Cisco ASA Identity Firewall

nov
2012
24

skrevet af i Netværk

Ingen kommentarer

Hvad er Cisco ASA Identity Firewall?

Traditionelt Cisco ASA policy og rules håndhæves primært ved hjælp af en Access Control List (ACL), som tillader eller afviser adgang til visse netværksressourcer baseret på source / destination IP-adresser og portnumre. For eksempel, lad os sige vi ønsker source IP 10.1.1.1 at kunne få adgang til serveren med IP 10.2.2.2 og port 80. Vi ville skabe en post på en ACL hvori det hedder udtrykkeligt, at den specifikke source IP er tilladt adgang til den specifikke destination IP på port 80.

Fra Cisco ASA udgave 8.4 (2), er begrebet Identity Firewall indført. Dybest set, den nye funktion gør det muligt for firewall til at tillade eller nægte adgang til netværksressourcer baseret på username identity i stedet for en simpel source IP-adresse. For eksempel, nu kan vi oprette roules, der siger user “Claus” kan få adgang til serveren 10.2.2.2 på port 80. Som I kan se, den nye funktion introduceret begrebet “user-based authentication” (“user-baseret godkendelse”) i stedet for ren “IP based authentication” (“IP-baseret godkendelse”).

Den måde, denne funktion virker, er at integrere Cisco ASA med Microsoft Active Directory. En særlig Active Directory Agent software skal installeres på en server (normalt installeret fra selve AD). Denne agent giver brugernavn til IP-adresse mappings til ASA. Så når user “Claus” logger ind på AD, vil agenten hente IP-adressen på den computer, Claus bruger (dvs. 10.1.1.1 at være i overensstemmelse med vores eksempel ovenfor). Så vil ASA vide, at brugeren Claus har IP-adresse 10.1.1.1 og vil gælde net regler i overensstemmelse hermed.

Andre netværksfirewalls såsom Fortinet, Checkpoint, Palo Alto osv. kunnet tilbyde “user-based authentication” funktion i lang tid nu. Cisco er ved at indhente tiden på dette fra sidste år, for glade af os alle sammen.

VN:F [1.9.22_1171]
Rating: 5.0/5 (1 vote cast)
Cisco ASA Identity Firewall, 5.0 out of 5 based on 1 rating

Skriv kommentar