Cisco ASA

Üdvözlöm, Ön a Cisco ASA szó jelentését keresi. A DICTIOUS-ban nem csak a Cisco ASA szó összes szótári jelentését megtalálod, hanem megismerheted az etimológiáját, a jellemzőit és azt is, hogyan kell a Cisco ASA szót egyes és többes számban mondani. Minden, amit a Cisco ASA szóról tudni kell, itt található. A Cisco ASA szó meghatározása segít abban, hogy pontosabban és helyesebben fogalmazz, amikor beszélsz vagy írsz. ACisco ASA és más szavak definíciójának ismerete gazdagítja a szókincsedet, és több és jobb nyelvi forráshoz juttat.

Angol

Főnév

Cisco ASA (tsz. Cisco ASAs)

  1. (informatika) Cisco Adaptive Security Appliance

A Cisco Adaptive Security Appliance (ASA) a Cisco Systems által fejlesztett hálózati biztonsági megoldás, amely tűzfal, VPN-szerver, IPS, és más biztonsági szolgáltatások kombinációját nyújtja egyetlen integrált eszközön. A Cisco ASA az egyik legelterjedtebb és legmegbízhatóbb vállalati tűzfalmegoldás, amelyet világszerte használnak kis- és nagyvállalatok, adatközpontok, illetve szolgáltatók.

A Cisco ASA (Adaptive Security Appliance) egy stateful firewall, amely képes:

  • Hálózati forgalom ellenőrzésére és szűrésére
  • VPN (IPsec, SSL) alagutak létrehozására
  • Hozzáférés-szabályozásra (ACL)
  • Forráscím és célcím NAT-olására
  • Alkalmazás-szintű vizsgálatokra (Layer 7)
  • Felhasználói hitelesítésre és naplózásra

Az ASA lehet fizikai appliance (pl. ASA 5506-X, ASA 5516-X), vagy virtuális (Cisco ASAv), mely VMware, KVM és más platformokon is futtatható.


2. ASA architektúrája

Az ASA architektúrája moduláris:

  • Control Plane: A konfigurációért, menedzsmentért és protokollvezérlésért felel.
  • Data Plane: A csomagfeldolgozást végzi. Kiemelten gyors a stateful packet inspection révén.
  • Security Engine: Feldolgozza a biztonsági szabályokat, alkalmazásszintű szűrést és VPN kapcsolatokat.
  • Contextual Mode: Lehetővé teszi több különálló virtuális tűzfal (security context) létrehozását egy fizikai ASA-n belül.

Az ASA proprietary Cisco OS-t használ, amely különbözik az IOS-től, de hasonló CLI-t biztosít.


3. ASA működési módjai

Az ASA több különböző módon képes működni:

  • Routed mode: Az ASA routerként működik, külön alhálózatokat választ el.
  • Transparent mode: Layer 2 szinten működik, nem igényel IP-címeket az interfészekhez.
  • Single-context mode: Alapértelmezett működési mód, egy konfiguráció.
  • Multi-context mode: Több logikai ASA-t futtat egyetlen fizikai eszközön.


4. Hozzáférés az ASA-hoz

Az ASA CLI-n keresztül konfigurálható soros porton, Telneten, SSH-n, vagy ASDM (Cisco Adaptive Security Device Manager) nevű webes grafikus felületen keresztül.

A CLI hasonlít az IOS-hez, de különbségek is vannak, például: 

enable
configure terminal
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
 no shutdown
exit

5. ASA interfészek és biztonsági szintek

Minden ASA interfészhez egy nameif és egy security-level van rendelve (0–100):

  • inside (100) – belső, megbízható hálózat
  • outside (0) – külső, nem megbízható (internet)
  • dmz (pl. 50) – részlegesen megbízható zóna (pl. publikus web szerverek)

Alapértelmezés szerint a magasabb security-level szint kommunikálhat az alacsonyabb szintű felé, fordítva viszont explicit szabály szükséges.


6. Access Control Lists (ACL) használata

A Cisco ASA a stateful inspection mellett ACL-eket is alkalmaz a forgalom vezérlésére. Példa: 

access-list OUTSIDE_IN extended permit tcp any host 192.168.1.10 eq 80
access-group OUTSIDE_IN in interface outside

Ez engedélyezi a HTTP kapcsolatokat a 192.168.1.10 című belső webszerver felé.


