일반 운영 asdm 컨피그레이션 가이드 · java 7 업데이트 51 이상을 사용할...

Cisco ASA Series 일반 운영 ASDM 컨피그레이션 가이드소프트웨어 버전 7.4ASA 5506-X, ASA 5506H-X, ASA 5506W-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X, ASA 서비스 모듈 및 Adaptive Security Virtual Appliance

처음 게시한 날짜: 2015년 3월 23일마지막 업데이트 날짜: 2015년 4월 7일

Cisco Systems, Inc.www.cisco.com

Cisco has more than 200 offices worldwide. 주소, 전화 번호 및 팩스 번호는 Cisco 웹사이트 www.cisco.com/go/offices.

텍스트 파트 번호: 해당 사항 없음, 온라인 전용

http://www.cisco.comhttp://www.cisco.com/go/offices

이 설명서의 제품 사양 및 정보는 예고 없이 변경될 수 있습니다. 이 설명서의 모든 설명, 정보 및 권장 사항은 정확한 것으로 간주되지만 이에 대해 명시적이든 묵시적이든 어떠한 보증도 없이 제공됩니다. 모든 제품의 애플리케이션 사용에 대한 책임은 전적으로 사용자에게 있습니다.

THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR CISCO REPRESENTATIVE FOR A COPY.

The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB’s public domain version of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.

NOTWITHSTANDING ANY OTHER WARRANTY HEREIN, ALL DOCUMENT FILES AND SOFTWARE OF THESE SUPPLIERS ARE PROVIDED “AS IS” WITH ALL FAULTS. CISCO AND THE ABOVE-NAMED SUPPLIERS DISCLAIM ALL WARRANTIES, EXPRESSED OR IMPLIED, INCLUDING, WITHOUT LIMITATION, THOSE OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OR ARISING FROM A COURSE OF DEALING, USAGE, OR TRADE PRACTICE.

IN NO EVENT SHALL CISCO OR ITS SUPPLIERS BE LIABLE FOR ANY INDIRECT, SPECIAL, CONSEQUENTIAL, OR INCIDENTAL DAMAGES, INCLUDING, WITHOUT LIMITATION, LOST PROFITS OR LOSS OR DAMAGE TO DATA ARISING OUT OF THE USE OR INABILITY TO USE THIS MANUAL, EVEN IF CISCO OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R)

Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental.

Cisco ASA Series 일반 운영 ASDM 컨피그레이션 가이드Copyright © 2015 Cisco Systems, Inc. All rights reserved.

http://www.cisco.com/go/trademarks

설명서 정보

• 문서 목적, iii페이지

• 관련 설명서, iii페이지

• 표기 규칙, iv페이지

• 설명서 받기 및 서비스 요청 제출, iv페이지

문서 목적이 가이드는 사용자가 ASDM(Adaptive Security Device Manager)을 사용하여 Cisco ASA Series의 일반적인 운영을 구성하는 것을 지원하기 위해 작성되었습니다. 여기서는 모든 기능을 다루기보다는 가장 대표적인 컨피그레이션 시나리오에 대해서만 설명합니다.

이 설명서에서 "ASA"라는 용어는 별도로 지정하지 않는 한, 일반적으로 지원되는 모델에 적용됩니다.

참고 ASDM은 여러 ASA 버전을 지원합니다. ASDM 설명서와 온라인 도움말은 ASA에서 지원하는 모든 최신 기능을 다룹니다. 이전 버전의 ASA 소프트웨어를 실행하고 있는 경우 설명서에 포함된 기능이 해당 버전에서 지원되지 않을 수 있습니다. 기능이 추가된 시기를 확인하려면 각 장의 기능 기록 표를 참조하십시오. ASA 버전별 ASDM의 최소 지원 버전은 Cisco ASA Series 호환성을 참조하십시오.

관련 설명서자세한 내용은 http://www.cisco.com/go/asadocs 에서 Navigating the Cisco ASA Series Documentation(Cisco ASA Series 설명서 찾기)을 참조하십시오.

iiiCisco ASA Series 일반 운영 ASDM 컨피그레이션 가이드

http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.htmlhttp://www.cisco.com/go/asadocs

표기 규칙이 설명서는 다음과 같은 표기 규칙을 사용합니다.

참고 독자가 주목해야 하는 내용을 의미합니다.

정보 다음 정보가 문제를 해결하는 데 도움이 된다는 것을 의미합니다.

주의 독자가 유의해야 하는 내용을 말합니다. 이 경우, 장비 손상이나 데이터 손실이 발생할 수 있으므로 주의해야 합니다.

설명서 받기 및 서비스 요청 제출설명서 다운로드, Cisco BST(Bug Search Tool) 사용, 서비스 요청 제출, 추가 정보 수집에 대한 자세한 내용은 What’s New in Cisco Product Documentation(Cisco 제품 설명서의 새로운 소식)(http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html)을 참조하십시오.

Cisco의 새로운 기술 문서 및 개정된 기술 문서를 모두 소개하는 What’s New in Cisco Product Documentation(Cisco 제품 설명서의 새로운 사항)을 RSS 피드로 구독하면 콘텐츠가 데스크톱으로 곧바로 배달되어 리더 애플리케이션으로 읽어볼 수 있습니다. RSS 피드는 무료로 제공되는 서비스입니다.

표기 규칙 표시굵은 글꼴 명령, 키워드, 사용자가 입력하는 텍스트는 굵은 글꼴로 표시합니다.기울임꼴 글꼴 문서 제목, 새로운 용어 또는 강조된 용어 및 사용자가 값을 제공해야 하는

인수는 기울임꼴 글꼴로 표시됩니다.[ ] 대괄호로 묶인 요소는 선택적 요소입니다.{x | y | z } 필수 대체 키워드는 중괄호로 묶어 세로 막대로 구분합니다.[ x | y | z ] 선택적 대체 키워드는 대괄호로 묶어 세로 막대로 구분합니다.문자열 따옴표 없는 문자의 집합입니다. 문자열 주변에 따옴표를 사용하지 마십시

오. 그렇지 않으면 따옴표도 문자열에 포함됩니다.courier 글꼴 시스템에 표시되는 터미널 세션 및 정보는 courier 글꼴로 표시합니다.courier 굵은 글꼴 명령, 키워드, 사용자가 입력하는 텍스트는 굵은 courier 글꼴로 표시합니다.courier 기울임꼴 글꼴 사용자가 값을 지정하는 인수는 courier 기울임꼴 글꼴로 표시합니다.< > 비밀번호와 같이 인쇄할 수 없는 문자는 꺾쇠괄호 안에 표시됩니다.[ ] 시스템 프롬프트에 대한 기본 응답은 대괄호 안에 표시됩니다.!, # 코드 라인 시작 부분에 있는 느낌표(!) 또는 우물 정자(#)는 코멘트 행을 나

타냅니다.

ivCisco ASA Series 일반 운영 ASDM 컨피그레이션 가이드

http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html

파 트 1

ASA 시작하기

Cisco ASA

장1

Cisco ASA 소개

처음 게시한 날짜: 2015년 3월 23일마지막 업데이트 날짜: 2015년 4월 7일Cisco ASA에서는 고급 스테이트풀 방화벽 및 VPN 집선 장치 기능을 하나의 디바이스에서 제공하며, 일부 모델의 경우 IPS 같은 통합된 서비스 모듈을 제공합니다. ASA에는 다중 보안 컨텍스트(가상 방화벽과 유사), 클러스터링(다중 방화벽을 단일 방화벽으로 통합), 투명(레이어 2) 방화벽 또는 라우팅(레이어 3) 방화벽 가동, 고급 감시 엔진, IPsec VPN, SSL VPN 및 클라이언트리스 SSL VPN 지원 등의 다양한 기능이 포함되어 있습니다.

참고 ASDM은 여러 ASA 버전을 지원합니다. ASDM 설명서와 온라인 도움말은 ASA에서 지원하는 모든 최신 기능을 다룹니다. 이전 버전의 ASA 소프트웨어를 실행하고 있는 경우 설명서에 포함된 기능이 해당 버전에서 지원되지 않을 수 있습니다. 기능이 추가된 시기를 확인하려면 각 장의 기능 기록 표를 참조하십시오. 각 ASA 버전에서 지원되는 최소 ASDM 버전은 Cisco ASA 호환성을 참조하십시오. 특별, 사용 중단, 레거시 서비스, 페이지 1-17도 참조하십시오.

• ASDM 요구 사항, 페이지 1-1

• 하드웨어 및 소프트웨어 호환성, 페이지 1-6

• VPN 호환성, 페이지 1-6

• 새로운 기능, 페이지 1-6

• 방화벽 기능 개요, 페이지 1-12

• VPN 기능 개요, 페이지 1-16

• 보안 컨텍스트 개요, 페이지 1-16

• ASA 클러스터링 개요, 페이지 1-17

• 특별, 사용 중단, 레거시 서비스, 페이지 1-17

ASDM 요구 사항• ASDM 클라이언트 운영 체제 및 브라우저 요구 사항, 페이지 1-2

• Java 및 브라우저 호환성, 페이지 1-2

1-1 Series 일반 운영 ASDM 컨피그레이션 가이드

1장 Cisco ASA 소개 ASDM 요구 사항

ASDM 클라이언트 운영 체제 및 브라우저 요구 사항다음 표에서는 ASDM을 위해 지원되고 권장되는 클라이언트 운영 체제와 Java를 보여줍니다.

Java 및 브라우저 호환성다음 표에는 Java, ASDM 및 브라우저 호환성에 대한 호환성 주의 사항이 나와 있습니다.

표 1-1 운영 체제 및 브라우저 요구 사항

운영 체제

브라우저

Java SE 플러그인

Internet Explorer Firefox Safari Chrome

Microsoft Windows(영어 및 일본어):• 8

• 7

• Server 2008

• Server 2012

예 예 지원 안 함 예 7.0 이상

Apple OS X 10.4 이상 지원 안 함 예 예 예(64비트만) 7.0 이상Red Hat Enterprise Linux 5(GNOME 또는 KDE):

• 데스크톱

• 워크스테이션 데스크톱

해당 없음 예 해당 없음 예 7.0 이상

표 1-2 ASDM 호환성에 대한 Java 주의 사항

Java 버전 상태 참고7 업데이트 51

ASDM Launcher에 신뢰할 수 있는 인증서가 필요함

Launcher를 사용하여 계속 진행하려면 다음 중 하나를 수행합니다.

• Java를 8로 업그레이드하거나 7 업데이트 45 이하로 다운그레이드합니다.

• 알려진 CA의 신뢰할 수 있는 인증서를 ASA에 설치합니다.

• 자체 서명 인증서를 설치하고 이를 Java에 등록합니다. ASDM에 대한 ID 인증서 설치를 참조하십시오.

• 또는 Java Web Start를 사용합니다.

참고: Java 7 업데이트 51에서는 ASDM 7.1(5) 이하를 지원하지 않습니다. Java를 이미 업그레이드했고 Version 7.2 이상으로 업그레이드하기 위해 ASDM을 더 이상 시작할 수 없는 경우, CLI를 사용하여 ASDM을 업그레이드하거나 ASDM으로 관리하려는 각 ASA에 대한 Java Control Panel에 보안 예외를 추가할 수 있습니다. "해결 방법" 섹션을 참조하십시오.http://java.com/en/download/help/java_blocked.xml

보안 예외를 추가한 후, 이전 ASDM을 시작한 다음 7.2 이상으로 업그레이드합니다.

