的访问控制列表

1.如果只是希望单一信道的普通TCP/UDP协议能够穿越防火墙,而不希望对协议进行限制和过滤,只需监控TCP/UDP足以。

对于特殊的应用程序,这些时间或许过于激进。

授权能够限定用户访问的资源。

2.4部分Self Zone策略

步骤2:Cisco VPN客户端协商IKE SA。

Cisco Easy VPN远程操作模式

零停机时间FO对升级OS

步骤8:指定DNS域。

它可以在Windows 2003 Server用户数据库使用的用户名和密码,Cisco Secure ACS用户数据库、LDAP、令牌服务器,或NDS。

Cisco Secure– 数据库同步

存储在远程AAA服务器中

1.如果使用DHCP,确认DHCP Snooping技术已经被激活,并且已经完全填充数据库

4.在冗余接口下可以执行所有的接口配置

BPDU保护和BPDU过滤保护运行STP对portfast配置端口。

对IEEE802.11b有线等效保密(WEP)增强加密

Twice NAT介绍

VLAN attacks----vlan攻击

多点IPSec VPN

使用TACACS 或RADIUS的Cisco Secure ACS和NAS

Global ACL介绍

Secure VPN Tunnels安全的VPN隧道

(针对接口总数的百分比来定义切换条件(范围1‐100%) )

2.当4层连接结束时,转换槽位消失(闲置超时时间比较短,默认30秒)

第二部分Zone-Base Policy Firewall(上)

3.转换项一直存在,直到配置的闲置时间到期。

第五步:配置Stateful FO

扩展了无状态化FO的功能

LAN FO接口

当使用HTTP做用户认证,身份信息会被发送到最终的WEB服务器,在如下的情况下,可能会不希望这么做:

Cisco设计的私有协议

为私有IP地址和端口到公有IP地址和端口做一个固定的转换

仅仅只提供硬件冗余

思科VPN功能大大增强的Cisco IOS软件客户远程访问解决方案的 部署。

3,配置运用层协议监控

使用TACACS (终端访问控制器访问控制系统)和RADIUS(远程身份验证拨入用户服务)协议提供AAA服务,确保一个安全的环境

MAC layer attacks---MAC层攻击 (MAC地址泛洪攻击 )

IETF的RADIUS

处于FO配置的设备,应该具有相同的主要和次要的软件版本

支持PAP、CHAP、MS-CHAP认证和NAS

DH组的大小

用户必须使用HTTP,HTTPS,FTP或者TELNET去访问资源以触发认证。

LEAP

A/A的FO只有设备是多模模式才可使用

在这种环境,必须做出配置来支持异步路由的包.

任务4:(可选)配置Cisco VPN客户端备份服务器性能。

在RFC 2284中指定的

带内共享

3.全局访问规则在定义一个安全策略的时候提供了灵活性,你不需要指定一个包从哪一个接口进入,这个策略只需要匹配 源和目的IP地址即可。

2,监控策略对流量的控制粒度很差

单元hold时间:在触发FO之前等待的时间(默认15秒)

如果它检测到一个Active设备,它就转换成Standby状态

一个VLAN可以分为多个逻辑部分(次要vlan),它具有特定连接需求。

IP Source Guard功能

与AAA的远程安全服务器,该服务器执行AAA,更加易于管理。

自定义的FO切换

在一个交换机上配置端口安全性是很容易的。

3DES

数据报文验证

Failover的部署方针

任务9:配置NAT NAT 0。

当你想要静态转换整个本地网络到全局网络并且使用单一的NAT条目的时候可以使用网络静态NAT

Cisco Secure ACS的Windows服务器:故障 排除

Easy客户端不在本地存储用户名、密码,用户每次必

2.基于OSI三层信息(源目地址)

如果Active设备出现故障,那么处于Standby的设备(如果它是健康的) 将成为Active

– PEAP

允许网络管理员快速管理帐户,并在全局范围内更改用户的服务水平

支持802.3ad和标准的LACP

VPN的定义

任务4:验证VPN配置。

思科安全的ACS的服务

步骤2:定义AAA服务器的IP地址和加密密钥。

设备的地址.用户可能会经历网络服务的中断.

广域网存在各种安全隐患

这个包被丢弃

ACS服务器的应用

两种NAT配置方式

单元健康监控

Cut Through直通代理(透明代理)

5.防火墙改写数据包二层头部,修改目的MAC为202.100.1.10,并且重定向 数据从202.100.1.20这个接口发出,这样流量就从发起的接口202.100.1.10返回了,保障了在异步路由情况下的正常工作。

非对称加密算法的原理

EAP的选择

default Class介绍

思科安全ACS服务器:通用特性PAP,CHAP,TACACS ,MS-CHAP

认证服务器

可能会影响那些有怪癖的TCP和失序传输的数据包。

  1. EtherChannel允许最多8个物理链路捆绑到一个逻辑链路中(IEEE standard is 802.3ad)

可以配置HASH算法(default issrc/dest IP)

在用户通过验证后,为用户指定其能够使用的服务等权限

支持Cisco Easy VPN Servers

Class maps可以基于描述(类型)和流量组进行分类

命令行选项连接,断开和连接状态带锁的配置文件

2.基于OSI三层信息(源目地址)

无线集线器

  1. Identity NAT

最安全的建议总是列在思科VPN服务器建议列表的顶部(最高优先级)

(多台DHCP池)通过身份验证的用户可分配的IP地址从一个不同的IP范围比未经身份验证的用户,使网络交通政策应用的地址范围

任务10:使艾克DPD。

– 浏览器界面可以方便管理

ISAKMP SA建立的初始状态;管理连接建立失败也会处于该状态

HTTP重定向

Summary

访问列表(名称或编号)

调整A/S的FO(1)

任务7:应用密码安全设备接口图。

–cstacacs提供TACACS AAA客户端和服务之间的通信csauth。

–支持数据压缩技术

Feature(特征)

包通过其他设备转发

Failover(故障转移)

802.1x的角色:

基于一个或多个条件匹配

零停机时间升级OS步骤

IPSec配置任务

ESP只对IP数据的有效载荷进行验证,不包括外部的IP包头

步骤3:Cisco VPN服务器接受该方案。

思科安全ACS服务器: AAA特性

一个用户为所有的认证规则,只需要认证一次,因为ASA缓存用

–支持的加密和验证

1.本地地址转换到一个相同的地址 在指定的接口对上。

注意:负载均衡是通过相邻的路由器来实现的.

