Современные межсетевые экраны Cisco ASA и ASASM.

Руслан Иванов, системный инженер-консультант ruivanov@cisco.com

Цели доклада:

§  Обзор современного семейства межсетевых экранов Cisco ASA;

§  Новые функциональные возможности; §  Рекомендации по использованию МСЭ; §  В этой сессии не рассматривается IOS Firewall.

Содержание

•  Семейство межсетевых экранов Cisco ASA и ASASM; •  Списки контроля доступа на Cisco ASA; •  Функции высокой доступности на Cisco ASA и ASASM; •  Трансляция сетевых адресов на Cisco ASA; •  Продвинутые функции защиты от современных угроз; •  Новая функциональность; •  Вопросы и ответы.

Семейство межсетевых экранов Cisco ASA и ASASM.

Межсетевые экраны Cisco – что это такое?

•  Adaptive Security Appliance (ASA) – программно-аппаратный комплекс, с ОС собственной разработки, с возможностью расширения за счёт сервисных модулей на некоторых моделях. Медные и оптические Ethernet порты. –  не использует IOS, хотя и выглядит похоже J

•  FireWall Services Module (FWSM) – сервисный модуль для Catalyst 6500 предоставляющий сервисы МСЭ.

•  ASA SM – новый сервисный модуль для Catalyst 6500, использует такое же ПО, что и ASA (в отличии от FWSM).

•  Устройства на базе IOS с функционалом MCЭ (IOS FW) – не рассматриваются в данной презентации.

Межсетевые экраны Cisco

ASA 5550 (1.2 Gbps,

36K conn/s)

ASA 5580-20 (5-10 Gbps, 90K conn/s)

ASA 5580-40 (10-20 Gbps, 150K conn/s)

ASA 5540 (650 Mbps, 25K conn/s) ASA 5520

(450 Mbps, 12K conn/s) ASA 5510

(300 Mbps, 9K conn/s)

ASA 5585SSP20 (5-10 Gbps,

125K conn/s)

ASA 5585 SSP40 (10-20 Gbps, 240K conn/s)

ASA 5585 SSP60 (15-30 Gbps, 350K conn/s)

ASA 5585 SSP10 (2-4 Gbps,

50K conn/s)

Удалённая работа

Филиал Интернет Центры обработки данных

Корпоративная сеть

FWSM (5.5 Gbps,

100K conn/s)

МСЭ и VPN

Сервисные модули

Мультисервисные

ASA 5505 (150 Mbps, 4K conn/s)

ASA SM (16-20 Gbps, 300K conn/s)

Списки контроля доступа на Cisco ASA

Новые функции списков контроля доступа (с 8.3+)

•  Старые версии ПО Cisco PIX 6.x имели проблемы с большим количеством записей в списках контроля доступа (100k+);

•  В версиях ПО 7.0.x и 8.0.x код был полностью переписан, чтобы увеличить производительность;

•  Начиная с версии 8.3 метки времени в списках контроля доступабыли модифицированы, теперь они включают время последнего срабатывания правила, вместо более общего понятия количество срабатываний;

•  Четвертый хэш в выводе списка контроля доступа – это время последнего срабатывания правила в UNIX Epoch format:

asa(config)# sh access-list test brief! access-list test; 3 elements; name hash: 0xcb4257a3! ca10ca21 44ae5901 00000001 4a68aa7e!

Группы объектов облегчают и упрощают конфигурирование

•  Группы объектов позволяют собирать вместе разные объекты и служат для упрощения изменения их содержимого;

•  Могут использовать в качестве объектов протоколы, сети, хосты или сервисы;

•  Могут быть вложены одна в другую.

(config)# object-group network ADMINS!(config-protocol)# description LAN Addresses !(config-protocol)# network-object host 10.1.1.4!(config-protocol)# network-object host 10.1.1.78!(config-protocol)# network-object host 10.1.1.34 !!(config)# object-group service RADIUS-GROUP udp !(config-service)# description RADIUS Group !(config-service)# port-object eq radius !(config-service)# port-object eq radius-acct !