1-2Cisco ASA Series 일반 운영 ASDM 컨피그레이션 가이드

http://www.cisco.com/go/asdm-certificatehttp://www.cisco.com/go/asdm-certificatehttp://java.com/en/download/help/java_blocked.xml


Java Web Start를 사용할 때 드물게 온라인 도움말이 로드되지 않음

온라인 도움말을 시작할 때 브라우저 창이 로드되지만 내용이 표시되지 않는 경우가 간혹 발생합니다. 브라우저에 "Unable to connect(연결할 수 없음)"이라는 오류 메시지가 보고됩니다.

대체 방법

• ASDM Launcher를 사용합니다.

또는

• Java 런타임 매개변수에서 -Djava.net.preferIPv6Addresses=true 매개변수를 지웁니다.a. Java 제어판을 시작합니다.

b. Java 탭을 클릭합니다.c. View(보기)를 클릭합니다.d. -Djava.net.preferIPv6Addresses=true 매개변수를 지웁니다.e. OK(확인) 및 Apply(적용)를 차례로 클릭한 다음 OK(확인)를

다시 클릭합니다.7 업데이트 45

신뢰할 수 없는 인증서를 사용할 경우 Permissions(권한) 특성이 누락되었다는 노란색 경고 메시지가 ASDM에 표시됨

Java의 버그로 인한 것이며 ASA에 신뢰할 수 있는 인증서가 설치되지 않은 경우 JAR 매니페스트에 Permissions(권한) 특성이 누락되었다는 노란색 경고 메시지가 표시됩니다. 이 경고는 무시해도 괜찮습니다. ASDM 7.2 이상 버전에는 Permissions(권한) 특성이 포함되어 있습니다. 경고가 표시되지 않게 하려면 알려진 CA에서 신뢰할 수 있는 인증서를 설치하거나 Configuration(컨피그레이션) > Device Management(디바이스 관리) > Certificates(인증서) > Identity Certificates(ID 인증서)를 선택하여 ASA에서 자체 서명 인증서를 생성합니다. ASDM을 시작했을 때 인증서 경고가 표시될 경우 Always trust connections to websites(웹 사이트 연결 항상 신뢰) 확인란을 선택합니다.

7 ASA에 강력한 암호화 라이센스(3DES/AES)가 필요함

ASDM에서는 ASA와의 SSL 연결이 필요합니다. Cisco에 3DES 라이센스를 요청할 수 있습니다.

1. www.cisco.com/go/license 로 이동합니다.

2. Continue to Product License Registration(제품 라이센스 등록 계속)을 클릭합니다.

3. 라이센싱 포털에서 텍스트 필드 옆의 Get Other Licenses(다른 라이센스 받기)를 클릭합니다.

4. 드롭다운 목록에서 IPS, Crypto, Other...(IPS, Crypto, 기타...)를 선택합니다.

5. Search by Keyword(키워드 검색) 필드에 ASA를 입력합니다.6. Product(제품) 목록에서 Cisco ASA 3DES/AES

License(Cisco ASA 3DES/AES 라이센스)를 선택하고 Next(다음)를 클릭합니다.

7. ASA의 일련 번호를 입력하고 표시된 메시지에 따라 ASA에 대한 3DES/AES 라이센스를 요청합니다.

표 1-2 ASDM 호환성에 대한 Java 주의 사항 (계속)

Java 버전 상태 참고


www.cisco.com/go/license


모두 • 자체 서명 인증서 또는 신뢰할 수 없는 인증서

• IPv6

• Firefox 및 Safari

ASA에서 자체 서명 인증서 또는 신뢰할 수 없는 인증서를 사용할 경우, HTTPS over IPv6를 사용하여 탐색을 수행할 때 Firefox 및 Safari에서 보안 예외를 추가할 수 없습니다. 자세한 내용은 https://bugzilla.mozilla.org/show_bug.cgi?id=633001 을 참조하십시오. 이 주의 사항은 Firefox 또는 Safari에서 ASA로 연결하는 모든 SSL 연결(ASDM 연결 포함)에 영향을 미칩니다. 이를 방지하려면 신뢰할 수 있는 인증 기관에서 발급한 올바른 인증서를 ASA에 구성해야 합니다.

• ASA에서 SSL 암호화를 수행할 경우 RC4-MD5 및 RC4-SHA1을 모두 포함하거나 Chrome에서 SSL false start를 비활성화해야 함

• Chrome

ASA에서 SSL을 암호화할 때 RC4-MD5 및 RC4-SHA1 알고리즘을 제외하도록 변경하면 Chrome의 "SSL false start" 기능으로 인해 Chrome에서 ASDM을 시작할 수 없게 됩니다. 이 알고리즘 중 하나를 다시 활성화하는 것이 좋습니다(Configuration(컨피그레이션) > Device Management(디바이스 관리) > Advanced(고급) > SSL Settings(SSL 설정) 창 참조). 또는 Run Chromium with flags에 따라 --disable-ssl-false-start 플래그를 사용하여 Chrome에서 SSL false start를 비활성화할 수 있습니다.

서버의 IE9 서버에 Internet Explorer 9.0을 사용할 경우 “Do not save encrypted pages to disk(암호화된 페이지를 디스크에 저장 안 함)” 옵션이 기본적으로 활성화되어 있습니다(Tools(도구) > Internet Options(인터넷 옵션) > Advanced(고급) 참조). 이 옵션은 초기 ASDM 다운로드가 실패하는 원인이 됩니다. ASDM 다운로드를 허용하려면 이 옵션을 비활성화하십시오.

OS X OS X에서 ASDM을 처음 시작할 경우 Java를 설치하라는 메시지가 표시될 수 있습니다. 필요한 경우 메시지 내용을 따릅니다. 설치가 완료되면 ASDM이 시작됩니다.




https://bugzilla.mozilla.org/show_bug.cgi?id=633001http://www.chromium.org/developers/how-tos/run-chromium-with-flags


모두 OS X 10.8 이상 Apple Developer ID로 서명하지 않았으므로 ASDM이 실행되도록 허용해야 합니다. 보안 기본 설정을 변경하지 않으면 오류 화면이 표시됩니다.

1. ASDM이 실행되도록 허용하려면 마우스 오른쪽 버튼(또는 Ctrl-클릭)으로 Cisco ASDM-IDM Launcher 아이콘을 클릭하고 Open(열기)을 선택합니다.

2. 유사한 오류 화면이 표시되지만, 이 화면에서 ASDM을 열 수는 없습니다. Open(열기)을 클릭하십시오. ASDM-IDM Launcher가 열립니다.




1장 Cisco ASA 소개 하드웨어 및 소프트웨어 호환성

하드웨어 및 소프트웨어 호환성지원되는 하드웨어 및 소프트웨어의 전체 목록을 보려면 Cisco ASA 호환성을 참조하십시오.

VPN 호환성지원되는 VPN 플랫폼, Cisco ASA Series를 참조하십시오.

새로운 기능릴리스 2015년 3월 23일다음 표는 ASA Version 9.4(1)/ASDM Version 7.4(1)의 새로운 기능을 정리한 것입니다.

표 1-3 ASA Version 9.4(1)/ASDM Version 7.4(1)의 새로운기능

기능 설명

플랫폼 기능ASA 5506W-X, ASA 5506H-X, ASA 5508-X, ASA 5516-X

다음 모델을 도입했습니다. ASA 5506W-X(무선 액세스 포인트), 강화된 ASA 5506H-X, ASA 5508-X, ASA 5516-X

다음 명령을 도입했습니다. hw-module module wlan recover image, hw-module module wlan recover image.

인증 기능미국 국방부 UCR(Unified Capabilities Requirements) 2013 인증

ASA는 DoD UCR 2013 요건을 준수하도록 업데이트되었습니다. 이번 인증에 추가된 다음 기능에 대해서는 이 표의 행을 참조하십시오.

• 정기 인증서 인증

• 인증서 만료 알림

• 기본 제약 CA 플래그 적용

• 인증서 컨피그레이션의 ASDM 사용자 이름

• IKEv2 무효 선택기 알림 컨피그레이션

• IKEv2 사전 공유 키(16진수)


http://www.cisco.com/en/US/docs/security/asa/compatibility/asa-vpn-compatibility.html

1장 Cisco ASA 소개 새로운 기능

FIPS 140-2 인증 규정준수 업데이트

ASA에서 FIPS 모드를 활성화하면 ASA의 FIPS 140-2 준수를 위해 추가 제한이 적용됩니다. 제한은 다음과 같습니다.

• RSA 및 DH 키 크기 제한—RSA 및 DH 키 2K(2048비트) 이상만 허용됩니다. DH의 경우 그룹 1(768비트), 그룹 2(1024비트), 그룹 5(1536비트)는 허용되지 않습니다.

참고: 키 크기 제한 때문에 FIPS에서 IKEv1를 사용할 수 없습니다.• 디지털 서명의 해시 알고리즘 관련 제한—SHA256 이상만 허용됩니다.

• SSH 암호 제한—허용된 암호: aes128-cbc 또는 aes256-cbc. MAC: SHA1

ASA의 FIPS 인증 상태를 확인하려면 다음을 참조하십시오.http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140InProcess.pdf

본 PDF는 매주 업데이트됩니다.

자세한 내용은 컴퓨터 보안 부문 컴퓨터 보안 리소스 센터 사이트를 참조하십시오.http://csrc.nist.gov/groups/STM/cmvp/inprocess.html

다음 명령을 수정했습니다. fips enable방화벽 기능멀티 코어 ASA에서 SIP 검사 성능이 향상되었습니다.

멀티 코어를 사용하여 ASA를 통과하는 여러 SIP 신호 흐름이 있는 경우 SIP 검사 성능이 향상되었습니다. 하지만 TLS, 전화기 또는 IME 프록시를 사용하는 경우 성능이 향상되지 않았습니다.

화면은 수정하지 않았습니다.Phone Proxy 및 UC-IME Proxy에 대한 SIP 검사 지원이 제거되었습니다.

SIP 검사를 구성할 때 Phone Proxy 또는 UC-IME Proxy를 더 이상 사용할 수 없습니다. TLS 프록시를 사용하여 암호화된 트래픽을 검사합니다.

Select SIP Inspect Map(SIP 검사 맵 선택) 서비스 정책 대화 상자에서 Phone Proxy 및 UC-IME Proxy를 제거했습니다.

DCERPC 검사는 ISystemMapper UUID 메시지 RemoteGetClassObject opnum3를 지원합니다.

릴리스 8.3부터 ASA에서 비 EPM DCERPC 메시지를 지원하기 시작하여 현재 ISystemMapper UUID 메시지 RemoteCreateInstance opnum4를 지원합니다. 이 변경 사항이 확장되어 RemoteGetClassObject opnum3 메시지를 지원합니다.