7.ACS回送这个ACL到ASA

1.建议在所有的ASA接口运用访问控制列表,尽量精确控制协议(最小权限)

接口上的访问控制规则(ACLs)必须放行需要认证的会话

(Twice NAT能够允许你指定源和目的地址在一个策略中。因为能够指定源和目的地址,所以你可以让一个源地址在去往目的X的时候,转换为A,当去往目的地址Y的时候,转换为B。)

当用户在Cisco ASA上认证成功之后,授权使用每用户的Download ACL

EAP-TLS(基于X.509证书)

接口访问规则是一个基于接口从上到下顺序

步骤5:启动模式配置过程。

–IPsec配置任务包括配置IKE和IPSec参数。

BPDU保护关闭端口下

IP检查名称iosfw SMTP警报关闭超时300跟踪审计

步骤1:Cisco VPN客户端IKE阶段1启动过程。

Software Requirements(软件需求)

配置步骤

NAT设备安排在外网

步骤3:确保未加密的网络工作

activcard令牌服务器

对等体彼此进行身份验证

系统与微软L2TP/IPSec客户端共存

用户认证和访问控制

然后再用对称加密算法加密实际要传输的数据

–任务1:配置Windows 2000 Server系统。

步骤3:使IKE XAuth的隧道群。

用户必须使用HTTP,HTTPS,FTP或者TELNET去访问资源以触发 认证。

4.可以部署在两台交换机之间或服务器和交换机之间

ARP监控

2.Twice NAT(可以理解为PolicyNAT)

  1. DHCP snooping功能在交换机上被激活后,以构建一个表项,这个表项映射:客户端MAC地址,IP地址,VLAN以及端口ID的对应关系。

如果在启用重新验证之前不指定时间段,则重新验证尝试的时间是3600。

加密后的数据

3.所有由ASA发起的流量都是被允许的。

在一个物理接口上同时只能应用一个Crypto Map

– 隧道封端:隧道被拆除。

私钥解密

MAC泛滥的攻击是针对2层接入交换机,可以溢出存储。

匹配”permit”和”deny”规则,

改变切换到客户端的重传时间(可选)

每用户的覆盖

Feature(特征)

5,配置IP分片防御

IPSec VPN高级应用

–支持密钥管理技术

无状态化的FO:

新IP头VPN头

为上层监控器提供字节流的重组装。

当一个物理防火墙的一个组内的active成员出现故障,另一个物 理防火墙的standby成员将变为active.

定义数据连接的生存周期及密钥刷新方式

认证方法

–VPN是一种服务,提供安全、可靠的连接在一个共享的公共网络基础设施,如互联网。

ASA发送认证请求到一个AAA服务器

假如在其他FO组的状态化信息表项中 发现这个包的状态化信息,则2层信息 被重写并且包将发送给其他设备.

AH(认证头协议)

ASA(config)# failover interface‐policy 2

ARAP

会话通常在连接表项中被删除,基于TCP连接关闭事件(FIN,RST)或闲置超时时间(UDP,DNS,Ping)。

IKE(Internet Key Exchange)因特网密钥交换

1.使用DHCP snooping,管理员可以指派交换机的端口为信任或非信任端口。

IKE SA成功建立。

是一个全开放的标准协议厂商或用户可以灵活地修改RADIUS

步骤3:配置隧道群。

设置切换到客户端帧重传号(可选)

问题

ASA运用这个下载的访问控制列表来过滤源自于这个认证用户的流量

1.能够基于IP或(IP和MAC)过滤流量,有效抵御IP和MAC地址欺骗攻击。

密码加密

4.Object名字排序

按照Class-Map进行评估一个policy map被运用到每一个zone pair上

您可以创建一个默认的列表,这是使用时,一个名为名单没有指定。

IPSec SA建立VPN连接完成后

把发生异步路由成员的接口指派到相同的ASR组

4.使用拒绝所有的策略在每一个ACL的最后,并开启Logging,用于收集统计信息

3.在连接静态配置地址的主机端口上配置一个静态的IP source guard的映射或PACLs。

1.1部分Private VLAN介绍

– 查看用户登录列表的能力

1.这样的部署可以确保所有的运用只穿越接口访问规则一次

解决方案

它运行在Windows 200x服务器一组服务。

三,STP安全机制

– 允许远程管理

ISAKMP/IKE阶段1

常用的策略组属性

IP包头被保护

1,通过运用很多监控策略和ACL到不同的接口,来控制穿越多个接口之间的流量是很困难的!

如果状态化链路和FO链路共享接口,需要使用一个可用的 高速率的接口,最好不要让状态化链路和普通的数据接口 共享一个物理接口

Port Security端口安全

802.1X是一个标准化的框架,由IEEE定义的,旨在提供基于端口的网络访问。

部署FO时,考虑如下的部署方针:

网上传输的数据有被篡改的危险

任务5:创建动态加密图。

Attacks on switch devices ----交换设备攻击

集成的个人防火墙(状态防火墙):Zone Labs的技术只能在Windows

无线局域网环境下的客户端连接自动启动

–IKE阶段2:VPN设备协商IPsec安全策略保护IPSec数据。

密钥交换

2.最简单和经常被使用的部署方式是,在ASA的所有接口上都运用入方向的访问控制列表

使客户端自动配置NAT或确切的翻译,需要实现VPN隧道的ACL。

ASA访问控制列表介绍

用户认证是Cisco ASA上的一个额外的访问控制技术:

ESP(封装安全载荷协议)

1.如果使用DHCP,检验DHCP snooping是激活的,并且已经完全填充了数据库

第三部分:Twice NAT

使用对称加密算法,密钥可能被窃听

其余的系统参数(IP地址、DNS、拆分隧道信息,等等)下载到Cisco VPN客户端

–任务3:安装Cisco Secure ACS在Windows 2000 Server系统的Windows服务器。

2.在最后默认存在一条deny‐all的隐含规则

3.需要在激活DHCP Snooping的untrust接口上配置IP source guard。

隧道模式

3.Cisco ASA能够发送用户流量相关信息到审计服务器

通过认证机制确认身份,防止数据被截获、回放

如何部署冗余接口

1.建议在所有的ASA接口运用访问控制列表,尽量精确 控制协议(最小权限)

单向

信任端口可以转发DHCP的请求和确认

DHCP端口号 :DHCP客户听用户数据报协议(UDP)端口68,而DHCP服务器听UDP端口67。

重启前任active单元

MS-CHAP

接口访问规则是一个基于接口从上到下顺序匹配”permit”和”deny”规则,

PEAP(Protected Extensible Authentication Protocol, 保护可扩展认证协议)

基于UDP协议

4.DH密钥组

步骤9:指定空闲超时。

–在Cisco Secure ACS解决发动机思科安全代理的集成

思科安全ACS服务器:支持令牌卡

–支持隧道协议

当Active设备上一个被指定为监控的接口出现故障时,切换发生

1.负载分担不相干的流量

2.监控特殊运用层协议的前提如下:

当使用HTTP做用户认证,身份信息会被发送到最终的WEB服务器,在如下的情况下,可能会不希望这么做:

(一个组真实地址映射到一个使用唯一源端口的映射地址)

  1. vPC(Virtual Port Channels)最新版本,允许多个设备共享多个接口。

  2. vpc最大的利用了带宽,因为每一个port channel,在spanning‐tree中当作一个接口来对待

接口访问规则决定哪些“新建连接”能够进入

  1. Dynamic NAT

ACS服务器分布式系统的特点

您可以将多个主机的一个802.1x-enabled端口。

传输模式

存储在VPN网关设备的内部数据库中

无线局域网

CHAP

Cisco Secure ACS的Windows服务器:安装概述

ASA(config)# monitor‐interface Inside

管理连接成功建立,即将过渡到阶段2的数据连接建立过程

MD5和SHA

基于端口的网络接入工作如何进行?

