我們最近從 Watchguard X5500e Peak 防火牆設備升級到帶有 CSC 模組的 Cisco 5500 ASA。 ASA 運行 8.2 軟體,CSC 運行 6.3.1172 軟體。經過幾週的揪心、咬牙切齒之後,我們終於讓一切穩定下來,現在我們要嘗試設定一些優先事項清單中較低的項目。
借助 watchguard,我們能夠透過瀏覽器存取內部網頁並針對防火牆進行身份驗證,從而允許我們繞過過濾器。當這裡的教室需要訪問串流媒體或管理人員需要我們下載影片時非常有用。我正在嘗試設定類似的東西,但我對像 ASA 這樣的 Cisco 設備相當缺乏經驗,所以我不確定它是否被視為 VPN 連接或某種 ACL。理想情況下,我們希望設定多個來限制曝光,而不是使用時全開的一個。
我進行了搜索,但找不到與這裡提出的其他問題相關的任何內容,而且我也沒有運氣用谷歌搜索它。
答案1
您正在尋找的是 AAA(身份驗證、授權和計費),來自 cisco 支援網站:
「AAA 讓安全設備能夠確定使用者是誰(驗證)、使用者可以做什麼(授權)以及使用者做了什麼(記帳)。與單獨使用ACL 相比,AAA 為使用者存取提供了額外的保護和控制例如,您可以建立一個ACL,允許所有外部使用者存取DMZ 網路上的伺服器上的Telnet。啟用AAA。授權 和 記帳 使用身分驗證
。
http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/aaa.html
但據我所知,您需要設定一個「思科安全存取控制伺服器」。我認為如果您使用網路過濾解決方案(websense 等),您會更好。您也可以設定一個魷魚伺服器,整合 LDAP 並根據經過驗證的使用者設定 ACL。