화면은 수정하지 않았습니다.컨텍스트당 무제한 SNMP 서버 트랩 호스트

ASA에서 컨텍스트별로 지원하는 SNMP 서버 트랩 호스트의 수는 무제한입니다. show snmp-server host 명령 출력은 ASA를 폴링 중인 활성 호스트와 고정으로 구성된 호스트만 표시합니다.

화면은 수정하지 않았습니다.VXLAN 패킷 검사 ASA는 표준 형식을 준수하도록 VXLAN 헤더를 검사할 수 있습니다.

다음 화면을 수정했습니다. Configuration(컨피그레이션) > Firewall(방화벽) > Service Policy Rules(서비스 정책 규칙) > Add Service Policy Rule(서비스 정책 규칙 추가)> Rule Actions(규칙 작업) > Protocol Inspection(프로토콜 검사)

표 1-3 ASA Version 9.4(1)/ASDM Version 7.4(1)의 새로운기능 (계속)

기능 설명


http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140InProcess.pdfhttp://csrc.nist.gov/groups/STM/cmvp/inprocess.html


IPv6에 대한 DHCP 모니터링 IPv6의 DHCP 통계 및 DHCP 바인딩을 모니터링할 수 있습니다.

다음 화면을 도입했습니다.

Monitoring(모니터링) > Interfaces(인터페이스) > DHCP > IPV6 DHCP Statistics(IPV6 DHCP 통계)Monitoring(모니터링) > Interfaces(인터페이스) > DHCP > IPV6 DHCP Binding(IPV6 DHCP 바인딩)

고가용성 기능대기 ASA에서 syslog 생성 차단 대기 유닛에서 특정 syslog 생성을 차단할 수 있습니다.

화면은 수정하지 않았습니다.인터페이스별 ASA 클러스터 상태 모니터링 활성화 및 비활성화

인터페이스별 상태 모니터링을 활성화하거나 비활성화할 수 있습니다. 기본적으로 모든 포트-채널, 이중, 단일 물리적 인터페이스에서 상태 모니터링이 활성화되어 있습니다. VLAN 하위 인터페이스 또는 가상 인터페이스(예: VNI, BVI)에 대해서는 상태 모니터링이 수행되지 않습니다. 클러스터 제어 링크는 항상 모니터링되므로 이에 대한 모니터링을 구성할 수 없습니다. 관리 인터페이스와 같은 비핵심 인터페이스에 대한 상태 모니터링을 비활성화하려는 경우도 있습니다.

다음 화면을 도입했습니다. Configuration(컨피그레이션) > Device Management(디바이스 관리) > High Availability and Scalability(고가용성 및 확장성) > ASA Cluster(ASA 클러스터) > Cluster Interface Health Monitoring (클러스터 인터페이스 상태 모니터링)

DHCP 릴레이에 대한 ASA 클러스터링 지원

ASA 클러스터에서 DHCP 릴레이를 구성할 수 있습니다. 클라이언트 MAC 주소의 해시를 사용하여 클라이언트 DHCP 요청이 클러스터 구성원과 로드 밸런싱됩니다. 여전히 DHCP 클라이언트 및 서버 기능은 지원되지 않습니다.

화면은 수정하지 않았습니다.ASA 클러스터링에서 SIP 검사 지원

ASA 클러스터에서 SIP 검사를 구성할 수 있습니다. 로드 밸런싱으로 인해 모든 디바이스에서 제어 플로우가 생성될 수 있지만, 그 하위 데이터 플로우는 동일한 디바이스에 상주해야 합니다. TLS 프록시 컨피그레이션은 지원되지 않습니다.

화면은 수정하지 않았습니다.라우팅 기능정책 기반 라우팅 PBR(Policy Based Routing)은 ACL을 사용하여 지정된 QoS의 지정된 경로를 통해

트래픽을 라우팅하는 메커니즘입니다. ACL을 통해 패킷의 레이어 3 및 레이어 4 헤더의 내용에 따라 트래픽을 분류할 수 있습니다. 이 솔루션으로 관리자는 차별화된 트래픽에 대한 QoS를 제공하고 저대역폭 저비용 고정 경로와 고대역폭 고비용 스위치 경로에 대화형 및 배치 트래픽을 분산할 수 있습니다. 또한 인터넷 서비스 제공업체와 기타 조직에서는 다양한 사용자 그룹에서 발생하는 트래픽을 잘 정의된 인터넷 연결을 통해 라우팅할 수 있습니다.

다음 화면을 도입했거나 수정했습니다.

Configuration(컨피그레이션) > Device Setup(디바이스 설정) > Routing(라우팅) > Route Maps(경로 맵) > Policy Based Routing(정책 기반 라우팅)Configuration(컨피그레이션) > Device Setup(디바이스 설정) > Routing(라우팅) > Interface Settings(인터페이스 설정) > Interfaces(인터페이스)


기능 설명



인터페이스 기능VXLAN 지원 VTEP(VXLAN tunnel endpoint) 지원까지 포함한 VXLAN 지원이 추가되었습니다.

ASA별로 또는 보안 컨텍스트별로 하나의 VTEP 소스 인터페이스를 정의할 수 있습니다.

다음 화면을 도입했습니다.Configuration(컨피그레이션) > Device Setup(디바이스 설정) > Interface Settings(인터페이스 설정) > Interfaces(인터페이스) > Add(추가) > VNI Interface(VNI 인터페이스)Configuration(컨피그레이션) > Device Setup(디바이스 설정) > Interface Settings(인터페이스 설정) > VXLAN

모니터링 기능EEM에 대한 메모리 추적 메모리 할당 및 메모리 사용을 로깅하고 메모리 로깅 랩 이벤트에 응답하기 위해 새

로운 디버깅 기능을 추가했습니다.

다음 화면을 수정했습니다. Configuration(컨피그레이션) > Device Management(디바이스 관리) > Advanced(고급) > Embedded Event Manager (임베디드 이벤트 관리자) > Add Event Manager Applet(이벤트 관리자 애플릿 추가) > Add Event Manager Applet Event(이벤트 관리자 애플릿 이벤트 추가)

충돌 트러블슈팅 show tech-support 명령 출력 및 show crashinfo 명령 출력은 생성된 syslog 중 가장 최근의 것 50줄을 포함합니다. 이 결과가 나타나게 하려면 logging buffer 명령을 활성화해야 합니다.

원격 액세스 기능ECDHE-ECDSA 암호 지원 TLSv1.2에서 다음 암호를 추가로 지원합니다.

• ECDHE-ECDSA-AES256-GCM-SHA384

• ECDHE-RSA-AES256-GCM-SHA384

• DHE-RSA-AES256-GCM-SHA384

• AES256-GCM-SHA384

• ECDHE-ECDSA-AES256-SHA384

• ECDHE-RSA-AES256-SHA384

• ECDHE-ECDSA-AES128-GCM-SHA256

• ECDHE-RSA-AES128-GCM-SHA256

• DHE-RSA-AES128-GCM-SHA256

• RSA-AES128-GCM-SHA256

• ECDHE-ECDSA-AES128-SHA256

• ECDHE-RSA-AES128-SHA256

참고: ECDSA 및 DHE 암호의 우선 순위가 가장 높습니다.다음 화면을 수정했습니다. Configuration(컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Advanced(고급) > SSL Settings(SSL 설정)


기능 설명



클라이언트리스 SSL VPN 세션 쿠키 액세스 제한

서드파티에서 Javascript와 같은 클라이언트 측 스크립트를 통해 클라이언트리스 SSL VPN 세션 쿠키에 액세스하는 것을 차단할 수 있습니다.

참고: Cisco TAC에서 권장하는 경우에만 이 기능을 사용하십시오. 다음 클라이언트리스 SSL VPN 기능은 경고 없이 작동하지 않으므로 이 명령을 활성화하면 보안 위험에 노출됩니다.

• Java 플러그인

• Java 재작성기

• 포트 전달

• 파일 브라우저

• 데스크톱 애플리케이션(예: MS Office applications)을 필요로 하는 Sharepoint 기능

• AnyConnect 웹 실행

• Citrix Receiver, XenDesktop 및 Xenon

• 기타 비 브라우저 기반 애플리케이션 및 브라우저 플러그인 기반 애플리케이션

다음 화면을 도입했습니다. Configuration(컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Clientless SSL VPN Access(클라이언트리스 SSL VPN 액세스) > Advanced > HTTP Cookie(HTTP 쿠키)이 기능은 9.2(3)에도 있습니다.

보안 그룹 태깅을 사용한 가상 데스크톱 액세스 제어

ASA에서는 내부 애플리케이션 및 웹 사이트에 대한 클라이언트리스 SSL 원격 액세스를 위해 보안 그룹 태그 지정 기반의 정책 제어를 지원합니다. 이 기능은 Citrix VDI(Virtual Desktop Infrastructure)와 XenDesktop을 딜리버리 컨트롤러로 사용하고 ASA의 콘텐츠 변환 엔진을 사용합니다.

자세한 내용은 다음 Citrix 제품 설명서를 참조하십시오.

• XenDesktop 및 XenApp을 위한 정책: http://support.citrix.com/proddocs/topic/infocenter/ic-how-to-use.html

• XenDesktop 7의 정책 관리: http://support.citrix.com/proddocs/topic/xendesktop-7/cds-policies-wrapper-rho.html

• XenDesktop 7 정책에 대한 그룹 정책 편집기 사용: http://support.citrix.com/proddocs/topic/xendesktop-7/cds-policies-use-gpmc.html

클라이언트리스 SSL VPN을 위한 OWA 2013 기능 지원을 추가했습니다.

클라이언트리스 SSL VPN에서는 다음을 제외하고 OWA 2013에서 새로운 기능을 지원합니다.

• 태블릿 및 스마트폰 지원

• 오프라인 모드

• AD FS(Active Directory Federation Services) 2.0. ASA 및 AD FS 2.0은 암호화 프로토콜을 협상할 수 없음

화면은 수정하지 않았습니다.


기능 설명


http://support.citrix.com/proddocs/topic/infocenter/ic-how-to-use.htmlhttp://support.citrix.com/proddocs/topic/infocenter/ic-how-to-use.htmlhttp://support.citrix.com/proddocs/topic/xendesktop-7/cds-policies-wrapper-rho.htmlhttp://support.citrix.com/proddocs/topic/xendesktop-7/cds-policies-wrapper-rho.htmlhttp://support.citrix.com/proddocs/topic/xendesktop-7/cds-policies-use-gpmc.html


클라이언트리스 SSL VPN을 위한 Citrix XenDesktop 7.5 및 StoreFront 2.5 지원을 추가했습니다.

클라이언트리스 SSL VPN은 XenDesktop 7.5 및 StoreFront 2.5 액세스를 지원합니다.

XenDesktop 7.5 기능의 전체 목록 및 자세한 내용은 http://support.citrix.com/proddocs/topic/xenapp-xendesktop-75/cds-75-about-whats-new.html 을 참조하십시오.

StoreFront 2.5 기능의 전체 목록 및 자세한 내용은 http://support.citrix.com/proddocs/topic/dws-storefront-25/dws-about.html 을 참조하십시오.

화면은 수정하지 않았습니다.정기 인증서 인증 정기 인증서 인증을 활성화하면 ASA는 VPN 클라이언트에서 받은 인증서 체인을

저장하고 정기적으로 재인증합니다.