Концепция глобальных политик доступа

•  До версии ПО 8.3 политики доступа применялись в зависимости от направления трафика в привязке к интерфейсам (например «к нам» и «от нас»);

•  В ПО версии 8.3+ появилось понятие глобальной политики доступа (Global Access Policies) которая применияется вне зависимости от интерфейса;

•  Глобальные политики доступа обрабатывают только трафик, проходящий через МСЭ и не могут быть использованы для защиты control-plane;

•  Списки контроля доступа, привязанные к интерфейсу имеют более высокий приоритет;

•  Списки контроля доступа теперь оперируют реальными (до сетевой трансляции) адресами.

Функции высокой доступности на Cisco ASA и ASASM

Поддержка резервированных интерфейсов §  До 8 пар резервированных интерфейсов может быть сконфигурировано;

§  Поддерживается во всех режимах работы МСЭ, в том числе отказоустойчивом;

§  Если происходит отказ активного интерфейса, трафик начинает передаваться по резервному, при этом нет необходимости перестраивать таблицы маршрутизации, соединений и состояний;

§  Не поддерживается на ASA 5505, FWSM or ASASM

interface Redundant1 member-interface GigabitEthernet0/2 member-interface GigabitEthernet0/1 no nameif no security-level no ip address ! interface Redundant1.4 vlan 4 nameif inside security-level 100 ip address 172.16.10.1 255.255.255.0 ! interface Redundant1.10 vlan 10 nameif outside security-level 0 ip address 172.16.50.10

255.255.255.0

Особенности применения резервированных интерфейсов §  Интерфейсы работают только в режиме основной/резервный. В настоящий момент не поддерживается балансировка или аггрегация интерфейсов;

§  Работает, начиная с ASA 5510 и выше, на ASA 5505, подобная функциональность доступна благодаря встроенному коммутатору;

§  Не поддерживается на FWSM или ASASM (нет физических интерфейсов);

§  Подинтерфейсы (dot1q) настраиваются поверх логических интерфейсов redundant, а не входящих в него физических интерфейсов.

Наблюдение за доступностью маршрута – route tracking §  Метод позволяет убедится в доступности статичного маршрута с возможностью задания резервного пути, если основной маршрут более недоступен;

§  Обычно используется для статичных маршрутов к шлюзам по умолчанию, зачастую при работе с двумя операторами связи;

§  Использует механизм ICMP echo replies для проверки доступности заданного хоста, как правило, следующего шлюза;

§  Работает только в режиме single routed mode.

asa(config)# sla monitor 123!asa(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside!

asa(config-sla-monitor-echo)# frequency 3!asa(config)# sla monitor 123 life forever start-time now!asa(config)# track 1 rtr 123 reachability!asa(config)# route outside 0.0.0.0 0.0.0.0 10.1.1.1 track 1!

Как работает отказоустойчивый режим?

§  По специальному выделенному Failover соединению, каждые 15 секунд (настраивается) отправляются hello-пакеты от активного устройства резервному;

§  Если нет ответа на три hello-пакета подряд, активное устройство отправляет hello-пакеты через все интерфейсы, чтобы проверить доступность резервного;

§  В зависимости от ответов, происходит или не происходит переключение на резервное устройство;

§  Также можно постоянно контролировать состояние интерфейсов и в случае срабатывания триггера переключаться на резервное устройство;

§  Процесс подробно описан в документации: http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/ha_overview.html

Что такое statefull failover?

Реплицируется с основного на резервный

Не реплечируется с основного на резервный

NAT Translation Table User authentication table

TCP connection states Routing table information **

UDP connection states State information for SSMs (IPS etc.)

ARP Table DHCP Server Leases

L2 Bridge Table (Transparent Mode) Stateful failover for phone proxy

HTTP State *

ISAKMP and IPSEC SA Table

* HTTP по умолчанию не реплицируется из соображений производительности; включается командой

http replication state ** начиная с версии ПО 8.4.1 реплицирует по умолчанию.