7. NAT a Cisco ASA-n

A Cisco ASA objektumalapú NAT-ot használ a 8.3+ verziók óta: 

object network WEB_SERVER
 host 192.168.1.10
 nat (inside,outside) static 203.0.113.10

Ez egy static NAT szabályt hoz létre, amely a belső webszervert a publikus IP-n keresztül elérhetővé teszi.


8. VPN funkciók

Az ASA támogatja mind az IPsec VPN, mind az SSL VPN kapcsolatokat:

  • Site-to-site VPN – két telephely közötti titkosított kapcsolat
  • Remote access VPN – távoli felhasználók hozzáférése
  • Támogatott protokollok: IKEv1/v2, ESP, AH, ISAKMP, SSL/TLS
  • Felhasználóazonosítás: RADIUS, LDAP, local database

VPN konfiguráció során figyelni kell:

  • IKE policy-k beállítása
  • Tunnel group-ok és group-policy-k
  • Crypto ACL-ek
  • NAT exemption szabályok


9. AAA: Hitelesítés, jogosultság és naplózás

A Cisco ASA támogatja az AAA modellt:

  • Authentication – Felhasználók azonosítása (pl. SSH-hoz, VPN-hez)
  • Authorization – Jogosultságok szabályozása
  • Accounting – Naplózás, naplóküldés RADIUS vagy TACACS+ szerverek felé

Példa egy AAA beállításra: 

aaa-server RADIUS-SERVER protocol radius
aaa-server RADIUS-SERVER (inside) host 192.168.1.100
 key cisco123
aaa authentication ssh console RADIUS-SERVER

10. ASDM – grafikus konfiguráció

Az ASDM egy Java-alapú GUI eszköz, amely segíti a konfigurációt, naplózást és hibakeresést:

  • Könnyű ACL-kezelés
  • VPN varázslók
  • NAT szabályok vizuális létrehozása
  • Real-time forgalmi grafikonok

Az ASDM a legtöbb ASA-val kompatibilis, de Java-függősége miatt néha kényelmetlen lehet.


11. ASA frissítése és mentése

Az ASA szoftverfrissítése történhet:

  • TFTP, SCP, FTP, vagy USB segítségével
  • CLI parancs: copy tftp: flash:
  • Boot beállítása: boot system disk0:/asa9.x.x.bin

Mentési parancsok: 

copy running-config startup-config
copy startup-config tftp:

12. Naplózás és hibakeresés

  • show log – naplóüzenetek megtekintése
  • debug parancsok – részletes hibakeresés (pl. VPN, NAT, ACL)
  • packet-tracer – forgalom útjának szimulációja a tűzfalon belül
packet-tracer input inside tcp 192.168.1.10 12345 8.8.8.8 80

Ez megmutatja, hogy egy adott csomag átjutna-e az ASA-n.


13. ASA és Firepower integráció

Újabb ASA modellek (pl. 5506-X, 5516-X) lehetőséget kínálnak a Cisco Firepower Services integrálására:

  • IPS/IDS motor
  • Layer 7 alkalmazásszintű szűrés
  • URL és malware szűrés
  • Advanced Malware Protection (AMP)

Ez a funkció Cisco FMC (Firepower Management Center) segítségével kezelhető.


14. ASA vs NGFW (Next-Generation Firewall)

A klasszikus ASA már önmagában nem számít NGFW-nek, de Firepower integrációval kiterjeszthető. A Cisco új NGFW vonala a Cisco Secure Firewall (korábban Firepower) termékcsaládra épül.


15. Összefoglalás

A Cisco ASA egy erőteljes és sokoldalú biztonsági eszköz, amely ideális:

  • Peremvédelmi tűzfalnak (Internet és LAN között)
  • VPN koncentrátornak
  • DMZ kialakításához
  • Több telephely közötti biztonságos kapcsolat létrehozásához

Erőssége a stabilitás, rugalmasság és Cisco ökoszisztémával való integráció. A CLI mély ismerete szükséges a hatékony használathoz, de az ASDM lehetővé teszi a kevésbé tapasztalt felhasználók számára is a konfigurációt.

Aki hálózatbiztonsággal foglalkozik, annak a Cisco ASA ismerete alapvető – akár CCNA Security, akár CCNP Security tanulmányokat folytat.

További információk

Enciclo
Wikious
Sapientia
Scientia
Boobota
Anandapedia
Sagapedia
Wikithot