다음 화면을 수정했습니다.

Configuration(컨피그레이션) > Device Management(디바이스 관리) > Certificate Management(인증서 관리) > Identity Certificates(ID 인증서)Configuration(컨피그레이션) > Device Management(디바이스 관리) > Certificate Management(인증서 관리) > CA Certificates(CA 인증서)

인증서 만료 알림 ASA에서는 24시간마다 1번씩 트러스트 포인트의 모든 CA 및 ID 인증서를 대상으로 만료 여부를 검사합니다. 인증서 만료일이 다가오면 이를 알리는 syslog가 생성됩니다. 미리 알림 및 반복 간격을 구성할 수 있습니다. 기본적으로 미리 알림은 만료일 60일 전에 시작하여 7일 간격으로 반복됩니다.

다음 화면을 수정했습니다.

Configuration(컨피그레이션) > Device Management(디바이스 관리) > Certificate Management(인증서 관리) > Identity Certificates(ID 인증서)Configuration(컨피그레이션) > Device Management(디바이스 관리) > Certificate Management(인증서 관리) > CA Certificates(CA 인증서)

기본 제약 CA 플래그 적용 기본적으로 CA 플래그가 없는 인증서는 ASA에 CA 인증서로 설치할 수 없습니다. 이 기본 제약 확장 기능은 인증서 주체가 CA인지 여부 및 해당 인증서를 포함한 유효 인증 경로의 최대 길이를 확인합니다. 필요하다면 ASA에서 이러한 인증서의 설치를 허용하도록 구성할 수 있습니다.

다음 화면을 수정했습니다. Configuration(컨피그레이션) > Device Management(디바이스 관리) > Certificate Management(인증서 관리) > CA Certificates(CA 인증서)

IKEv2 무효 선택기 알림 컨피그레이션

현재는 ASA에서 SA의 인바운드 패킷을 수신했을 때 패킷의 헤더 필드가 SA의 선택사항과 일치하지 않으면 ASA에서 패킷을 폐기합니다. 피어에 대한 IKEv2 알림 전송을 활성화하거나 비활성화할 수 있습니다. 이 알림의 전송은 기본적으로 비활성화되어 있습니다.

참고: 이 기능은 AnyConnect 3.1.06060 이상에서 지원됩니다.

IKEv2 사전 공유 키(16진수) IKEv2 사전 공유 키를 16진수로 구성할 수 있습니다.

다음 화면을 수정했습니다. Configuration(컨피그레이션) > Site-to-Site VPN(사이트 대 사이트 VPN) > Connection Profiles(연결 프로필)


기능 설명


http://support.citrix.com/proddocs/topic/xenapp-xendesktop-75/cds-75-about-whats-new.htmlhttp://support.citrix.com/proddocs/topic/xenapp-xendesktop-75/cds-75-about-whats-new.htmlhttp://support.citrix.com/proddocs/topic/dws-storefront-25/dws-about.html

1장 Cisco ASA 소개 방화벽 기능 개요

방화벽 기능 개요방화벽은 외부 네트워크의 사용자가 내부 네트워크에 무단 액세스하는 것을 차단합니다. 또한 방화벽을 통해 내부 네트워크끼리도 보호할 수 있습니다. 이를테면 인사부 네트워크를 사용자 네트워크와 분리할 수 있습니다. 웹 또는 FTP 서버 같이 외부 사용자에게 제공해야 하는 네트워크 리소스가 있을 경우, 이러한 리소스를 방화벽 뒤에 있는 DMZ(Demilitarized Zone)라는 별도의 네트워크에 배치할 수 있습니다. 방화벽에서는 DMZ에 제한된 액세스를 허용하지만 DMZ에는 공용 서버만 포함되므로, 이곳에 공격이 발생할 경우 해당 서버에만 영향을 미치며 다른 내부 네트워크에서는 영향을 미치지 않습니다. 또한 특정 주소만 내보내도록 허용하거나, 인증이나 권한을 요청하거나, 외부 URL 필터링 서버와 조율하는 방식을 통해 내부 사용자가 외부 네트워크에 액세스(예: 인터넷 액세스)하는 것도 제어할 수 있습니다.

방화벽에 연결된 네트워크를 이야기할 때, 외부 네트워크는 방화벽 앞에 있고, 내부 네트워크는 방화벽 뒤에서 보호되고 있으며, DMZ는 방화벽 뒤에 있으나 외부 사용자에게 제한된 액세스를 허용하는 네트워크를 일컫습니다. 그러나 ASA에서는 여러 가지 보안 정책으로 많은 인터페이스(예: 다양한 내부 인터페이스, 다양한 DMZ, 다양한 외부 인터페이스)를 구성할 수 있도록 지원하므로, 이러한 용어는 일반적인 의미로만 사용됩니다.

• 보안 정책 개요, 페이지 1-12

• 방화벽 모드 개요, 페이지 1-14

• 스테이트풀 인스펙션 개요, 페이지 1-15

보안 정책 개요보안 정책은 어떤 트래픽이 방화벽을 통과하여 다른 네트워크에 액세스하도록 허용할지 여부를 결정합니다. 기본적으로 ASA에서는 내부 네트워크(상위 보안 수준)에서 외부 네트워크(하위 보안 수준)로 트래픽이 자유롭게 이동하도록 허용합니다. 트래픽에 몇 가지 조치를 취하여 보안 정책을 맞춤화할 수 있습니다.

• 액세스 규칙으로 트래픽 허용 또는 거부, 페이지 1-13

관리 기능인증서 컨피그레이션의 ASDM 사용자 이름

이 기능에서는 사용자가 제공하는 사용자 이름을 사용할 뿐 아니라 인증서에서 사용자 이름을 추출하는 방법으로 ASDM 사용자에게 권한을 부여할 수 있습니다.

다음 화면을 도입했습니다. Configuration(컨피그레이션) > Device Management(디바이스 관리) > Management Access(관리 액세스) > HTTP Certificate Rule(HTTP 인증서 규칙)다음 화면을 수정했습니다. Configuration(컨피그레이션) > Device Management(디바이스 관리) > Users/AAA(사용자/AAA) > AAA Access(AAA 액세스) > Authorization(권한 부여)

CLI에 ?를 입력하여 도움말을 활성화하거나 비활성화하기 위한 terminal interactive 명령

일반적으로 ASA CLI에서 ?를 입력하면 명령 도움말이 표시됩니다. ?를 명령 내 텍스트로 입력하는 것이 가능하도록(예: URL의 끝에 ? 포함) no terminal interactive 명령을 사용하여 대화형 도움말을 비활성화할 수 있습니다.

REST API Version 1.1 REST API Version 1.1에 대한 지원을 추가했습니다.


기능 설명



• NAT 적용, 페이지 1-13

• IP 프래그먼트 방지, 페이지 1-13

• HTTP, HTTPS 또는 FTP 필터링 적용, 페이지 1-13

• 애플리케이션 감시 적용, 페이지 1-13

• 지원되는 하드웨어 또는 소프트웨어 모듈에 트래픽 전송, 페이지 1-14

• QoS 정책 적용, 페이지 1-14

• 연결 제한 및 TCP 표준화 적용, 페이지 1-14

• 위협 감지 활성화, 페이지 1-14

액세스 규칙으로 트래픽 허용 또는 거부액세스 규칙을 적용하여 내부에서 외부로 나가는 트래픽을 제한하거나 외부에서 내부로 들어오는 트래픽을 허용할 수 있습니다. 투명 방화벽 모드의 경우, EtherType 액세스 목록을 적용하여 비 IP 트래픽을 허용할 수도 있습니다.

NAT 적용NAT의 몇 가지 이점은 다음과 같습니다.

• 내부 네트워크에서 사설 주소를 사용할 수 있습니다. 사설 주소는 인터넷에서 라우팅할 수 없습니다.

• NAT는 다른 네트워크의 로컬 주소를 숨기므로 공격자가 호스트의 실제 주소를 알 수 없습니다.

• NAT는 IP 주소 중복을 지원하여 IP 라우팅 문제를 해결할 수 있습니다.

IP 프래그먼트 방지ASA에서는 IP 프래그먼트 방지 기능을 제공합니다. 이 기능에서는 모든 ICMP 오류 메시지를 완전히 재조합하고 ASA를 통해 라우팅된 나머지 IP 프래그먼트를 가상으로 재조합하는 작업을 수행합니다. 보안 검사에 실패한 프래그먼트는 폐기되고 로깅됩니다. 가상 재조합 기능은 비활성화할 수 없습니다.

HTTP, HTTPS 또는 FTP 필터링 적용액세스 목록을 사용하여 특정 웹 사이트 또는 FTP 서버에 대한 아웃바운드 액세스를 방지할 수는 있으나, 인터넷의 규모와 동적 특징을 감안했을 때 이러한 방식으로 웹 사용을 구성하고 관리하는 것은 실용적이지 않습니다.

ASA에서 Cloud Web Security를 구성하거나 URL 및 기타 필터링 서비스(예: ASA CX 또는 ASA FirePOWER)를 제공하는 ASA 모듈을 설치할 수 있습니다. ASA를 Cisco WSA(Web Security Appliance) 같은 외부 제품과 함께 사용할 수도 있습니다.

애플리케이션 감시 적용사용자 데이터 패킷에 IP 주소 정보가 포함된 서비스 또는 동적으로 할당된 포트에서 보조 채널을 여는 서비스에는 검사 엔진이 필요합니다. 이러한 프로토콜의 경우 ASA에서 심층 패킷 감시를 수행해야 합니다.



지원되는 하드웨어 또는 소프트웨어 모듈에 트래픽 전송일부 ASA 모델에서는 고급 서비스를 제공하기 위해 소프트웨어 모듈을 구성하거나 섀시에 하드웨어 모듈을 삽입할 수 있습니다. 이러한 모듈에서는 추가적인 트래픽 감시를 제공하며 구성된 정책을 바탕으로 트래픽을 차단할 수 있습니다. 이러한 모듈에 트래픽을 전송하여 이와 같은 고급 서비스를 이용할 수 있습니다.

QoS 정책 적용음성과 비디오 등 일부 네트워크 트래픽은 긴 레이턴시를 허용하지 않습니다. QoS는 이러한 유형의 트래픽에 우선순위를 부여할 수 있는 기능입니다. QoS에서는 네트워크의 기능을 참조하여 선택된 네트워크 트래픽에 더 개선된 서비스를 제공할 수 있도록 합니다.

연결 제한 및 TCP 표준화 적용TCP 및 UDP 연결과 초기 연결을 제한할 수 있습니다. 연결 및 초기 연결 수를 제한하면 DoS 공격을 방지할 수 있습니다. ASA에서는 초기 제한을 사용하여 TCP 인터셉트를 트리거하며, 이렇게 하면 TCP SYN 패킷을 인터페이스에 플러딩하는 수법의 DoS 공격으로부터 내부 시스템을 보호할 수 있습니다. 원시 연결은 소스와 대상 간에 필요한 핸드셰이크를 완료하지 않은 연결 요청입니다.

TCP 표준화는 정상으로 보이지 않는 패킷을 폐기하기 위해 고안된 고급 TCP 연결 설정으로 이루어진 기능입니다.