Отказоустойчивая пара основной/резервный в Transparent Mode

§  В топологии не должно быть петель! §  На коммутаторах, к которым подключены МСЭ должен быть скоммутирован STP;

§  Рекомендуется использовать RPVST (802.1w) и Port Fast на коммутаторах;

§  Не включать BPDU Guard или Loop Guard на портах, в которые включен МСЭ;

§  Если используется отказоустойчивая пара активный/активный в transparent mode т.к. BPDU коммутируются через МСЭ по умолчанию;

§  Очень хороший подкаст по Transparent Firewall: http://www.cisco.com/en/US/solutions/ns170/tac/security_tac_podcasts.html

Ограничения в режиме работы отказоустойчивой пары активный/активный §  Необходимо использовать канал с низкой задержкой для передачи состояний сессий между обоими активными устройствами, чтобы избежать гонки таймеров между собой – если обратное соединение будет получено вторым устройство раньше информации о наличии прямого соединения на первом;

§  При необходимости использования разделяемых интерфейсов необходимо использовать трансляцию сетевых адресов;

§  Информация о состоянии HTTP-соединений по умолчанию не передаётся и её нужно включить явно;

§  Между двумя ASA в одной ASR-группе должна быть L2-связность;

§  ВСЭ в виртуализированном режиме не поддерживают VPN, динамическую маршрутизацию и маршрутизацию multicast.

Трансляция сетевых адресов на Cisco ASA

Что такое NAT Control и когда он нужен?

§  NAT control это концепция, при которой пакет с интерфейса с более высоким security-level (например, “inside”) должен пройти сетевую трансляцию адресов, чтобы попасть в интерфейс с более низким security-level (например, “outside”);

§  Если пакет не попадает ни под одно правило сетевой трансляции, он будет сброшен;

§  NAT control выключен по умолчанию**

** В некоторых случаях, после обновления ПО, он может быть включен

Три варианта обхода трансляции сетевых адесов

§  Identity NAT (nat 0) – ограничивает NAT на всех интерфейсах, очень низкая точность задания политики, не позволяет разрешить соединение из outside в inside даже если разрешено ACL;

§  Static Identity NAT – узел может быть оттранслирован на одном интерфейсе и не транслироваться на других, работает с Policy NAT;

§  NAT exemption (nat 0 с использованием списка контроля доступа) – наиболее точный метод, позволяет регулировать сетевую трансляцию адресов двунаправленно, как снаружи вовнутрь, так и наоборот;

§  NAT exemption наиболее часто применяемый метод обхода сетевой трансляции адресов на сегодняшний день.

Сетевая трансляция адресов на основе списка контроля доступа – Policy NAT §  В некоторых случаях может потребоваться трансляция сетевых адресов как на основе адреса источника, так и адреса получателя;

§  Динамическая трансляция сетевых адресов NAT оперирует только адресом источника,

§  Сетевая трансляция адресов на основе списка контроля доступа (Policy NAT) может использовать в политике трансляции как адрес источника, так и адрес получателя, включая порты;

§  Очень удобно в случаях, когда приложения (такие, как FTP, VoIP) имеют дополнительные каналы данных, помимо каналов управления, требующих специфической трансляции адресов;

§  Адреса источника, назначения, порты указываются с помощью списка контроля доступа ACL;

§  Policy NAT не поддерживает time-based ACL.

Настройка NAT (до версии ПО 8.3)

§  Настройка сетевой трансляции адресов состоит из двух частей: nat и global

asa(config)# nat (inside) 1 10.1.2.0 255.255.255.0 asa(config)# global (outside) 1 172.16.1.3-172.16.1.10

asa(config)# nat (inside) 1 10.1.2.0 255.255.255.0 asa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 asa(config)# nat (dmz) 1 10.1.1.0 255.255.255.0 asa(config)# global (outside) 1 209.165.201.3-209.165.201.10

§  Множество nat записей могут соответствовать одной global:

§  Множество записей с разными идентификаторами позволяют гибко задавать политики трансляции адресов.

Рекомендации по настройке трансляции сетевых адресов до версии ПО 8.3

§  Не забывайте при трансляции адресов про DNS; §  Порядок применения политик трансляции адресов — первые три работают по принципу первого срабатывания: §  NAT Exemption; §  Static NAT и Static PAT (включая Policy NAT); §  Policy Dynamic NAT; §  Обычный Dynamic NAT – порядок следования

записей не имеет значения, выбирается наиболее близкое значение.