步骤1:设置隧道群类型。

传输协议

通过非对称加密算法加密对称加密算法的密钥

接口hold时间:监控接口的hold时间(默认25秒)

启用定期重新认证(可选)

如果Cisco VPN服务器配置为XAuth,VPN客户端等待一个用户名/密码的挑战:

默认FO的标准

3.设备验证的类型

激活每用户覆盖特性(per‐user Override),允许一个下载的访 问控制列表覆盖在一个接口运用的访问控制列表,用于放行某一个用户的流量。

网上传输的数据有被篡改的危险

数据报文验证

任务1:创建远程VPN客户端访问ISAKMP策略。

用户没必要重新建立连接

重置802.1x配置为默认值(可选)

次要VLAN可以创建主机组或隔  离单个主机,并仍然为离开VLAN,提供三层路由。

Cisco ASA提供两种用户授权的方式:

–集中管理的安全策略服务器的推给客户,由最终用户减少配置。

所有的Inbound连接被拒绝(低安全级别到高安全级别 的流量)

BPDU过滤可以配置全局或每端口。

VPN的连接模式

在active和standby设备上手动指定MAC地址,来阻止一些 可能阻断网络流量的偶然事件

Loop Guard

(端口安全限制端口访问MAC地址)

五,思科ACS服务器的部署

RADIUS支持:

Per port每个端口

ASA(config)# failover interface‐policy 50%

IP Source Guard介绍

Summary总结

状态化A/A的FO

可以是一个独立的接口或者和其它接口共享,包括FO接口(不推荐)

阶段1的三个任务

对用户的合法性进行验证,包括用户名、密码等信息的验证

–RADIUS服务器通用的令牌

MM_SA_SETUP

在无状态化A/S的FO配置基础上添加:

部署方针和A/S高可用性FO基本一样

整包加密

切换发生后,IP和MAC地址在组成员之间被交换.

一般部署规则

– 证书撤销列表(CRL)的比较

在Cisco ASA上配置对HTTP的直接认证,直接对HTTP的 认证可以使用如下三个方式来进行配置:

SCEPLZS数据压缩

可以运用接口访问控制规则在ASA接口的input、output两个方向

功能

一个可选的参数map,为一个Class定义特殊的监控设置。

1.对进和出接口的流量进行控制

(一个持久的映射,映射一个真实地址到一个映射后地址,允许双向流量)

IPSec是IETF的标准,实现加密通信节点之间。

Failover的链路类型

4.数据包的初始化分片必须首先抵达防火墙,否则整个分片包 将被丢弃。

Task 2:配置IKE

协商采用何种方式建立管理连接

安全设备单元的优先级不会改变(primary/secondary是物理概念)

2.维持内部地址规划

2.不能够指派子接口到一个冗余接口

Self Zone是一个特殊的区域

2.使用每用户的策略仅仅为那些在信任或者被保护网络的流量

节省IP地址

7.在特定VLAN中启用ARP snooping功能。

Failover的接口类型

交换机端口状态决定是否授予客户端访问网络的权限。

基于标识别的网络服务

802.1x协议不支持某些端口类型如树干,等。

–activcard令牌服务器

可以全局调整它们的超时时间,推荐根据源进行调整。

监控了TCP和UDP,单一信道的TCP和UDP协议就能够正常工作。

No ARA,no

该令牌服务器密码

Failover的切换介绍

对ciscosecure用户数据库组件其他思科 安全ACS服务器复制

遵循先匹配先服务原则

思科安全ACS服务器:数据库特性

共享密钥

使用加密技术防止数据被窃听

1.在ASA上必须激活DNS inspection

TCP

一个方法列表描述了要对用户进行身份验证的顺序和身份验证方法。

使用加密技术防止数据被窃听

特点和好处:

可以对许多流行的令牌服务器进行身份验证

License Requirements(授权需求)

MM_NO_STATE

Failover的切换事件

监控特殊运用层协议

– 如果你想Cisco Secure ACS认证用户的Windows域用户数据库,您必须执行额外的Windows配置。

相同安全级别接口之间的流量

公钥加密

DNS和网关

Cisco VPN Client特点和好处

1.可以配置多达8个冗余接口对

EAP-CHAP

阶段2的安全协议存在的问题

TACACS 支持:

A/A Failover对负载的处理(1)

目的WEB服务器需要使用不同的用户数据库来实现认证

用来传递连接状态信息到备用单元

3.基于OSI四层信息(源目端口号)

第四步:初始化context

Hardware Requirements(硬件需求)

步骤6:指定DNS服务器。

Dynamic Inside NAT(动态内部装换):为一个本地IP地址到一个全局IP地址创建一个临时的转换

PVLAN边界也被称为被保护的端口

支持多个“身份验证”类型:

用于传递状态信息到Standby单元

8.ASA使用这个ACL放行流量到Server

5505不支持EtherChannel

当一个ASA启动的时候,它就开始了一个选举的进程

3.指定其他端口为非信任的端口。

Dynamic PAT介绍

这些设备通常连接在接入层交换机

通过非对称加密算法加密对称加密算法的密钥

它支持分布式ACS系统。

认证过程由可扩展认证协议(EAP)信息交流。

下载新的软件到两个设备并且指定加载新的镜像

隧道模式

4.一个物理防火墙只会在一个FO组中成为active

单元轮询时间:hello消息发送时间间隔(默认1秒)

CHAP

建立管理连接

Cisco Easy VPN Server一般配置任务

DHCP是一种常见的和有用的局域网协议。 在一个网络设备,都会支持它。打印机、IP电话、笔记本电脑和路由器都可以使用DHCP动态获取IP地址。DHCP已成为许多现代局域网技术。

2.所有在ASA终结的流量,被不同的管理访问列表所控制

注意:你可以同时配置全局访问控制规则和接口的访问规则,在这种情况下,接口访问规则总是优先于全局访问规则处理。

根防护可以使用各种命令进行配置和验证。

3,策略不能够使用ACL运用到特定主机或者子网。所有进入给定接口的所有流量都会被运用相同的监控策略

全局访问规则,允许你为入方向流量运用一个全局规则,不需要在每一个接口上运用策略,全局访问规则提供如下好处:

强迫active单元切换到standby单元

问题

15.0(1)M开始,可以监控相同区 域内接口之间的流量(换句话说,可以做策略了)。

相同一个接口进出的流量

Task 1:准备IKE和IPSec

– 使用失败的尝试报告,报告和活动为出发点。

思科AV双RADIUS

在Tacacs AAA服务器上配置用户授权规则,并且按需的控制每一个会话(不推荐)

半径的安全服务器的主机名或IP地址标识的主机的名字,和特定的UDP端口号,或IP地址和特定的UDP端口号。

定义inspection rules(监控策略)

What Is IPsec

部署冗余接口物理链接实例

1.一旦第一个匹配的规则被选择,后续条目就不再 被查找

保密

广域网存在各种安全隐患

思科安全ACS Windows服务器:使用的数据库服务器

UDLD和环路保护配置和使用特定的命令进行验证。

任务3:定义模式配置的组策略

Autorecovery自动恢复

流量触发IPSec

4.使用拒绝所有的策略在每一个ACL的最后,并开启Logging,用于收集统计信息

axent令牌服务器

A/A Failover介绍

要放行一个网络运用穿越ASA,在初始化的方向上,所有的规则集都应该放行

3.明确的策略应该运用在接口规则集的前面

1.Input规则控制源自于规则所在接口主机的连接

配置步骤

Per VLAN每个vlan

ESP协议不能和PAT设备一同工作

3.IOS FW缓存的未重组装完成的IP分片包,必须在2秒内组装完成,否则将被丢弃。

2,配置普通TCP和UDP监控

2.在最后默认存在一条deny‐all的隐含规则

管理通过网络浏览器完成。

(默认认证政策)对于未经身份验证的设备,基本的网络服务许可证

safeword令牌服务器

Secondary设备的MAC地址将被当做active MAC地址被使用.