위협 감지 활성화위협 감지 검사 및 기본 위협 감지를 구성할 수 있으며, 통계를 활용하여 위협을 분석하는 방법도 구성할 수 있습니다.

기본 위협 감지 기능에서는 공격(예: DoS 공격)과 관련될 가능성이 있는 활동을 감지하고, 시스템 로그 메시지를 자동으로 전송합니다.

일반적인 스캐닝 공격은 서브넷의 모든 IP 주소에 대한 액세스 가능성을 테스트하는 호스트로 구성됩니다(서브넷의 여러 호스트를 통해 스캔하거나 호스트 또는 서브넷의 여러 포트를 스위핑함). 스캐닝 위협 감지 기능은 호스트에서 스캔을 수행하는 시점을 결정합니다. 트래픽 시그니처를 기반으로 하는 IPS 스캔 감지와는 달리 ASA 스캔 위협 감지 기능은 스캔 활동을 분석할 수 있는 호스트 통계가 포함된 폭넓은 데이터베이스를 유지 관리합니다.

호스트 데이터베이스는 반환 활동이 없는 연결, 닫힌 서비스 포트 액세스, 취약한 TCP 동작(예: 무작위가 아닌 IPID), 기타 여러 동작 등 의심스러운 활동을 추적합니다.

공격자에 대한 시스템 로그 메시지를 보내도록 ASA를 구성하거나 호스트를 자동으로 차단할 수 있습니다.

방화벽 모드 개요ASA에서는 두 가지 다른 방화벽 모드에서 실행됩니다.

• 라우팅 모드

• 투명 모드

라우팅 모드에서 ASA는 네트워크의 라우터 홉으로 간주됩니다.



투명 모드에서 ASA는 “비활성 엔드포인트(bump in the wire)” 또는 “은폐형 방화벽(stealth firewall)” 같은 역할을 수행하며, 라우터 홉으로 간주되지 않습니다. ASA는 내부 및 외부 인터페이스에서 동일한 네트워크에 연결됩니다.

투명 방화벽을 사용하여 네트워크 컨피그레이션을 간소화할 수 있습니다. 공격자에게 방화벽이 보이지 않게 하려는 경우 투명 모드가 유용합니다. 라우팅 모드에서 차단할 트래픽에도 투명 방화벽을 사용할 수 있습니다. 예를 들어 투명 방화벽에서는 EtherType 액세스 목록을 사용한 멀티캐스트 스트림을 지원합니다.

스테이트풀 인스펙션 개요ASA를 통과하는 모든 트래픽은 Adaptive Security Algorithm 기반의 감시를 받아 허용되거나 폐기됩니다. 간단한 패킷 필터로 올바른 소스 주소, 목적지 주소, 포트를 확인할 수 있으나 패킷 시퀀스 또는 플래그가 올바른지는 확인할 수 없습니다. 또한 필터의 경우 해당 필터를 기준으로 모든 패킷을 확인하므로, 프로세스가 느릴 수 있습니다.

참고 TCP 상태 우회 기능을 사용하면 패킷 플로우를 사용자 정의할 수 있습니다.

그러나 ASA 같은 스테이트풀 방화벽에서는 패킷의 상태를 고려합니다.

• 새 연결인가?

새 연결일 경우 ASA에서 액세스 목록을 기준으로 패킷을 확인하고 기타 작업을 수행하여 패킷을 허용 또는 거부할지 결정해야 하는가? 이러한 확인을 위해 세션의 첫 번째 패킷은 "세션 관리 경로"를 통과하며, 트래픽의 유형에 따라 "컨트롤 플레인 경로"를 통과할 수도 있습니다.

세션 관리 경로는 다음 작업을 담당합니다.

– 액세스 목록 확인 수행

– 경로 조회 수행

– NAT 변환 할당(xlates)

– "빠른 경로"에 세션 설정

ASA에서는 TCP 트래픽의 빠른 경로에서 순방향 및 역방향 플로우를 생성합니다. 또한 ASA에서는 UDP, ICMP(ICMP 감시를 활성화할 경우) 같은 연결 없는 프로토콜에 대한 연결 상태 정보도 생성하여 역시 빠른 경로를 사용할 수 있게 합니다.

참고 ASA의 경우 SCTP 같은 다른 IP 프로토콜에 대해서는 역방향 경로 플로우를 생성하지 않습니다. 결과적으로 이러한 연결을 참조하는 ICMP 오류 패킷은 폐기됩니다.

레이어 7 감시(패킷 페이로드를 감시하거나 변경해야 함)가 필요한 일부 패킷은 컨트롤 플레인 경로로 전달됩니다. 레이어 7 감시 엔진의 경우 둘 이상의 채널(데이터 채널에서는 알려진 포트 번호를 사용하고, 제어 채널에서는 세션마다 다른 포트 번호를 사용함)이 포함된 프로토콜이 필요합니다. 이러한 프로토콜에는 FTP, H.323, SNMP가 포함됩니다.

• 설정되어 있는 연결인가?

이미 연결이 설정되어 있는 경우 ASA에서는 패킷을 다시 확인할 필요가 없습니다. 일치하는 대부분의 패킷은 양방향에서 모두 “빠른” 경로를 통과할 수 있습니다. 빠른 경로에서 다음 작업을 담당합니다.

– IP 체크섬 확인

– 세션 조회


1장 Cisco ASA 소개 VPN 기능 개요

– TCP 시퀀스 번호 확인

– 기존 세션을 바탕으로 NAT 변환

– 레이어 3 및 레이어 4 헤더 조정

레이어 7 검사가 필요한 프로토콜의 데이터 패킷도 빠른 경로를 통과할 수 있습니다.

설정된 세션 패킷 중 일부는 계속 세션 관리 경로 또는 컨트롤 플레인 경로를 통해 전달되어야 합니다. 세션 관리 경로를 통과하는 패킷에는 감시 또는 콘텐츠 필터링이 필요한 HTTP 패킷이 포함되어 있습니다. 컨트롤 플레인 경로를 통과하는 패킷에는 레이어 7 검사가 필요한 프로토콜의 제어 패킷이 포함되어 있습니다.

VPN 기능 개요VPN은 사설 연결처럼 보이는 TCP/IP 네트워크(예: 인터넷) 전반의 보안 연결입니다. 이 보안 연결을 터널이라고 부릅니다. ASA에서는 터널링 프로토콜을 사용하여 보안 매개변수를 협상하고 터널을 생성 및 관리하고 패킷을 캡슐화하고 터널을 통해 패킷을 주고받고 캡슐화를 해제합니다. ASA에서는 양방향 터널 엔드포인트로서의 기능을 수행합니다. 플레인 패킷을 수신하고, 이를 캡슐화한 다음, 해당 패킷의 캡슐화가 해제되고 최종 목적지로 전송되는 터널의 다른 쪽 끝에 패킷을 전송합니다. ASA에서는 캡슐화된 패킷을 수신하고 해당 패킷의 캡슐화를 해제한 후 이를 최종 목적지로 전송할 수도 있습니다. ASA에서는 다양한 표준 프로토콜을 호출하여 이러한 기능을 구현합니다.

ASA에서는 다음과 같은 기능을 수행합니다.

• 터널 설정

• 터널 매개변수 협상

• 사용자 인증

• 사용자 주소 지정

• 데이터 암호화 및 해독

• 보안 키 관리

• 터널을 통한 데이터 전송 관리

• 터널 엔드포인트 또는 라우터로 데이터 전송 인바운드 및 아웃바운드 관리

ASA에서는 다양한 표준 프로토콜을 호출하여 이러한 기능을 구현합니다.

보안 컨텍스트 개요단일 ASA를 보안 컨텍스트라고 하는 여러 가상 디바이스로 분할할 수 있습니다. 각 컨텍스트는 각자 보안 정책, 인터페이스, 관리자가 있는 독립적인 디바이스입니다. 다중 컨텍스트는 여러 대의 독립형 디바이스가 있는 것과 비슷합니다. 다중 컨텍스트 모드에서는 라우팅 테이블, 방화벽 기능, IPS, 관리 기능을 비롯한 다양한 기능이 지원되지만 몇 가지 기능은 지원되지 않습니다. 자세한 내용은 기능 장을 참조하십시오.

다중 컨텍스트 모드에서는 ASA에 보안 정책, 인터페이스 및 독립형 장치에서 구성할 수 있는 거의 모든 옵션을 식별하는, 각 컨텍스트에 대한 구성이 포함됩니다. 시스템 관리자는 시스템 컨피그레이션(단일 모드 컨피그레이션과 마찬가지로 시작 컨피그레이션)에서 컨텍스트를 구성하여 컨텍스트를 추가하고 관리할 수 있습니다. 시스템 컨피그레이션은 ASA를 위한 기본적인 설정을 나타냅니다. 시스템 컨피그레이션은 자체 네트워크 인터페이스나 네트워크 설정을 포함하지 않습니다. 그보다는 시스템에서 네트워크 리소스에 액세스해야 할 때(예: 서버로부터 컨텍스트 다운로드) 관리 컨텍스트로 지정된 컨텍스트 중 하나를 사용합니다.


1장 Cisco ASA 소개 ASA 클러스터링 개요

관리자 컨텍스트는 다른 모든 컨텍스트와 같지만 예외 사항이 있습니다. 관리자 컨텍스트에 로그인한 사용자는 시스템 관리자 권한을 갖게 되며, 시스템 및 기타 모든 컨텍스트에 액세스할 수 있습니다.

ASA 클러스터링 개요ASA 클러스터링을 사용하면 여러 개의 ASA를 하나의 논리적 디바이스로 그룹화할 수 있습니다. 클러스터는 처리량 증대 및 여러 디바이스의 이중화라는 목표를 달성하는 동시에 단일 디바이스(관리, 네트워크에 통합)의 모든 편의성을 제공합니다.

마스터 유닛에서만 모든 컨피그레이션(부트스트랩 컨피그레이션 제외)을 수행해야 합니다. 그러면 멤버 유닛에 컨피그레이션이 복제됩니다.

특별, 사용 중단, 레거시 서비스일부 서비스의 설명서는 주요 컨피그레이션 가이드 및 온라인 도움말 이외의 위치에 있습니다. 전체 설명서 목록은 Cisco ASA Series 문서 탐색을 참조하십시오.

• 특별 서비스 설명서, 페이지 1-17

• 사용 중단된 서비스, 페이지 1-17

• 레거시 서비스 설명서, 페이지 1-17

특별 서비스 설명서특별 서비스에서는 ASA와 기타 Cisco 제품 간의 상호 운용을 지원합니다. 이를테면 전화 서비스용 보안 프록시를 제공하거나(Unified Communications), 봇넷 트래픽 필터링을 Cisco 업데이트 서버의 동적 데이터베이스와 결합하여 제공하거나, Cisco Web Security Appliance용 WCCP 서비스를 제공하는 경우를 들 수 있습니다. 이러한 특별 서비스 중 일부는 별도의 설명서에서 다룹니다.