Новая концепция настройки трансляции сетевых адресов в ПО 8.3+ на Cisco ASA

Новая концепция настройки трансляции сетевых адресов в ПО ASA 8.3 §  Начиная с ПО версии 8.3, концепция настройки трансляции сетевых адресов полностью переделана с целью облегчения настройки и поиска неисправностей;

§  Использует модель “оригинальный пакет” вместо “оттранслированный пакет”;

§  Новые функции: 1.  Объединённая таблица политик трансляции сетевых адресов в

ASDM; 2.  Объектно-ориентированная трансляция сетевых адресов:

объекты могут быть созданы для узлов, сетей, диапазонов адресов и правила трансляции могут быть заданы внутри объекта;

3.  Два варианта настройки: объектно-ориентированная трансляция сетевых адресов (автоматическая) и ручная настройка;

4.  Трансляция адресов не привязана больше к интерфейсам.

Очень детальное описание различий в формате видеоролика: https://supportforums.cisco.com/videos/1014

Сетевые объекты в трансляции сетевых адресов в ПО 8.3+

§  Понятия global и static больше не используются; §  В списках контроля доступа теперь нужно указывать оригинальный (не транслированный) IP-адрес;

§  Использует новое понятие network object; §  Объекты могут быть созданы для узлов, сетей, диапазонов адресов;

§  Два новых типа трансляции сетевых адресов: §  Auto-NAT – покрывает большинство случаев

использования трансляции на основании адреса источника;

§  Twice NAT – когда трансляцию необходимо делать в зависимости от адреса назначения.

Настройка Auto NAT

§  Auto NAT требует создания объекта и настройки трансляции внутри него:

asa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 asa(config)# global (outside) 1 interface

asa(config)# object network inside-net asa(config)# subnet 192.168.1.0 255.255.255.0 asa(config)# nat (inside,outside) dynamic interface

Настраивали до версии 8.3

§  Пример задания статичной сетевой трансляции сервера с адресом 192.168.1.201 в адрес 172.16.1.201:

asa(config)# object network big-server asa(config)# host 192.168.1.201 255.255.255.0 asa(config)# nat (inside,outside) static 172.16.1.201

О чём нужно помнить, настраивая Auto NAT?

§  Так как правила привязаны к объектам и не являются парными, вы не можете указать, что для источника А и назначения А нужно использовать иную трансляцию адресов, чем для источника А и назначения B.

§  Списки контроля доступа оперируют внутренними (локальными) IP-адресами, а не глобальными;

§  Auto NAT применяется или адресу источника, или к адресу назначения — НО не к обоим одновременно;

§  Если нужно одновременно менять и то, и то, нужно использовать другой тип сетевой трансялции адресов: Twice NAT (также известен как ручной тип настройки).

Что такое Twice NAT

§  В отличии от Auto NAT, Twice NAT настраивается вне сетевого объекта;

§  Настройка трансляции как для адресов источника, так и адреса получателя делается в одном двунаправленном правиле;

§  Twice NAT может использовать сетевые объекты и группы объектов, но политика трансляции применяется вовне сетевого объекта.

Пример статичной сетевой трансляции с трансляцией портов:

asa(config)# object service FTP_PASV_PORT_RANGE asa(config)# service tcp port range 65000 65004 asa(config)# object network FTP_SERVER asa(config)# service host 192.168.1.201 nat (inside,outside) source static HOST_FTP_SERVER interface service FTP_PASV_PORT_RANGE FTP_PASV_PORT_RANGE

Подробнее в руководстве по эксплуатации для версии ПО 8.4: http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/nat_overview.html

Порядок применения операций сетевой трансляции адресов в ПО ASA 8.3+ §  Правила трансляции применяются по принципу первого совпадения сверху вниз;

§  Правила трансляции применяются в следующей последовательности: §  Правила Twice NAT; §  Объектно-ориентированные правила сетевой трансляции; §  Правила Twice NAT, транслирующие одновременно адреса

источника и назначения;

§  Используйте packet tracer в Cisco ASDM для проверки работы сетевой трансляции;

§  Полезные show команды: show run nat

show nat

show run object

Функции обнаружения угроз Threat Detection

Функции обнаружения угроз в ПО Cisco ASA

§  Статистический анализ пакетов, отброшенных МСЭ; §  МСЭ контролирует события в течении определённых интервалов времени;

§  Если обнаружена угроза, МСЭ создаёт запись syslog с кодом 730100;

§  Два варианта: базовый и продвинутый §  базовый метод включен по умолчанию и не сказывается на производительности устройства;

§  продвинутый использует более продвинутый анализ, включая порты, протоколы и адреса узлов. Может нагружать CPU.