整合必要的安全组件用于建立与对等体的IPSec连接

配置IP分片防御策略

b.建议deny ip any any。

关键是一个字符串,必须匹配的加密密钥,用于在RADIUS erver

流氓网络设备可以是:

b.协议安全防护与过滤(例如:SMTP,HTTP,IM等等)

应用AAA服务的方式

支持所有的模式(transparent,routed,multi‐context)

步骤6:IKE快速模式完成连接

Sticky MAC stores dynamically learned MAC addresses

1.2部分DHCP防护技术

状态化FO链路

A/A FO的异步路由问题(1)

不支持组播IP路由

对称加密算法

– 失败的尝试报告是用来解决问题的访问。

3.为了让流量在两个被保护端口之间交换,流量必须穿越 一个3层设备。

用来确认每个单元的操作状态以及复制和同步配置

1.4部分IP Source Guard(Ip来源保护  )

第三步:配置Primary FO

通过RADIUS服务器应用aaa

阶段1的SA是双向连接

成员可以共享MAC‐address

3.使用虚拟子防火墙是必须的.子 防火墙被归为两个FO组.

返回流量必须特殊处理

DACL( 自主访问控制列表)工作示意图

步骤4:Cisco VPN服务器发起一个用户名/密码的挑战。

Active/Standby(活动/备用)

团体端口Community port

– 机器访问限制(可)

AAA服务器回答一个认证回应,这个回应中包含一个每用户的访问控制列表

1.一对物理接口可以捆绑进入一个冗余接口并提供接口级别 的冗余

Cisco ASA接口访问规则控制网络运用穿越ASA

如果不运用接口访问规则到接口:

1.这样的部署可以确保所有的运用只穿越接口访问规则一次

思科互联网草案,微软与RSA

设备验证结束和用户身份验证开始。

未被保护的VPN尾,IP包头 ,VPN头  有效载荷,IP包头

使用非对称加密算法,计算复杂,效率太低,影响传输速度

2.这些组成冗余接口的物理接口叫做成员(members)

接口规则和接口安全级别

解密函数

步骤1:启用AAA认证。

步骤2:确定IPSec协议(IKE阶段2)政策。

Cisco VPN客户端试图发送多个艾克建议思科VPN服务器的IP地址之间建立同伴SA。减少对Cisco VPN客户端手动配置,这些艾克建议包括以下几个组合:

  1. Dynamic Port Address Translation (PAT)

802.1x端口认证服务称为水平。

Action granularity作用粒度

EAP-TLS

模式配置启动.

– 网络访问过滤(NaF)

2.在启用DHCP snooping的端口上激活IP源防护功能

4.指定所有其他的端口(包括静态地址的主机) 为非信任端口

阶段1的三个任务

NAT顺序

–政策管理

参数MAP监控计时器

交换机检测802.1x兼容的客户端,认证,然后作为一个中间人的身份认证,认证成功后的交换机设置端口转发,并将指定的政策。

1.为每个4层连接创建转换槽位(最多65535‐1023个槽位)

6.如果不存在,ASA请求这个用户ACL

四,802.1x验证

IPSec连接

不支持动态路由协议

8使用Cisco VPN配置安全设备的远程访问

第一步:配置Stateful链路

1.在用户访问资源之前需要认证

本地应用AAA

思科所有VPN服务器应配置为执行用户认证

步骤5:验证IKE阶段1政策。

交换攻击分为四大类。

交换机攻击类别

远程访问VPN

步骤3:指定本地地址池。

3.对方比对数字签名确认身份

一,交换机数据层面安全

– EAP-TLS

每一个物理设备都有一个这样的active子防火墙(转发流量)

安全关联的定义

Vpn的类型

安全设备检查其他FO组的状态化表项

网络扩展模式

1.3部分DAI技术(Dynamic  ARP Inspection)动 态A R P检 测ARP欺骗— 中间人攻击

对等体彼此进行身份验证

如果它没有检测到设备,它在两个FO组将变为active.

接口访问规则架构

考虑如下的一般部署准则,在Cisco ASA上配置用于限 制每用户的策略时:

接口上的访问控制规则(ACLs)必须放行需要认证的会话

证书管理是复杂和昂贵的

能基于ACL,PAM协议或其他class map匹配。

分离AAA

– 思科安全设备使安全VPN。

VPN技术

共享密钥

Summary

单元标准

1.Dynamic Identity NAT转换本地地 址到相同的地址,到低安全级别的接口。

使用一个zone pair,并且具有相同的源和目的区域。

A/A的Failover部署方针

在一个负载均衡的方案中,邻接的路由器使用ECLB静态路由和PBR来实现负载分担

BPDU过滤指定要在收到

Cisco VPN客户端提供以下功能和效益:

如下连接如果存在,必须要明确的允许连接:

第六步:测试A/A FO

不支持威胁检测

3.隐藏内部网络拓扑

1.使用密钥加密用户身份信息      传输集A传输集B

PEAP(受保护的EAP)

如果它检测到一个正在协商的设备处于FO接口的另一端,此时Primary设备成为Active状态,Secondary设备转到Standby状态

在认证的时候从Radius AAA服务器上下载一个每用户的访问控制列表(推荐)

2.交换机执行如下的ARP验证:

配置状态化A/S的FO

删除IOS防火墙配置IOSFW(config)#no ip inspect

比较环路守卫和UDLD

3.如果多个用户共享一个IP地址(PAT,代理),不建 议部署基于用户的策略

Multiple DHCP Pools

保护开关在portfast端口添加。

在所有连接防火墙设备的交换机接口上,考虑配置端口快速(PortFast)

– 服务器端的RSA SecurID令牌

RADIUS是由利文斯顿企业发展,现在朗讯的一部分。

有助于集中访问控制和核算,除了路由器和交换机的接入管理

服务器

全局访问规则,允许你为入方向流量运用一个全局规则,不需要在每一个接口上运用策略,全局访问规则提供如下好处:

2.全局访问控制策略不会被复制到每一个接口,因此节省内存消耗。

用户的源IP地址。

提供额外的身份验证功能

解决方案

EAP---可扩展认证协议

防止数据回放攻击

Class-map介绍

Cisco Secure ACS for  NAS,RADIUS,Windows Server

用户必须重新建立连接

How IPsec Works    IPSec如何工作

可以配置虚拟FO的MAC地址来确保FO对儿总是使用一个相同的MAC地址.