사용 중단된 서비스사용 중단된 기능에 대한 내용은 현재 사용 중인 ASA 버전의 컨피그레이션 가이드를 참조하십시오. 또한 재설계된 기능(예: Version 8.2와 8.3의 NAT, Version 8.3과 8.4의 투명 모드 인터페이스)에 대해서도 해당 버전의 컨피그레이션 가이드를 참조하십시오. ASDM은 이전 버전의 ASA 릴리스와 호환 가능하지만, 컨피그레이션 가이드 및 온라인 도움말에서는 최신 릴리스만 다룹니다.

레거시 서비스 설명서레거시 서비스는 ASA에서 계속 지원되지만, 해당 서비스를 대체하는 더 우수한 서비스가 제공될 수 있습니다. 레거시 서비스는 별도의 설명서에서 다룹니다.


http://www.cisco.com/go/asadocs

1장 Cisco ASA 소개 특별, 사용 중단, 레거시 서비스


Cisco ASA

장2

시작하기

이 장에서는 Cisco ASA를 시작하는 방법을 설명합니다.

• 명령행 인터페이스 콘솔 액세스, 페이지 2-1

• ASDM 액세스 구성, 페이지 2-8

• ASDM 시작, 페이지 2-13

• ASDM 운영 사용자 정의, 페이지 2-14

• 공장 기본 컨피그레이션, 페이지 2-16

• 컨피그레이션으로 시작하기, 페이지 2-21

• ASDM에서 명령행 인터페이스 툴 사용, 페이지 2-22

• 연결에 컨피그레이션 변경 사항 적용, 페이지 2-24

명령행 인터페이스 콘솔 액세스ASDM 액세스를 위한 기본 설정을 구성하는 데 CLI를 사용해야 하는 경우가 있습니다.

초기 컨피그레이션의 경우에는 콘솔 포트에서 CLI에 직접 액세스합니다. 나중에 34장, “관리 액세스.”에 따라 텔넷이나 SSH를 사용하여 원격 액세스를 구성할 수 있습니다. 시스템이 이미 다중 컨텍스트 모드에 있는 경우, 콘솔 포트에 액세스하면 시스템 실행 영역으로 이동합니다.

참고 ASAv 콘솔 액세스에 대한 내용은 ASAv 빠른 시작 설명서를 참조하십시오.

• 어플라이언스 콘솔 액세스, 페이지 2-2

• ASA Services Module 콘솔 액세스, 페이지 2-2

• 소프트웨어 모듈 콘솔 액세스, 페이지 2-7

• ASA 5506W-X Wireless Access Point 콘솔 액세스, 페이지 2-7

2-1 Series 일반 운영 ASDM 컨피그레이션 가이드

2장 시작하기 명령행 인터페이스 콘솔 액세스

어플라이언스 콘솔 액세스어플라이언스 콘솔에 액세스하려면 다음 단계를 수행하십시오.

절차

단계 1 제공된 콘솔 케이블을 사용하여 컴퓨터를 콘솔 포트에 연결하고, 전송 속도 9600, 8개 데이터 비트, 패리티 없음, 1개 정지 비트, 흐름 제어 없음으로 설정된 터미널 에뮬레이터를 사용하여 콘솔에 연결합니다.

콘솔 케이블에 대한 자세한 내용은 ASA 하드웨어 설명서를 참조하십시오.

단계 2 Enter 키를 누르면 다음 프롬프트가 표시됩니다.ciscoasa>

이 프롬프트는 현재 사용자 EXEC 모드에 있음을 의미합니다. 사용자 EXEC 모드에서는 기본 명령만 사용 가능합니다.

단계 3 특권 EXEC 모드에 액세스하려면 다음 명령을 입력합니다.ciscoasa> enable

다음 프롬프트가 나타납니다.Password:

모든 비 컨피그레이션 명령은 특권 EXEC 모드에서 사용할 수 있습니다. 또한 특권 EXEC 모드에서 컨피그레이션 모드를 입력할 수도 있습니다.

단계 4 프롬프트에서 enable 비밀번호를 입력합니다.

기본적으로 비밀번호는 비어 있으며 계속하려면 Enter 키를 누릅니다. enable 비밀번호를 변경하려면 호스트 이름, 도메인 이름, Enable 및 텔넷 비밀번호 설정, 페이지 18-1을 참조하십시오.

프롬프트가 다음과 같이 변경됩니다.ciscoasa#

특권 모드를 종료하려면 disable, exit 또는 quit 명령을 입력합니다.단계 5 전역 컨피그레이션 모드에 액세스하려면 다음 명령을 입력합니다.

ciscoasa# configure terminal

프롬프트가 다음으로 변경됩니다.ciscoasa(config)#

전역 컨피그레이션 모드에서 ASA 컨피그레이션을 시작할 수 있습니다. 전역 컨피그레이션 모드를 종료하려면 exit, quit 또는 end 명령을 입력합니다.

ASA Services Module 콘솔 액세스초기 컨피그레이션의 경우에는 (콘솔 포트에 또는 텔넷/SSH를 사용하여 원격으로) 스위치에 연결한 다음 ASASM에 연결하여 Command-Line Interface에 액세스합니다. ASASM에는 공장 기본 컨피그레이션이 포함되어 있지 않으므로 ASDM을 사용하여 액세스하기 전에 CLI에서 일부 컨피그레이션을 수행해야 합니다. 이 섹션에서는 ASASM CLI에 액세스하는 방법을 설명합니다.



• 연결 방법 소개, 페이지 2-3

• ASA Services Module에 로그인, 페이지 2-4

• 콘솔 세션에서 로그아웃, 페이지 2-5

• 활성화된 콘솔 연결 끊기, 페이지 2-6

• 텔넷 세션에서 로그아웃, 페이지 2-6

연결 방법 소개스위치 CLI에서 다음 두 가지 방법을 사용하여 ASASM에 연결할 수 있습니다.

• 가상 콘솔 연결 — service-module session 명령을 사용하여 ASASM에 대한 가상 콘솔 연결을 생성하며, 여기에는 실제 콘솔 연결의 이점과 제한 사항이 모두 포함됩니다.

혜택은 다음과 같습니다.

– 다시 로드하더라도 연결이 유지되며 시간 초과되지 않습니다.

– ASASM에서 다시 로드하는 동안 연결된 상태를 유지하고 시작 메시지를 볼 수 있습니다.

– ASASM에서 이미지를 로드할 수 없는 경우 ROMMON에 액세스할 수 있습니다.

– 초기 비밀번호 컨피그레이션이 필요하지 않습니다.

제한 사항은 다음과 같습니다.

– 연결이 느립니다(9600보드).

– 한 번에 하나의 콘솔 연결만 활성 상태로 유지할 수 있습니다.

– Ctrl-Shift-6, x가 터미널 서버 프롬프트로 돌아가는 이스케이프 시퀀스인 경우 이 명령을 터미널 서버와 함께 사용할 수 없습니다. Ctrl-Shift-6, x는 ASASM 콘솔에서 벗어나 스위치 프롬프트로 돌아가는 시퀀스이기도 합니다. 따라서 이러한 상황에서 ASASM 콘솔을 종료하려는 경우 터미널 서버 프롬프트에 대한 모든 방법을 종료해야 합니다. 스위치에 터미널 서버를 다시 연결할 경우 ASASM 콘솔 세션은 계속 활성화되어 있지만 스위치 프롬프트는 종료할 수 없게 됩니다. 콘솔에서 스위치 프롬프트로 돌아가려면 직접 직렬 연결을 사용해야 합니다. 이 경우 Cisco IOS 소프트웨어에서 터미널 서버 또는 스위치 이스케이프 문자를 변경하거나, 텔넷 session 명령을 대신 사용합니다.

참고 ASASM에서 올바르게 로그아웃하지 않을 경우 콘솔 연결 상태가 계속 유지되어 의도한 시간보다 오래 연결이 지속될 수 있습니다. 다른 사람이 로그인하려면 기존 연결을 끊어야 합니다.

• 텔넷 연결 — session 명령을 사용하여 ASASM에 대한 텔넷 연결을 생성합니다.

참고 새 ASASM에는 이 방법을 사용하여 연결할 수 없습니다. 이 방법을 사용하려면 ASASM에 대한 텔넷 로그인 비밀번호를 구성해야 합니다(기본 비밀번호 없음). passwd 명령을 사용하여 비밀번호를 설정하면 이 방법을 사용할 수 있습니다.

혜택은 다음과 같습니다.

– ASASM에 대한 세션을 동시에 유지할 수 있습니다.

– 텔넷 세션은 빠른 연결입니다.



제한 사항은 다음과 같습니다.

– ASASM을 다시 로드하면 텔넷 세션이 종료되고 시간 초과될 수 있습니다.

– 완전히 로드할 때까지 ASASM에 액세스할 수 없습니다. ROMMON에 액세스할 수 없습니다.

– 먼저 텔넷 로그인 비밀번호를 설정해야 합니다. 기본 비밀번호는 없습니다.

ASA Services Module에 로그인초기 컨피그레이션의 경우에는 스위치에 연결(스위치 콘솔 포트에 또는 텔넷/SSH를 사용하여 원격으로)한 다음 ASASM에 연결하여 명령행 인터페이스에 액세스합니다.

시스템이 이미 다중 컨텍스트 모드에 있는 경우 스위치에서 ASASM에 액세스하면 시스템 실행 영역으로 이동합니다.

나중에 텔넷이나 SSH를 사용하여 ASASM에 대한 직접 원격 액세스를 구성할 수 있습니다.

절차

단계 1 스위치에서 다음 중 하나를 수행합니다.

• 초기 액세스에 사용 가능한 방법 — 스위치 CLI에서 다음 명령을 입력하여 ASASM에 대한 콘솔 액세스 권한을 얻습니다.service-module session [switch {1 | 2}] slot number

예:Router# service-module session slot 3ciscoasa>

VSS에 있는 스위치의 경우 switch 인수를 입력합니다.모듈 슬롯 번호를 보려면 스위치 프롬프트에서 show module 명령을 입력합니다.사용자 EXEC 모드에 액세스할 수 있습니다.

• 로그인 비밀번호 구성 후 사용 가능한 방법 — 스위치 CLI에서, 텔넷에 다음 명령을 입력하여 백플레인을 통해 ASASM에 연결합니다.session [switch {1 |2}] slot number processor 1

로그인 비밀번호를 묻는 메시지가 표시됩니다.ciscoasa passwd:

예:Router# session slot 3 processor 1ciscoasa passwd: ciscociscoasa>

VSS에 있는 스위치의 경우 switch 인수를 입력합니다.다른 서비스 모듈에서 지원되는 session slot processor 0 명령은 ASASM에서 지원되지 않습니다. ASASM에는 프로세서 0이 없습니다.

모듈 슬롯 번호를 보려면 스위치 프롬프트에서 show module 명령을 입력합니다.ASASM에 로그인 비밀번호를 입력합니다. passwd 명령을 사용하여 비밀번호를 설정합니다. 비밀번호는 기본값이 없습니다.

사용자 EXEC 모드에 액세스할 수 있습니다.



단계 2 가장 권한 수준이 높은 특권 EXEC 모드에 액세스합니다.enable

예:ciscoasa> enablePassword:ciscoasa#

프롬프트에서 enable 비밀번호를 입력합니다. 기본적으로 비밀번호는 비어 있습니다.