§  В ПО версии 8.3 проведена оптимизация использования памяти; §  Команда show threat-detection memory позволяет контролировать использование памяти этими алгоритмами.

Функции активного противодействия ботнетам Botnet Traffic Filter (BTF)

Botnet Traffic Filter (BTF) – что это такое?

§  Лицензируемый функционал, выключен по умолчанию §  Портированная функциональность Ironport S-серии Layer 4

Traffic Monitor; §  Проверяет адреса на причастность к известным «чёрным спискам» из IronPort SenderBase, а также относительно локальной базы данных хороших/плохих адресов;

§  В ПО ASA 8.3+ умеет блокировать паразитную активность; в 8.2 может только информировать о ней;

§  МСЭ скачивает чёрные списки с сайта senderbase.org каждые 60 минут;

§  Доступен поиск по чёрным спискам; §  Рекомендуется включить DNS Snooping вместе с BTF.

Что такое DNS Snooping?

§  DNS Snooping позволяет МСЭ вести базу данных привязок IP <-> имя домена; §  Данный функционал позволяет BTF в проверках оперировать именем домена;

§  DNS Snooping подсматривает в UDP DNS ответы (только для записей типа A и CNAME)

§  База данных постоянно чистится и обновляется; §  Рекомендуется включать только на тех интерфейсах, где присутствует UDP DNS трафик, обычно это Интернет-интерфейс.

39 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID

Версия ПО 8.4.1

В чём разница между разными релизами ПО Cisco ASA?

§  8.4.2 последний релиз, работает на всех платформах;

§ При использовании ПО версий 8.3 и 8.4 может потребоваться добавить RAM*

§  8.3 не поддерживается на 5585; 8.1 работает только на 5580;

§ Имейте ввиду, что на 5580 и 5585 используюся SMP-версии ПО.

* Для устройств выпущенных до февраля 2010: http://www.cisco.com/en/US/docs/security/asa/asa84/release/notes/asarn84.html#wp321918

Новый функционал в ASA 8.4

§  8.4 использует 64-bit код; § Увеличено количество поддерживаемых соединений и VLAN;

§ Функции Port Channel и Bridge-Group; § Stateful failover для EIGRP и OSPF; § Дополнительные SNMP trap, улучшения Log Viewer в ASDM, TCP Ping, поиск информации в WhoIs и многое, многое другое ;)

§ Подробнее в примечании к выпущенному ПО: http://www.cisco.com/en/US/partner/products/ps6120/prod_release_notes_list.html

В версии 8.4.1 увеличено количество поддерживаемых сессий и VLAN

Модель Сессий (8.3)

Сессий (8.4)

Контекстов (8.3)

Контекстов (8.4)

VLAN (8.3)

VLAN (8.4)

5550 650K 650K 50 100 250 400

5580-20 1M 2M 50 250 250 1024

5580-40 2M 4M 50 250 250 1024

5585-10 750K 1M 50 100 250 1024

5585-20 1M 2M 50 250 250 1024

5585-40 2M 4M 50 250 250 1024

5585-60 2M 10M 50 250 250 1024

Что такое EtherChannel?

•  Etherchannel позвоялет объединить до 8 физических Ethernet портов в один логический (стандарт IEEE 802.3ad);

•  Свойства портов должны быть идентичны: скорость, дуплекс и т.д.;

•  Преимущества EtherChannel это балансировка нагрузки и высокая доступность;

•  Virtual Port Channels (vPC) наиболее новая реализация и позволяет множествам устройств разделять множество интерфейсов;

•  vPC увеличивает производительность и надёжность, т.к. при расчётах spanning-tree считается за одно логическое соединение;

•  vPC White paper: http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9402/white_paper_c11-516396.html

EtherChannel на Cisco ASA

§  Поддерживает как стандарт 802.3ad, так и LACP;

§  До 8 активных и до 8 резервных логических соединений;

§  Поддерживается во всех режимах;

§  Хэш-алгоритм настраивается (default is src/dest IP);

§  Использует один mac-адрес для всех физ. портов в группе;

§  Не поддерживается на 5505.

