我们最近将 Watchguard X5500e Peak 防火墙设备升级为带有 CSC 模块的 Cisco 5500 ASA。ASA 运行的是 8.2 软件,而 CSC 运行的是 6.3.1172 软件。经过几周的折腾和咬牙切齿,我们终于让一切稳定下来,现在我们只需尝试设置优先级较低的几个项目。
使用 watchguard,我们能够使用浏览器访问内部网页并针对防火墙进行身份验证,从而绕过过滤器。当这里的教室需要访问流媒体或主管需要我们下载视频时,这很有用。我正在尝试设置类似的东西,但我对思科设备(如 ASA)不太熟悉,所以我不确定它是被视为 VPN 连接还是某种 ACL。理想情况下,我们希望设置多个以限制暴露,而不是设置一个在使用时完全开放的设备。
我进行了搜索,但没有找到与这里提出的其他问题相关的任何内容,而且我在谷歌上搜索也没有成功。
答案1
您正在寻找的是来自思科支持站点的 AAA(身份验证、授权和记帐):
“AAA 使安全设备能够确定用户是谁(身份验证)、用户可以做什么(授权)以及用户做了什么(记账)。与单独使用 ACL 相比,AAA 为用户访问提供了额外的保护和控制级别。例如,您可以创建一个 ACL,允许所有外部用户访问 DMZ 网络上的服务器上的 Telnet。如果您只希望某些用户访问服务器,并且您可能并不总是知道这些用户的 IP 地址,则可以启用 AAA,以仅允许经过身份验证和/或授权的用户通过安全设备。(Telnet 服务器也强制执行身份验证;安全设备阻止未经授权的用户尝试访问服务器。)您可以单独使用身份验证,也可以将身份验证与授权和记账结合使用。授权始终要求首先对用户进行身份验证。您可以单独使用记账,也可以将记账与身份验证和授权结合使用。本节包括以下主题:
•关于身份验证
•关于授权
•关于记账
http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/aaa.html
但据我所知,您需要设置“Cisco 安全访问控制服务器”。我认为,如果您使用 Web 过滤解决方案(websense 等),效果会更好。您还可以设置 squid 服务器,集成 ldap 并根据经过身份验证的用户设置 ACL。