특권 EXEC 모드를 종료하려면 disable, exit 또는 quit 명령을 입력합니다. 단계 3 전역 컨피그레이션 모드 액세스:

configure terminal

전역 컨피그레이션 모드를 종료하려면 disable, exit 또는 quit 명령을 입력합니다.

관련 주제• 관리 액세스에 대한 지침, 페이지 34-1.

• 호스트 이름, 도메인 이름, Enable 및 텔넷 비밀번호 설정, 페이지 18-1

콘솔 세션에서 로그아웃ASASM에서 로그아웃하지 않으면 콘솔 연결이 지속되므로 시간 제한이 없습니다. ASASM 콘솔 세션을 종료하고 스위치 CLI에 액세스하여 다음 단계를 수행합니다.

다른 사용자가 의도치 않게 열어둔 활성화된 연결을 끊으려면 활성화된 콘솔 연결 끊기, 페이지 2-6을 참조하십시오.

절차

단계 1 스위치 CLI로 돌아가려면 다음을 입력합니다.Ctrl-Shift-6, x

스위치 프롬프트로 다시 돌아갑니다.asasm# [Ctrl-Shift-6, x]Router#

참고 미국 및 영국 키보드에서 Shift-6을 누르면 캐럿 기호(^)가 생성됩니다. 다른 키보드를 사용 중이고 탈자 기호(^)를 독립 문자로 생성할 수 없는 경우, 이스케이프 문자를 다른 문자로 변경하는 것이 일시적으로 또는 영구적으로 불가능합니다. terminal escape-character ascii_number 명령(이 세션에서 변경하려는 경우) 또는 default escape-character ascii_number 명령(영구적으로 변경하려는 경우)을 사용하십시오. 예를 들어, 현재 세션의 시퀀스를 Ctrl-w, x로 변경하려면 terminal escape-character 23을 입력합니다.



활성화된 콘솔 연결 끊기ASASM에서 올바르게 로그아웃하지 않을 경우 콘솔 연결 상태가 계속 유지되어 의도한 시간보다 오래 연결이 지속될 수 있습니다. 다른 사람이 로그인하려면 기존 연결을 끊어야 합니다.

절차

단계 1 스위치 CLI에서 show users 명령을 사용하여 연결된 사용자를 표시합니다. 콘솔 사용자는 "con"으로 표시됩니다. 호스트 주소는 127.0.0.slot0으로 표시되며 여기서 slot은 모듈의 슬롯 번호입니다.Router# show users

예를 들어, 다음 명령의 출력 값에는 슬롯 2의 모듈 0에 있는 사용자 "con"이 표시됩니다.Router# show usersLine User Host(s) Idle Location* 0 con 0 127.0.0.20 00:00:02

단계 2 콘솔 연결이 포함된 행을 지우려면 다음 명령을 입력합니다.Router# clear line number

예를 들면 다음과 같습니다.Router# clear line 0

텔넷 세션에서 로그아웃텔넷 세션을 종료하고 스위치 CLI에 액세스하여 다음 단계를 수행합니다.

절차

단계 1 스위치 CLI로 돌아가려면, ASASM 특권 또는 사용자 EXEC 모드에서 exit를 입력합니다. 컨피그레이션 모드인 경우 텔넷 세션을 종료할 때까지 exit를 반복 입력합니다.스위치 프롬프트로 다시 돌아갑니다.asasm# exitRouter#

참고 또는 이스케이프 시퀀스 Ctrl-Shift-6, x를 사용하여 텔넷 세션을 종료할 수 있습니다. 이러한 이스케이프 시퀀스를 사용하면 스위치 프롬프트에서 Enter 키를 눌러 텔넷 세션을 다시 시작할 수 있습니다. 스위치에서 텔넷 세션의 연결을 끊으려면 스위치 CLI에서 disconnect를 입력합니다. 세션의 연결을 끊지 않을 경우 ASASM 컨피그레이션에 따라 시간이 초과될 수 있습니다.



소프트웨어 모듈 콘솔 액세스ASA 5506-X에 ASA FirePOWER 모듈과 같은 소프트웨어 모듈이 설치된 경우 모듈 콘솔과의 세션을 시작할 수 있습니다.

참고 session 명령을 사용하여 ASA 백플레인을 통해 하드웨어 모듈 CLI에 액세스할 수 없습니다.

절차

단계 1 ASA CLI에서 모듈과의 세션을 시작합니다.session {sfr | cxsc | ips} console

예:ciscoasa# session sfr consoleOpening console session with module sfr.Connected to module sfr. Escape character sequence is 'CTRL-^X'. Cisco ASA SFR Boot Image 5.3.1asasfr login: adminPassword: Admin123

ASA 5506W-X Wireless Access Point 콘솔 액세스무선 액세스 포인트 콘솔에 액세스하려면 다음 단계를 수행합니다.

절차

단계 1 액세스 포인트에 대한 ASA CLI, 세션에서session wlan console

예:ciscoasa# session wlan consoleopening console session with module wlanconnected to module wlan. Escape character sequence is ‘CTRL-^X’

ap>

단계 2 액세스 포인트 CLI에 대한 자세한 내용은 Autonomous Aironet Access Point를 위한 Cisco IOS 컨피그레이션 가이드를 참조하십시오.


http://www.cisco.com/c/en/us/td/docs/wireless/access_point/15-3-3/configuration/guide/cg15-3-3.htmlhttp://www.cisco.com/c/en/us/td/docs/wireless/access_point/15-3-3/configuration/guide/cg15-3-3.html

2장 시작하기 ASDM 액세스 구성

ASDM 액세스 구성이 섹션에서는 기본 컨피그레이션을 사용하여 ASDM에 액세스하는 방법과 기본 컨피그레이션이 없는 경우 액세스를 컨피그레이션하는 방법에 대해 알아봅니다.

• ASDM 액세스에 공장 기본 컨피그레이션 사용(어플라이언스, ASAv), 페이지 2-8

• 어플라이언스 및 ASAv를 위한 ASDM 액세스 사용자 정의, 페이지 2-9

• ASA Services Module에 대한 ASDM 액세스 구성, 페이지 2-10

ASDM 액세스에 공장 기본 컨피그레이션 사용(어플라이언스, ASAv)공장 기본 컨피그레이션을 사용할 경우 ASDM 연결은 기본 네트워크 설정으로 사전 구성됩니다.

절차

단계 1 다음 인터페이스 및 네트워크 설정을 사용하여 ASDM에 연결합니다.

• 관리 인터페이스는 사용하는 모델에 따라 달라집니다.

– ASA 5506-X, ASA 5508-X, ASA 5516-X—ASDM에 연결하는 인터페이스는 GigabitEthernet 1/2입니다.

– ASA 5512-X 이상 — ASDM에 연결하는 인터페이스는 Management 0/0입니다.

– ASAv— ASDM에 연결하는 인터페이스는 Management 0/0입니다.

• 기본 관리 주소는 다음과 같습니다.

– ASA 어플라이언스 — 192.168.1.1.

– ASAv— 구축 과정에서 관리 인터페이스 IP 주소를 설정합니다.

• 클라이언트에서는 ASDM 액세스를 허용합니다.

– ASA 어플라이언스 — 클라이언트는 192.168.1.0/24 네트워크에 있어야 합니다. 기본 컨피그레이션의 경우 DHCP를 지원하므로 관리 스테이션에서는 이 범위 내에 IP 주소를 할당할 수 있습니다.

– ASAv— 구축 과정에서 관리 클라이언트 IP 주소를 설정합니다. ASAv에서는 연결된 클라이언트의 DHCP 서버로 작동하지 않습니다.

참고 다중 컨텍스트 모드로 변경할 경우, 위의 네트워크 설정을 사용하여 관리자 컨텍스트에서 ASDM에 액세스할 수 있습니다.

관련 주제• 공장 기본 컨피그레이션, 페이지 2-16

• 다중 컨텍스트 모드 활성화 또는 비활성화, 페이지 8-15




어플라이언스 및 ASAv를 위한 ASDM 액세스 사용자 정의다음 조건 중 하나 이상이 해당되는 경우 이 절차를 사용하십시오.

• 공장 기본 컨피그레이션이 없는 경우

• 투명 방화벽 모드를 변경하려는 경우

• 다중 컨텍스트 모드로 변경하려는 경우

단일 라우팅 모드의 경우 ASDM에 쉽고 빠르게 액세스하려면 고유한 관리 IP 주소를 설정하는 옵션에 공장 기본 컨피그레이션을 적용하는 것이 좋습니다. 이 섹션의 절차는 투명 또는 다중 컨텍스트 모드 설정 같은 특수한 상황 또는 유지해야 할 다른 컨피그레이션이 있는 경우에만 사용하십시오.

참고 ASAv에서는 구축 시 투명 모드를 구성할 수 있습니다. 따라서 따라서 이 절차는 구축 이후에, 이를테면 컨피그레이션을 지워야 하는 경우에 유용합니다.

절차

단계 1 콘솔 포트에서 CLI에 액세스합니다.

단계 2 (선택 사항) 투명 방화벽 모드를 활성화합니다.

이 명령을 실행하면 컨피그레이션이 지워집니다.firewall transparent

단계 3 관리 인터페이스를 구성합니다.interface interface_idnameif name

security-level levelno shutdownip address ip_address mask

예:ciscoasa(config)# interface management 0/0ciscoasa(config-if)# nameif managementciscoasa(config-if)# security-level 100ciscoasa(config-if)# no shutdownciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0

security-level은 1 ~ 100의 숫자로 설정하며 100이 가장 안전한 수준입니다.단계 4 (직접 연결된 관리 호스트의 경우) 관리 네트워크에 DHCP 풀을 설정합니다.

dhcpd address ip_address-ip_address interface_namedhcpd enable interface_name

예:ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.254 managementciscoasa(config)# dhcpd enable management

범위에 인터페이스 주소가 포함되어 있지 않은지 확인합니다.

단계 5 (원격 관리 호스트의 경우) 관리 호스트에 대한 경로를 구성합니다.route management_ifc management_host_ip mask gateway_ip 1



예:ciscoasa(config)# route management 10.1.1.0 255.255.255.0 192.168.1.50 1

단계 6 ASDM에 대한 HTTP 서버를 활성화합니다.http server enable

단계 7 관리 호스트에서 ASDM에 액세스하도록 허용합니다.http ip_address mask interface_name

예:ciscoasa(config)# http 192.168.1.0 255.255.255.0 management

단계 8 컨피그레이션을 저장합니다.write memory

단계 9 (선택 사항) 모드를 다중 모드로 설정합니다.mode multiple

프롬프트가 표시되면 기존 컨피그레이션을 관리자 컨텍스트로 변환할 것을 확인합니다. 그러면 ASA를 다시 로드하라는 메시지가 표시됩니다.