常用组策略属性

思科安全ACS支持许多常见的密码协议:

第一部分:Twice NAT遵循先匹配先服务原则Twice可以随意调整顺序

AH对整个IP包头进行验证

安装与其他Windows应用程序(正版)。

2.使用两个交换机来实现额外的冗余

在一个Cisco Catalyst交换机环境认证两种选择是EAP消息摘要5(MD5)和EAP-TLS。

接口访问规则架构

  1. EtherChannel具有load‐balancing和HA功能。

固定配置Active和Standby设备的MAC地址

802.1x支持两种拓扑结构

5.一个Port ACL会被运用到这个端口,放行绑定表指定的源IP和源MAC,阻止其它流量。

增强EAP-TLS

选择恰当的EAP

支持拆分隧道

1.在用户访问资源之前需要认证

– 数据传输:VPN设备应用安全服务的流量,然后将流量。

要求客户端和服务器证书

然后再用对称加密算法加密实际要传输的数据

指定使用NAT和PAT。

需要对内部用户的outbound访问进行认证,身份信息会在不受信任的网络中传输(例如:互联网)

每一个物理设备都有一个这样的active子防火墙(转发流量)

–思科VPN远程客户端服务器支持了Cisco PIX防火墙软件版本6.2

IKE协商默认是否开启

Task 1:Prepare to   Configure VPN Support准备配置VPN支持

2.重置所有全局timeouts和thresholds(阈值)

流量无法通过具有相同安全级别的两个不同的接口

第二部分:Object NAT静态转换优先于动态转换 如果类型相同,按照如下方式排序

无线局域网

接口安全级别对于IPSec流量的影响

RADIUS

Cisco ASA直接对HTTP认证

对整个数据包加密

密钥交换

根交换机不能当选通过BPDU收到一根保护配置的端口。

不支持电话代理

好处包括:

ASA发送认证请求到一个AAA服务器

2.1部分              基本Zone间策略

1.在交换机上全局激活DHCP snooping特性

1.加密算法

Zone-Based Policy Actions

–任务5:配置路由器为AAA。

单TACACS 或RADIUS数据库同时支持

手动重新认证客户端连接到一个端口(可选)

DH算法(Diffie-Hellman,迪菲-赫尔曼)

在两个设备之间需要一个状态化链路(是LAN‐FO链路之外的另外一条 链路)

智能节点可用性检测或死去的同伴检测(DPD)

Zone-Base Policy Firewall的TCP规范化特性

认证VS授权

一个ZBF的区域,是通过一个或多 个路由器接口抵达的一系列网络。

3.特殊协议监控策略所配置的alert, audit-trail, timeout优先于全局设置。

建立IPSec VPN连接需要3个步骤:

如何选丼成为Active

恢复原active单元到active状态

配置IPSec加密

3.Cisco ASA能够发送用户流量相关信息到审计服务器

IPSec VPN原理与配置

3.正常情况这个返回流量因为在61.128.1.10这个接口无法找到会话信息, 应该被丢弃。然而这个接口使用命令(asr‐group 1)放入了asr‐group,这 个单元就会查找配置相同asr group ID接口的会话信息。

–csauth提供认证服务。

(粘粘的动态学习MAC地址)

–数字证书支持

802.1x基于端口的认证的配置

UDLD配置

a. outbound方向。

Network access through switch requires authentication.

启用802.1x认证(需要)

PVLANs允许你提供一个VLAN内通过访问控制来限制连接:

ACS for Windows  NAS–ODBC导入

步骤1:启用或禁用IKE.

3.明确的策略应该运用在接口规则集的前面

支持Cisco Easy VPN远程客户端

授权的两种方式

PVLAN边界

Secure HTTP

它如果没检测到设备,它将变为Active状态

1.一般,最好使用外部认证服务器,这样提供更好的扩展性,也能够存储审计数据

合计

– 提供了一个有价值的故障排除信息来源。

– 复制增强

支持把ASA的接口地址作为全局地址使用

2.IP地址数字大小

Failover的管理

(通过交换机的网络访问需要验证)

– 每个管理员定义不同的权限

1,配置全局超时时间和阙值

对等体通过DH算法成功建立共享密钥,此时还没 有进行设备验证

DNS分离

所有的outbound连接被允许(高安全级别到低安全级别的流量)

协议支持

“相互认证”

TACACS ,RADIUS,和Kerberos安全服务器支持的协议由思科。

点对点

只加密数据包中的帐户名、密码

小到非常大的网络规模

混杂端口Promiscuous port

任务3:配置IPSec参数。

Authorization——授权

当BPDU保护配置在全局内,它影响到所有portfast配置端口。

非信任端口只能转发DHCP请求

Spoofing attacks----欺骗攻击

Cisco VPN客户端V4.6 API

客户端

故障切换期间,连接依旧保持

第五步:测试Hardware(硬件) FO故障切换

端口安全可以配置在2层,以阻止设备的输入。

c.应该放行非信任网络访问内部互联网服务器的流量。

需要对内部用户的outbound访问进行认证,身份信息会在不受信任的网络中传输(例如:互联网)

上面得出的这些结论,都是基于两台设备均为健康状态。如果不是,那么两个设备中处于健康状态的那个将成为Active

–它允许远程用户使用IPSec VPN网关负载自适应安全设备进行沟 通。

2.在一些特殊的环境,Output规则更加容易被运用

站点到站点VPN

在认证的时候从Radius AAA服务器上下载一个每用户的访问控制列表(推荐)

TACACS (终端访问控制器访问控制系统)

通过DH算法共享密钥信息

2.3部分Intra Zone策略

验证器

地址池

如果不运用接口访问规则到接口:

TCP规范化只能在全局调整,针对所有的流量。

ASR‐Group工作细节

Accounting——统计

ASCII/PAP

  1. Static NAT

用户认证是Cisco ASA上的一个额外的访问控制技术:

(MAC地址认证)添加设备如IP电话,目前不包括802.1x客户端支持

虚拟HTTP

任务4:创建变换集合。

1.Vir‐telnet预认证

用户名密码的存储方式

IP检查名称iosfw FTP警报关闭超时300跟踪审计

802.1x基于端口的认证可以减轻流氓设备未经授权访问的风险。

FO链路

提供多个Cisco设备认证的ACS包括几个模块化windows2003服务,在一台服务器上运行行政服务,认证服务,授权服务,同步服务,监控服务

如果在这个周期中的任何一个点上的认证失败,验证过程停止,并且没有其他的验证方法被尝试。

接口标准

配置ARP监控步骤

管理连接端口号为UDP 500

它包含:

Authentication——认证

支持拆分隧道

TACACS /RADIUS比较

3.同样可以转换主机到ASA出接口的IP地址

远程访问VPN

RFC 2716

2.一个永久的转换槽位是被直接创 建的。

AAA可用于多层交换机的认证。

通信双方有被冒充的风险

数据验证

基于802.1x的验证

在class-default中的默认行为是drop。

任务2:创建一个新的连接条目。

可以运用接口访问控制规则在ASA接口的input、output两个方向

1.默认IOS FW不对分片进行控制。

启用多主机(可选)

