Cisco ASA CX Firewall Nowej Generacji
Cisco ASA CX Context-Aware Security
W naszym poprzednim artykule Cisco ASA z modułem CX: nowe możliwości można znaleźć podstawowe zalety modułu CX. To właśnie dzięki niemu ASA stała się Firewallem Next Generation. W tym artykule skupimy się bardziej szczegółowo na możliwościach jakie daje nam ASA CX.
CX to skrót od context, moduł pozwalający na kontrolowanie i identyfikowanie ruchu przepływającego przez firewall na podstawie aplikacji. CX już dziś jest w stanie rozpoznać ponad 1000 aplikacji takich jak Facebook, BitTorrent czy iTunes. Wszystkie można znaleźć pod tym adresem: Cisco ASA – lista aplikacji. ASA CX jest zarządzana niezależnie od samej ASY, wszelkie ustawienia są wprowadzane dzięki Cisco Prime Security Manager (PRSM). Nie ma on nic wspólnego z ASDM’em. Moduł ASA CX jest możliwy do uruchomienia wraz z ASAmi serii 5500-X i 5585-X (5585-X SSP 10 i 5585-X SSP20). Dla pierwszej jest w wersji softwareowej dla drugiej w wersji hardwareowej. Współpraca CX z ASĄ wygląda tak, że ASA nadal sprawuje władzę nad wszystkim (NAT, ACL, VPN) a poprzez ustalenie reguł w MPF (Modular Policy Framework) zapada decyzja, która część ruchu ma zostać poddana dodatkowej kontroli przez CX. ASA kontroluje cały ruch wejściowy i wyjściowy. ASA CX nie działa jeszcze wspólnie z IPSem, Cisco zapowiedziało, że pod koniec roku 2013 wprowadzone zostaną zmiany. Za pomocą odpowiedniej licencji będzie można aktywować IPS i CX w jednym momencie.
Poniżej można znaleźć kilka artykułów bardziej szczegółowo omawiających możliwości ASA CX:
Instalując ASA CX możemy wykupić i zainstalować licencję w zależności od naszych potrzeb. Licencjonowanie na CX jest subskrypcyjne. Do przetestowania danej licencji lub obu mamy 60 dni. Po wygaśnięciu tego okresu ASA CX przestaje wymuszać polityki filtrując ruch.
Licencje CISCO ASA CX
Można wykupić dwa rodzaje licencji dostępnych na CX:
- Application Control, która w sobie zawiera: Web AVC (Application Visibility and Control) i NBAR (Network Based Application Recognition)
- Web Security Essentials zawierająca: URL filtering i Web reputation
Dodawanie licencji:
- Przez przeglądarkę łączymy sie z PRSM: https://prsm.example.com (zalecane jest korzystanie z Firefoxa), logujemy się
- Przechodzimy do zakładki Administration Licenses
- Instalacja licencji
- Zaznaczmy Upload license z rozwijalnego menu (I want to)
- Po kliknięciu w obszar Drag files or click this area to upload wybieramy folder w którym znajdują się licencje i ładujemy wybrana licencję
- Po udanej opercaji PRSM pownien nam pokazać naszą licencję oraz kiedy wygasa.
- Może być potrzebne odświeżenie strony aby zobaczyć zmiany.