예

다음 컨피그레이션에서는 방화벽 모드를 투명 모드로 변환하고, Management 0/0 인터페이스를 컨피그레이션하고, 관리 호스트에 대한 ASDM을 활성화합니다.firewall transparentinterface management 0/0

ip address 192.168.1.1 255.255.255.0nameif managementsecurity-level 100no shutdown

dhcpd address 192.168.1.2-192.168.1.254 managementdhcpd enable managementhttp server enablehttp 192.168.1.0 255.255.255.0 management

관련 주제• 공장 기본 컨피그레이션 복원, 페이지 2-16

• 방화벽 모드 설정(단일 모드), 페이지 6-9

• 어플라이언스 콘솔 액세스, 페이지 2-2


• 8장, “다중 컨텍스트 모드.”

ASA Services Module에 대한 ASDM 액세스 구성ASASM에는 물리적 인터페이스가 없으므로 ASDM 액세스가 사전 구성되어 있지 않습니다. ASASM에서 CLI를 사용하여 ASDM 액세스를 구성해야 합니다. ASDM 액세스를 위해 ASASM을 구성하려면 다음을 수행하십시오.



시작하기 전에ASASM 빠른 시작 설명서에 따라 ASASM VLAN 인터페이스를 할당하십시오.

절차

단계 1 ASASM에 연결하고 전역 컨피그레이션 모드에 액세스합니다.

단계 2 (선택 사항) 투명 방화벽 모드를 활성화합니다.firewall transparent

이 명령을 실행하면 컨피그레이션이 지워집니다.

단계 3 현재 사용 중인 모드에 따라, 다음 중 하나를 수행하여 관리 인터페이스를 구성합니다.

• 라우팅 모드 — 라우팅 모드에서는 인터페이스를 다음과 같이 구성합니다.interface vlan number

ip address ip_address [mask]nameif namesecurity-level level

예:ciscoasa(config)# interface vlan 1ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0ciscoasa(config-if)# nameif insideciscoasa(config-if)# security-level 100

security-level은 1~100 사이의 숫자로 설정하며 100이 가장 안전한 수준입니다.• 투명 모드 — 브리지 가상 인터페이스를 구성하고 브리지 그룹에 관리 VLAN을 할당합니다.

interface bvi numberip address ip_address [mask]

interface vlan numberbridge-group bvi_numbernameif namesecurity-level level

예:ciscoasa(config)# interface bvi 1ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0

ciscoasa(config)# interface vlan 1ciscoasa(config-if)# bridge-group 1ciscoasa(config-if)# nameif insideciscoasa(config-if)# security-level 100

security-level은 1~100 사이의 숫자로 설정하며 100이 가장 안전한 수준입니다.단계 4 (직접 연결된 관리 호스트의 경우) 관리 인터페이스 네트워크의 관리 호스트에 대한 DHCP 풀을

활성화합니다.dhcpd address ip_address-ip_address interface_namedhcpd enable interface_name

예:ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.254 insideciscoasa(config)# dhcpd enable inside



범위에 관리 주소가 포함되어 있지 않은지 확인합니다.

단계 5 (원격 관리 호스트의 경우) 관리 호스트에 대한 경로를 구성합니다.route management_ifc management_host_ip mask gateway_ip 1

예:ciscoasa(config)# route management 10.1.1.0 255.255.255.0 192.168.1.50

단계 6 ASDM에 대한 HTTP 서버를 활성화합니다.http server enable

단계 7 관리 호스트에서 ASDM에 액세스하도록 허용합니다.http ip_address mask interface_name

예:ciscoasa(config)# http 192.168.1.0 255.255.255.0 management

단계 8 컨피그레이션을 저장합니다.write memory

단계 9 (선택 사항) 모드를 다중 모드로 설정합니다.mode multiple

프롬프트가 표시되면 기존 컨피그레이션을 관리자 컨텍스트로 변환할 것을 확인합니다. 그러면 ASASM를 다시 로드하라는 메시지가 표시됩니다.

예

다음 라우팅 모드 컨피그레이션에서는 VLAN 1 인터페이스를 컨피그레이션하고 관리 호스트에 대한 ASDM를 활성화합니다.interface vlan 1

nameif insideip address 192.168.1.1 255.255.255.0security-level 100

dhcpd address 192.168.1.3-192.168.1.254 insidedhcpd enable insidehttp server enablehttp 192.168.1.0 255.255.255.0 inside

다음 컨피그레이션에서는 방화벽 모드를 투명 모드로 변환하고, VLAN 1 인터페이스를 구성하고 이를 BVI 1에 할당하며, 관리 호스트에 대한 ASDM을 활성화합니다.firewall transparentinterface bvi 1

ip address 192.168.1.1 255.255.255.0interface vlan 1

bridge-group 1nameif insidesecurity-level 100

dhcpd address 192.168.1.3-192.168.1.254 insidedhcpd enable insidehttp server enablehttp 192.168.1.0 255.255.255.0 inside


2장 시작하기 ASDM 시작

관련 주제• ASA Services Module 콘솔 액세스, 페이지 2-2

• 8장, “다중 컨텍스트 모드.”

• 방화벽 모드 설정(단일 모드), 페이지 6-9

ASDM 시작다음 두 가지 방법을 사용하여 ASDM을 시작할 수 있습니다.

• ASDM-IDM Launcher — Launcher는 모든 ASA IP 주소에 연결하는 데 사용할 수 있는 웹 브라우저를 사용하여 ASA에서 다운로드하는 애플리케이션입니다. 다른 ASA에 연결하려는 경우 Launcher를 다시 다운로드할 필요 없습니다. 또한 Launcher는 로컬에 다운로드한 파일을 사용하여 가상 ASDM을 데모 모드로 실행하는 것도 지원합니다.

• Java Web Start — ASA를 관리하는 모든 경우 웹 브라우저에 연결한 다음 Java Web Start 애플리케이션을 저장하거나 이 애플리케이션을 시작해야 합니다. 컴퓨터에 바로가기를 저장할 수는 있으나 ASA IP 주소마다 별도의 바로가기를 지정해야 합니다.

ASDM 내에서는 여러 개의 ASA IP 주소를 선택하여 관리할 수 있습니다. Launcher와 Java Web Start 기능의 주요 차이점은 맨 처음 ASA에 연결하고 ASDM을 시작하는 방법에 있습니다.이 섹션에서는 맨 처음 ASDM에 연결한 다음 Launcher 또는 Java Web Start를 사용하여 ASDM을 시작하는 방법에 대해 설명합니다.

절차

단계 1 ASDM 클라이언트로 지정한 컴퓨터에서 다음 URL을 입력합니다.https://asa_ip_address/admin

다음 버튼이 있는 ASDM 시작 페이지가 나타납니다.• Install ASDM Launcher and Run ASDM(ASDM Launcher 설치 및 ASDM 실행)• Run ASDM(ASDM 실행) • Run Startup Wizard(시작 마법사 실행)

단계 2 Launcher를 다운로드하려면a. Install ASDM Launcher and Run ASDM(ASDM Launcher 설치 및 ASDM 실행)을 클릭합

니다.b. 사용자 이름 및 비밀번호 필드를 비어 있는 상태로 두고(새로 설치하는 경우) OK(확인)를 클

릭합니다. 어떤 HTTPS 인증도 구성되지 않았으므로 사용자 이름 없이, enable 비밀번호(기본적으로 비어 있음)를 사용하여 ASDM에 액세스할 수 있습니다. 참고: HTTPS 인증을 활성화한 경우 사용자 이름과 해당 비밀번호를 입력합니다.

c. 설치 프로그램을 컴퓨터에 저장한 다음 시작합니다. 설치가 완료되면 ASDM-IDM Launcher가 자동으로 열립니다.

d. 관리 IP 주소를 입력한 후 사용자 이름과 비밀번호를 비어 있는 상태로 두고(새로 설치하는 경우) OK(확인)를 클릭합니다. 참고: HTTPS 인증을 활성화한 경우 사용자 이름과 해당 비밀번호를 입력합니다.

단계 3 Java Web Start를 사용하려면a. Run ASDM(ASDM 실행) 또는 Run Startup Wizard(시작 마법사 실행)를 클릭합니다.b. 프롬프트에 따라 바로가기를 컴퓨터에 저장합니다. 저장하지 않고 열 수도 있습니다.


2장 시작하기 ASDM 운영 사용자 정의

c. 바로가기에서 Java Web Start를 시작합니다.d. 표시되는 대화 상자의 안내에 따라 인증서를 승인합니다. Cisco ASDM-IDM Launcher가 나

타납니다.e. 사용자 이름과 비밀번호를 비어 있는 상태로 두고(새로 설치하는 경우) OK(확인)를 클릭합니

다. 참고: HTTPS 인증을 활성화한 경우 사용자 이름과 해당 비밀번호를 입력합니다.

ASDM 운영 사용자 정의ID 인증서를 설치하여 성공적으로 ASDM을 실행할 뿐 아니라 ASDM 힙 메모리를 늘려 더 큰 컨피그레이션을 처리할 수 있습니다.

• ASDM에 대한 ID 인증서 설치, 페이지 2-14

• ASDM 컨피그레이션 메모리 늘리기, 페이지 2-14

ASDM에 대한 ID 인증서 설치Java 7 업데이트 51 이상을 사용할 경우, ASDM Launcher에 신뢰할 수 있는 인증서가 필요합니다. 이 인증서 요구 사항을 손쉽게 해결하는 방법은 자체 서명 ID 인증서를 설치하는 것입니다. 인증서를 설치하기 전까지는 Java Web Start를 사용하여 ASDM을 시작할 수 있습니다.

ASA에 자체 서명 ID 인증서를 설치하여 ASDM을 사용하고, 해당 인증서를 Java에 등록하는 방법에 대한 내용은 다음 문서를 참조하십시오.http://www.cisco.com/go/asdm-certificate

ASDM 컨피그레이션 메모리 늘리기ASDM에서는 컨피그레이션 크기를 최대 512KB까지 지원합니다. 이 용량을 초과할 경우 성능 문제가 발생할 수 있습니다. 예를 들어, 컨피그레이션을 로드했을 때 상태 대화 상자에 완료된 컨피그레이션의 백분율이 표시되어 있지만 대규모 컨피그레이션의 경우 더 이상 진행되지 않고 마치 작업이 일시 중단된 것처럼 보일 수 있습니다. ASDM에서 컨피그레이션을 처리 중인 상태에서도 이러한 현상이 일어날 수 있습니다. 그러한 상황에서는 ASDM 시스템 힙 메모리의 확장을 고려해보십시오.

• Windows에서 ASDM 컨피그레이션 메모리 늘리기, 페이지 2-14

• Mac OS에서 ASDM 컨피그레이션 메모리 늘리기, 페이지 2-15

Windows에서 ASDM 컨피그레이션 메모리 늘리기ASDM 힙 메모리 크기를 늘리려면 다음 절차를 수행하여 run.bat 파일을 수정합니다.

절차

1. ASDM 설치 디렉터리로 이동합니다(예: C:\Program Files (x86)\Cisco Systems\ASDM).

2. 텍스트 편집기를 사용하여 run.bat 파일을 수정합니다.


http://www.cisco.com/go/asdm-certificate

2장 시작하기 ASDM 운영 사용자 정의

3. “start javaw.exe”로 시작하는 줄에서 “-Xmx” 접두사가 붙은 인수를 변경하여 원하는 힙 크기�

일반 운영 asdm 컨피그레이션 가이드 · java 7 업데이트 51 이상을 사용할...

Documents