用户名/密码的挑战在TLS通道

配置状态化A/A的FO

QM_IDLE

调整FO的各项参数来实现快速切换

六,IOS防火墙

2.当一个备用接口成为主用时,防火墙通过新的主用接口发送一个免费ARP回应,用此更新交换机的CAM表

当收不到来自于Active设备的响应时,切换发生

当在FO接口检查到一个正在协商的设备,本地FO组配置的Primary设备将成为active。

(802.1x认证支持)可以在工作站和适当的政策应用的客户端组件之间的相互作用。

步骤5:进入组策略属性模式。

ZBF允许你配置 每一个zone对之间的访问控制规则

设备通过FO接口来交换hello消息

– 远程和集中记录

集线器

数据完整性验证防止数据被破坏、篡改

1.Protected Ports技术只在本地交换机配置了这个特性的 接口上生效。

当切换发生时,所有已经建立的状态话跟踪的连接都将被丢弃

主要用于简化IPSec会话的配置和管理

安全参数索引(SPI)

以下的一般任务是用来配置Cisco VPN客户端为Cisco VPN远程:

只能用于监控行为

基于802.1X端口认证是两种拓扑结构的支持:

可扩展身份验证协议(EAP),基于IETF 802.1X是一个端到端的框架,允许创建认证类型不改变AAA客户端配置

SHA实现身份验证

令牌服务器的密码卡

–csdbsync提供的ciscosecure用户数据库同步与外部数据库的应 用。

恶意接入点

2.用户特殊的策略能够被运用

网上传输的数据有被窃听的风险

在Tacacs AAA服务器上配置用户授权规则,并且按需的控制每一个会话(不推荐)

使用对称加密算法,密钥可能被窃听

防止STP环路转发

Link FO接口(状态化接口)

A/A FO不同的子防火墙有不同 的安全功能,而且设计和实验都 不是很复杂.

Cisco ASA接口访问规则控制网络运用穿越ASA

可以被多个classes重复使用

双向

多协议支持NetBEUI

如下连接如果存在,必须要明确的允许连接:

2.两个设备在彼此互为备份同时, 也能同时转发流量(负载均衡).

Cisco ASA直接对HTTP认证

带外共享

MM_KEY_AUTH

建立IPSec VPN连接需要3个步骤:

接口健康监控

接入交换机

AH协议不能与NAT设备一同工作

任务8:配置XAuth。

ASA连接表(connection table)(初始化流量)

– 日志管理活动的能力

“相互认证”

如果每用户覆盖特性没有被配置,流量需要被每用户的访问控制列表和接口存在的访问控制列表放行。

用户生产率的提高和降低运营成本

思科安全ACS服务器架构

4.在每一个端口上调整ARP限速。(可选)

Cisco VPN Client规格

Cisco ASA提供两种用户授权的方式:

2.负载分担相关流量

3.Cisco ASA的接口访问规则使用正掩码

ISAKMP/IKE阶段2需要完成的任务

3.删除所有现存会话

Dynamic Inside PAT(动态内部PAT):创建一个临时的动态转换, 把一个本地地址和端口转换到一个全局地址和全局端口。

客户模式

–csadmin提供HTML界面,思科ACS管理安全。

2.当内部地址发起第一个连接时,在转换表项里动态创建转换槽位

团体VLAN(community VLAN)

传输模式

STP的应用保护

2.在一些特殊的环境,Output规则更加容易被运用

在Cisco ASA上配置对HTTP的直接认证,直接对HTTP的 认证可以使用如下三个方式来进行配置:

Global ACL(全球ACL)介绍

智能适应性

传统IOS FW的一些问题

1.安全设备可以成对搭配成A/A的FO来提供设备级的冗余和负载分担

为了保证客户端的用户名、密码安全

仅仅只支持inbound连接

一个物理设备被永久的指定为Primary设备,另一个作为Secondary

c.注意:先检查ACL后检查监控策略,如果ACL没有放行,也就没有必要监控。

基于网络服务的思科身份(IBNS)将几个思科产品提供认证、访问控制、用户的政策来确保网络的连通性和资源。

1.Object NAT

3.一个成员是主用接口,另一个成员是备用接口。如果主用 坏掉了,备用将变为主用。

Static NAT(静态NAT):创建一个本地地址到全局地址的永久转换。

所有的Inbound连接被拒绝(低安全级别到高安全级别 的流量)

2.使用每用户的策略仅仅为那些在信任或者被保护网络的流量

1.删除整个IOS防火墙配置

用来确定每一个单元的运行状态并复制和同步配置

Cisco Secure ACS的Windows服务器具有以下特点:

它使用TACACS 或RADIUS认证。

无状态化和状态化A/S的FO

流量触发IPSec

–csmon提供监视、记录、和思科 通知Secure ACS的性能,包括某些情况下自动响应。

Static PAT介绍

辅助vlan(Secondary VLAN)

Download ACL介绍

相同一个接口进出的流量

Static NAT介绍

1.地址范围

EAP-MD5:普通的密码哈希(CHAP在EAP)

– LEAP

控制时间一天一周的访问

用户名/密码信息被检查对身份验证实体。

–CSMonitor服务,提供监测、通知、记录、和有限的自动故障响应

Zone-Base Policy Firewall介绍

负载平衡和备份服务器支持

支持微软网络登录(所有平台)

– 恢复思科 安全ACS配置,用户账户的能力,并从备份文件组简介

总是有一个隐含的class,被称  为class-default,在每一个policy map中作为最后一个class。

2.Outbound流量会在转换表中产生一个临时的转换槽位。

数据完整性服务

多种服务使用一个单一的全局地址

隔离VLAN(isolated VLAN)

任务5:(可选)配置拨号属性。

IPSec协议最初的设计并未考虑用户验证的问题

所有的outbound连接被允许(高安全级别到低安全级别的流量)

FO出现在设备或子防火墙级别上

协议

阶段2的SA是单向连接

步骤7:指定服务器的服务器。

不支持VPN

要求和限制同A/S高可用性FO一样,下面罗列了额外的问题:

1.一旦第一个匹配的规则被选择,后续条目就不再 被查找

TACACS

PEAP(受保护的EAP)

条件之间可以使用OR(默认),AND和NOT操作符

状态化的FO:

通用LDAP

Standby设备在所有的接口上继承原来Active设备的属性(IP和MAC地址)

2层安全措施必须作为整体网络安全计划的一个子集。

RADIUS(远程验证拨入用户服务)

1.一个oubound会话穿越ASA1.它的出接口为202.100.1.10。

Per Port每个端口

管理连接的五个状态

对称加密算法

用户被认为已经通过了认证,直到他们注销,或者认证缓存信息超时。

–IKE阶段1:VPN设备协商IKE安全政策和建立一个安全通道。

–档案管理

参数MAP

屏蔽VPN设备的IP,保护VPN网关

–ciscosecure数据库复制

ASA访问控制列表介绍

3.基于OSI四层信息(源目端口号)