§  Алгоритм хэширования на ASA и на Nexus vPC должны совпадать;

§  Функции резервирования интерфейсов и EtherChannel эксклюзивны – можно использовать либо то, либо другое;

§  Нет поддержки динамической маршрутизации через L3 vPC; §  Не поддерживается на модуле 4GE SSM (5540/50); §  Позволяет контролировать состояние EtherChannel в целях отказоустойчивости;

§  В режиме основной/резервный создаёт разные EtherChannel при подключении к Catalyst 6K VSS*

Подробнее в руководстве по эксплуатации* : http://www.cisco.com/en/US/partner/products/ps6120/products_installation_and_configuration_guides_list.html

Рекомендации по применению

10.1.1.0 /24 – vlan 20

Management IP 10.1.1.100

10.1.1.0 /24 - vlan 10

До 8.4 8.4.1

vlan 150

vlan 151

vlan 101

Vlan 100

vlan 250

vlan 201

vlan 200

vlan 251

Bridge Group1 Bridge Group 2

vlan 400

vlan 301

vlan 300

Bridge Group 8

BVI1 BVI2 BVI8

§  До 4 VLAN на bridge-group; §  8 bridge-group на МСЭ или контекст виртуального МСЭ

Vlan 401

Bridge Group in ASA 8.4.1

Рекомендации по использованию Bridge Group

§  Внешнее L3-устройство требуется для маршрутизации между bridge group;

§  Интерфейсы не могут быть расшарены между bridge group; §  BVI должен обязательно иметь IP адрес; §  Одинаковые MAC-адреса могут существовать в двух и более разных bridge groups (LB, HSRP, SVI применения)*

* Дефект CSCti13482 на ASA (ASA SM не подвержен) вызывает сброс трафика в таком сценарии

Пример настройки: ASA 8.3 vs. ASA 8.4

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID

firewall transparent interface GigabitEthernet 0/0

nameif inside security 100 bridge-group 1

interface GigabitEthernet 0/1 nameif outside security 0 bridge-group 1

interface GigabitEthernet 0/2

nameif dmz security 50 bridge-group 1

interface GigabitEthernet 0/3

nameif inside security 51 bridge-group 1

interface BVI 1 Ip address 10.10.10.100 255.255.255.0

Transparent Firewall ASA 8.3 and Earlier

Transparent Firewall ASA 8.4

firewall transparent interface GigabitEthernet 0/0

nameif inside security-level 100

interface GigabitEthernet 0/1 nameif outside security-level 0 ip address 10.10.10.100 255.255.255.0

Версия ПО 8.4.2

Новые функци ASA 8.4.2

§  МСЭ на основоне идентификационной информации пользователя

§  Возможность использования FQDN-имён в политиках доступа;

§  PAT Pool Round Robin; §  IPv6 Inspection; §  Поддержка двух SSP в ASA 5585-40 и ASA 5585-60. Более подробно в примечании к выпуску: http://www.cisco.com/en/US/partner/docs/security/asa/asa84/release/notes/asarn84.html

МСЭ на основоне идентификационной информации пользователя

В ПО версии 8.4.2 появились две новых функции:

§ возможность оперировать в списках контроля доступа информаций о пользователе или его группой из Microsoft Active Directory;

§ возможность использования FQDN-имен в списках контроля доступа.

Компонент ПО Оборудование

ASA 5500 ASA 8.4(2) ASDM 6.4(x)

ASA 5505 ASA5510 ASA 5520 ASA 5540 ASA 5550 ASA 5580 ASA5585-X

AD Agent Windows 2003, Windows 2008, Windows 2008 R2

Intel Quad-core CPU 4GB of RAM 2 x 250GB HDD 1GE Network Interface

AD Domain Controller Windows 2003 Windows 2008 Server

Intel Quad-core CPU 4GB of RAM 2 x 250GB HDD 1GE Network Interface

Аппаратные и программные требования

Directory Servers 30

Пользователей на ASA 64,000

IP–адресов на пользователя 8

Групп в политике 256

Несколько групп в политике Да

Несколько доменов? Да

FQDN-политики? Да

МСЭ на основоне идентификационной информации пользователя - масштабируемость

Вопросы?

Спасибо! Просим Вас заполнить анкеты. Ваше мнение очень важно для нас.