非对称加密算法

微软和思科

提供用户名密码的方式来验证用户身份

在软件升级的过程当中,你可以在每台设备上运行不同的版本,并且仍然维持FO

3.两个成员接口必须是一样的物理类型

加密函数

数据连接端口号为UDP 4500

– 有趣的交通:VPN设备识别交通保障。

UDLD检测和禁用单向连接的接口,保护网络免受异常STP条件。

恳求

当一个用户第一次访问一个需要被认证的资源时,Cisco ASA会要求这个用户提供用户名和密码。

1.便于你从Checkpoint防火墙迁移到ASA,可以继续维护全局访问规则,不必在每一个接口配置接口特殊的访问策略。

ODBC-兼容的关系数据库

1.Inside NAT转换一个位于高安全级别接口的本地地址到一个位于低安全级别接口的全局地址

虚拟HTTP

二,交换安全概述

a.保障协议正常工作(例如:FTP,H.323等等)

当一个用户第一次访问一个需要被认证的资源时,Cisco ASA会要 求这个用户提供用户名和密码。

在ASA防火墙上实现IPSec VPN

ASA5505不支持A/A的Failover

2.指定某端口为受信任的端口,也就是接受这个接口上的ARP欺骗威胁。(可选)

无线路由器

接口访问控制规则的方向(1)

说明

网上传输的数据有被窃听的风险

通过DH算法共享密钥信息

可以使用允许,拒绝,日志消息或特殊行为

提供了硬件和状态话表项的冗余

任务2:创建地址池。

建立数据连接

目的IP地址

接口访问规则注意事项

可以是一个独立的接口,或者和其他接口共享,包括FO接口(不推荐,最好是独立接口)

(不必一模一样的授权,只需有FO授权即

XAUTH扩展认证协议

BPDU保护可配置端口,甚至那些端口没有配置portfast。

网络设备提供AAA服务功能为AAA的客户,如routers, NASs, PIX    Firewalls, or VPN Concentrators

-安装你想安装Cisco Secure ACS和网络上的客户端计算机的具 体信息需要AAA。

通过Crypto Map不同序号,与Peer进行策略匹配

  1. Inspect进行状态化监控

  2. Drop丢弃相应流量

  3. Pass允许相应流量(不进行状态化监控)

  4. Police对相应流量执行限速

  5. Service-policy      DPI(执行深度应用层控制)

第二步:测试Stateful FO故障切换

任务6:将动态密码地图静态加密图。

如果它检测到一个设备在两个组里都是active,那么它在两个FO组将变为standby.

集中控制策略(包括备份服务器列表)

Cisco VPN客户端使用基于VPN的远程访问软件

这些输出结果是假设安全设备在FO组里都是健康的,如果不是,那么健康的子墙在一个FO组里将变成active.

接口访问规则决定哪些“新建连接”能够进入ASA连接表(connection table)(初始化流量)

思科VPN远程支持两种操作模式:

– 你应该检查ACS服务器和客户端之间的连接AAA。

– 一个关系数据库管理系统的ciscosecure用户数据库(RDBMS)同步

如果数据被篡改将无法得到相同的数字签名

–任务2:验证连接Windows 2000 Server系统和Cisco路由器。

DES

应配置多层交换机以支持安全。

被保护的VPN头VPN尾  新IP头  新IP头VPN头

部署Failover的必要条件

在邻近的路由设备上必须分割流量到两个物理设备上的两个active子防火墙上

支持的拓扑类型

协商采用何种方式建立管理连接

由开放标准来保护私人通讯

DNS和DHCP DNS包括DDNS,分裂,微软胜,和IP地址分配

思科IBNS方案基于标准半径和802.1x的实现。

第二步:正确桥接设备

NAT的分类(1)

– 初始配置是通过网络接口完成的。

利用dot1x端口控制接口配置命令你控制端口的授权状态。

DNS和网关

2.用户特殊的策略能够被运用

Zone-base Policy Firewall同样能够状态化追踪这些会话

配置DHCP Snooping步骤

MSI可用于Windows NT,2000,XP

–cslog提供测井服务,既为会计和系统的活动。

2.所有在ASA终结的流量,被不同的管理访问列表所控制

任务1:安装Cisco VPN客户端。

pvlan:Private VLAN专用虚拟局域网

最多支持8个主用和8个备用链路

VPN建立“保护”网络实体之间的通信

虽然外部用户数据库的使用是可选的,Cisco Secure ACS的Windows服务器支持许多流行的用户库的实现

UDP

IKE(Internet Key Exchange)因特网密钥交换协议

第一部分Cisco IOS Classic Firewall

监控普通的TCP和UDP

使用非对称加密算法,计算复杂,效率太低,影响传输速度

5.配置一个ARP访问控制列表,静态映射IP到MAC。(可 选)

配置用户认证

任务3包含以下步骤:

可以明确指定class-default中的行为。

第一步:初始化路由器

来自每个用户,每个会话密钥

可以使用密钥来保护FO通讯

任务2:配置IKE参数。

e.建议在外部接口in方向运用。

加密算法

5.管理连接的生存周期

例外:FO以太接口上的地址保持不变

Dynamic Identity NAT介绍

A/A FO不同的子防火墙有相同 的安全功能,在这种情况下,设计起来比较复杂.

Policy maps决定防火墙策略应用到哪一个class

在Object NAT配置中,NAT策略被配置为一个网络对象的参数Object NAT被认为是一种快速而简单的配置方式,用于为单一的一个IP地址,一个网络范围和一个网段配置NAT

IP检查名称iosfw UDP警报关闭超时10跟踪审计

2.上述配置限制IOS FW最大能够缓存的未重组装完成的IP分片包为100个。

在RFC 2284中指定的EAP

802.1x特性

NDS

状态

AAA的定义

第三步:Primary ASA配置FO group和context

两个设备当中的一个被选择成为Active(转发流量),另一个就处于热备用状态Standby(等待中)。(Active和Standby是逻辑概念)

Failover的健康监控

重置802.1x配置为默认值(可选)

专有的RADIUS扩展

–认证方法

隧道组特性的引入

思科NAS,PIX防火墙,VPN集中器,或路由器可以验证Cisco Secure  ACS的Windows服务器。

1.便于你从Checkpoint防火墙迁移到ASA,可以继续维护全局访问规则,不必在每一个接口配置接口特殊的访问策略。

一般部署的时候在所有的接口仅仅运用Input规则

封装模式相对简单,传输效率较高

ASA上的EtherChannel

– 故障排除工具包括调试TACACS 的命令。

ASA通过监控FO链路来确认其他单元的健康状况

IPSec SA发起成立.

思科安全ACS服务器:管理员特性 :

在配置参数已经成功地收到了Cisco VPN客户端,IKE快速模式协商

两个设备就像同一个单元一样被管理只需在active设备上进行配置active设备上所有配置的变化,都被自动复制到standby设备通过standby设备的standby IP地址,可以对standby设备执行基本的监控和管理

VPN的类型2-1

Lightweight Extensible Authentication Protocol(轻量级可扩展身份验证协议)

2.在相同的交换机上,被保护的端口不能转发流量到其他 的被保护端口。

例如:telnet,smtp,dns等等。

Windows NT/2003 User Database

需要PKI证书(X.509)而不是用户名/密码

HTTP重定向

验证和用户数据库

冗余接口的切换

思科安全ACS服务器工作:使用ACS数据库

任务3:(可选)配置Cisco VPN客户端的传输特性。

实现数据完整性验证MD5

1.当使用冗余接口时,你必须把防火墙连接到一台交换机上

4,传统状态监控策略很严重的依赖ACLs

ASA-NAT介绍

任务3:定义模式配置的组策略。

允许验证Windows 2003的用户数据库,ACS的用户数据库,令牌服务器或其他外部数据库

3.ASA请求ACS认证用户

EAP-MD5:普通的密码哈希(chap在EAP)

第四步:配置Secondary FO

1.接口访问控制列表只能控制穿越流量

隔离端口Isolated port

MAC地址的粘贴

Twice NAT类似于以前的Policy NAT,能够根据流量的源和目的实现不同的转换,适用于在特殊环境下的NAT运用。针对VPN流量做Twice NAT,旁路掉原有上网用的NAT转换是一个经典的运用。

数据包不从始发的设备返回,这就叫做异步路由.

确保数据机密性,完整性和通过网络层加密认证

设备(Primary和Secondary是一个物理的概念)

EAP-TLS(基于X.509证书)

在相关接口,被访问控制规则控制的所有流量

如果Secondary设备启动时,没有检测到Primary设备,它将变为active.

ZBF是一种功能,它允许一个路由器在 区域(即安全域)之间来充当一个状态化防火墙。

封装模式相对简单,传输效率较高

一种用于携带任意身份验证信息的灵活的协议。

远程访问VPN

正常的FO切换事件

加密和哈希算法

802.1x Authenticator Support

路由默认开启

只有我通过远程访问客户端软件的Windows集成

2.HMAC功能

用户被认为已经通过了认证,直到他们注销,或者认证缓存信息超时。

连接表项基于额外的超时时间,对TCP连接执行 资源回收。

定义用来保护数据的安全协议

指定的VPN客户端连接的主机使用完全可路由的IP地址。

2.端口必须具有相同的功能:duplex,speed,等等

–任务4:最初配置Cisco Secure ACS的Windows服务器通过Web浏览器。

为一个静态的IP地址配置一个静态ARP访问  控制列表(静态ARP监控功能)

在用户验证、授权成功后,记录用户的操作等信息,以便用于记账、审计和报告

配置IP ACL

用户输入用户名/密码组合。

步骤2:配置IKE PSK。

智能适应性为分层用户提供更大的灵活性和移动性认证,访问控制和用户策略的组合,以确保网络连接和资源,用户生产率的提高和降低运营成本

每一个网络接口都可以被监控

2.ASA提示用户login认证

Cisco ASA能够为穿越的流量运用基于用户的策略

AAA服务使用的协议

3.全局访问规则在定义一个安全策略的时候提供了灵活性,你 不需要指定一个包从哪一个接口进入,这个策略只需要匹配 源和目的IP地址即可。

步骤1:确定IKE协议(IKE阶段1)政策。

路由指向active的子防火墙,这些子防火墙分布在两个物理设备

–TACACS 和RADIUS支持Cisco Secure ACS。

– EAP-FAST

通过认证机制确认身份,防止数据被截获、回放

Dynamic NAT介绍

为DHCP指派的IP地址引用DHCP snooping绑定数据库(动态ARP监控功能)

接口轮询时间:监控接口的轮询时间(默认5秒)

3.如果多个用户共享一个IP地址(PAT,代理),不建 议部署基于用户的策略

MAC Address Authentication

IPsec Transform Sets  ipsec

LEAP(EAP Cisco无线)

ACS Deployment in a Global Network(ACS部署在全局网络)

和Cisco IOS 12.2的发布(8)T.

访问控制列表Cut Through

接口策略:触发FO切换的故障接口数量(默认1个)

(一个组的真实地址映射到一组映射后地址,映射后地址往往比真实地址数量少,遵循先来先服务的原则。只有真实的主机才可以发起连接)

地址池

2.使用密钥和用户信息通过hash算法计算

IP包头未被保护

非信任端口的ARP消息要进行ARP检测验证

在一个更大的网络,地理上分散的、速度、冗余和可靠性是很重要的,在决定是否使用一个集中的Cisco Secure ACS服务或 多个地理上分散的Cisco Secure ACS单元。

LEAP(EAP Cisco无线)

端口分:

建立数据连接

主vlan(Primary VLAN)

2.(必须)阻止源至于非信任网络的流量

2.指定一个持久的DHCP snooping绑定数据库的 位置

Primary– 数据库复制

代表路由器的控制和管理层面

(针对具体的接口数目来定义切换条件(范围是1‐250) )

设备收到一个数据包,但是没有这个包的状态信息.

–csradius提供RADIUS AAA客户端和服务之间的通信csauth。

1.使用ARP监控,管理员可以指定交换机的 端口为信任和非信任端口:

两个Failover链路在系统执行空间里配置

当用户在Cisco ASA上认证成功之后,授权使用每用户的Download ACL

ACS Deployment in a Small LAN(ACS部署在一个小局域网)

AES

一对ASA能够配对成为一个A/S Failover并提供设备的冗余

ESP对IP报文的有效载荷进行验证

– 令牌服务器密码认证卡

Active context的选丼

5.其他非信任的端口上配置DHCP限速(和端口安 全)----可选配置

一般部署的时候在所有的接口仅仅运用Input规则

RADIUS背景

SA的三个要素

步骤4:配置隧道群属性预共享密钥

Self Zone监控

对普通和环路保护实施保护生成树操作被中断由于单向链接。

3.所有由ASA发起的流量都是被允许的。

广泛

设备通过监控接口交换hello消息

用于TLS握手(rfc2246)

任务8:配置XAuth

– 基于令牌的RADIUS服务器,包括:

以下的一般任务是用来配置Cisco VPN服务器上的安全设备:

调整A/S的FO(4)

通信双方有被冒充的风险

设置预共享密钥和Crypto ACL

(针对某个接口启用健康监控,若受监控的接口fail,切换触发.)

(一个地址被静态的转换到自己,本质上就是旁路掉NAT。当你转换一大组地址,但却想把其中一小部分地址旁路掉NAT的时候,使用这个技术。特别适用于旁路VPN流量。)

重启备用单元

设备的健康状况是通过LAN‐FO接口来监控的

3.Cisco ASA的接口访问规则使用正掩码

Cisco Secure ACS的Windows服务器管理

冗余接口介绍

流量无法从同一接口进入后再流出

用于控制抵达路由器自身的流量和源自于路由器(自身发起)的流量

ESP对用户数据实现加密功能

Cisco ASA能够为穿越的流量运用基于用户的策略

ASA防火墙默认关闭,必须手动开启

您还需要在RADIUS server.上配置一些设置。

IP包头被保护

安全协议类型

Cisco Easy VPN远程连接过程

b.可以配置在内部接口in方向,也可以配置在外部接口out方向。

Port security restricts port access by MAC address.

HMACHMAC

Static Identity NAT介绍

有DNS重写功能的Static NAT,能够根据转换规则,转换DNS回应内部的地址(A)记录字段。

任务1:准备配置VPN支持。

4.ACS认证回应包含DACL名

本文由时时app平台注册网站发布于彩世界网址,转载请注明出处:思科ACS配置案例解析【彩世界网址】

关键词: