1

智能业务平台 大型企业 无边界网络

智能业务平台

互联网边缘部署指南

修订版：2011年上半年

本文目的 《互联网边缘部署指南》重点介绍防火墙和入侵防御系统等安全服务，以保护您企业的互联网网关。互联网服务供应商连接和路由选项，与服务器负载均衡相结合，为本设计提供了永续性。电子邮件安全模块用于保护电子邮件免遭垃圾邮件和恶意软件的影响。Web

安全模块提供可接受使用的控制和监控功能，并能够降低因客户端浏览互联网而带来的日益严重的风险。虚拟专用网（VPN）设计模块能够为远程工作人员和移动用户提供安全的远程网络接入。所有这些部分都采用独立模块形式，可通过相互配合提供一个安全的互联网边缘解决方案。

本指南的目标受众 本指南面向具有以下全部或部分特点的读者：

• 拥有2000–10,000名互联员工

• 拥有具备Cisco Certified Network Associate（CCNA®）认证或同等资质的IT员工

本文的读者目前可能有以下部分或全部需求：

• 希望更加安全地访问互联网

• 希望为员工访问互联网提供备份连接

• 需要一个支持远程员工和移动员工访问企业数据的解决方案

• 需要一个可控制员工访问网络和屏蔽恶意网站的解决方案

• 需要一个能够过滤发送给企业的垃圾邮件和恶意邮件的解决方案

• 需要一个能够提高面向互联网的服务可用性的解决方案

• 希望高效地部署网络基础设施

• 希望部署经过严格测试的解决方案

• 需要通过有效的升级路径实现增长

相关文档 在阅读本文前，您还可阅读

设计概述

可选文档

局域网部署指南

广域网部署指南

设计指南 部署指南

设计概述

基础架构

您在这里 互联网边缘 补充指南

配置文件

IBA

目录

前言........................................................................................................................................................................................1

互联网边缘业务概述 ...............................................................................................................................................4

架构概述: 互联网边缘............................................................................................................................................5

互联网边缘的连通性 ...............................................................................................................................................7

防火墙 .............................................................................................................................................................................. 10

入侵防御 ........................................................................................................................................................................ 35

远程访问 VPN ........................................................................................................................................................... 46

电子邮件安全性........................................................................................................................................................61

Web 安全性.................................................................................................................................................................75

互联网边缘服务器负载均衡 ...........................................................................................................................96

总结 ................................................................................................................................................................................ 101

附录 A: 大型企业部署产品列表 .............................................................................................................. 102

附录 B: 面向大型企业的 IBA 智能业务平台文档体系 .......................................................... 104

本手册中的所有设计、规格、陈述、信息和建议（统称为“设计”）均按“原样”提供，可能包含错误信息。思科及其供应商不提供任何保证，包括但不限于适销性、适合特定用途和非侵权保证，或与交易过程、使用或贸易惯例相关的保证。在任何情况下，思科及其供应商对任何间接的、特殊的、继发的或偶然性的损害均不承担责任，包括但不限于由于使用或未能使用本手册所造成的利润损失或数据丢失或损害，即使思科或其供应商已被告知存在此类损害的可能性。这些设计如有更改，恕不另行通知。用户对于这些设计的使用负有全部责任。这些设计不属于思科、供应商或合作伙伴的技术建议或其它专业建议。用户在采用这些设计之前应咨询他们的技术顾问。思科未测试的一些因素可能导致结果有所不同. 文中使用的任何互联网协议（IP）地址均非真实地址。文中的任何举例、命令显示输出和图示只用作说明之用。在图示中使用任何真实 IP 地址均属无意和巧合。Cisco Unified Communications SRND（基于 Cisco Unified Communications Manager 7.x）。 © 2011 思科系统公司。保留所有权利。

目录

前言 1

前言

智能业务平台——面向大型企业的无边界网络是一个稳固的网络基础架构，为拥有2,000

至10,000名互联用户的网络带来了出色的灵活性，无需重新设计网络，即可支持新用户或新的网络服务。我们撰写了一份详细全面并可直接使用的部署指南，它以最佳实践设计原则为基础，并提供了灵活性和可扩展性。

面向大型企业的智能业务平台（IBA）无边界网络（BN）架构由一个设计指南以及多个部署指南和配置指南组成，适用于以下三个部分：局域网、广域网和互联网边缘。

设计指南为您介绍了智能业务平台整体设计，以及在选择具体产品时所考虑的各项要求。

智能业务平台（IBA）部署指南旨在引导您了解该架构的深度和广度的同时，帮助您更轻松地了解和学习用以构建该架构的各种网络技术。

• 《局域网部署指南》包括有线和无线网络，旨在为较大规模的园区级局域网和较小的

远程站点局域网提供无处不在的联网功能。此外，为提供强大的通信环境，该指南还包括了永续性、安全性和可扩展性方面的内容。服务质量（QoS）也集成在本指南中，以确保基础架构能够支持大量应用，包括在单一网络上与数据应用共存的、对丢包敏感的低延迟多媒体应用。该指南还提供了一个访客和合作伙伴接入解决方案，该解决方案和员工网络使用相同的无线基础设施，但不能访问内部保密信息

• 《广域网部署指南》包括主站点的总体设计和多个远程站点设计，以通用的方式满足各种网络规模和服务级别的要求。广域网部署指南十分灵活，提供了用于多协议标签

交换（MPLS）传输，以及主用/备用宽带或互联网传输的配置和部署指南。本指南中还包括了QoS，以确保基础架构能够在单一传输载体上支持大量应用。该架构设计中集成了应用优化功能，本部署指南详细介绍了广域网流量的优化，确保在提供出色用户体验的同时，经济地利用带宽。

• 《互联网边缘部署指南》重点介绍防火墙和入侵防御系统等安全服务，以保护您企业的互联网网关。互联网服务供应商连接和路由选项，与服务器负载均衡相结合，为设计提供了永续性。电子邮件安全模块用于保护电子邮件免遭垃圾邮件和恶意软件的影响。Web安全模块提供可接受的使用控制和监视功能，并向您介绍了如何管理因客户端浏览互联网而带来的日益严重的风险。虚拟专用网（VPN）设计能够为远程工作人员和移动用户提供安全的远程网络接入。所有这些部分都采用独立模块形式，但又能相互配合，提供一个安全的互联网边缘解决方案。

本部署指南旨在简化面向大型企业的无边界网络的配置、部署和管理。

设计目标 本架构以收集自客户、合作伙伴及思科现场人员的需求为基础，旨在服务于互联用户在2000到10,000之间的企业。在设计架构时，我们考虑了收集到的需求和以下设计目标：

• 易于部署：企业能在架构中所有产品上一致地部署设计方案。部署中所用的配置是实现快速永续部署的最佳方法。

• 灵活性和可扩展性：该架构能随企业发展而扩展，不必进行重新设计。

• 永续性和安全性：该架构即使出现计划外中断和遭受攻击，也能保持网络正常运行。

• 易于管理：本部署指南包括对设备进行配置，使其由网络管理系统（NMS）进行管理，或作为网络中的独特组件加以管理。

• 为未来支持高级技术做好充分准备：该网络基础架构已经配置了所需基本网络服务，因此实施诸如协作等高级技术非常简单易行。

前言 2

图1. 面向大型企业的无边界网络概述

硬件和软件 VPN

远程员工/ 移动员工

远程

地区办公室

广域网汇聚

数据中心

无线接入点

客户端接入交换机

支持应用加速的分支机构路由器

互联网

广域网

紧缩分布/ 核心交换机

无线局域网控制器 区域路由器

应用加速 客户端 接入交换机

核心交换机

Web 安全设备

无线局域网控制器

应用加速

远程接入 VPN

互联网 边缘路由器

电 子 邮 件安全设备

访客无线局域网

互联网服务器 防火墙VPN

建筑物 3 建筑物 4

分布交换机

互联网边缘

建筑物 1 建筑物 2

前言 3

易于部署、灵活性和可扩展性 拥有2000到10,000名用户的企业通常在多个不同地点设有业务运营机构，这使得灵活性和可扩展性成为其网络的关键要求。在此设计中，我们采用了几种方法来创建和维护一个可扩展的网络。

• 通过为网络常用部分保持少量标准设计，支持人员能够更高效地实施、支持这些网络并为其设计服务。

• 我们采用了模块化设计方法来增强可扩展性。从一系列标准的全局构建模块着手，我们能够组建一个满足需求的可扩展网络。

• 对于多个服务区域来说，许多插件模块看上去是相同的，这样提供了一致性和可扩展性，从而可使用相同的支持方法来维持多个网络区域。这些模块遵循标准的核心层——分布层——接入层网络设计方法，并进行了分层，以确保正确定义插件间的接口。

永续性和安全性 保持高可用性网络的要点之一就是建立适当的冗余性，以防御网络中的故障。我们的架构精心平衡了冗余性和冗余系统的复杂性这两个因素。

随着语音和视频会议等对延迟和丢包敏感的流量大量出现，我们还将恢复时间作为了一个重要因素。选择能够缩短从发现故障到恢复正常所需时间的设计，对于确保网络在发生某个较小的组件故障时仍保持可用非常关键。

网络安全性也是本架构一个重要组成部分。在大型网络中有许多入口点，我们要确保它们尽可能安全，同时不会对网络易用性造成较大影响。保护网络不仅能防止网络受到攻击，而且对于实现网络级永续性也至关重要。

易于管理 虽然本指南的重点是网络基础架构的部署，但本设计方案也考虑到了下一个阶段，即管理和运行。部署指南中的配置既允许通过SSH和HTTPS等普通设备管理连接进行设备管理，也允许经由NMS管理设备。本指南中不包括NMS的配置。

为未来支持高级技术做好准备 灵活性、可扩展性、永续性和安全性都是为未来支持高级技术做好充分准备的网络特性。本架构的模块化设计意味着，当企业作好了部署准备时，就能随时添加这些高级技术。此外，因为本架构中的产品和配置从部署之初就能够随时支持协作，所以协作等高级技术的配置就得以简化了。例如：

• 接入交换机为电话部署提供了以太网供电（PoE），无需本地电源插座

• 整个网络预先配置了支持高质量语音的QoS

• 为支持高效的语音和广播视频交付，在网络中配置了组播

• 为利用无线局域网发送语音的设备预配置了无线网络，可通过802.11 Wi-Fi（即支持移动办公的技术）在所有地点提供IP语音服务

• 互联网边缘已准备就绪，能够通过VPN提供软电话，以及传统的硬电话或桌面电话

本部署指南的使用 此大型企业架构是作为端到端系统设计、构建并经过验证的。如需了解该架构的具体组成部分，我们提供三个主要的部署指南，它们分别针对局域网（LAN）、广域网（WAN）和互联网边缘。

为加强您对大型企业架构的理解，我们提供了大量补充指南，介绍可能对解决您的业务问题十分重要的特定功能、技术或特性。

每个部署指南的第一部分都是业务概述，介绍了所解决的常见业务问题。接下来是架构概述，帮助您了解技术解决方案在解决您的业务问题方面的价值。

每个部署指南都采用了模块化结构，既允许您从开始逐步完成部署，也允许您跳转到某个特定模块开始部署。此外，每个部署指南和其中的模块都是独立的，因此您无需逐步完成前面每个模块的部署，就能部署某个模块中特定的思科技术。每个部署指南都包括一份完整的清单，其中包括涉及的产品和经过测试的软件版本，配套的补充指南则包含使用的所有配置文件。

备注

互联网边缘业务概述 4

互联网边缘业务概述

互联网边缘旨在解决以下业务问题：

• 企业需要为用户提供互联网服务（电子邮件和Web）接入

• 用户需要从远程地点访问企业内部的服务

• 企业需要为公众、合作伙伴和客户提供可控的数据和/或服务访问

• 企业需要通过控制工作相关地点的互联网接入来提高员工的工作效率

• 企业需要管理与互联网连接相关的安全风险

互联网边缘为在企业和互联网之间传输的流量提供连接性。这其中包括进出企业、互联网和DMZ的流量。企业的互联网边缘部署必须执行企业的安全策略，并成为实施安全策略的典范。

互联网边缘提供的服务包括互联网服务提供商连接、互联网服务永续性，以及对于电子邮件、即时消息和web等服务的访问控制。作为此接入方案的一部分，员工能够适当地使用互联网服务是一个重要考虑因素，以便保持高生产率、避免出现法律问题，并降低因与工作无关的带宽占用而出现的开支。

互联网边缘提供的另一项服务是，允许用户从任意地点访问其工作所需的服务和数据。在今天部署的无边界网络中，用户可能是员工、承包商、合作伙伴或客户。每个员工对于网络接入、数据和服务都有着不同的需求。

随着用户对于互联网访问的要求不断提高，必须要妥善处理与此类访问相关的风险。此类风险主要分为三种：服务攻击、客户端攻击、以及诱使用户点击恶意网站或打开包含恶意代码的文件的攻击。如果不能妥善保护企业免遭这些攻击，则可能会发生知识产权损失、数据被窃、甚至会引发潜在的法律责任。

架构概述：互联网边缘 5

架构概述: 互联网边缘

本架构采用了模块化设计模型，按照服务的不同将互联网边缘分成了几个功能区。模块化设计使企业能够根据要求部署所需的服务。

互联网边缘设计包含以下模块：

• 互联网路由模块可提供与一个或多个互联网服务供应商（ISP）的连接

• 防火墙可控制互联网边缘各个区段的入站和出站流量，同时提供了其它服务，如 NAT

• 入侵防御模块可对穿越互联网边缘的流量进行检查，以防止恶意行为

• 远程访问 VPN 允许对资源进行安全、一致的访问，不管用户在什么位置接入

• 电子邮件安全性提供了垃圾邮件和恶意软件过滤服务，以应对与电子邮件相关的风险

• Web 安全提供了正确使用行为控制和监控机制，同时能够遏制客户端上网带来的日益严重的风险

• 互联网边缘服务器负载均衡模块可对公共和专用网的网络服务执行负载均衡处理

许多因素决定了每个大型企业的要求各不相同。通常我们首先会考虑企业的用户数量，并根据用户数量提供了两种设计：互联网边缘 5K 和互联网边缘 10K。

图 2. 企业无边界网络设计中的互联网边缘

互联网

远程访问 VPN

互联网边缘路由器

互联网边缘

电子邮件安全设备

广域网汇聚 访客WLAN

互联网服务器

防火墙VPN

Web 安全设备

到核心

WAN

应用加速

无线 局域网控制器

架构概述：互联网边缘 6

图 3. 互联网边缘 5K 和 10K 设计

以上两种设计的主要差别在于规模、性能和永续性。互联网边缘 5K 设计专门面向互联用户不超过 5000 名的企业组织，而互联网边缘 10K 设计专门面向拥有 5000 到 10,000 名互联用户的企业组织。这些差别不但涉及所部署的设备能支持多少用户，还涉及企业通过何种方式接入互联网，即通过一个还是两个 ISP 进行连接。为了满足这些要求，互联网边缘部署指南的每个部分都各自独立，以方便您对不同的设计组件进行组合搭配，最大限

度满足自身企业的具体要求。例如，对于一个用户数不足 5000 的企业组织来说，如果其移动办公人员所占的比例较高，远程访问要求也高于平均水平，那么他们可能会选择互联网边缘 10K 设计。

互联网

IE 路由器

外部交换机

DMZ 交换机

互联网服务器 紧缩式

核心+分布层

内部网

互联网

IE 路由器

DMZ 交换机

互联网服务器

紧缩式核心+分布层

内部网

备注

互联网边缘的连通性 7

互联网边缘的连通性

业务概述 在过去几十年，企业对互联网连接的需求日益增长；对于许多企业来说，使用互联网服务是日常业务运营的基本要求。电子邮件、网络访问、远程访问 VPN 和最近出现的云计算服务已成为帮助企业实现业务目标的重要工具。因此必须设计一个能够支持这些服务的互联网连接，以帮助企业实现其以互联网为依托的业务目标。

一个大型企业的互联网连接要求取决于三个因素：

• 基于互联网的商业活动的价值：

- 互联网业务产生的收入

- 通过互联网服务节约的成本

• 互联网连接中断对企业收入的影响

• 实施和维护各种互联网连接选项的资金和运营成本

大型企业必须确定和了解其互联网连接要求，以便有效地支持基于互联网的商业活动。

技术概述 企业现在对互联网服务的依赖性之高不言而喻，这些服务包括电子邮件、网络访问、远程访问 VPN 和 B2B 服务连接等。互联网连接的速度、可用性和地址空间要求是界定一个互

联网连接设计的基本标准。互联网连接必须能够支持大型企业的互联网数据流量要求，提供出色的永续性以满足服务级别协议要求，同时还必须提供充足的 IP 地址空间，以支持面向互联网和基于互联网的服务。

企业的 IT 人员在设计和实施互联网边缘架构时需要满足三个要求：

• 连接速度——企业要求的吞吐率有多高？是否会出现短暂的流量尖峰？

• IP 地址空间——小型企业组织或对互联网服务的依赖性不强的企业与大型企业组织的IP 空间要求有所不同，后者的业务运营高度依赖于电子邮件服务、远程访问 VPN、基于内容或云计算的互联网服务。

• 可用性——连接速度并不是全部；在主要的互联网连接断开后，如果想继续保持连通性，架构设计必须通过一个备用互联网连接来提供永续的互联网连接。

本指南描述了两种设计选项；第一种设计是互联网边缘 5K，它提供了与一个 ISP 的单个连接；第二种设计是互联网边缘 10K，它提供了包含两个互联网连接的容错配置。在互联网边缘 10K 设计中，一个连接作为主用互联网连接，另外一个作为备份连接，以备主用互联网连接中断时使用。

互联网边缘的连通性 8

部署详解 互联网连接选项

由于所在的地理区域和使用的服务供应商不同，互联网连接选项也会存在差异。在互联网物理连接方面，企业可以选择电缆、DSL、租用线路或以太网。界定互联网连接的一个通用标准是到客户地点设备（CPE）（调制解调器、T1 CPE 路由器等）的以太网连接，这是本架构设计的独特之处。

图 4. 互联网连接

采用互联网边缘 5K 或 10K 设计的大型企业通常将获得以下互联网连接速度范围。

表 1. 互联网连接速度要求

互联用户数量 互联网连接速度

2000 到 4500 20–50 Mbps

3000 到 7000 35–75 Mbps

6000 到 10,000 70–130 Mbps

如果企业需要部署覆盖多个地理位置的广域网连接，通过同时采用广域网和互联网连接支持同一种服务可实现成本节约。服务供应商可以提供硬件来终结运营地点的广域网/互联

网连接并管理互联网/广域网连接设备。但是，运营商提供的硬件和服务可以减轻运营负担。企业还必须对配置更改所需的时间和配置灵活性进行评估。

下表提供了一些关于如何选择互联网接入平台的建议。

表 2. 互联网接入平台建议

平台 互联网连接速度

3925 最高可达 100 Mbps

3945 75 到 150 Mbps

本指南的设计和配置讨论部分首先从互联网边缘外部交换机上的以太网切换开始，不管采用何种接入方式。

高可用性概述

选择单个还是两个互联网连接应取决于贵企业对连接可用性的要求。互联网连接中断将导致业务中断，如果其成本损失高于部署一个备份互联网连接的成本，则应该采用互联网边缘 10K 设计。备份互联网连接可在主用互联网连接发生故障时确保与互联网的连接不中断，虽然有些服务在系统向备份链路切换过程中会出现短暂中断，但多数出站服务在几秒钟后即可恢复正常。互联网边缘 10K 提供以下特性：

• 永续的出站互联网连接和入站电子邮件服务。

• 尽管有些服务的中断时间稍长，但更多的入站服务可在发生故障后立刻恢复运行。

• 没有配置无缝故障切换保护的入站网络服务要求用户进行干预，将域名系统（DNS）记录指向备用 ISP 的替代 IP 地址。为实现更高的网络服务可用性，企业可以将其网络服务托管在一个并置地点，或者采用一个完全冗余的边界网关协议（BGP）设计，该设计将把同一个 IP 地址通告给不同的 ISP。有些企业的网络服务要求极高的互联网可用性，他们应该考虑将这些服务托管在服务供应商的互联网并置地点。

互联网

互联网 CPE设备

外部 交换机

防火墙

互联网边缘的连通性 9

互联网路由

控制互联网入站路由和出站路由的方法多种多样。BGP 和其它动态路由选项提供了各种管理互联网路由的方法，但是对于多数互联用户数量在 2000 到 10,000 之间的大型企业，静态默认路由已足以用来建立与互联网的连接，而且在所有选项中其复杂性最低。

如果一个大型企业的路由要求超出了静态路由的范畴，请参见思科企业互联网边缘设计指南，该指南讲述了复杂度较高的互联网连接部署。

主用/备用和主用/主用互联网连接

互联网边缘 10K 是一种包含主用和备用互联网连接的永续设计。如果通过主用链路建立的互联网连接中断，系统将自动切换到备用链路。对于拥有 2000 到 10,000 名互联用户而且未将重要内容或电子商务托管在其 DMZ 的大型企业，这些配置已经足以满足需求。在这种设计中，互联网控制消息协议（ICMP）探针将从思科自适应安全设备（ASA）防火墙发送到一个互联网 IP 地址。如果 ASA 防火墙不再收到对探针的回应，它将切换到备用链路。这种永续性设计提供了一种简单而有效的连接保护解决方案，为用户和互联网邮件提供了不间断的互联网连接（通过一个配置正确的 DNS）。本文的‘防火墙’和‘远程访问VPN’部分将对这种设计的配置进行详细讲解。

这种设计不支持多宿主路由选项，如将 BGP 用于与多个 ISP 之间的多个互联网连接。如需更多关于多宿主互联网连接设计的信息，请参见思科企业互联网边缘设计指南。

备注

防火墙 10

防火墙

业务概述 互联网边缘是企业网络与互联网连接的地方，作为网络的周界线，公共互联网和企业网络内部的专有资源在这里互相隔离。蠕虫、病毒和僵尸入侵对网络性能、可用性和数据安全性构成了严重的威胁。除此之外，企业的互联网连接还容易影响员工的生产效率和导致保密信息泄露。

基于防火墙的网络安全机制必须确保企业的数据资源免遭侦听和篡改，防止侵蚀数据资源的蠕虫、病毒和僵尸损害主机。此外，防火墙策略必须建立适当的平衡机制，在保证安全性的同时不干扰对互联网应用的访问，或妨碍通过外部网 VPN 连接访问商业合作伙伴的数据。

技术概述 互联网攻击者威胁着企业网络基础设施和数据资源的安全。多数与互联网相连的网络极易遭到蠕虫、病毒和目标攻击的持续干扰。企业必须小心翼翼地保护其网络、用户数据和客户信息。此外，多数网络地址必须转换成可在互联网上路由的地址，而防火墙正是执行此项功能的逻辑地点。

目前，防火墙安全已成为每个互联网边缘部署的必要组成部分，在保护信息的同时也满足了企业对安全可靠的网络的需求，同时还能够通过执行策略保持员工的生产效率。在行业监管适用的情况下，防火墙在帮助企业满足法规要求方面发挥着巨大作用。各个国家和行业的法规要求各不相同；本文将介绍一些具体的法规遵从性要求。

思科自适应安全设备（ASA）防火墙系列位于企业内部网和互联网之间。作为一个基本的基础设施组件，防火墙能够最大限度抑制网络入侵事件的影响，保持员工的生产效率和数据安全性。

本设计采用了 Cisco ASA 5500 系列来确保互联网边缘防火墙安全性。Cisco ASA 5500

系列采取主用/备用双机配置，提供了高可用性，确保将防火墙软件维护或硬件故障对互联网连接造成的影响降至最低。Cisco ASA 采用了路由模式，并应用网络地址转换（NAT）和防火墙策略以及主机入侵防御系统安全服务模块（IPS-SSM）来检测和抑制恶意或有害流量。

本文讨论了两种部署方案，以满足互联网访问的高可用性要求并在远程访问 VPN 和防火墙之间实现设备级分离的运营要求：

• 互联网边缘 5K 防火墙设计采用了单个互联网连接，在提供防火墙功能的同一个 ASA

设备对中集成了远程访问 VPN 功能：

图 5. 互联网边缘 5K 拓扑图

• 互联网边缘 10K 防火墙设计采用了两个互联网连接，以支持对互联网的永续访问。一对独立的 ASA 提供了远程访问 VPN，实现了更高的可扩展性和运行灵活性：

IE 路由器

外部交换机

DMZ 交换机

紧缩式核心+分布层

内部网

互联网

互联网服务器

防火墙 11

图 6. 互联网边缘 10K 拓扑图

本节中所介绍的配置绝大部分是互联网边缘 5K 和互联网边缘 10K 设计所共有的。如果某部分描述的配置为互联网边缘 5K 或互联网边缘 10K 所独有，文中会予以指明。

这些配置适用于任何单机架单元 ASA 安全设备，但配置示例中的接口名称需要稍作改动，以适应 ASA 5510 上的快速以太网接口。

本设计采用的硬件是根据以下性能参数选出的：

表 3. Cisco ASA 系列设备性能

Cisco ASA 系列产品 吞吐率

Cisco ASA 5510 300 Mbps Cisco ASA 5520 450 Mbps Cisco ASA 5540 650 Mbps

部署详解 防火墙配置流程包括以下程序：

您可通过命令行界面或图形用户界面——思科自适应安全设备管理器（ASDM）对 Cisco

ASA 进行配置。如果选用 ASDM 进行设备配置，设备的默认配置会在‘管理’界面上提供DHCP 范围和管理界面：

将 Cisco ASA 的管理端口直接与 PC 或以太网交换机相连，并将带有 Java 型 web 浏览器的主机连接到交换机上的同一个 VLAN。

访问设备的管理 URL https://192.168.1.1/，并浏览配置。如果选用命令行界面，可通过telnet、SSH 或控制台端口访问 Cisco ASA CLI。

只需配置 HA 设备对中的一个 ASA 即可。配置流程的最后一步是设置高可用性特性并将主用和备用设备的配置同步。

技术提示

流程

互联网

IE 路由器

外部交换机

DMZ 交换机

互联网服务器

紧缩式 核心+分布层

内部网

防火墙配置

1. 配置基本连接

2. 配置内部路由

3. 配置日志和监控功能

4. 配置远程管理

5. 配置互联网连接

6. 配置隔离区

7. 配置地址转换

在与以太网交换机进行连接时，请确保交换机未连接到生产网络或是采用现有DHCP 服务器的 VLAN，因为 ASA 将支持 DHCP。

防火墙 12

在安装并启动防火墙之前，必须先配置几个基本参数：必须定义内部接口的地址并设置基本路由。

步骤 1：转至 Device Setup（设备设置）> Device Name/Password（设备名称/密码）。配置 Cisco ASA 的主机名称和域名，设定启用密码（enable password）。

为简化故障排除，主机名和域名最好与外部 DNS 名称和防火墙的 IP 地址匹配，如果防火墙的外部接口将接收远程访问 VPN 连接则更应如此。

图 7. 配置主机名和密码

步骤 2：转至 Device Setup（设备设置）> Interfaces（接口），定义防火墙到GigabitEthernet0/0 接口‘内部’网络的 IP 连接。

ASA 上的所有接口都必须有安全级别设置。安全级别是指一个接口相对于其它接口的安全等级；在默认状态下，安全级别较高的接口上的客户端可以连接到安全级别较低的接口上的主机。内部接口的安全级别为最高值 100，而外部接口的安全级别为最低值 0。ASA

能够识别接口名称中的“外部”和“内部”，并采用相应的默认安全级别配置。接口可以配置为任何安全级别；本文的‘隔离区’部分将详细讨论这一配置。

图 8. 接口配置细节

步骤 3：将 Cisco ASA 的‘内部’接口连接到正确的分布交换端口。

ASA 上的‘内部’千兆以太网端口与局域网分布层交换机上的 VLAN 接入端口连接。为 ASA

连接的相邻内部交换机设定适当的接入 VLAN 配置： interface GigabitEthernet3/0/10 description ASA5540 switchport access vlan 300 spanning-tree link-type point-to-point

技术提示

配置基本连接 程序 1

本例中的 IP 地址和接口名称是思科实验室测试环境特有的，实际部署中所用的地址和名称可能有所不同。

防火墙 13

在 ASDM 中执行上述步骤将应用以下 CLI 配置： hostname ASA5540 domain-name cisco.local enable password [password] passwd [password] interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.4.24.30 255.255.255.224 standby 10.4.24.29 no shutdown

ASA 在‘内部’网络上通过 EIGRP 动态交换路由信息，以简化路由配置。对园区网和广域网地址或拓扑的更改不应以更改 ASA 上的路由配置为前提。

步骤 1：在 Device Setup（设备设置）> Routing（路由）> EIGRP > Setup（设置）面板中定义 ASA 的 EIGRP 进程号。

配置 ASA 时所采用的 EIGRP 进程，必须与其它将与 ASA 交换路由信息的设备的 EIGRP

进程相同。

图 9. 定义 EIGRP 进程

步骤 2：配置网络子网，ASA 将在此交换路由。这一配置通过 Device Setup（设备配置）> Routing（路由）> EIGRP > Setup（设置）面板中的‘Networks（网络）’选项卡完成。

‘网络’配置不应包括外部子网。使用的子网编号应该包括所有的内部和 DMZ 子网，以减少建立动态路由配置时所需的配置步骤。如果网络不容易汇总，可以逐个输入所有的接口（外部接口除外）。

图 10. 配置 EIGRP 网络

配置内部路由 程序 2

防火墙 14

步骤 3：仅在内部接口上配置 EIGRP 被动默认设置并启用路由通告。这一配置通过 Device

Setup（设备设置）> Routing（路由）> EIGRP > Setup（设置）面板中的‘Passive Interfaces

（被动接口）’选项卡完成。

除内部接口之外的所有接口都设为“被动”，使其不能在公共接口上交换路由。ASA 不需要与其它路由器交换路由信息，而且不建议将内部路由信息通告给安全性较低的网络。

图 11. 定义被动默认设置

步骤 4：配置 EIGRP，以重新分布静态路由。这一配置在 Device Setup（设备设置）>

Routing（路由）> EIGRP > Redistribution（重分布）面板上完成。

ASA 将重新分布静态路由，从而能够将默认路由通告到网络的其它地点。如果某个网络（来自核心的汇总路由不涵盖该网络）无法被访问，流量将通过默认路由先抵达 ASA，然后由 ASA 将其发送到互联网。

图 12. 定义静态路由重新分布

在 ASDM 中执行上述步骤将应用以下 CLI 配置：

router eigrp 100 no auto-summary network 10.4.24.0 255.255.252.0 passive-interface default

no passive-interface inside redistribute static

防火墙 15

作为网络安全设备的重要功能，日志和监控可支持故障排除和策略合规审计。

步骤 1：在 Device Setup（设备设置）> System Time（网络时间）> NTP 面板中配置网络时间同步。

防火墙需要精确记录网络活动的时间。通过将防火墙与网络时间源同步，防火墙将与其它网络设备和 NTP 时间服务器的时间同步化。

图 13. NTP 配置

步骤 2：在 Device Management（设备管理）> Logging（日志）> Logging Setup（日志设置）中勾选‘Enable logging（启用日志）’复选框。

图 14. 启用日志

配置日志和监控功能 程序 3

防火墙 16

步骤 3：在 Device Management（设备管理）> Logging（日志）> Logging Filters（日志过滤器）面板中将‘Internal Buffer（内部缓冲区）’和‘Syslog Server（系统日志服务器）’

日志过滤器配置为‘Severity: Informational（严重性：信息）’

信息级日志能够在信息细节和日志消息数量之间实现理想的平衡。级别较低的日志产生的消息较少，但却不够详细，无法用于有效审核网络活动。级别较高的日志产生的消息数量较多，但其价值不够高，无法体现信息数量多的优势。

图 15. 定义日志过滤器

步骤 4：在 Device Management（设备管理）> Logging（日志）> Syslog Servers（系统日志服务器）中配置系统日志服务器地址。

系统日志将把状态更新和防火墙策略活动发送给日志服务器。这将有助于网络诊断和策略合规审核的顺利进行。

图 16. 配置日志服务器

防火墙 17

步骤 5：在 Device Management（设备管理）> Management Access（管理访问）> SNMP

中配置 SNMP 团体字符串和其它设置。

指定 SNMP 管理器的 IP 地址，以及该地址是否会向 ASA 轮询数值或是否将接收陷阱。这一配置使 SNMP 管理工具能够访问设备上的统计信息。

图 17. 配置 SNMP 值

在 ASDM 中执行上述步骤将应用以下 CLI 配置：

ntp server 10.4.48.17 logging enable logging trap informational logging buffered informational logging host inside 10.4.48.17 snmp-server community cisco snmp-server host inside [finish configuration] [poll | trap][version] snmp-server enable

在对 ASA 进行初步设置之后，即可通过远程管理访问功能方便地进行配置、管理和故障排除。以下配置允许通过 HTTPS 或 SSH 从任何内部网络进行远程连接。

步骤 1：在 Device Management（设备管理）> Management Access（管理访问）>

ASDM/HTTPS/Telnet/SSH 面板中启用面向内部网的 HTTP 服务器。

ASDM 要求使用 ASA 的 HTTP 服务器。请确保配置中包含支持管理员通过 ASDM 接入设备的网络；ASA 可通过更改以下网络声明，提供面向单个地址或管理子网的受控 ASDM

访问。

图 18. 启用 ASDM 访问

配置远程管理 程序 4

防火墙 18

步骤 2：在 Device Management（设备管理）> Management Access（管理访问）>

ASDM/HTTPS/Telnet/SSH 面板中启用面向内部网的 SSH 服务器。

不建议用 Telnet 实施管理，因为流量在网络中传输时并未加密。

图 19. 添加 SSH 访问

如果用 CLI 来配置 Cisco ASA，必须手动生成 RSA 密钥，以启用 SSH 功能：

crypto key generate rsa

步骤 3：在 Device Management（设备管理）> Users/AAA（用户/AAA）> User Accounts

（用户帐户）面板中配置本地用户名和密码。

在验证资源（AAA、AD 等）不可用的情况下，用于访问设备的本地用户名将非常有用。

图 20. 配置本地用户名

防火墙 19

步骤 4：在 Device Management（设备管理）> Users/AAA（用户/AAA）> AAA Server

Groups（AAA 服务器组）面板中配置 ASA，以通过 AAA 服务器验证管理访问。

管理员级访问通过 TACACS+服务器进行验证。在远程访问 VPN 部分，将配置一个单独的服务器组，该服务器组将 LDAP（Microsoft Active Directory）用作验证/授权后端，以便利用公司现有的用户目录。

图 21. 配置 AAA 服务器

在 ASDM 中执行上述步骤将应用以下 CLI 配置：

http server enable http 10.4.0.0 255.254.0.0 inside ssh 10.4.0.0 255.254.0.0 inside ssh version 2 username admin password [password] privilege 15 aaa-server AAA-SERVER protocol tacacs+ aaa-server AAA-SERVER (inside) host 10.4.48.15 key SecretKey aaa authentication enable console AAA-SERVER LOCAL aaa authentication ssh console AAA-SERVER LOCAL

根据企业对互联网接入可用性的要求，互联网连接有所不同。有两种连接方案：

• 互联网边缘 5K 使用单个互联网连接，通过一个路由器承载互联网流量。

图 22. 互联网边缘 5K ISP 连接

互联网

主用ISP 路由器

外部交换机

备用ASA

主用ASA

主用ISP

防火墙互联网边缘配置 程序 5

防火墙 20

• 互联网边缘 10K 使用两个互联网连接，通过两个路由器承载互联网流量（主用 ISP 路由器和备用互联网 ISP 路由器）。

图 23. 互联网边缘 10K ISP 连接

注：本例中的 IP 地址和接口名称是思科实验室测试环境特有的，实际部署中所用的地址和名称可能有所不同。

如果对互联网接入的可用性要求不高（互联网边缘 5K 设计），ASA 的 GigabitEthernet 0/3

将作为外部接口，通过交换机连接到互联网 CPE。

步骤 1：将 Cisco ASA 的 GigabitEthernet 0/3 连接到相邻的交换机，该交换机也与 ISP

路由器相连。如果‘外部’交换机上有两个以上的 VLAN，应该确保 ASA 的交换端口与互联网 CPE 配置在同一个 VLAN 中。

步骤 2：配置用于支持外部连接的 GigabitEthernet 0/3 接口。在配置了‘nameif outside’

之后，接口的安全级别将自动设为 0。

步骤 3：为互联网 CPE 的地址分配默认路由。

在 ASDM 中执行上述步骤将应用以下 CLI 配置：

interface GigabitEthernet0/3 nameif outside security-level 0 ip address 172.16.130.124 255.255.255.0 standby 172.16.130.123 route outside 0.0.0.0 0.0.0.0 172.16.130.126 1

探测目的地 10.194.112.65

互联网

主用 ISP 备用 ISP

备用 ISP 路由器

外部 交换机

VLAN 16&17中继到 ASA

主用 ASA 备用 ASA

主用 ISP 路由器

互联网边缘 5k 外部路由 程序 5a

IP-SLA Probes

防火墙 21

如果企业需要永续的互联网接入，即采用互联网 10K 设计时，ASA 的 GigabitEthernet 0/3

将被配置为连接外部交换机的 VLAN 中继，负责将 VLAN 分配给合适的路由器：互联网CPE-1 和互联网 CPE-2。

步骤 1：将 Cisco ASA 的 GigabitEthernet 0/3 连接到相邻的交换机，该交换机也与 ISP

路由器相连。如果‘外部’交换机上有两个以上的 VLAN，应该确保 ASA 的交换端口与互联网 CPE 配置在同一个 VLAN 中。

步骤 2：配置用于支持外部连接的 GigabitEthernet 0/3 接口。

VLAN 中继将 ASA 连接到外部交换机。为两个 VLAN 配置两个子接口，用于支持到上游互联网路由器——互联网 CPE-1 和互联网 CPE-2 的每个连接。

图 24. 互联网边缘 10K 外部接口配置

步骤 3：点击 Device Setup（设备设置）> Routing（路由）> Static Routes（静态路由）面板中的‘Add（添加）’，定义到两个互联网 CPE 地址的主路由并配置路由上的对象跟踪。

主路由的参数为 1，表示此路由是首选路由；主路由的可用性取决于主路由所附带的‘track

1’对象的状态。路由跟踪配置定义了 ISP-1 网络中的目标，ASA 将向此目标发送 ICMP 探测（pings），确定网络连接是否可用。目标是主用服务供应商网络上的一个对象，如可通过跟踪路由发现的中间路由器。

图 25. 被跟踪路由配置

互联网边缘 10k 外部路由 程序 5b

防火墙 22

步骤 4：在 Device Setup（设备设置）> Routing（路由）> Static Routes（静态路由）面板中配置备用路由。

备用路由的参数是 254，ASA 只在主路由不可用时才会使用这一路由。

图 26. 为备用 ISP 连接添加路由

步骤 5：在 Device Setup（设备设置）> Routing（路由）> Static Routes（静态路由）面板中，通过 Internet-CPE-1 地址为跟踪对象添加主机路由。这将确保指向跟踪对象的探测永远使用主 ISP 连接。

跟踪对象应该位于主用互联网服务供应商的网络上。之所以跟踪主 ISP 网络中的对象是因为，如果到该对象的路由畅通，那么到这个点的所有连接都将有效运行：ASA 到客户端路由器的连接、广域网连接和 ISP 网络内部的多数路由。如果跟踪对象不可达，可能通往主 ISP 的路由已失效，ASA 应选择备用 ISP 的路由。

图 27. 为跟踪对象添加主机路由

防火墙 23

步骤 6：利用 ASA CLI 上的‘show track（显示跟踪）’命令验证跟踪对象是否可达： ASA5540# show track Track 1 Response Time Reporter 16 reachability Reachability is Up 14 changes, last change 2d02h Latest operation return code: OK Latest RTT (millisecs) 1 Tracked by:

STATIC-IP-ROUTING 0 在 ASDM 中执行上述步骤将应用以下 CLI 配置：

interface GigabitEthernet0/3 no nameif no security-level no ip address ! interface GigabitEthernet0/3.16 vlan 16 nameif outside-16 security-level 0 ip address 172.16.130.124 255.255.255.0 standby 172.16.130.123 ! interface GigabitEthernet0/3.17 vlan 17 nameif outside-17 security-level 0 ip address 172.17.130.124 255.255.255.0 standby 172.17.130.123 ! route outside-16 0.0.0.0 0.0.0.0 172.16.130.126 1 track 1 sla monitor 16 type echo protocol ipIcmpEcho 10.194.112.65 interface outside-16 num-packets 3 frequency 10

sla monitor schedule 16 life forever start-time now ! track 1 rtr 16 reachability route outside-17 0.0.0.0 0.0.0.0 172.17.130.126 254 route outside-16 10.194.112.65 255.255.255.255 172.16.130.126

防火墙的隔离区（DMZ）是网络的一个区域，通常该区域与网络其它区域之间的流量往来受到严格限制。企业可将网络服务放在 DMZ，以便向互联网开放。除非在特殊情况下，否则这些服务器通常不能向‘内部’网络发起连接请求。

针对可访问互联网的服务器配置一个网络和文件传输服务器 DMZ，并将其托管在本地。

DMZ 网络通过 VLAN 中继连接到 ASA 千兆以太网接口上的 ASA，以便在必须增加新的VLAN 来连接更多 DMZ 时实现最大的灵活性。该中继将 ASA 连接到 3750x 接入交换机堆叠，以提供永续性。Cisco ASA 上的每个 DMZ VLAN 接口都将获得一个 IP 地址，作为每个 VLAN 子网的默认网关。DMZ 交换机只提供第 2 层交换功能；除了一个用于管理交换机的 VLAN 接口带有 IP 地址外，DMZ 交换机的 VLAN 接口均未指定 IP 地址。

图 28. DMZ VLAN 拓扑图与服务

互联网

VLAN 中继

DMZ 交换机

互联网 服务器

Web Email VPN DMZ VLAN 信息 访客 访客

配置隔离区 程序 6

防火墙 24

安全 VLAN 的数量可随意确定。本文中的设计就是一个典型的安全网络。如果有多种类型的主机在面向互联网的 DMZ 中连接，则有必要按照功能的不同对 DMZ 进行分区，特别是考虑到向互联网开放的主机极易遭受攻击，决不能让其成为通往其它主机的跳板。另一方面，DMZ VLAN 之间的流量应保持在最低限度。在单个 VLAN 中放置几个必须共享数据的服务器，有助于提高性能并减少网络设备的负载。

步骤 1：将 GigabitEthernet 0/1 配置为承载面向各个 DMZ 的 VLAN 中继的接口。

没有为接口名称、安全级别或中继接口上的 IP 地址指定数值。

图 29. 定义 DMZ 中继接口

步骤 2：在 GigabitEthernet 0/1 子接口上配置 DMZ VLAN 连接。

每个 DMZ VLAN 接口必须配置合适的 IP 地址，用于支持所连接的子网；同时还必须配置直观的接口名称，用于支持 NAT 和安全策略配置。表 4 列出了一个 VLAN 接口的配置。本设计采用了多个 DMZ VLAN 接口：

表 4. DMZ 配置信息

接口标签 IP 地址和子网掩码 VLAN 安全级别 名称

GigabitEthernet 0/1.1121

10.4.26.1/24 1121 50 dmz-web

图 30. DMZ 子接口配置

技术提示

将 DMZ 连接设置为 VLAN 中继可实现最大的灵活性。

防火墙 25

步骤 3：将与 ASA 连接的 DMZ 交换端口定义为中继端口并添加合适的 VLAN：

interface GigabitEthernet1/0/1

description ASA5540-1 DMZ uplink

switchport trunk encapsulation dot1q

switchport trunk allowed vlan [1120-1128]

switchport mode trunk

spanning-tree link-type point-to-point

步骤 4：将与 DMZ 主机连接的 DMZ 交换端口配置为接入端口并分配合适的 VLAN

（DMVPN 示例）：

interface GigabitEthernet1/0/11

description vpn-7206-1 gig0/3

switchport access vlan 1128

在 ASDM 中执行上述步骤将应用以下 CLI 配置：

interface GigabitEthernet0/1

description dmz trunk to dmz-3750 stack port x/0/1

no nameif

no security-level

no ip address

interface GigabitEthernet0/1.1121

vlan 1121

nameif dmz-web

security-level 50

ip address 10.4.26.1 255.255.255.0 standby 10.4.26.2

在执行本程序前，从内部网络无法访问互联网，从互联网也不能进入 DMZ。只有通过执行本步骤，互联网流量才能获准进入内部网络和 DMZ；内部网和 DMZ 网络采用了不能在互联网上路由的专用（RFC 1918）地址进行编码，因此 ASA 必须将专用地址转换为可在互联网上路由的外部地址。在本配置中，所有内部地址都将转换成外部接口上的公共地址。

注：在采用了本部分描述的地址转换配置后，ASA 将使用其默认访问规则集，允许流量从安全级别较高的接口传输到安全级别较低的接口。请仔细评估预期的流量；如果默认规则准许的某些或所有流量不应获得许可，那么应关闭接口，直到防火墙规则集完全配置好再打开。

互联网边缘 5K 和互联网边缘 10K 设计中的 NAT 配置有些不同。两种设计方案中的大部分配置相同，但是在互联网边缘 10K 设计中，必须重复执行某些步骤来配置两个外部接口。

配置地址转换 程序 7

防火墙 26

步骤 1：转至 Configuration（配置）> Firewall（防火墙）> Objects（对象）> Network

Objects/ Groups（网络对象/组）并为网络主机和子网配置直观的名称。这些名称将用于NAT 配置和访问规则的定义。所使用的名称应该适用于整个配置。

网络中的各种 IP 网络和主机都以名称而非 IP 地址显示，因此使用地址族名称和对象组可提高 Cisco ASA 的 ASDM 和命令行的易用性。鉴于面向企业的智能业务平台无边界网络包含 10.4.0.0 和 10.5.0.0 网络，整个内部网络可用 10.4.0.0/15 子网命名。

图 31. 配置网络对象名称

步骤 2：在 Configuration（配置）> Firewall（防火墙）> NAT Rules（NAT 规则）面板中配置将用于内部网的动态 NAT 规则。

ASA 8.3 推出了一种新的机制，允许配置基于网络对象的 NAT 规则。可通过添加新的“Network Object（网络对象）”NAT 规则，利用 PAT 将内部网络与 ISP A 上的外部接口联系起来。

图 32. 为互联网边缘 5K 定义网络对象 NAT

防火墙 27

步骤 3：在 Configuration（配置）> Firewall（防火墙）> Objects（对象）> Network

Objects/Groups（网络对象/组）面板中添加网络对象组，用于支持 NAT 豁免。

当防火墙传输指向或来自‘内部’网和 DMZ 的流量时，NAT 豁免对象组将充当所有应从出站 NAT 中免除的子网的容器。如果您想增加多个将从 NAT 免除的 DMZ 和远程访问池，那么使用网络对象组将为您带来更大的灵活性。

图 33. 定义 NAT0-DMZ-EXEMPT 网络对象组

步骤 4：在 Configuration（配置）> Firewall（防火墙）> NAT Rules（NAT 规则）面板中定义新的 NAT 规则。

新规则将把步骤 3 的对象组应用于内部网的源地址范围。这一规则是“Add NAT rule

before Network Object NAT Rules（在网络对象 NAT 规则之前添加 NAT 规则）”。本节中创建的规则与网络对象 NAT 规则有所不同，允许用户自行定义所使用的接口。此规则的主要特点就在于，它适用于从内部接口到任意目的地接口（其中源 IP 地址是内部网，而目的地 IP 地址出自 NAT0-DMZ-EXEMPT 列表）的（双向）操作，而且转换后的数据包使用原有的源 IP 和目的地 IP。

图 34. 定义 NAT 豁免规则

防火墙 28

步骤 5：为进出 DMZ 的互联网流量定义静态转换策略。

所有对互联网开放的服务器都需要进行静态转换。这一配置也在 Configuration（配置）>

Firewall（防火墙）> NAT Rules（NAT 规则）面板中完成，配置时使用网络对象 NAT 规则。

图 35. 为 DMZ 主机定义互联网边缘 5K 静态转换

在 ASDM 中执行上述步骤将应用以下 CLI 配置：

object network Internal_Network subnet 10.4.0.0 255.254.0.0 object network web_server_ISPa_Public host 172.16.130.100 object network web_server_to_ISPa host 10.4.26.100 nat (inside,any) source static Internal_Network Internal_Network destination static NAT0-DMZ-EXEMPT NAT0-DMZ-EXEMPT object network internal-net-ISPa nat (inside,outside-16) dynamic interface object network web_server_to_ISPa nat (any,any) static web_server_ISPa_Public

在互联网边缘 10K 设计中，必须对第二个外部接口进行额外的对象 NAT 配置。

步骤 1：对用于外部（全局）地址的两个接口进行配置。

在使用两个外部接口的互联网边缘 10K 配置中，需要为另一个接口添加一个 NAT 规则。添加新的“网络对象”NAT 规则，利用 PAT 将内部网络与 ISP B 上的外部接口联系起来。

图 36. 为互联网边缘 10K 定义网络对象 NAT

互联网边缘 10k 地址转换程序 7

防火墙 29

步骤 2：为进出 DMZ 的网络流量定义其它转换规则。

注：任何可通过主用或备用 ISP 连接访问的主机必须为两个外部接口建立静态转换规则。这种配置（此处旨在为您提供全面的信息）更适用于为电子邮件服务器或备用站点间 VPN集线器等主机提供备用地址。

图 37. 为 DMZ 主机定义互联网边缘 10K 静态转换

在 ASDM 中执行上述步骤将应用以下 CLI 配置：

object network internal-net-ISPa nat (inside,outside-16) dynamic interface object network internal-net-ISPb nat (inside,outside-17) dynamic interface nat (inside,any) source static Internal_Network Internal_Network destination static NAT0-DMZ-EXEMPT NAT0-DMZ-EXEMPT object network web_server_to_ISPa nat (any,any) static web_server_ISPa_Public object network web_server_to_ISPb nat (any,any) static web_server_ISPb_Public

企业应该制定一个 IT 安全策略，以便在定义防火墙策略时作为参考。如果没有明文规定的安全策略，通常很难制定企业的防火墙策略，因为无法保证实施一套统一的策略。

策略建议

网络安全策略基本可分为两大类：‘白名单’策略和‘黑名单’策略。白名单策略提供了更为严密的初始安全屏障，因为除明令可以放行的流量外，所有流量都将被拦截。但是，白名单策略有可能会干扰网络应用而且维护起来难度较大，因为每个新应用都必须获得许可才能通过防火墙。白名单策略很容易识别，因为最后一个访问控制条目（ACE）（即 deny ip any

any）会拒绝所有流量。白名单策略最适用于从互联网访问 DMZ 服务的流量。

有效定义一个白名单安全策略所需的信息

网络中将使用什么应用？

能否总结出应用流量在协议级别的特点？

能否提供对应用行为的详细描述，

以便于在安全策略对应用造成干扰时进行故障排除？

流程

防火墙策略配置

1. 为内网对互联网的访问配置黑名单安全策略

2. 为互联网对 DMZ Web 主机的访问配置白名单安全策略

防火墙 30

黑名单策略通常更适用于‘内部’网对互联网的连接请求。这种策略的操作负担较轻，并最大限度降低了安全策略干扰互联网应用的可能性。与白名单策略相反，黑名单策略只拦截被明确拒绝的流量，通常是企业政策所禁止的应用，或者是将企业暴露于恶意流量之下的应用。如果规则集放行所有未被拒绝的流量，那么可以通过最后一个 ACE（即“permit ip

any any”）识别出黑名单策略。

在某些情况下，商业价值高的流量（如 web 内容）与没有商业价值的流量（如恶意软件和娱乐内容）很难区分。作为 Cisco ASA 的附属设备，思科 Web 安全设备能够对包含恶意软件或对用户生产效率有负面影响的流量进行过滤。此外，Cisco IPS 可以拦截嵌入被放行应用中的恶意流量。本文的 IPS 和 Web 安全模块部分讨论了 Cisco WSA 和 IPS 的概念及配置。

本文介绍了允许流量从互联网传输到 DMZ 的白名单策略，以及用于支持‘内网’到互联网流量的黑名单策略。

配置黑名单策略的主要目的是只拦截那些从内网流向互联网、包含高风险服务的流量，除此之外，其它所有的流量将被放行。

黑名单安全策略配置

黑名单策略允许从内网广泛地访问互联网，只有几种特定的服务将被拦截。

步骤 1：制定一个规则来阻止内网发送出站 telnet 请求，同时拦截其它被禁止通过防火墙的服务。

Telnet 是不对传输数据进行加密的一种网络服务。这种服务隐含着风险，因为截获这些数据的主机有可能浏览敏感数据。这也正是需要拦截出站 telnet 流量的原因所在。

在 Firewall（防火墙）> Access Rules（访问规则）面板中，配置拦截 Telnet 的规则。

图 38. ACL 拦截 Telnet

配置黑名单安全策略 程序 1

防火墙 31

步骤 2：添加一个规则，允许所有未被明确拦截或放行的剩余流量通过。最后这个规则体现了上文所述的‘黑名单’策略，即允许所有未被明确拒绝的流量通过。‘allow any any’规则必须加在所有 Cisco ASA 访问规则集最后的隐性‘deny any any’规则之前。除非需要借助日志进行调试，否则在这一规则中应禁用日志。

图 39. 添加‘allow any any’规则

在 ASDM 中执行上述步骤将应用以下 CLI 配置：

access-list INSIDE_ACCESS_IN extended deny tcp internal-net

255.254.0.0 any eq telnet

access-list INSIDE_ACCESS_IN extended permit tcp internal-net

255.254.0.0 dmz-mail-net 255.255.255.0 eq smtp

access-list INSIDE_ACCESS_IN extended deny tcp internal-net

255.254.0.0 any eq smtp

access-list INSIDE_ACCESS_IN extended permit ip internal-net

255.254.0.0 any

access-group INSIDE_ACCESS_IN in interface inside

白名单策略允许从互联网访问 DMZ 中的 web 服务器。

Web DMZ 策略配置 Web DMZ 可以为互联网提供 HTTP 和 HTTPS 服务，从而能够支持员工/合作伙伴的 web

门户访问、基本的客户服务与支持、小规模电子商务或 B2B 服务或其它适当的任务。

步骤 1：定义一个访问控制条目，支持用户通过 HTTP 和 HTTPS 访问 web 服务器。

这一策略应用于外部接口访问规则。本设计未介绍从 Web DMZ 到内部网的开放式访问，因为这将带来巨大的安全风险。

图 40. 定义入站 Web DMZ 策略

配置白名单安全策略 程序 2

技术提示

每个安全策略视企业的政策和管理要求而定。本文的例子仅用于说明策略配置原则。

防火墙 32

在 ASDM 中执行上述步骤将应用以下 CLI 配置：

access-list OUT-ACCESS-IN extended permit tcp any dmz-web-net

255.255.255.0 eq https

access-list OUT-ACCESS-IN extended permit tcp any dmz-web-net

255.255.255.0 eq www

access-group OUT-ACCESS-IN in interface outside-16

access-list DMZ-MAIL_ACCESS_IN extended permit tcp dmz-mail-net

255.255.255.0 host inside-mail eq 25

access-list DMZ-MAIL_ACCESS_IN extended permit object-group

TCPUDP dmz-mail-net 255.255.255.0 host dns-server eq domain

access-list DMZ-MAIL_ACCESS_IN extended permit tcp dmz-mail-net

255.255.255.0 internal-lan 255.255.255.0

access-group DMZ-MAIL-ACCESS_IN in interface dmz-mail

access-list OUT-ACCESS-IN extended permit tcp any host

outside-mail-1 eq smtp

access-list OUT-ACCESS-IN extended permit tcp any dmz-web-net

255.255.255.0 eq https

access-list OUT-ACCESS-IN extended permit tcp any dmz-web-net

255.255.255.0 eq www

access-group OUT-ACCESS-IN in interface outside-16

白名单安全策略制定与故障排除

制定白名单安全策略不是一项简单的任务。如果难以识别出防火墙必须放行的所有应用，可以记录被规则集最后的‘拒绝’操作拦截的全部流量。这样有助于了解那些没有被明令放行并且需要明确的防火墙规则的流量。日志将记录应用活动并指明满足应用要求所需的规则。

步骤 2：验证防火墙策略

对 Cisco ASA 配置进行测试，验证防火墙策略是否运行正常。

Cisco ASA 采用了高可用性主用/备用双机配置。之所以采用主用/备用模式而非主用/主用配置，是因为这种配置比较常见，可支持将同一台设备用于防火墙和 VPN 服务（在主用/主用配置中 VPN 功能被禁用）。如果主用 ASA 设备发生故障或需要关闭以进行维护，备用 ASA 设备将代为执行所有主用防火墙、IPS 和 VPN 功能。在主用/备用配置中，在同一时间只有一台设备传输流量；因此，必须对 Cisco ASA 进行容量评估，以便双机配置中的任何一台设备都能独自处理所有流量。

故障切换双机配置中的两台设备必须是同一型号，拥有相同的特性许可证和安全服务模块（SSM）（如果安装了 SSM）。备用 ASA 设备必须开启而且必须与主用设备位于同一网络，只有这样才能成功进行故障切换。

每个 ASA 上会有一个接口将被配置为状态同步化接口，ASA 将利用这一接口共享配置更新、确定高可用性（HA）双机配置中的哪台设备在用，并为活跃连接交换状态信息。故障切换接口承载着状态同步化信息。所有会话状态信息都通过这一接口从主用设备复制到备用设备。由于数据的数量可能非常庞大，我们建议将这个接口用作专用接口。

在本例中，GigabitEthernet 0/2 是故障切换接口。主用和备用设备上的端口通过一个交叉电缆彼此连接。

流程

配置防火墙高可用性

1. HA 配置

防火墙 33

这个程序描述了如何配置主用/备用故障切换机制。

步骤 1：转至 Device Management（设备管理）> High Availability（高可用性）> Failover

（故障切换）的“设置”面板，启用故障切换，定义哪台设备将用作主用设备，然后设定故障切换接口。

主用/备用配置中两台设备的“故障切换密钥”值必须匹配。密钥有两个作用；一是用于两台设备彼此验证，二是保护保护两台设备之间的状态同步化信息，这些信息非常重要，在发生故障时能够保证 ASA 双设备配置保持现有连接的持续运行。

图 41. 定义故障切换配置

步骤 2：在 Device Management（设备管理）> High Availability（高可用性）> Failover

（故障切换）的“接口”面板上，定义接口的备用地址。

故障切换配置中包含的所有设备接口都有两个 IP 地址：一个是主用 IP 地址；一个是备用IP 地址。当设备角色互换（备用设备成为主用设备，或相反）时，主用接口和备用接口地址也将互换。备用地址必须与主用地址同在一个 IP 子网，因为设备互相传输流量以监控接口状态。如果一个接口连接的网络不要求高可用性，则不需要备用地址；但是，本文讨论的架构设计为防火墙上的所有网络都提供了高可用性，因此所有设备接口都为“主用”

和“备用”设备定义了地址。

图 42. 定义接口备用地址

HA 配置 程序 1

防火墙 34

步骤 3：在 Device Management（设备管理）> High Availability（高可用性）> Failover

（故障切换）的“标准”面板中，调整故障切换时间以缩短高可用性故障切换的时间间隔。

在默认状态下，ASA 从故障中恢复正常运行需要 2 到 25 秒。通过调整故障切换轮询时间可将这一间隔降低到 0.5 到 5 秒。对于一个容量符合要求的 ASA，缩短轮询时间不会影响 ASA 的性能，从而最大限度减少了故障切换过程中用户的停机时间。以“failover

polltime”开头的配置命令行可缩短默认的故障切换时间间隔，实现一秒之内的迅速切换。但是，我们不建议将故障切换时间间隔缩短到这些值以下。

图 43. 调整故障切换时间

在 ASDM 中执行上述步骤将向主用 Cisco ASA 设备部署以下 CLI 配置：

failover failover lan unit primary failover lan interface failover GigabitEthernet0/2 failover key [key] failover replication http failover link failover GigabitEthernet0/2 failover interface ip failover 10.4.242.65 255.255.255.248 standby 10.4.242.66 interface GigabitEthernet0/0 ip address 10.4.240.30 255.255.255.0 standby 10.4.240.29 failover polltime unit msec 200 holdtime msec 800 failover polltime interface msec 500 holdtime 5

步骤 4：将备用 ASA HA 配置应用于备用设备。

利用 Cisco ASA 控制台端口上的命令行界面应用以下配置程序（在为该部署项目进行定制之后）。请注意，如果两台设备的故障切换接口尚未启用，应该同时在这些接口上执行“no

shut”命令。

failover failover lan unit secondary failover lan interface failover GigabitEthernet0/2 failover polltime unit msec 200 holdtime msec 800 failover polltime interface msec 500 holdtime 5 failover key [key] failover replication http failover link failover GigabitEthernet0/2 failover interface ip failover 10.4.242.65 255.255.255.248 standby 10.4.242.66

步骤 5：在 ASA 的命令行界面上执行 show failover（显示故障切换）命令，验证 Cisco ASA

设备之间的备用同步化。

asa5540A# sh failover Failover On Failover unit Primary Failover LAN Interface: failover GigabitEthernet0/2 (up) Unit Poll frequency 200 milliseconds, holdtime 800 milliseconds Interface Poll frequency 500 milliseconds, holdtime 5 seconds Interface Policy 1 Monitored Interfaces 5 of 210 maximum failover replication http Version: Ours 8.2(2), Mate 8.2(2) Last Failover at: 17:07:53 PACIFIC May 27 2010

This host: Primary - Active Active time: 57475 (sec) [output deleted]

Other host: Secondary - Standby Ready [output deleted]

防火墙总结 这一部分描述了互联网路由、防火墙管理和监控、内部网和 DMZ 连接与路由的概念和配置。此外，还针对专用局域网、各种服务网络和无线访客网络提供了 NAT 和防火墙策略建议，并描述了相关配置。最后，我们讨论了 Cisco ASA 防火墙的主用/备用故障切换机制及其配置。

入侵防御 35

入侵防御

业务概述 互联网服务已成为当今许多企业日常运营中的重要组成部分。提供安全的互联网连接，同时防止恶意内容侵入企业的网络对于保持员工的工作效率至关重要。除了为客户端提供互联网访问之外，企业还普遍需要建立和运营一个网站，以便合作伙伴和客户能够访问企业的基本信息。将公司信息置于互联网上之后，企业面临着数据受损的风险，这些风险来自于以开放的网络服务为目标的攻击。企业如果想有效利用互联网资源，必须实施能够解决所有安全问题的解决方案。

技术概述 蠕虫、病毒和僵尸网络对大型企业构成了严重的安全威胁。为了将网络入侵的危害降至最低，大型企业可以部署入侵防御系统（IPS）和入侵检测系统（IDS），为互联网边缘防火墙准许通过的流量增加一层保护。IPS 是防火墙的一种补充技术，能够对防火墙放行的流量进行检查，防范攻击。如果 IPS 检测出攻击，系统将丢弃该恶意流量并发出告警信息。IPS 安全服务模块（SSM）也可以采用 IDS 模式运行，能够检测攻击并发出告警，但不会丢弃攻击流量。在最初部署 IPS 时将 SSM 部署为 IDS 模式是一种有益的尝试，这样可以避免生产流量受到任何影响。

本文的架构设计针对互联网边缘的 Cisco ASA 5500 系列防火墙采用了思科自适应检测防御安全服务模块（AIP-SSM），以支持 IPS 服务，并根据企业的性能要求提供了多种解决方案选项。对于互联网边缘 5K，我们建议采用带 AIP-SSM-20 的 ASA 5520。SSM-20

可支持高达 375 Mbps 的 IPS 检测流量。对于规模较大的网络，如互联网边缘 10K，可以采用带 AIP-SSM-40 的 ASA 5540，它能够支持高达 650 Mbps 的 IPS 检测流量。必须注意的一点是，互联网边缘防火墙和 IPS 所要处理的流量不仅仅包括员工的互联网流量，还包括访问 DMZ 服务器的内部流量、无线访客流量、站点间 VPN 和远程访问 VPN 流量，它们使得企业对互联网边缘防火墙和 IPS 的吞吐率要求远远高于对互联网的连接速度要求。

图 44. ASA/AIP-SSM 的数据包流

集成在 ASA 中的 IPS 模块必须通过 ASA 才能实现高可用性服务。互联网边缘的 ASA 采用了主用/备用双机配置，如果主用 ASA 发生故障，备用 ASA 将接管所有的防火墙操作，备用 ASA 中的 IPS 模块将负责对流量进行检测。

ASA 防火墙策略所检查的流量

如果被防火墙策略拒绝，该流量将被丢弃

符合策略要求的流量被发送到 IPS模块

符合信誉过滤条件或 GC 调整风险估值为 90+的流量将被丢弃

合格的流量被发回 ASA 应用 VPN 访问策略（如果存在），然后将流量发送到网络

入侵防御 36

图 45. IPS 处理流程图

Cisco IPS 7.0 版增加了一系列新特性，使系统能够根据信誉和其它信息作出放行或拦截流量的决策。思科在 IPS 上以两种方式使用信誉标准：

• 信誉过滤器：一个曾经被截获或属于恶意群体所有的 IP 地址列表

• 全局关联检测：一个根据以往行为表现评估 IP 地址的系统。

信誉过滤器使 IPS 能够在执行任何重大检测操作之前拦截所有来自已知不良地址的流量。全局关联同时采用了攻击者信誉机制和与签名相关联的风险评估，形成了一种新的风险评估机制，能够过滤那些有可能携带恶意内容的流量。

图 46. 信誉在风险评估中的作用

关于流量如何通过 ASA/AIP-SSM 的检测，请参见以下网页：

http://www.cisco.com/en/US/partner/docs/security/asdm/6_1/user/guide/ips.html#wp1535290

预处理

IPS 信誉过滤器

签名检查

异常检测

全局关联 决策引擎

初始风险评估

信誉在风险评估中的作用 标准模式 攻击者的信誉

蓝色 拒绝数据包 红色 拒绝攻击者

入侵防御 37

部署详解 配置 IPS SSM 的第一步是从 ASA 进入相应的模块，建立基本的网络连接信息，如 IP 地址、网关和访问列表等，以开启对 GUI 的远程访问。基本设置完成后，通过一个 GUI 就可以轻松完成配置，比如从 ASA 安全设备管理器（ASDM）或 IPS Manager Express（IME）启动的 IPS 设备管理器。

步骤 1：从 ASA 进入模块。

登录 ASA 之后，通过执行以下命令可以访问 SSM 模块。

ASA5540# session 1 Opening command session with slot 1. Connected to slot 1. Escape character sequence is ‘CTRL-^X’.

IPS 模块的默认用户名和密码是 cisco/cisco。如果这是您首次登录 ASA，系统会提示您

更改密码。输入当前密码，然后再输入一个新密码。将密码更改为一个符合企业安全策略

要求的新密码。

login: cisco Password: [password]

***声明***

本产品包含加密特性，受美国和当地进出口、转移和使用相关法律的保护和管辖。分

销思科加密产品并不意味着第三方有权进口、出口、分发或使用加密信息。进出口商、

分销商和用户必须严格遵守美国和当地国家的法律。使用本产品即表明您同意遵守适

用的法律法规。如果您不能保证遵守美国和当地法律，请立即退回本产品。

以下网址总结了所有关于思科加密产品的美国适用法律：http://www.cisco.com/wwl/export/crypto/tool/ stqrg.html

如果您还需要更多帮助，请发送电子邮件至：export@cisco.com。

步骤 2：运行设置命令。

在登录之后，请运行设置命令来启动初始配置程序。（在本例中，用户数据以粗体显示。）

sensor# setup --- Basic Setup --- --- System Configuration Dialog ---

流程

IPS SSM 配置

1. 完成初始设置

2. 配置 IPS 策略

3. 修改线内（Inline）安全策略

4. 配置 IDS 策略

5. 完成最后的步骤

完成初始设置 程序 1

入侵防御 38

At any point you may enter a question mark ‘?’ for help. User ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets ‘[]’. Current time: Mon Nov 15 13:20:49 2010 Setup Configuration last modified: Mon Nov 15 13:20:49 2010 Enter host name[sensor]: SSM-40-A Enter IP interface[]: 10.4.24.27/24,10.4.24.1 Modify current access list?[no]: yes Current access list entries:

No entries Permit: 10.4.48.0/24 Permit: Use DNS server for Global Correlation?[no]: yes DNS server IP address[]: 10.4.48.10 Use HTTP proxy server for Global Correlation?[no]: no Modify system clock settings?[no]: Participation in the SensorBase Network allows Cisco to collect aggregated statistics about traffic sent to your IPS. SensorBase Network Participation level?[off]: partial

If you agree to participate in the SensorBase Network, Cisco will collect aggregated statistics about traffic sent to your IPS. This includes summary data on the Cisco IPS network traffic properties and how this traffic was handled by the Cisco appliances. We do not collect the data content of traffic or other sensitive business or personal information. All data is aggregated and sent via secure HTTP to the Cisco SensorBase Network servers in periodic intervals. All data shared with Cisco will be anonymous and treated as strictly confidential. The table below describes how the data will be used by Cisco.

Participation Level = “Partial”: • Type of Data: Protocol Attributes (e.g. TCP max segment

size and options string) Purpose: Track potential threats and understand threat exposure

• Type of Data: Attack Type (e.g. Signature Fired and Risk Rating) Purpose: Used to understand current attacks and attack severity

• Type of Data: Connecting IP Address and port Purpose: Identifies attack source • Type of Data: Summary IPS performance (CPU utilization memory usage, inline vs. promiscuous, etc)

Purpose: Tracks product efficacy Participation Level = “Full” additionally includes:

• Type of Data: Victim IP Address and port Purpose: Detect threat behavioral patterns

Do you agree to participate in the SensorBase Network?[no]:yes

[0] Go to the command prompt without saving this config. [1] Return to setup without saving this config. [2] Save this configuration and exit setup. [3] Continue to Advanced setup. Enter your selection[3]: 2

--- Configuration Saved ---

Complete the advanced setup using CLI or IDM. To use IDM, point your web browser at https://<sensor-ip-address>. sensor#

步骤 3：配置第二个模块

键入 exit 退出传感器，回到 Cisco ASA 命令行界面。要在备用 ASA 上设置第二个 SSM，请登录 CLI，再次运行设置脚本来配置基本网络连接。第二个 SSM 必须使用与第一个 SSM

不同的主机名和 IP 地址，以便监控系统能够轻松识别。在测试实验室，备用 SSM 的主机名和 IP 地址分别是 SSM-40-B 和 10.4.24.28。

步骤 4：在 ASDM 中连接到传感器

此时从 ASDM 可以访问 IPS 传感器。登录 ASDM 并点击 Configuration（配置）选项卡，然后点击 IPS。ASDM 将显示“连接到 IPS…”窗口。输入 IPS 传感器上注明的用户名和密码，然后点击 Continue（继续）。

入侵防御 39

图 47. ASDM 连接到 IPS 模块

ASDM 将从 IPS 传感器导入当前的配置，主窗口将显示启动向导开启程序。 步骤 5：运行启动向导

点击 Launch Startup Wizard（运行启动向导）。 图 48. 启动向导

步骤 6：启动向导-传感器设置

在启动向导中执行以下操作：传感器设置页面，输入一个 NTP 服务器和任意必要的服务器证书，设定时区和夏时制设置，然后按照需要添加企业的 DNS 服务器。Allowed Hosts

面板将定义在管理界面传感器将接受哪些 IP 地址。

点击 Next（下一步）。

图 49. 传感器设置

入侵防御 40

现在必须确定采用什么传感器模式。在 IPS 模式中，传感器位于流量路径中。在这种模式中，流量将受到检查，如果属于恶意内容则被丢弃。而在 IDS 模式中，流量的一个副本将以被动方式发到传感器接受检查，如果属于恶意流量，系统将发出告警。IPS 模式能够更好地防御来自互联网的各种威胁，而且降低了在此网段拦截重要流量的风险，特别是与基于信誉的技术结合使用时。可以将 IDS 模式作为一种临时解决方案部署，以观察 IPS

将对网络产生什么影响以及哪些流量将被拦截。在了解了对网络的影响并作了必要的调试后，可以轻松地将传感器更改为 IPS 模式。

如果在 IPS（线内）模式下运行模块，应遵循以下程序。如果在 IDS（混杂）模式下运行模块，请使用程序 3。

步骤 1：在启动向导中，第三步是流量分配，您必须决定将把什么流量发送到 IPS 模块，以及流量是以线内模式（IPS）还是混杂模式（IDS）发送。

如果使用 IPS 模式，请点击 Add（添加），在网络中增加一个线内策略，以便检查进出ASA 防火墙的所有流量。

图 50. 在 ASDM 中配置 IPS 策略

配置 IPS 策略 程序 2

入侵防御 41

步骤 2：接受默认设置，即检查所有流量，然后点击 OK。

图 51. IPS 流量策略

步骤 3：一个全局 IPS 策略已经配置完毕并准备应用于传感器。点击 Finish（结束）。

图 52. ASDM 中的 IPS 线内策略

步骤 3：启动 IPS 检查

要使策略对防火墙生效，必须将其应用于一个接口。

在左侧的窗口中点击 Policies（策略） > IPS: Policies（IPS：策略），然后点击 Edit（编辑）。

图 53. 启动 IPS 检查

入侵防御 42

步骤 4：编辑虚拟传感器配置

勾选 Interfaces（接口）中的 Assigned（已分配）框，将 IPS 策略与 ASA 的背板接口相关联。点击 Assign（分配）和 OK。

图 54. 编辑 IPS 虚拟传感器配置

步骤 5：点击 Apply（应用）并保存 ASA 配置，完成 IPS 线内设置。

如果您选择运行 IPS 模式，传感器将被配置为丢弃高风险流量。也就是说，如果风险评估值达到 90 且系统发出告警，或流量来自一个信誉不良的 IP 地址而且风险评估值达到90 或更高，流量将被丢弃。如果由于源地址的信誉不良导致风险评估值达到 100，那么来自该 IP 地址的所有流量都将被丢弃。

图 55. IPS 策略

更改线内安全策略 程序 3

入侵防御 43

步骤 1：在这种配置中，IPS 错误丢弃非恶意流量的概率很低，但如果您想采用更保守的策略，可以将 Risk Category（风险类别）选项卡中的 HIGHRISK 类别从 90-100 改为100-100，方法是编辑 HIGHRISK 策略并将值设为 100。

图 56. IPS 风险类别

步骤 1：在启动向导中配置 IDS 策略

要采用 IDS 模式，必须在启动向导中创建一个混杂策略。在 Sensor Setup-Startup Wizard

（传感器设置-启动向导）面板中选择 Launch Startup Wizard（运行启动向导）按钮。要添加 IDS 策略，请点击向导屏幕 3 上的 Add（添加）。

图 57. 在 ASDM 中配置 IDS 策略

配置 IDS 策略 程序 4

入侵防御 44

步骤 2：配置 IDS 流量策略

将流量检查类型改为 Promiscuous（混杂），然后点击 OK。

图 58. IDS 流量策略

此时，混杂策略已经创建，准备应用于传感器。点击 Finish（结束）完成 IDS 模式配置。

图 59. ASDM 中的 IDS 流量策略

步骤 3：启动 IDS 检查

要使策略在防火墙上生效，必须将其应用于一个接口。点击左侧窗口中的 Policies（策略）

> IPS > Policies（策略）。点击 Edit（编辑）。

图 60. 启动 IDS 检查

入侵防御 45

步骤 4：编辑虚拟传感器配置

选中接口下的选项框，将 IPS 策略与 ASA 的背板接口相关联。点击 Assign（分配）和OK。

图 61. 编辑 IDS 虚拟传感器配置

点击 Apply（应用）并保存 ASA 配置，完成混杂模式设置。

现在 IPS 传感器已设置完毕，系统必须重启才能使所有配置生效。如果被重启的传感器位于主用 ASA，重新加载将导致系统故障切换到备用防火墙。

步骤 1：检查备用 ASA 的状态

利用备用 ASA 设备上的一个控制台连接发出“显示故障切换”命令，确保其处于备用状态。

asa5540# sho fail Failover On Failover unit Secondary [Output removed for brevity....]

This host: Secondary - Standby Ready 步骤 2：将备用 ASA 的状态从备用改为主用

输入 failover active 命令，将 ASA 的状态改为主用。设备交换 IP 地址，形成一个防火墙故障切换事件。

asa5540# failover active

Switching to Active asa5540# show failover [Output removed for brevity....]

This host: Secondary - Active 步骤 3：在备用 ASA 中配置 IPS

利用 ASDM 重新连接到 ASA（现在使用的是备用转为主用的防火墙）的主 IP 地址。按照配置第一个 IPS 的程序和步骤来配置第二个 IPS，不同之处是名称改为 SSM-40-B，IP 地址改为 10.4.24.28/27。

总结 企业面临着大量来自互联网的安全威胁。部署在企业互联网边缘的 Cisco IPS 能够帮助企业有效识别和拦截恶意流量，从而提高互联网服务的可用性和安全性。

完成最后的步骤程序 5

远程访问 VPN 46

远程访问 VPN

业务概述 许多大型企业需要为不同地点的用户提供网络连接，使其能够访问企业的数据资源。员工、承包商和合作伙伴可能需要在旅途中、在家中或从其它远离企业的地点访问网络。远程访问连接应该支持各种各样的终端设备，并提供对联网数据资源的无缝访问。此外，还应支持与企业现有的验证资源相集成的验证和策略控制。该连接还应当利用加密安全措施防止敏感信息泄露给意外或有意截获企业数据的非授权方。

技术概述 面向远程用户的远程访问可通过以下这些方式提供：

• 软件 VPN 客户端

• 硬件 VPN 客户端

• 安全套接字层（SSL）VPN 网络门户

思科自适应安全设备（ASA）系列支持 IPsec、网络门户和全隧道 SSL VPN，用于提供基于客户端的远程访问，IPsec 可用于实施硬件客户端或站点间 VPN。本节介绍了远程访问IPsec、网络门户和 SSL VPN 的远程连接基本配置，此外还介绍了 Cisco Easy VPN 的硬件客户端（ASA 5505）接入配置。

对于需要完整网络连接的远程用户，我们推荐他们使用 Cisco VPN 客户端和 Cisco

AnyConnect 客户端等软件客户端。若使用 IPsec VPN 客户端，用户的设备必须已经加载和配置了客户端软件，以便与笔记本电脑等公司设备出色地连接和协作。Cisco

AnyConnect 客户端使用 SSL，支持自动下载和安装。SSL 访问的灵活性更高，而且与IPsec 相比，支持的接入地点更多，因为极少有公司会阻挡其网络之外的 HTTPS 接入。

硬件客户端是一个类似小型装置或路由器的物理设备，它能够提供与公司网络的“永续”连接。硬件客户端通常适用于经常连接、连接时间长、从一个固定地点连接的用户，比如家庭办公用户。

SSL VPN 网络门户提供了一个基于 SSL、面向特定应用的前端。它的功能类似于网络代理，适用于基于 HTTP 的应用和简单的文件上传和下载操作。SSL 的采用使得从未知设备访问的用户只能获得有限的服务，从而增强了对公司网络的保护。

智能业务平台无边界网络提供了两种不同的远程访问 VPN 设计：

• 互联网边缘 5K 设计中与防火墙 Cisco ASA 双机配置集成的远程访问 VPN（RAVPN）。这种设计的资金投入较少，而且能够减少网络工程人员必须管理的设备的数量。

• 在互联网边缘 10K 设计中，远程访问 VPN 部署在一对独立的 Cisco ASA 上。这种设计的操作灵活性和可扩展性更高，同时允许从现有的 RAVPN 配置轻松升级。

本文描述了通过 SSL VPN WebVPN 门户、AnyConnect 和 IPsec 客户端实现的远程访问VPN 的配置。按照各个接入方法，配置被分成几个部分来说明，我们首先将描述一个所有接入方法共有的配置。互联网边缘 5K 和互联网边缘 10K 的配置具有相同的功能，因此不管用户选择哪种设计，他们获得的体验完全相同。除非特别说明，互联网边缘 5K 和互联网边缘 10K 设计的配置是相同的。

设计中使用的硬件是根据以下性能参数选出的：

Cisco ASA 系列产品 最大 IPsec VPN 会话数量 最大 SSL VPN 会话数量

Cisco ASA 5510 250 250 Cisco ASA 5520 750 750 Cisco ASA 5540 5000 2500

远程访问 VPN 47

部署详解 本部署指南的“防火墙”部分已经对 ASA 的基本配置进行了详细描述，包括可用性、路由、互联网、内部连接以及管理访问。

如果您对这些配置内容还不熟悉，请参阅相应的‘防火墙’章节。

从思科自适应安全设备管理器（ASDM）的命令行界面或图形用户界面可配置 Cisco ASA

的远程访问 VPN 终结功能。思科 ASDM 提供了一个分步指导流程，不但能帮助您轻松完成 RAVPN 的配置，还能降低发生配置错误的可能性。

用户可将这个完整的远程访问 VPN 配置指南粘贴到 CLI，然后通过 ASDM 编辑配置中的特定网络部分即可。

这一程序将设置所有接入方法通用的用户验证和全局远程访问参数。

步骤 1：配置地址池。

打开 Configuration（配置） > Remote Access VPN（远程访问 VPN） > Network（Client）Access（网络（客户端）访问） > Address Assignment（地址分配） > Address Pools

（地址池）面板。定义远程访问 VPN 地址池，这些地址将分配给连接 VPN 服务的用户：

这一地址池定义了一个较大的地址范围，能够容纳 1022 名用户。如果需要更多地址空间，可以分配一个更大的子网或定义更多地址池：

图 62. 添加 RAVPN IP 地址池

流程

远程访问 VPN 配置

1. 配置全局远程访问

2. 为互联网边缘 5K 配置 NAT 豁免

3. 配置路由汇总

4. 配置 IPsec 客户端

5. 配置 AnyConnect

6. 配置硬件客户端

配置全局远程访问 程序 1

远程访问 VPN 48

在 Configuration（配置） > Remote Access VPN（远程访问 VPN） > Network（Client）Access（网络（客户端）访问） > Advanced（高级） > ACL Manager（ACL 管理器）面板中，为 VPN 池分配一个对象组并选择 Add ACE（添加 ACE）。

如果 VPN 地址池的起始地址是一个相关网络名称，那么查看远程访问地址池将会更加直观。

图 63. 配置 VPN 地址池访问列表

步骤 2：在相邻交换机上为远程访问 VPN 地址池配置路由汇总

Cisco ASA 将把远程访问地址池广播到网络其它地点，将其作为每个联网用户的个人主机路由。汇总地址池可以避免 VPN 客户端的个人主机路由在整个网络传播。

interface TenGigabitEthernet1/0/1

ip summary-address eigrp 100 10.4.24.0 255.255.248.0 90

!

interface TenGigabitEthernet2/0/1

ip summary-address eigrp 100 10.4.24.0 255.255.248.0 90

步骤 3：在 Configuration（配置） > Remote Access VPN（远程访问 VPN） > Network

（Client）Access（网络（客户端）访问） > Group Policies（组策略）面板中定义 Default

Group Policy（默认组策略）（DfltGrpPolicy）配置：选择 DfltGrpPolicy 策略并点击编辑。

这部分配置包含的特性是所有 VPN 组所共有的，包括地址池、DNS 服务器、隧道策略、分离隧道名称解析域以及哪些 VPN 服务可供全网络的各种 VPN 组使用。在各种 VPN 组的说明中提供了更详细的配置信息，这些配置将取代默认的策略配置。

图 64. 默认组策略：地址池

图 65. 默认组策略：DNS 服务器

图 66. 默认组策略：分离隧道策略

远程访问 VPN 49

步骤 4：在第 4 步到第 6 步利用 Microsoft Windows 服务器管理工具定义 Active Directory

（活动目录）配置。在 Active Directory 中配置管理账户。

管理账户允许通过远程访问集中器访问 Active Directory。这一配置专门应用于 Windows

Active Directory 服务器。

图 67. Active Directory：管理账户

步骤 5：将符合各种 VPN 访问策略的相关 VPN 组添加到 Active Directory。

作为一种返回属性，Active Directory 将向 ASA 提供用户的组成员信息，同时告知用户的证书是否获得通过。该配置专门应用于 Windows Active Directory 服务器。

图 68. Active Directory：为 VPN 用户创建组

远程访问 VPN 50

步骤 6：如果用户被准许接入远程访问 VPN，那么将其添加到合适的 VPN 访问组。

该配置专门应用于 Windows Active Directory 服务器。

图 69. Active Directory：将用户添加到 VPN 组

步骤 7：在 Configuration（配置） > Remote Access VPN（远程访问 VPN） > AAA/Local

Users（AAA/本地用户） > AAA Server Groups（AAA 服务器组）面板中定义验证组。

配置的验证部分专门用于检验用户的证书（用户名和密码）是否与企业授权用户（被允许访问电子资源）数据库中保存的信息相符。面向企业的智能业务平台无边界网络将Microsoft Active Directory 用作验证数据库。当 Cisco ASA 向 Active Directory 数据库查询某个用户的用户名和密码是否有效，能否建立远程访问 VPN 连接时，Active Directory

将返回一个 VPN 组名称属性，Cisco ASA 利用该属性将用户分配到合适的 VPN 访问组。这就要求在 Active Directory 服务器上进行配置来创建一个能够访问 Directory 的用户，同时在 ASA 上也要进行额外配置，将 AD 返回的值与本地的重要组名称相关联。

图 70. Active Directory 集成 LDAP 参数

远程访问 VPN 51

步骤 8：配置 LDAP 属性图，将 AD 返回的 vpn-group 值与本地 VPN 组相关联。

LDAP 属 性 图 将 把 LDAP 返 回 的 属 性 转 换 为 本 地 值 。 LDAP 属 性 图 的 配 置 可 在Configuration（配置） > Remote Access VPN（远程访问 VPN） > AAA/Local Users

（AAA/本地用户） > LDAP Attribute Map（LDAP 属性图）面板中完成。

‘Mapping of Attribute Name（属性名称映射）’面板定义了哪些属性将一起映射。

图 71. 配置 LDAP 属性图-属性名称

‘Mapping of Attribute Value（属性名称映射）’面板定义了 Active Directory 服务器将提供哪些值（Directory VPN 用户组名称），以及从 AD 返回属性可以衍生出哪些本地值（Cisco

ASA VPN 组名称）。

图 72. 配置 LDAP 属性图：属性值

步骤 9：转至 Remote Access VPN（远程访问 VPN） > Network（Client Access）（网络（客户端访问）> IPsec Connection Profiles（IPsec 连接配置文件），定义隧道策略并配置组策略。在 “连接配置文件（Connection Profiles）”下找到合适的组名称，然后点击‘Edit（编辑）’。

每个远程访问策略都需要不同的 VPN 组。本文的架构包含三个 VPN 组。三个组均采用完全隧道策略，以确保被恶意软件入侵的主机在与 VPN 连接时不会受到远程控制。三个组的不同之处在于：

• 管理员用户由 Active Directory 进行验证或通过本地用户名和密码验证。这样可以确保在 Active Directory 服务器关闭时 VPN 连接仍然可用。管理员用户可以访问整个网络。

• 员工由 Active Directory 进行验证，可以访问整个网络。

• 合作伙伴由 Active Directory 进行验证，虽然他们使用全隧道 VPN 策略，但为隧道配置的一个访问列表可限制他们对某些特定主机的访问。

图 73. 配置隧道策略

远程访问 VPN 52

步骤 10：定义隧道组，隧道组结合了 LDAP 组返回属性、组隧道策略和隧道组使用的地址池。

图 74. 将组策略与 AAA 值进行关联

在 ASDM 中执行上述步骤将应用以下 Cisco ASA CLI 配置：

ip local pool ravpn-pool 10.4.28.0-10.4.31.255 mask 255.255.252.0 object network ra-vpn-pool subnet 10.4.28.0 255.255.252.0 group-policy DfltGrpPolicy attributes dns-server value 10.4.48.10 vpn-tunnel-protocol IPSec svc webvpn split-dns value cisco.local address-pools value ravpn-pool webvpn svc ask none default svc

ldap attribute-map VPN-Group-AD-Map map-name memberOf IETF-Radius-Class map-value memberOf CN=vpn-partner,CN=Users,DC=cisco,DC=com bn-partner map-value memberOf CN=vpn-user,CN=Users,DC=cisco,DC=com bn- user dynamic-access-policy-record DfltAccessPolicy aaa-server AAA-SERVER protocol tacacs+ aaa-server AAA-SERVER (inside) host 10.4.48.15 key SecretKey aaa-server AD protocol ldap aaa-server AD (inside) host 10.4.48.10 ldap-base-dn CN=Users,DC=cisco,DC=local ldap-naming-attribute sAMAccountName ldap-login-password cisco ldap-login-dn CN=ASA 5520,CN=Users,DC=cisco,DC=local server-type microsoft

group-policy bn-adm-group attributes split-tunnel-policy tunnelspecified split-tunnel-network-list value RA-SPLIT-TUNNEL_ACL

group-policy bn-user-group internal group-policy bn-user-group attributes split-tunnel-policy tunnelspecified split-tunnel-network-list value RA_FullTunnelACL

group-policy bn-partner-group internal group-policy bn-partner-group attributes split-tunnel-policy tunnelspecified split-tunnel-network-list value RA_FullTunnelACL

tunnel-group bn-user type remote-access tunnel-group bn-user general-attributes address-pool ravpn-pool authentication-server-group AD default-group-policy bn-user-group

tunnel-group bn-admin type remote-access tunnel-group bn-admin general-attributes address-pool ravpn-pool default-group-policy bn-adm-group

tunnel-group bn-partner type remote-access tunnel-group bn-partner general-attributes address-pool ravpn-pool authentication-server-group AD default-group-policy bn-partner-group

远程访问 VPN 53

互联网边缘 5K 设计不能对远程访问 VPN 用户的流量应用 NAT，否则他们的流量将失效。互联网边缘 10K 设计不要求执行这一步骤。

步骤 1：转至 Firewall（防火墙） > NAT Rules（NAT 规则），为 RAVPN 用户池配置 NAT

豁免。

在互联网边缘 5K 设计中，必须为去往远程访问客户端的局域网流量配置 NAT 豁免。如果不配置 NAT 豁免，去往客户端的流量将被转换，从而改变流量的源地址，使客户端无法再从与其通信的服务器正常接收流量。在互联网边缘 10K 设计中不需要进行这种配置，因为在 10K 设计中，VPN 功能与互联网防火墙功能彼此分离，只支持 VPN 的 ASA 上没有配置 NAT。

图 75. 为 RA VPN 地址池配置 NAT 豁免

通过这一程序，我们将为相邻的分布式交换机添加路由配置，以便最大限度地减少为支持VPN 客户端池而必须广播到网络其它地点的路由的数量。

步骤 1：在相邻交换机上为远程访问 VPN 地址池配置路由汇总

Cisco ASA 将把远程访问地址池作为面向每个连接用户的主机路由广播到网络中的其它地点。汇总地址池可以避免 VPN 客户端的个人主机路由在整个网络中传播。

interface TenGigabitEthernet1/0/1 ip summary-address eigrp 100 10.4.24.0 255.255.248.0 90 ! interface TenGigabitEthernet2/0/1 ip summary-address eigrp 100 10.4.24.0 255.255.248.0 90

为互联网边缘 5K 配置 NAT 豁免 程序 2 配置路由汇总 程序 3

远程访问 VPN 54

以下配置使用户能够通过 Cisco IPsec VPN 客户端访问网络。这一配置要求实施“全局远程访问配置”中所描述的设置。

步骤 1：配置远程访问 ISAKMP 和 IPsec 策略。

ISAKMP 策略定义了如何保护从 IPsec VPN 客户端到 Cisco ASA 的初始连接。

图 76. 创建 ISAKMP 策略

IPsec 加密图策略定义了应用于远程访问 VPN 用户数据连接的加密保护措施。

图 77. 创建 IPSec 加密图策略

配置 IPsec 客户端 程序 4

远程访问 VPN 55

步骤 2：添加 IPsec VPN 客户端远程访问连接配置文件。

远程 VPN 客户端的配置大部分与 RAVPN 头端相同。

图 78. 头端远程访问连接配置文件

步骤 3：配置 IPsec VPN 客户端，使其连接到合适的 VPN 组。

IPsec VPN 客户端配置必须与 VPN 头端的参数匹配。在 IPsec 的客户端侧，用户需要具备头端的 IP 地址或 DNS 名称、组名称和密码，以及用户名和密码。

图 79. IPsec VPN 客户端配置

远程访问 VPN 56

在 ASDM 中执行上述步骤将应用以下 CLI 配置：

crypto isakmp enable outside-16 crypto isakmp enable outside-17 crypto isakmp policy 10 authentication pre-share encryption aes hash sha group 2 lifetime 86400

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto dynamic-map BN_DYN_CRYPTO_MAP_1 101 set transform-set ESP-AES-128-SHA ESP-AES-192-SHA ESP-AES-256-SHA ESP-3DES-SHA crypto dynamic-map BN_DYN_CRYPTO_MAP_1 101 set reverse-route crypto dynamic-map BN_DYN_CRYPTO_MAP_2 102 set transform-set ESP-AES-128-SHA ESP-AES-192-SHA ESP-AES-256-SHA ESP-3DES-SHA crypto dynamic-map BN_DYN_CRYPTO_MAP_2 102 set reverse-route crypto map outside-16_map 65535 ipsec-isakmp dynamic BN_DYN_CRYPTO_MAP_1 crypto map outside-16_map interface outside-16 crypto map outside-17_map 65535 ipsec-isakmp dynamic BN_DYN_CRYPTO_MAP_2 crypto map outside-17_map interface outside-17 tunnel-group bn-user ipsec-attributes pre-shared-key c1sco123 tunnel-group bn-admin ipsec-attributes pre-shared-key c1sco123 tunnel-group bn-partner ipsec-attributes pre-shared-key c1sco123

对于 Cisco ASA，必须进行必要的配置才能实现 AnyConnect 客户端支持。

步骤 1：利用 Tools（工具） > File Management（文件管理）菜单中的文件传输工具将相关平台的 Anyconnect 客户端上传到 ASA。在 File Transfer（文件传输）按钮中选择Between Local PC and Flash（在本地 PC 和 Flash 之间）。

从 Cisco.com 可以下载 AnyConnect 客户端安装文件；您必须下载支持企业使用的软硬件平台所需的所有客户端。将文件上传到高可用性双机配置中的两个 ASA。

图 80. 将 AnyConnect 安装文件上传到 ASA

配置 AnyConnect 程序 5

远程访问 VPN 57

步骤 2：将全局 WebVPN 配置添加到默认组策略（DfltGrpPolicy）配置。

图 81. 配置 AnyConnect 客户端策略

步骤 3：上传完毕之后，分配主用 AnyConnect 客户端的当前版本。

图 82. 定义 AnyConnect 客户端

远程访问 VPN 58

步骤 4：创建 WebVPN 组连接 URL

通过定义具体的连接 URL 别名，用户可以直接连接到他们各自的 VPN 组，无需在登录界面选择组。如果使用包含两个 ISP 连接的互联网边缘 10K 设计，将通过两个 ISP 连接提供 VPN 连接，注意要为两个 ISP 的 IP 地址或主机名提供 group-url。在客户端 PC 上打开网络浏览器，连接到 group-url。

AnyConnect 客户端的初始连接通常是通过一个网络浏览器启动的。将客户端安装在用户计算机上之后，可再次通过网络浏览器建立后续的连接，也可直接通过已安装在用户计算机上的 AnyConnect 客户端建立连接。用户必须拥有 Cisco ASA 的 IP 地址或 DNS 名称、用户名和密码以及他们所属的 VPN 组的名称。用户也可以利用其 group-url 直接访问所在的 VPN 组，然后提供用户名和密码即可。

图 83. 通过 WebVPN 门户启动 AnyConnect 客户端

在 ASDM 中执行上述步骤将应用以下 Cisco ASA CLI 配置：

group-policy DfltGrpPolicy attributes webvpn svc ask none default svc webvpn enable outside-16 enable outside-17 anyconnect-essentials svc image disk0:/anyconnect-win-2.5.1025-k9.pkg 1 svc image disk0:/anyconnect-macosx-i386-2.5.1025-k9.pkg 2 svc enable tunnel-group-list enable

tunnel-group bn-user webvpn-attributes group-alias bn-user enable group-url https://172.16.130.124/bn-user enable tunnel-group bn-admin webvpn-attributes group-alias bn-admin enable group-url https://172.16.130.124/bn-admin enable

tunnel-group bn-partner webvpn-attributes group-alias bn-partner enable group-url https://172.16.130.124/bn-partner enable

远程访问 VPN 59

有些远程办公人士或用户使用多种设备，包括 IP 电话或其它平台，但这些设备无法利用VPN 客户端来提供远程站点连接，对于这些用户，他们可以使用‘硬件客户端’设备在远程地点访问公司 IT 资源，同时获得加密保护。硬件客户端配置采用了一个稍有不同的 VPN

连接模式，即“网络扩展模式”。在这种模式中，远程网络上的设备处在公司网络的 IP 地址范围之内（此处指的是远程访问 VPN 地址池）。

步骤 1：启动网络扩展模式。

group-policy 5505Group internal group-policy 5505Group attributes vpn-tunnel-protocol IPSec ip-comp enable split-tunnel-policy tunnelspecified split-tunnel-network-list value RA_SplitTunnelACL user-authentication-idle-timeout 480 nem enable

username 5505site5 password c1sco123 username 5505site5 attributes vpn-group-policy 5505Group tunnel-group RA5505 type remote-access tunnel-group RA5505 general-attributes default-group-policy 5505Group tunnel-group RA5505 ipsec-attributes pre-shared-key c1sco123

步骤 2：为远程办公者的连接定义本地验证。

本地验证针对远程办公者 VPN 连接提供了一个有效的解决方案，因为远程办公者的证书只与终结在 ASA 双机设备上的远程访问连接有关，而不像其它应用网络用户名的远程访问连接，与许多网络服务都相关。

username 5505site5 password c1sco123 username 5505site5 attributes vpn-group-policy 5505Group

步骤 3：配置 Cisco ASA 5505 硬件客户端

ASA 支持将各种各样的路由器用作 VPN 硬件远程客户端，也支持 ASA 5505，在本例中，我们将采用 ASA 5505 支持远程硬件客户端配置。请利用以下程序为 ASA 5505 配置连接：

hostname 5505Site32 domain-name cisco.local enable password c1sco123 passwd c1sco123 names ! interface Vlan1 nameif inside security-level 100 ip address 10.4.251.249 255.255.255.248 ! interface Vlan2 nameif outside security-level 0 ip address dhcp setroute ! interface Ethernet0/0 no shut ! interface Ethernet0/1 no shut ! interface Ethernet0/2 no shut ! interface Ethernet0/3 no shut ! interface Ethernet0/4 no shut ! interface Ethernet0/5 no shut ! interface Ethernet0/6 no shut ! interface Ethernet0/7 switchport access vlan 2 no shut !

配置硬件客户端 程序 6

远程访问 VPN 60

dns server-group DefaultDNS domain-name cisco.local http server enable http 10.4.0.0 255.254.0.0 inside crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto isakmp policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400

telnet 10.4.0.0 255.254.0.0 inside telnet timeout 5 ssh 10.4.0.0 255.254.0.0 inside ssh timeout 5 ssh version 2 console timeout 0 management-access inside dhcpd auto_config outside dhcpd option 150 ip 10.4.48.20 ! dhcpd address 10.4.251.250-10.4.251.254 inside dhcpd dns 10.4.48.10 interface inside dhcpd domain cisco.local interface inside dhcpd enable inside ! vpnclient server 10.194.112.114 vpnclient mode network-extension-mode vpnclient nem-st-autoconnect vpnclient vpngroup RA5505 password c1sco123 vpnclient username 5505site5 password c1sco123 vpnclient enable ! username admin password c1sco123 privilege 15

远程访问 VPN 总结 思科自适应安全设备（ASA）支持 IPsec、网络门户和全隧道 SSL VPN，用于提供基于客户端的远程访问，IPsec 可用于实施硬件客户端或站点间 VPN。本节介绍了远程访问IPsec、网络门户和 SSL VPN 用于远程连接的基本配置，此外还介绍了 Cisco EZVPN 的硬件客户端（ASA 5505）接入配置。

电子邮件安全性 61

电子邮件安全性

业务概述 电子邮件是企业普遍使用的一种重要商业服务。对电子邮件服务保护不力将导致数据丢失和员工工作效率降低。

当今网络中的电子邮件服务主要面临两个问题。首先是大量不请自来的电子邮件充斥员工的邮箱，这些通常被称作垃圾邮件的电邮不但浪费了员工的时间（因为数量极其庞大），还浪费了网络带宽和存储空间。

另外一个问题是大量电子邮件用意不良，包含恶意软件或企图发动钓鱼攻击，以诱使用户透露敏感信息，如信用卡卡号、社会保险号码或知识产权信息。

技术概述 如果垃圾邮件得不到妥善过滤，电子邮件解决方案将无法正常使用。由于垃圾邮件数量庞大，不但使正常邮件无法及时送达，还让员工在清理邮件的过程中浪费了大量的时间。一些垃圾邮件过滤解决方案的弊端是误判，即某些电子邮件会被错判为垃圾邮件，导致正常邮件被丢弃。

在这种情况下，企业必须再对垃圾邮件进行筛选，寻找正常邮件，或降低过滤标准，但这样会使更多潜在的垃圾邮件进入用户邮箱，这样用户不得不自行判断邮件是不是垃圾邮件。不请自来的邮件极有可能是恶意邮件或带有潜在威胁。犯罪集团经常将电子邮件作为一种廉价而有效的用户设备攻击手段。有一种电子邮件攻击是在邮件中发送恶意软件，试图感染主机，或向用户提供虚假 URL（钓鱼），诱使用户访问一个网站，罪犯在这里会窃取银行账户登录证书或感染主机。

这些攻击的目的是获取社会保险号码、信用卡卡号或破坏主机，将其作为发送垃圾邮件和发动其它攻击的据点。

Cisco IronPort® C-Series 电子邮件安全设备（ESA）能够在不请自来的邮件和恶意邮件到达用户邮箱之前对其进行过滤，从而有效保护电子邮件基础设施和在工作中使用电子邮件的员工。ESA 很容易与现有的电子邮件基础设施集成，具有极高的灵活性。这是因为它在电子邮件传送链中充当一个邮件传输代理（MTA）。MTA 的另外一个名称是邮件中继。企业在使用 MTA（邮件中继）正常发送电子邮件时邮件的传输流如下所示。

图 84. 电子邮件传输流

1）发送者将电子邮件发到xyz@companyX.com 2）CompanyX 的邮件服务器的 IP

是什么（MX 和 A 记录 DNS 查找）？

3）CompanyX 的电子邮件服务器的 IP 地址是 a.b.c.d（CompanyX采用 Cisco ESA）

互联网 DNS服务器

4）发送电子邮件

思科电子邮件安全设备

5）接受检查之后，电 子 邮 件 将 发 往 中央电子邮件服务器

6）员工收取过滤后的合法邮件

电子邮件服务器

电子邮件安全性 62

ESA 可以只配置一个物理接口，用于过滤企业邮件服务器收发的电子邮件。第二种部署方案是双接口配置，一个接口用于互联网的电子邮件传输，另一个接口用于内部服务器的电子邮件传输。为简单起见，互联网边缘设计采用了单接口配置模式。

图 85. 思科电子邮件安全设备部署概况

ESA 采用了许多种垃圾邮件过滤和防病毒过滤机制。过滤垃圾邮件的方法有两种：基于信誉和基于上下文的过滤。信誉过滤器提供了第一道防线，它将检查电子邮件服务器的源IP 地址，并将其与下载自 Cisco SenderBase®的信誉数据进行比较。SenderBase 是全球最大的安全数据存储库，这些数据包括垃圾邮件源、僵尸网络和其它恶意主机。如果互联网上的主机从事恶意活动，SenderBase 会降低其信誉度。ESA 等使用信誉数据的设备每天可多次从 SenderBase 获得更新数据。每当 ESA 收到一封电子邮件，它便将源 IP 与SenderBase 数据库的信息进行对照。如果发送方的信誉良好，这封电子邮件将被放行，进入第二层过滤机制。如果信誉不良，该邮件将被丢弃。如果信誉处于以上两者之间，邮件将作为可疑邮件被隔离，等待进一步审查。

ESA 基于上下文的防垃圾邮件功能将对包括附件在内的整个电子邮件进行检查，查看发送方身份信息、邮件内容、内嵌的 URL 以及邮件的格式等。利用这些算法，ESA 不但能够识别垃圾邮件，还能避免拦截合法邮件。

Cisco IronPort 电子邮件安全设备采用了一种多层方法来抵御病毒侵害。第一层是 Virus

Outbreak Filters（病毒爆发过滤器）。IronPort 设备可以从 SenderBase 下载这种过滤器。这些过滤器包含一个已知不良邮件服务器列表。这些过滤器是通过观察全球电子邮件流量模式而生成的，观察的目的是为了寻找与某次病毒爆发相关的异常因素。

如果一封电子邮件是来自该列表上的服务器，该邮件将被隔离，直到防病毒签名得到更新，能够抵御这一威胁。

ESA 的第二层防御是防病毒（AV）签名，用于对隔离的电子邮件进行扫描，确保它们不会将病毒带入网络。

图 86. 电子邮件过滤概况

互联网 防火墙

DMZ 上的电子邮件安全设备

内部网

思科电子邮件安全设备

防垃圾邮件设备

• 已知合法邮件被发送

• 可疑邮件被拦截，垃圾邮件被过滤

• 已知恶意邮件被删除/标记

入站邮件 合法、恶意和“灰色”

或未知邮件

电子邮件安全性 63

部署详解 Cisco ESA 的部署极为简单。它将作为一个邮件传输代理（MTA）安装到现有的邮件传送链中。ESA 将成为企业的电子邮件传送目的地，因此公共 MX 记录（定义邮件目的地的DNS 记录）最终必须指向 ESA 的公共 IP 地址。

在本部署指南中，为了简单起见，ESA 通过单个接口部署在互联网边缘防火墙的 DMZ 中。该接口负责处理所有入站和出站电子邮件并传输管理流量。ESA 上的端口是 M1 管理接口。

必须确保在公共互联网上能够访问 ESA，而且 ESA 必须是电子邮件基础设施的第一站。多个 ESA 流程都会用到发送方的 IP 地址，该地址也是 SenderBase 用于确定发送方信誉的主要依据之一。如果另一个设备在 ESA 之前收到了邮件，ESA 将无法确定发送方的 IP

地址，也无法进行有效过滤。

图 87. 电子邮件安全设备的部署

步骤 1：DNS 配置

ESA 主机名是 DNS Mail Exchange（MX）记录中保存的名称，主机名显示 ESA 是主用MTA。DNS A（IP 地址）记录是 ESA 的公共 IP 地址（在此处是位于 DMZ 的 ESA 的防火墙静态映射公共地址）。

172.16.130.16 是 ISP A 中的公共地址，用于将电子邮件发送到 cisco.local。

静态 NAT 被配置为将连接发送到这一地址，即 dmz-mail，它将把连接发到 ESA（其实际地址是 10.4.244.16）。

cisco.local 的 MX 记录指向 172.16.130.16 地址，因为该地址是思科实验室的其它邮件服务器用于发送电子邮件的公共地址（仅适用于该实验室）。

在完成 ESA 的物理安装并将其连接到网络之后，下一步是完成初始设置。

流程

互联网

ASA

DMZ 上的ESA

内部网络

电子邮件安全设备配置

1. 部署 ESA

2. 更新系统和特性密钥

3. 设置退信验证

4. 将邮件策略设为丢弃垃圾邮件

部署 ESA 程序 1

电子邮件安全性 64

步骤 2：初始设置选项

部署 ESA 的第一步是通过一个网络浏览器访问 ESA 图形用户界面（GUI），完成系统设置向导。

如果企业的安装流程允许通过默认 IP 地址将 PC 直接连接到 ESA，那么可以直接跳到“系统设置向导”部分。

如果安装流程要求将 ESA 安装在一个远程地点，并利用一个带外连接（如串行端口）从远端进行初始配置，那么必须用基本网络设置对 ESA 进行预配置。“带外网络配置”部分对这些设置进行了详细说明。完成该设置后，利用“系统设置向导”进入下一步。

步骤 3：配置管理访问

要通过串行控制台端口更改默认网络设置，利用一个终端仿真器设置为 8-1-none-9600

波特的标准零调制解调器电缆进行连接。连接并登录之后，运行 interfaceconfig 和setgateway 来更改基本网络设置。利用 commit（确认）命令保存配置更改。

请注意，根据设备的代码版本的不同，下文的内容也有所不同。

ironport.example.com> interfaceconfig Currently configured interfaces: 1. Management (192.168.42.42/24 on Management: ironport.example.com) Choose the operation you want to perform: - NEW - Create a new interface. - EDIT - Modify an interface. - GROUPS - Define interface groups. - DELETE - Remove an interface. []> edit Enter the number of the interface you wish to edit. []> 1 IP interface name (Ex: “InternalNet”): [Management]> Mail_DMZ IP Address (Ex: 192.168.1.2): [192.168.42.42]> 10.4.25.16 Ethernet interface: 1. Data 1 2. Data 2 3. Data 3 4. Management [4]>

Netmask (Ex: “255.255.255.0” or “0xffffff00”): [255.255.255.0]> 255.255.255.0

Hostname: [ironport.example.com]> c370.cisco.local

Do you want to enable FTP on this interface? [N]> Do you want to enable Telnet on this interface? [Y]> n Do you want to enable SSH on this interface? [Y]> Which port do you want to use for SSH? [22]>

Do you want to enable HTTP on this interface? [Y]> Which port do you want to use for HTTP? [80]>

Do you want to enable HTTPS on this interface? [Y]> Which port do you want to use for HTTPS? [443]>

Do you want to enable Spam Quarantine HTTP on this interface? [N]> y Which port do you want to use for Spam Quarantine HTTP? [82]>

技术提示

默认用户名和密码是 admin/ironport。

技术提示

根据设备安装的代码版本的不同，CLI 或 GUI 界面显示的选项可能稍有不同。

电子邮件安全性 65

Do you want to enable Spam Quarantine HTTPS on this interface? [N]> y Which port do you want to use for Spam Quarantine HTTPS?[83]> You have not entered an HTTPS certificate. To assure privacy, run “certconfig” first. You may use the demo, but this will not be secure. Do you really wish to use a demo certificate? [Y]> Both HTTP and HTTPS are enabled for this interface, should HTTP requests redirect to the secure service? [Y]> Both Spam Quarantine HTTP and Spam Quarantine HTTPS are enabled for this interface, should Spam Quarantine HTTP requests redirect to the secure service? [Y]> Do you want MAIL_DMZ as the default interface for Spam Quarantine? [N]> y Do you want to use a custom base URL in your Spam Quarantine email notifications? [N]> The interface you edited might be the one you are currently logged into. Are you sure you want to change it? [Y]> Currently configured interfaces: 1. MAIL_DMZ (10.4.25.16/24 on Management: c370.cisco.local) Choose the operation you want to perform: - NEW - Create a new interface. - EDIT - Modify an interface. - GROUPS - Define interface groups. - DELETE - Remove an interface. []> Please run “systemsetup” or “sethostname” then “commit” before sending mail. ironport.example.com> setgateway Warning: setting an incorrect default gateway may cause the current connection to be interrupted when the changes are committed. Enter new default gateway:[]> 10.4.25.1 Please run “systemsetup” or “sethostname” then “commit” before sending mail. ironport.example.com> commit

Please enter some comments describing your changes: []> initial setup Changes committed

配置完毕后，ESA 即能够从网络探测设备，但前提是应用了正确的防火墙规则。

ironport.example.com> ping 10.4.25.1 Press Ctrl-C to stop. PING 10.4.25.1 (10.4.25.1): 56 data bytes 64 bytes from 10.4.25.1: icmp_seq=0 ttl=255 time=0.481 ms 64 bytes from 10.4.25.1: icmp_seq=1 ttl=255 time=0.271 ms 64 bytes from 10.4.25.1: icmp_seq=2 ttl=255 time=0.195 ms

步骤 3：替代方案（GUI 管理访问配置）

如果您未在 CLI 中执行以上步骤，要连接到 GUI 设备管理器，请打开浏览器，通过 HTTPS

找到电子邮件设备的默认地址（https://192.168.42.42/）。

如果您完成了以上步骤，请连接到在 “配置管理访问”部分配置的 IP 地址。

电子邮件安全性 66

步骤 4：系统设置向导

下一步是从 GUI 运行系统设置向导，方法是连接到启动脚本中配置的 IP 地址，该配置通过串行端口连接或 192.168.42.42 地址执行（如果最初的设置是通过连接到管理以太网界面完成的）。

图 88. 系统设置向导

在 Start（开始）屏幕，阅读许可协议并点击 I accept（我接受），然后点击 Begin Setup

（开始设置）（无图片）。

步骤 5：系统配置

在系统选项卡中输入系统配置参数，如时间设置和默认主机名，然后用下图中显示的值更改默认密码。

最后两个问题决定了 ESA 是否加入 SenderBase 网络。这样 ESA 就可以将关于电子邮件流量的详细匿名信誉信息发回思科，以改进 SenderBase 和产品。

图 89. 系统配置

电子邮件安全性 67

步骤 6：网络集成

网络管理员可以在网络选项卡中执行网络集成任务，如设置网络网关和定义应当使用哪个接口和什么 DNS 服务器（或使用互联网的 Root DNS 服务器）。管理员需要在这个选项卡中输入企业的电子邮件信息、应当接受哪些入站邮件、如何处理这些邮件以及对外发送哪些邮件。

图 90. 网络集成

步骤 7：邮件安全性 在安全选项卡中可以定义邮件安全性，方法是选择是否启用防垃圾邮件和防病毒过滤以及采用什么设备执行这些功能。 图 91. 邮件安全性

步骤 8：完成初始配置 Review 选项卡（此处未显示）允许对已经完成的配置进行检查，并接受或更改这些配置。如果配置被接受，ESA 将安装这些配置。 点击 Install this Configuration（安装此配置）。 点击 Cancel（取消）绕过 Active Directory 向导。

技术提示

由于无法对软件版本进行降级，因此在进入下一步之前应确定确实需要升级。有时如果一个设备属于早期版本，可能会收到不同的升级选项。

电子邮件安全性 68

在开始使用 ESA 之前，还有两个问题必须予以关注：特性密钥和系统升级。 步骤 1：系统升级

要升级设备代码，请选择 System Administration（系统管理） > System Upgrade（系统更新）并查看当前的软件版本。点击 Available Updates（可用更新）查看是否有软件更新可用。 如果有新的软件版本，则可以选择安装。虽然不需要按照顺序安装所有的更新，但有时在安装某个新版本之前系统可能要求安装之前的过渡版本。如果需要安装过渡版本，设备会提醒操作者。 另一个选项是通过 CLI 运行升级命令。 步骤 2：更新特性密钥

在网络配置工具中找到 System Administration（系统管理） > Feature Keys（特性密钥）。 本页面显示了不同特性的许可密钥。如需查看 ESA 是否有任何尚未启用的许可证，点击Check for New Keys（检查新密钥）。点击后，ESA 将连接到 Cisco.com，查看是否所有已购买的许可证都已安装和启用。 一旦下载了任何新的特性密钥，马上即可激活。 图 92. 特性密钥

建立 ESA 标准配置的最后几个步骤之一是设置退信验证。退信验证流程使 ESA 能够为出站邮件加上一个特定标签，这样如果退回的电子邮件返回 ESA，它可以识别出退回的邮件原本是从 ESA 发出的。垃圾邮件发送者和黑客经常利用伪造的退信从事许多恶意行为。 步骤 1：创建退信验证密钥 要设置退信验证，选择 Mail Policies（邮件策略） > Bounce Verifications（退信验证）。 点击 New Key（新密钥）。 输入任意一个文字串，ESA 将在退信验证过程中使用该文字串。确认这些更改。 图 93. 退信验证

步骤 2：将退信验证地址标签设为开启。

选择 Mail Policies（邮件策略） > Destination Controls（目的地控制）。

点击第一个表中位于域标头下方的 Default（默认）：

将退信验证更改为：Perform Address Tagging Yes

提交并确认更改。

系统升级和特性密钥 程序 2 设置退信验证 程序 3

电子邮件安全性 69

图 94. 退信验证启用

步骤 1：将垃圾邮件设置更改为丢弃 设置 ESA 的最后一步是查看入站邮件策略，将默认设置改为丢弃已被识别为垃圾邮件的邮件。 要查看邮件策略，选择 Mail Policies（邮件策略） > Incoming Mail Policies（入站邮件策略）。 目前有一个默认邮件策略。 步骤 2：选择 Anti-Spam（防垃圾邮件）栏标头下的项。 步骤 3：将已被识别的垃圾邮件的处理方式从隔离改为丢弃。 提交并确认这些更改。 图 95. 邮件策略——防垃圾邮件

防火墙的隔离区（DMZ）是网络的一个区域，这个区域与其它网络区域之间的流量往来受到严格限制。企业可将网络服务放在 DMZ 中，使其向互联网开放。除非在特殊情况下，这些服务器通常不能向“内部”网络发起连接请求。

DMZ 交换机上的各种 DMZ 网络通过一个 VLAN 中继线连接到 ASA 的千兆以太网接口。本部署方案将单独建立一个电子邮件 DMZ，ESA 将部署在该 DMZ 上的网络中。Cisco ASA

上的 DMZ 邮件 VLAN 接口将获得一个系统分配的 IP 地址，它将作为 DMZ 邮件 VLAN 子网的默认网关。系统不为 DMZ 交换机的 VLAN 接口分配用于 DMZ 邮件 VLAN 的 IP 地址。

这一节假定您已经执行了本文防火墙部分所描述的步骤。在进行这部分部署之前请完成防火墙部分的配置。

流程

设定丢弃垃圾邮件的邮件策略 程序 4

防火墙配置

1. 防火墙 DMZ 配置

2. 地址转换配置

3. 为 ESA 配置防火墙策略

防火墙 DMZ 配置 程序 1

电子邮件安全性 70

步骤 1：配置 ASA 防火墙物理接口

注：如果已经建立并配置了 DMZ，而且配置了到 DMZ 交换机的 ASA 物理接口，请跳到步骤 2。

配置为各种 DMZ 提供 VLAN 中继的接口。系统不为中继接口分配接口名称、安全级别或IP 地址。配置细节请参见下图。

图 96. 定义 DMZ 中继接口

interface GigabitEthernet0/1 description dmz trunk to dmz-3750 stack port x/0/1 no nameif no security-level no ip address

步骤 2：在 GigabitEthernet 0/1 子接口上配置 DMZ VLAN 连接。

系统必须为 DMZ VLAN 接口分配一个合适的 IP 地址，用于附随的子网，同时还必须分配一个直观接口名称，用于 NAT 和安全策略配置。经过测试的设计采用了表 5 中的相关参数值。下图显示了一个 VLAN 接口的配置。

表 5. VPN-DMZ 配置参数

接口标签 IP 地址与 网络掩码

VLAN 安全级别 名称

GigabitEthernet0/1.1120 10.4.25.1/24 1120 50 dmz-mail

图 97. DMZ 子接口配置

interface GigabitEthernet0/1.1120 vlan 1120 nameif dmz-mail security-level 50 ip address 10.4.25.1 255.255.255.0 standby 10.4.25.2

电子邮件安全性 71

步骤 3：在 DMZ 交换机上，将合适的 VLAN 添加到与 ASA 相连的中继端口。

针对主用 ASA 执行以下这些命令：

interface GigabitEthernet1/0/23 switchport trunk allowed vlan add 1120

针对备用 ASA 执行同样的命令。

interface GigabitEthernet1/0/24 switchport trunk allowed vlan add 1120

在进入该程序之前，DMZ 邮件网络已经建立了与 ASA 接口的连接，但从 DMZ 邮件网络无法访问互联网，反之亦然。因此，还需要执行最后一步，为 ESA 配置互联网连接。DMZ

邮件网络使用的专用网（RFC 1918）地址无法在互联网上路由，因此 ASA 必须将 ESA

地址转换为外部公共地址。在这一配置中，应将 ESA 的 DMZ 邮件地址静态转换为可在互联网上路由的公共 IP 地址，如表 6 所示。

表 6. 电子邮件安全设备 IP 地址转换信息

ESA 的 DMZ 地址 ISP-A 上 ESA 的外部地址

10.4.25.16 172.16.130.16

注：由于采用了在本文的这一部分描述的地址转换配置，ASA 将使用其默认访问规则集，它允许流量从安全性较高的接口流向安全性较低的接口。请对预计的流量进行仔细检查；如果默认规则准许的某些或所有流量不能通过，那么应关闭各个设备接口，直到防火墙规则集完全配置好再打开。

步骤 1：为 DMZ 邮件子网和 ESA 配置名称到地址映射。

这些名称将用于 NAT 配置和访问规则定义。应确保使用的名称适用于配置的所有环节。使用地址库名称和对象组可提高 Cisco ASA 的 ASDM 和命令行的易用性，因为企业中的各种 IP 网络和主机都以名称而非 IP 地址显示。外部邮件 1 的配置如下图所示。对dmz-mail-net（DMZ-MAIL 网络的网络信息）和 DMZ-C370（C370 的 DMZ 邮件地址）重复这些配置。

转至 Configuration（配置） > Firewall（防火墙） > Objects（对象） > Network Objects/

Groups（网络对象/组）。

names name 172.16.130.16 outside-mail-1 name 10.4.25.0 dmz-mail-net name 10.4.25.16 dmz-C370

地址转换配置 程序 2

电子邮件安全性 72

步骤 2：为互联网与 DMZ 邮件 ESA 之间的流量传输定义静态转换策略。

所有对互联网开放的设备都要求进行静态转换。ESA 转换如下图所示。

图 99. 定义防火墙静态转换

object network dmz-C370 nat (dmz-mail,outside-16) static c370a-outside-ISPa

安全策略的配置相当主观，目的是为了适应企业的策略和管理要求。因此，此处的例子应作为满足网络安全要求的基础配置。

电子邮件 DMZ 提供了一个额外的保护层，可降低错误配置和 DMZ 主机受损的可能性，从而避免其它设备或网络遭到互联网上攻击者的袭击。过滤器只允许邮件流量到达 ESA。ESA 可以发送 SMTP 流量并与互联网上的任何主机建立 HTTP 和 HTTPS 连接（用于信誉更新）。ESA 还可以建立与公司交换服务器的入站 SMTP 连接，向企业的 DNS 服务器发出 DNS 请求。

步骤 1：定义访问控制项，允许流量从互联网流向 TCP 端口 25 上的 ESA（SMTP）。

这一策略允许 SMTP 访问 outside-mail-1 公共地址，完善了现有策略。

图 100. 互联网 SMTP 访问

为 ESA 配置防火墙策略 程序 3

电子邮件安全性 73

步骤 2：定义访问控制项，允许 ESA 访问内部和互联网资源并阻挡其它请求。

该策略允许 dmz-mail-net 上的所有设备向内部邮件主机（内部 Exchange 服务器）发送SMTP、向 dns-server 主机（内部 DNS 服务器）发送 DNS 请求、利用 ssh 和 ftp 向数据中心日志设备发送日志并拦截所有其它的内部请求。

该策略还允许 DMZ-mail 上的所有设备通过 SMTP、HTTP 和 HTTPS 连接到任何互联网主机。除此之外的其它所有访问都将被拒绝。

图 101. DMZ 邮件访问

互联网边缘 10K 部署 由于不同的企业对电子邮件的使用率不同，因此必须对设备的容量进行仔细评估。在这方面，思科合作伙伴或客户经理可以提供很大帮助。

单个设备部署、管理和维护起来相对比较容易，但却缺乏支持永续性所需的额外容量。如果需要永续性设置，可以多部署一个设备。

互联网边缘 5K 设计采用了单个 C370 设备，可为连接用户不超过 5000 名的大型企业处理中等流量的邮件负载，但无法提供永续性。互联网边缘 10K 设计采用了一对 C370 设备，将邮件处理容量增加了一倍，同时提供了永续性。

在将 ESA 用于互联网边缘 10K 设计中时，需要增加几个步骤。由于互联网边缘 10K 设计采用了两个 ISP，每个 ISP 都有自己的 IP 地址空间，因此必须针对每个 IP 地址空间为 ESA

配置一个 DNS 项。在互联网边缘 10K 设计中，172.16.130.0/24 地址池用于 ISP A，172.17.130.0/24 地址池用于 ISP B。

每个 ESA 需要从每个地址池获取一个地址，而且该地址必须在 DNS 中映射到合适的 MX

和 A 记录，以便在 ISP A 的连接中断时，其它企业组织能够使用 ISP B 的 MX 记录，从而使企业能够继续查看邮件。

配置此功能时，管理员必须确保防火墙配置允许从 ISP A 和 ISP B 访问 ESA。要做到这一点，必须为 ISP B 网络上的 ESA 地址创建一个静态地址，即 172.17.130.16。此外，必须允许互联网上的任何用户访问 TCP 端口 25，这种访问权限与为 ISP A 提供的访问权限相同。

图 102. 建立备份 ISP NAT

配置完成后，从 dmz-mail 到 outside-16 和从 dmz-mail 到 outside-17 都应该有一个 C370

ESA 静态地址，而且应该设置 ACL，以便两个外部接口都能接收 SMTP 入站流量。

对于互联网边缘 10K 设计中使用的第二个 C370（dmz-C370-B），必须同时为 ISP-A 和ISP-B 建立静态 NAT 规则，并从那些地址空间为其各分配一个地址。

电子邮件安全性 74

图 103. 配置第二个 C370 NAT

此外，还必须创建 ACL，令其提供的访问权限与为 dmz-C370 提供的访问权限一致。

图 104. 配置第二个 C370 ACL

高可用性 Cisco ESA 是邮件传输链中的一个组件，它能够提供一定程度的永续性，因为在目的地服务器没有应答的情况下，传输链中的一个邮件服务器会将邮件暂时保存一段时间。如果需要更高级别的永续性，可以增加一个 ESA。第二个 ESA 的配置应与第一个 ESA 的配置完全相同，而且必须为 DNS 增加一个 MX 记录。

如果需要增加更多设备，则必须为 ASA 添加访问列表和静态 NAT 规则。

最后的步骤 监控

要监控 ESA 的行为，可以利用 Monitor（监控器）中提供的各种报告。借助这些报告，管理员能够跟踪垃圾邮件、病毒类型、入站邮件域、出站邮件目的地、系统容量和系统状态等信息。

故障诊断

如果想了解 ESA 为何对某个邮件采取特定的措施，管理员可以运行 System

Administration（系统管理）下的 Trace（跟踪）工具。

通过用这一邮件的细节信息进行搜索，管理员可以对邮件进行测试，以了解 ESA 以何种方式处理了该邮件以及为何如此处理。如果 ESA 某些高级功能的用法类似 DLP，搜索功能则更加有用。

总结

我们为基本的网络连接配置了 Cisco ESA，同时建立并应用了一个防垃圾邮件和防病毒策略。为支持 ESA，我们修改了 DNS，同时更新了设备软件，为设备安装了特性密钥。策略有一些微小的改动，但如需进行策略、故障诊断和日常监控方面的详细讨论，请联系值得信赖的思科合作伙伴或客户团队。如需进行策略更改或为 Cisco ESA 设备创建高级策略，请联系本地的思科 SE 或合作伙伴。

更多信息

以下网址提供了面向用户的各种文档资料（可通过思科渠道合作伙伴登录）：http://www.ironport.com/support/login.html

Web 安全性 75

Web 安全性

业务概述 随着对互联网网站的访问从一种可有可无的活动演变为许多用户日常工作和生活中不可或缺的一部分，企业也必须制定并执行安全策略，规范用户的网络使用行为，从而保持员工的生产效率并有效应对安全风险。

对于企业来说，使用互联网的另外一个风险是对网站和内容的访问所引发的全方位安全威胁。随着互联网恶意活动的获利逐渐增多，抑制这些恶意或非法活动的方法也越来越完善和先进。僵尸网络是当今互联网上最严重的安全威胁之一，它利用恶意互联网服务器（多数是 Web 服务器）来托管内容，然后乘无辜用户浏览网络内容之机攻击他们的浏览器。僵尸网络控制者（“bot herders”）成功利用三种攻击形式收集了几百万个受感染用户成员，他们受制于这些已取得其设备控制权的攻击者。其它威胁还包括目前仍然极为普遍的病毒和特洛伊木马，其攻击方式是让用户以某种方式收到并运行一个文件，然后文件将执行恶意代码。第三种威胁是在网络上发动直接攻击。在 2000 年初至年中受到广泛关注的互联网蠕虫就是以上攻击的典型例子。下图对这些威胁作了说明。

图 105. 部署 Web 安全设备的原因

访问 Web 是多数企业日常业务活动的必备要求，但是如何保证企业的每个用户都正确使用网络、并最大限度减少非法或危险的使用行为却是一个巨大挑战。企业需要部署一个解决方案来控制基于策略的网络访问，确保员工高效工作，防止个人网络活动浪费带宽、影响工作效率或将企业暴露在危险之中。

技术概述 Cisco IronPort S-Series Web 安全设备（WSA）提供了网络使用控制、基于类别和信誉的控制、恶意软件过滤和数据保护功能，有效满足了企业的安全需求。

图 106. 在无边界网络中部署 Web 安全机制

浏览网站有时暗含着风险，由于疏忽了更新方面的要求或安全配置不严密，许多网站会在无意之中分发危害网络安全或恶意的内容。人工操作和蠕虫寄生的计算机会扫描互联网，寻找更多可以侵入的网络服务器，以便扩大传播范围，随着这些活动的进行，分发危害网络安全和恶意内容的网站也在不断变换。这种动态环境使得我们很难建立并维持最新的互联网威胁信息库。

Cisco IronPort Web 安全设备（WSA）系列是一个网络代理，能够通过与防火墙、路由器或交换机等思科网络组件协同运行，共同监控和控制来自企业内部的网络内容请求，并检查网络流量是否包含恶意内容。

互联网防火墙

用户社区

互联网

恶意软件， 蠕虫，病毒， 钓鱼攻击等

带宽浪费 浏览与工作无关的

网页

互联网

远程 访问 VPN

互联网边缘防火墙/IPS

分布层

思科 Web 安全设备

用户社区

Web 安全性 76

图 107. 使用 WSA 时的逻辑流量流程

Cisco WSA 通过一个接口连接到思科自适应安全设备的内部网络。在互联网边缘设计中，Cisco WSA 与 ASA 连接到同一个局域网交换机，与 ASA 的内部接口位于同一个 VLAN。Cisco ASA 利用 Web Cache Control Protocol（WCCP）将 HTTP 和 HTTPS 连接重新定向到 WSA。

Cisco WSA 通过多种机制来执行 Web 安全保护和内容控制。Cisco WSA 首先会采用基本的 URL 过滤和基于类别的 Cisco IronPort Web Usage Controls，它们基于一个动态数据库，其中以 50 多种语言对 190 个国家的站点进行了分析。信誉数据库将对内容进行过滤。Cisco Security Intelligence Operations 每五分钟对信誉数据库进行一次更新。这些更新包含从多种互联网资源收集的威胁信息，以及从使用思科安全设备并自愿加入 Cisco

SenderBase®网络的客户那里获取的内容信誉度信息。如果无法获得关于网站或其内容的详细信息，Cisco WSA 将采用动态内容分析来实时判断内容的性质并将结果反馈给SenderBase 数据库（如果客户已经加入该网络）。

部署详解

规划

规划 Cisco Web 安全设备（WSA）部署的第一步是确定网络流量将以何种方式重定向到WSA。实现 WSA 流量重定向的方法有两种：透明代理模式和显式代理模式。

在透明代理部署中，所有以端口 80 或 443 为目的地的 TCP 流量都将通过一个支持 WCCP

v2 的网络设备重定向到 WSA，无需在客户端进行任何配置。本文的设计采用了透明代理，利用 Cisco ASA 防火墙将流量重定向到 WSA，因为所有的对外网络流量都经过 WSA 而且通常由管理 WSA 的技术人员一并进行管理。

在显式代理部署中，一个客户端应用（如 Web 浏览器）被配置为能够使用一个 http 代理，如 WSA。从应用支持的角度看，这种方法的复杂性最低，因为代理感知型应用熟悉 WSA

并能够直接与其通信，共同提供用户请求的内容。但是，从部署的角度看，显式代理方法却带来了配置方面的问题，即管理员在采用 WSA 代理设置的情况下应如何配置企业内部的每个客户端和不在企业控制范围之内的设备。Web 代理自动检测（WPAD）和代理自动配置（PAC）脚本以及 Microsoft Active Directory（AD）中的 Microsoft Group and

System 策略控制等工具可以简化这种部署，但这些工具不在本文的讨论范围之内。

在同一个 WSA 上也可以同时应用显式代理和透明代理两种方法。显式代理还可用于在部署过程中对 WSA 的配置进行测试，因为这种模式的运行不依赖于网络中的任何组件。

规划 WSA 部署的下一个步骤是确定使用何种物理拓扑。WSA 有多个接口，配置的方式多种多样。在互联网边缘设计中，WSA 采用单个接口支持代理和管理流量。

互联网

Cisco ASA

园区网

用户社区

1. 用户发起网络请求

2. ASA 防火墙将请求重新定向到Cisco WSA

3. WSA 对请求进行检查，如果请求违反策略，则拒绝该请求

4. 如果请求合乎要求，WSA 将向Web 发起新的连接

5. Web 服务器发回内容，该内容被发到 WSA

6. WSA 检查内容是否包含不良信息，如果未发现问题，则将内容发给发出请求的用户

Cisco ASA

Web 安全性 77

部署 WSA 的第一步是配置系统设置向导。利用一个网络浏览器访问 WSA 图形用户界面（GUI）即可完成此任务。

为了配置系统设置向导，可以通过两种方式连接 WSA。

1. 通过一个 PC 直接与 WSA 连接，通过 WSA 的默认专用 IP 地址对其进行配置

2. 在配置系统设置向导之前通过控制台端口重新配置 WSA IP 地址。

选项 1：配置一个 PC，以连接到 WSA 的专用 IP 地址 如果无法直接将一个 PC 连接到 WSA，可以通过其默认专用 IP 地址连接 WSA。将 PC

以太网端口连接到 WSA M1 NIC，为 PC 配置一个 192.168.42.x 网络地址池中的 IP 地址（不需要使用交叉线缆）。 如果必须将 WSA 连接到企业网络才能对其进行访问，可以通过一个串行带外连接更改WSA 的 IP 地址。 选项 2：重新配置 WSA IP 地址 如果部署模式在配置系统设置向导时不采用 PC 来直接连接 WSA，则必须更改默认的 IP

信息才能连接 WSA，在这种情况下将执行这一步骤。要通过一个串行控制台端口更改WSA 网络设置，可以利用一个标准的零调制解调器电缆连接终端仿真器，其设置是8-1-none 9600 波特。 重要注意事项：要执行以下命令必须提供一个主机名。为 WSA 配置的主机名必须是完全可解析的前向和反向名称，而且在 DNS 系统中必须采用简称。

ironport.example.com> interfaceconfig

Currently configured interfaces: 1. Management (192.168.42.42/24 on Management: ironport.example.com)

Choose the operation you want to perform: - NEW - Create a new interface. - EDIT - Modify an interface. - DELETE - Remove an interface. []>edit

Enter the number of the interface you wish to edit. []> 1

IP Address (Ex: 192.168.1.2): [192.168.42.42]> 10.4.24.15

Netmask (Ex: “255.255.255.0” or “0xffffff00”): [255.255.255.0]> 255.255.255.224

Hostname: [ironport.example.com]> s370.cisco.local

Do you want to enable FTP on this interface? [Y]> Which port do you want to use for FTP? [21]>

流程

WSA 配置

1. 配置管理访问

2. 配置系统设置向导

3. 更新系统和特性密钥

4. 启动 Web 使用控制

5. 启动日志

6. 创建自定义 URL 类别

7. 配置访问策略

8. 配置 Web 信誉和防恶意软件设置

9. 在 WSA 上配置 WCCP

10. 在防火墙上配置 WCCP

11. 设置 HTTPS 代理

12. 配置验证程序

配置管理访问 程序 1

Web 安全性 78

Do you want to enable SSH on this interface? [Y]> Which port do you want to use for SSH? [22]>

Do you want to enable HTTP on this interface? [Y]> Which port do you want to use for HTTP? [8080]>

Do you want to enable HTTPS on this interface? [Y]> Which port do you want to use for HTTPS? [8443]>

You have not entered an HTTPS certificate. To assure privacy, run “certconfig” first. You may use the demo, but this will not be secure. Do you really wish to use a demo certificate? [Y]>

Both HTTP and HTTPS are enabled for this interface, should HTTP requests redirect to the secure service? [Y]>

Currently configured interfaces: 1. Management (10.4.24.15/27 on Management: websec1.cisco.local)

Choose the operation you want to perform: - NEW - Create a new interface. - EDIT - Modify an interface. - DELETE - Remove an interface. []>

ironport.example.com> setgateway

Warning: setting an incorrect default gateway may cause the current connection to be interrupted when the changes are committed. 1. Management Default Gateway 2. Data Default Gateway []> 1

Enter new default gateway: [ ]> 10.4.24.1

ironport.example.com> commit

Please enter some comments describing your changes: []> initial setup

配置了 WSA 之后，WSA 将能够探测网络上的设备（假设已建立了正确的网络连接）（如果需要，采用防火墙）。以下是 WSA 探测其默认网关的过程：

s370.cisco.local> ping 10.4.24.1 Press Ctrl-C to stop. PING 10.4.24.1 (10.4.24.1): 56 data bytes 64 bytes from 10.4.24.1: icmp_seq=0 ttl=255 time=0.497 ms 64 bytes from 10.4.24.1: icmp_seq=1 ttl=255 time=9.387 ms 64 bytes from 10.4.24.1: icmp_seq=2 ttl=255 time=0.491 ms ^C

打开一个浏览器，进入 WSA GUI，通过端口 8443 上的 HTTPS 转至 WSA IP。

https://[IP Address]:8443

登录之后，从 System Administration（系统管理） > System Setup Wizard（系统设置向导）进入向导。

在系统设置向导中进行的配置越少越好，以便将其它高级配置留给 UI 中的各个功能区来完成。也就是说，只配置基本的网络设置即可，如以下所述的 DNS 信息、时间设置、用户名/密码信息。

请注意，系统设置向导的屏幕显示和选项因代码版本的不同而有所不同。根据所配置的设备启动代码版本的不同，显示出的屏幕可能与下图不同。

配置系统设置向导 程序 2

Web 安全性 79

图 108. 系统设置向导

步骤 1：在 Start（开始）屏幕，阅读许可协议并接受协议，然后点击 Begin Setup（开始设置）（无图片）。

步骤 2：在 Deployment（部署） > Web Security Appliance（Web 安全设备）的功能选项卡中，接受默认设置，然后点击 Next（下一步）（无图片）。

步骤 3：Deployment（部署） > Network Context（网络环境）选项卡。

由于 WSA 几乎在所有的网络部署中都是最后一个代理，可以跳过这个屏幕。点击 Next

（下一步）（无图片）。

步骤 4：部署—代理模式

WSA 将采用透明模式部署，所以这里的默认设置是正确的。点击 Next（下一步）（无图片）。

步骤 5：部署总结

点击 Next（下一步）接受（无图片）。

步骤 6：在 Network（网络）> System Settings（系统设置）选项卡中配置系统设置。

这一面板将设置默认主机名、DNS 和时间。使用 NTP 是因为有效的安全解决方案都要求在整个网络使用统一的时间设置。点击 Next（下一步）。

图 109. 网络系统设置

技术提示

思科 Web 安全设备的默认用户名/密码是 admin/ironport

Web 安全性 80

步骤 7：网络接口和布线

在这一屏幕中将设置使用哪个接口以及每个接口使用什么 IP 地址。在这一部署项目中，为简单起见，M1 同时用于提供管理和代理服务，也是唯一的接口。如果还未完成这些配置，请为 WSA 配置 IP 地址、网络掩码和主机名。不要勾选 Use M1 port for Management

only（仅使用 MI 端口进行管理）复选框。不要使用接口 P1。点击 Next（下一步）。

图 110. 网络接口和布线

步骤 8：管理和数据流量路由屏幕显式了当前的网关信息，允许在需要时使用任何静态路由。

如果此前没有输入，现在输入设备的默认网关信息。不需要其它路由。点击 Next（下一步）（无图片）。

步骤 9：在 Transparent Connection Settings（透明连接设置）屏幕中可以定义 WCCP

配置。作为一个协议，WCCP 专门用于将流量从 ASA 重定向到 WSA。

现在先跳过这一步，点击 Next（下一步）（无图片）。

步骤 10：管理设置

在这个屏幕将设定管理密码，系统告警也在此通过电子邮件发出。

图 111. 管理设置屏幕

Web 安全性 81

步骤 11：在 Security（安全）选项卡中可以定义设备的安全策略，以及针对不同的安全特性应该采取什么措施。默认配置很实用，因为它将设备置于 Monitor（监控）状态，可以随时扫描恶意软件和间谍软件。 在这里还将定义 SenderBase 网络参与权。管理员将通过这种方式控制是否将数据发回Cisco SenderBase 以及发回什么类型的数据。 图 112. 安全设置

步骤 12：对配置进行检查，确保没有任何错误再开始安装。然后点击 Install this

Configuration（安装此配置）（无图片）。 安装完毕后，如果默认的 IP 地址被更改，必须重启浏览器。请注意，如果为了连接到WSA，PC 地址被更改，那么应当重新设定一个合适的配置，以便利用新分配的 IP 地址重新连接到 WSA。

在进入下一步之前，关于 WSA 还有两个问题必须予以关注：特性密钥和系统升级。这两个操作都要求 WSA 拥有 HTTP/S 互联网访问权。

步骤 1：升级设备软件。

选择 System Administration（系统管理）> System Upgrade（系统更新）来升级设备的代码。屏幕将显示当前的软件版本。点击 Available Updates（可用更新）查看是否有软件更新可用。

如果有新的软件版本，则可以选择安装。通常情况下，所有升级版本都应该安装。每次升级通常都要求重启设备。整个过程需要的时间较长。

也可以从控制台进行升级。运行 Upgrade（升级）命令，直到再也没有新的升级可用：

websec1.cisco.local> upgrade No available upgrades.

这表示设备已完全升级。

技术提示

由于无法对软件版本进行降级，因此在进入下一步之前应确定确实需要升级。有时如果一个设备属于早期版本，可能会收到不同的升级选项。

更新系统和特性密钥 程序 3

Web 安全性 82

步骤 2：安装许可密钥。

System Administration > Feature Keys 本页面显示了不同特性的许可密钥。如需查看设备是否有任何尚未启用的许可证，点击Check for New Keys（检查新密钥）。点击后，WSA 将连接到许可证服务页面，查看是否所有允许使用的特性都已启用。很可能在升级了代码之后（特别是在执行了许多升级的情况下）会丢失特性密钥。下图显示了升级到最新代码版本之后，查找更新的特性密钥之后设备特性密钥的屏幕显示。

图 113. 特性密钥

注意有些密钥的剩余有效时间可能少于 30 天，这可能意味着是一个评估设备。而用户购买的设备大约将有一年或更长时间的有效期。

还应该注意这些密钥带有一个带标签的 Cisco IronPort Web Usage Controls。密钥是某些最新的软件版本为设备添加的一个特性。如果 WSA 使用的是该特性添加之前的代码版本，则从一开始就没有密钥。

如果设备的密钥丢失或密钥的有效期不正确，请联系值得信赖的思科合作伙伴或经销商。请向他们提供设备的序列号。在特性密钥页面的顶端可以找到序列号。

打开 Web 使用控制可启动 WSA 安全服务。

步骤 1：转至 Security Services（安全服务） > Acceptable Use Controls（适用的使用控制）。

步骤 2：点击 Edit Global Settings（编辑全局设置）。

步骤 3：将 IronPort URL Filters 更改为 Cisco Ironport Web Usage Controls，然后点击Enable Dynamic Content Analysis Engine（启用动态内容分析引擎）。

图 114. 正确的使用控制

步骤 4：提交（如果出现许可协议则阅读并接受）并确认更改。

正确的使用控制主页面列出了所有正确的使用控制引擎更新。点击 Update Now（立即更新），直到页面显示出更新成功。确保至少某些控制引擎安装了最新或接近最新的更新。由于更新的推出时间很随意，因此很难确定每个组件的更新何时面世。Web Categories

Prefix Filters 和 Web Categories 列表的更新较为频繁，因此可以确定其更新是最近的。

启动 Web 使用控制 程序 4

Web 安全性 83

图 115. 引擎更新

现在可以测试 WSA 的功能了。我们将在网络内部设置一个客户端，WSA 用作网络浏览器中的显式代理。将 WSA 的 IP 地址用作代理，将端口设为 3128。

我们将对两个地址进行测试。一个地址应该能够在外部解析，比如 www.cisco.com，它应该可以发回内容。这证明客户端可以访问互联网，但不能证明连接将经过 WSA。另外一个地址应该是一个不能在外部解析的地址。系统将从 WSA 而不是浏览器发回一个错误信息，证明 WSA 在提供内容。

Firefox 将发回一个如下所示的错误信息：

图 116. 浏览器错误

WSA 将发回一个如下所示的错误信息：

图 117. WSA 错误

为监控 Web 的使用情况，设备将保存短期的客户端访问数据，并且因为空间的原因必须轮换日志。对于希望获得长期合规记录的用户，他们应该考虑部署作为管理 M 系列设备一部分的思科解决方案。本指南不讨论管理 M 系列设备的安装和使用。

启动日志 程序 5

Web 安全性 84

要使报告产品正常运行，WSA 必须将其日志发送到一个 FTP 服务器，在这里报告设备可以访问这些日志。本部署项目假定已经部署并配置了一个 FTP 服务器。以下配置将把访问日志从 WSA 转移到一个 FTP 服务器。 步骤 1：在 System Administration（系统管理） > Log Subscriptions（日志订阅）中点击 Add Log Subscription（添加日志订阅）。 添加新的日志信息。 图 118. 日志订阅

步骤 2：点击 Submit（提交）, 然后确认更改。 下图显示了输入更改后的结果： 图 119. 订阅配置

WSA 的下一个配置步骤是设置标准的自定义 URL 类别，多数管理员需要为他们所需的URL 过滤安装这一特性。

步骤 1：选择 Web Security Manager（Web 安全管理器） > Custom URL Categories

（自定义 URL 类别）并点击 Add Custom Category（添加自定义类别）。

步骤 2：为四个不同的操作预留四个空间，在其中输入 URL。然后建立四个不同的自定义 URL 类别。第一个类别的标题是“Block List（拦截列表）”。

图 120. 添加自定义类别

必须输入一个占位符 URL（block.com），因为新创建的类别不能为空。将来，如果发现需要拦截一个 URL，可将其加入列表，然后删除占位符。提交。

创建自定义 URL 类别 程序 6

Web 安全性 85

步骤 3：现在按照以上模板用以下三个标题再建立三个列表：“Monitor List（监控列表）”、“Warn List（警告列表）”和 “Allow List（许可列表）”。

这样就建立了一个自定义类别的有序列表。

图 121. 自定义类别

步骤 4：确认这些更改。

创建了自定义类别之后，现在我们需要将其投入使用并为每个类别定义操作。

步骤 1：选择 Web Security Manager（Web 安全管理器） > Access Policies（访问策略）并点击 URL Categories（URL 类别）标头下方的链接。

图 122. 自定义类别操作

步骤 2：为每个自定义 URL 类别点击 Include（包括）。

图 123. 选择自定义类别

步骤 3：在 Access Policies（访问策略）页面更改自定义类别的操作，令其与类别名称匹配。例如，将 Block 列表的操作改为 Block（拦截）操作，将 Monitor 列表的操作改为Monitor（监控）操作，以此类推。点击 Submit（提交）。

图 124. 更改地址类别操作

配置访问策略 程序 7

Web 安全性 86

步骤 4：在这一页面也可以实施企业的网络正确使用规范。

这一规范可能包括 URL 的类别（成人、运动、流媒体）和所需的操作（监控、警告或拦截）以及是否需要时间因素的介入。

为进行测试，我们需要将以下的一个预定义类别改为 Block，以便对部署的配置进行测试。

将 Gambling（博彩）从 Monitor（监控）改为 Block（拦截），将 Sports（体育）从Monitor（监控）改为 Warn（警告）。

图 125. URL 类别操作

步骤 5：提交并确认这些更改。

如果想利用一个指向 WSA 设备的浏览器测试这些更改，可以打开一个知名的博彩网站。 WSA 应发回以下信息：

图 126. 被拦截的网站

步骤 1：如需更改 Web 信誉和恶意软件设置，转至 Web Security Manager（Web 安全管理器） > Access Policies（访问策略）。

步骤 2：点击 Web Reputation and Anti Malware Filtering（Web 信誉和防恶意软件过滤）标头下的链接。

图 127. Web 信誉

信誉的级别最低是–10，最高是+10，表示完全可信。在默认状态下，信誉度为-6 或低于该值的网站将自动被屏蔽，从而防止该网站将可能已感染攻击源的内容带入网络。对于信誉度在–5.9 和+5.9 之间的网站，WSA 将利用 Cisco IronPort DVS Engine 扫描客户端请求和服务器的应答，以查找钓鱼、恶意软件、病毒和蠕虫等大量可能存在的攻击。在默认状态下，如果检测出以上攻击，安全策略不会对其进行拦截。如果企业的安全策略要求进行更改，可在下图所显示的页面更改设置。信誉度得分超过 6.0 的 URL 被默认为无需扫描，直接通过。

图 128. Web 信誉和防恶意软件设置

配置 Web 信誉和防恶意软件设置 程序 8

Web 安全性 87

我们已经开始运行 WSA 并对 HTTP 流量应用了一个访问策略，现在我们可以在 WSA

和 ASA 防火墙上实施 Web Cache Communications Protocol（WCCP）。实施 WCCP

使 WSA 可以直接从 ASA 接收流量，而不是让浏览器将 WSA 用作一个显式代理。 要在 WSA 上配置 WCCP，点击 Network（网络） > Transparent Redirection（透明的重定向）。 步骤 1：选择 Edit Device（编辑设备）来添加一个新的重定向设备。

步骤 2：在 Type（类型）下拉菜单中选择 WCCP v2 Router（WCCP v2 路由器）。

步骤 3：点击 Submit（提交）。

步骤 4：点击 WCCPv2 服务下的 Add Service（添加服务）。 在这里我们将定义互联网边缘 ASA 用于将流量重定向到 WSA 的策略。ASA 将利用 WSA上定义的策略名称从 WSA 获取策略。 Service Profile Name 将该策略命名为：HTTP_and_HTTPS_WCCP

动态服务 ID 是用于定义策略的号码，ASA 也将利用它来请求策略：90

在这个策略中，重定向端口是 HTTP 和 HTTPS：80, 443

路由器 IP 地址是 ASA 的内部地址：10. 4. 24. 30 图 129. HTTP 和 HTTPS WCCP

服务配置文件名称：Standard_HTTP_Only_WCCP

动态服务 ID：0（web_cache）

端口：80

路由器 IP 地址：10. 4. 24. 30

完成更改之后的 WCCP 服务面板应如下图所示。

图 130. WCCPv2 服务

步骤 5：确认这些更改。

在 WSA 上配置 WCCP 程序 9

技术提示

WSA 上还未设置 HTTPS 代理，因此，如果想立即为 HTTPS 启动 WCCP 重定向，这些连接在配置之前将不可用。如果 WSA/ASA 系统处在运行当中，不能停机，可以临时只为端口 80 增加一个策略。在 WSA 上配置了 HTTPS 策略之后，更改 ASA 上使用的策略，改为获取 HTTP 和 HTTPS 策略。

Web 安全性 88

步骤 1：要将互联网边缘上的 ASA 防火墙配置为将 HTTP 和 HTTPS 流量重定向到 WSA，启动防火墙上的 ASDM，然后打开 Configuration（配置） > Device Management（设备管理） > Advanced（高级） > WCCP。

步骤 2：在 Service Groups（服务组）中，利用我们在 WSA 上定义的动态服务编号 90

（或只针对端口 80 重定向使用 web_cache）建立一个新的服务群。

图 131. 在 ASA 防火墙上配置 WCCP 重定向

新配置的 WCCP 策略将把所有的 HTTP 和 HTTPS 流量重定向到 WSA，其中包括任何从内部网流向 DMZ 网络服务器的流量和任何使用 HTTP 或 HTTPS 的设备管理流量。将任何这种流量发到 WSA 是不符合逻辑的。为了避免这种流量被重定向到 WSA，可以在防火墙上建立一个 ACL，过滤掉任何发往 RFC 1918 地址的 HTTP 或 HTTPS 流量，防止其重定向。

步骤 3：在以上的 Add Service Groups（添加服务组）窗口，点击 Redirect List（重定向列表）字段右边的 Manage（管理）按钮。

图 132. WCCP 重定向列表管理

步骤 4：在 ASDM > Configuration（配置） > Firewall（防火墙） > Advanced（高级）

> ACL Manager（ACL 管理器）窗口选择 Add（添加）按钮，然后选择 Add ACL（添加ACL）选项。为 ACL 输入一个名称：WCCP_Redirect

步骤 5：选择 Add ACE（添加 ACE）按钮，添加一行命令，拒绝从任何源地址到所有 RFC

1918 地址的 IP 服务流量通行。

步骤 6：选择 Add ACE（添加 ACE）按钮，添加一行命令，允许从任何源地址到任何目的地地址的 IP 服务流量通行。然后点击 OK 按钮。

图 133. 建立一个 WCCP 重定向 ACL

在防火墙上配置 WCCP 程序 10

Web 安全性 89

步骤 7：在 Add Service Group（添加服务组）窗口的 Redirect List（重定向列表）下拉菜单中选择上面所创建的 ACL（WCCP_Redirect）。点击 OK 按钮并开始应用。

图 134. 重定向列表选择

步骤 8：在 ASDM 的 Configuration（配置） > Device Management（设备管理） >

Advanced（高级） > WCCP > Redirection（重定向）面板中创建一个策略，为使用服务组 90 的内部接口添加重定向设置。

图 135. 在 ASA 内部接口上创建 WCCP 策略

如需对配置进行测试，利用一个未配置的浏览器接入设备，该浏览器用作一个显式代理（或者可以取消显式代理设置）。

步骤 9：利用一个被接受的可解析地址进行测试，如 www.cisco.com。

步骤 10：利用一个被拒绝的可解析地址进行测试（从上文配置的 Blocked 类别中选择）

步骤 11：要查看 WCCP 重定向功能是否正常运行，可以从 ASDM 转至 Monitoring（监控） > Properties（资产） > WCCP > Service Groups（服务组）。

状态窗口会显示一个路由器 ID，它是 ASA 的一个 IP 地址（在此处是 192.168.16.1），高速缓存引擎（也就是思科 WSA 设备）的编号是 1。如果一切正常，重定向功能也在运行，重定向的数据包总量计数器显示的数量会不断增长。

图 136. 查看 ASA 重定向功能是否正常运行

高可用性和永续性

为了保持可用性，如果 WSA 发生故障，WCCP 协议将把此事件报告给 ASA，ASA 会自动停止将流量重定向到 WSA。如果需要网络安全永续性，可以部署两个或更多的 WSA。在部署多个设备时，需要在 ASA 上定义多个 WCCP 路由器，WCCP 协议将在它们之间均衡负载。如果某个设备停机，ASA 将把该设备从列表中删除，直到该设备重新上线并开始回应 WCCP 请求。

Web 安全性 90

如需为 WSA 设置代理 HTTPS 连接，首先要启动该特性。

步骤 1：打开 Security Services（安全服务） > HTTPS Proxy（HTTPS 代理）面板，然后点击 Enable（启用）和 Edit Settings（编辑设置）。

在这个页面定义代理 HTTPS 的连接端口，默认的端口是 TCP 443。

在此需要生成一个证书，WSA 将在代理连接的客户端一侧使用该证书。生成一个证书通常意味着客户端浏览器将针对每个到 HTTPS 网站的连接对证书提出质疑。为避免这种情况，可以上传一个企业内部普遍信任的证书以及与其匹配的专用密钥文件。如果客户端已经加载了这个证书，HTTPS 代理将不会产生与未知证书发行机构相关的错误。

除了为 WSA 添加一个公司根证书之外，另外一个选择是告知企业内部的用户 WSA 提供的根证书可以信赖，让他们接受此证书。

如需详细了解如何将证书用作 WSA HTTPS 代理机制的一部分，请参见 WSA 用户指南或咨询值得信赖的合作伙伴或思科销售代表。

在 WSA HTTPS 代理设置页面还可以定义在 HTTPS 服务器上发现无效证书时 WSA 应采取什么措施。根据证书错误的不同，可采取的行动包括丢弃、解密或监控连接。

图 137. 编辑 HTTPS 代理设置

设置 HTTPS 代理 程序 11

Web 安全性 91

步骤 2：在定义了策略之后，点击 Submit（提交）和 Commit（确认）。 图 138. HTTPS 代理设置

配置 HTTPS 代理的第二步是为 HTTPS 代理配置策略。 步骤 3：选择 Web Security Manager（Web 安全管理器） > Custom URL Categories

（自定义 URL 类别）。 步骤 4：如前面一样，添加三个新的自定义类别（记得为每个类别输入一个虚拟 URL）：Drop List（丢弃列表）、Decrypt List（解密列表）和 Pass Through List（通过列表）。确认这些更改。

图 139. HTTPS 自定义类别

步骤 5：选择 Web Security Manager（Web 安全服务器） > Decryption Policies（解密策略）。 步骤 6：选择 URL Categories（URL 类别）标头下的链接，进入 Decryption Policies:URL Categories:Global Policy（解密策略：URL 类别：全局策略）屏幕。屏幕上将显示出所有已创建的自定义类别。不要加入以前为 HTTP 创建的类别。只加入新创建的三个类别即可。 图 140. 解密策略：自定义类别

更改类别中的操作，令其与名称相符：例如，Drop List（丢弃列表）类别下的操作应该是 Drop（丢弃）。

Web 安全性 92

图 141. 解密策略——URL 类别

页面底部的预定义 URL 类别使管理员能够创建并执行一个策略，规定 WSA 如何处理对某些网站的解密。某些企业严格规定不能解密医疗或金融服务网站以及其它一些网站。利用本页面的类别，管理员可以在 WSA 上实施这一策略。例如，可以对 WSA 进行配置，将金融 HTTPS 网站设为 Pass Through（通过），不对其进行审查，而博彩网站将被设为Drop（丢弃）。

步骤 7：将博彩网站改为 Drop（丢弃），将金融网站改为 Pass Through（通过）。

图 142. 预定义 URL 类别过滤

要对新配置进行测试，可以为一些已加密的网页（HTTPS）设置类别，然后在测试过程中使用这些 URL。由于管理员必须了解网站是否使用了 HTTPS，因此很容易针对一个他已知使用了 HTTPS 的网页采用自定义类别并将地址放入 Drop（丢弃）列表。如果有用户访问该网站，WSA 应该丢弃该连接。

验证是对用户身份进行确认的一种操作。当启用验证时，WSA 将首先对网络上的客户端进行验证，然后才会准许它们连接到目的服务器。在 WSA 中使用验证功能时，可以利用一个中央用户目录以用户或组成员为标准设置不同的网络访问策略。另外一个使用验证功能的主要原因是方便进行用户跟踪。当一个用户违反了使用策略时，WSA 可以将此违规行为与用户联系起来，而不仅仅是 IP 地址。最后一个验证网络会话的原因是提供法规遵从报告。

WSA 支持两种不同的验证协议：轻量目录访问协议（LDAP）和 NT LAN Manager

（NTLM）。由于多数企业都有 AD 服务器，他们将使用 NTLM。Single Sign-On（SSO）也是在使用 NTLM 时可用。

如果 WSA 采用透明模式部署并且启用了验证功能，当一个交易要求验证时，WSA 将向客户端应用索取验证凭证。但是并非所有客户端应用都支持验证，因此它们无法要求用户提供用户名和密码。WSA 以透明模式部署时这些应用可能遇到一些问题，因为这些应用试图通过端口 80 发送非 HTTP 流量而且不能处理 WSA 验证连接的请求。

以下是部分不支持验证的应用（随着新代码版本的发布可能有所更改）：

• Mozilla Thunderbird

• Adobe Acrobat Updates

• Microsoft Windows Update

• Outlook Exchange（在试图为电子邮件获取互联网图片时）

注：如果应用需要访问某个 URL，可以根据一个不要求验证的自定义用户代理类别来创建一个身份。如果是这样，客户端应用将不会被要求验证。

配置验证程序 程序 12

Web 安全性 93

要求验证的企业组织可以咨询值得信赖的思科 IronPort 合作伙伴或经销商或思科客户团队。他们将帮助建立一个符合企业要求的验证解决方案，同时最大限度降低方案的复杂性。

设置验证功能的第一步是建立一个验证领域（Realm）。领域将决定验证如何执行。

在本部署项目中，我们为 NTLM 对 AD 服务器的验证设立了一个领域。

步骤 1：选择 Network（网络） > Authentication（验证） > Add Realm（添加领域）。 步骤 2：在领域定义部分，指明 AD 服务器和 AD 域。

图 143. Authentication（验证）> Add Realm（添加领域）

步骤 3：选择 Join Domain（加入域）按钮。这一步完成后，必须利用 AD 域管理员证书（或由管理员输入）来为计算机创建域账户。 图 144. AD 管理域登录

步骤 4：输入登录证书之后，点击同一页面上的 Start Test（开始测试）对 NTLM 到AD 域的连接进行测试。 如果测试成功，提交并确认更改。 图 145. AD 测试

设置验证功能的下一步是配置身份组。身份是基于客户端的身份或交易本身。 步骤 5：选择 Web Security Manager（Web 安全管理器） > Identities（身份）。 步骤 6：点击 Add Identity（添加身份）。 将创建两个不同的样本身份：“Subnets not to Authen（无需验证的子网）”和 “User Agents not to Authen（无需验证的用户代理）”。

Web 安全性 94

步骤 7：如果需要建立一个与子网有关的身份，请插入一个您不想验证其互联网访问权的客户端 IP 地址或地址池或子网。要知道执行这一操作将使对该 IP 地址的验证失去意义，而来自 WSA 的日志信息将永远不会包含来自使用该 IP 地址的员工的验证数据。即便如此，在某些情况下必须执行这一操作，此处以此为例来说明如何更改 WSA 的运行策略。

图 146. 身份示例：“Subnets not to Authen（（无需验证的子网）”

步骤 8：下面我们将为用户代理创建一个身份。选择用户代理 Advanced（高级）选项卡以及 Microsoft Windows Update 和 Adobe Acrobat Updater 代理类型。选择这些代理意味着，当发现 HTTP 标头中的用户代理通过 HTTP 进行连接时，系统不会要求验证。可以为任何使用 HTTP 而又无法验证的应用确立自定义用户代理。如果这种做法不可行，可以建立一个特别的自定义 URL 类别，将其用在 URL 类别的 Advanced（高级）选项卡中。

图 147. 身份示例：“User Agents not to Authen（无需验证的用户代理）”

在建立了 “User Agents not to Authenticate（无需验证的用户代理）” 和 “Subnets not to

Authenticate（无需验证的子网）”两个身份之后，验证流程还剩最后一个步骤。

步骤 9：在标题为 Global Identity Policy（全局身份策略）的身份验证页面，选择底部的链接。

任何不满足以上两个身份组的条件的用户将归入这个身份组。由于建立以上身份组的目的是绕过验证，需要更改全局身份以便对除此之外的其他人进行验证。

Web 安全性 95

步骤 10：将身份组改为面向所有领域的请求验证，并使用 Basic（基本）或 NTLMSSP

方案。

图 148. 全局策略设置

步骤 11：提交并确认这些更改。

现在可以对部署的系统进行测试，以确保系统按照要求执行了策略，所有应用和流程都跟以前一样正常运行，而且系统日志中的数据可满足您所有的需要或要求。

互联网边缘 10K 部署 互联网边缘 5K 设计中只部署了一个 Cisco WSA S370 设备。对于那些需要互联网边缘10K 设计提供的高性能或永续性的用户，只需增加一个 WSA S370 设备即可实现简单的升级。如果采用高可用性部分所述的部署方式，两个设备将共同分担外出连接的负载。如果其中一个设备停运，负载将被移交给另一个 WSA。由一个设备承担两个设备的负载可能会造成网络性能下降，但互联网连接及其安全性不受影响。

最后的步骤

监控

为监控 WSA 的运行状况以及 WSA 对自身负责检查的流量采取了什么措施，Monitor（监控器）提供了各种报告。这些报告使管理员能够跟踪客户端网络活动、恶意软件类型、网络信誉管理器、系统状态等统计信息。

由于设备本身只在短期内保存数据，您需要借助 M 系列管理设备来实现 WSA 事件数据和报告的长期存储。

如需关于 M 系列管理设备和长期报告的详细信息，请联系思科客户团队或您信任的合作伙伴。

故障诊断

要了解 WSA 为何对某个用户对特定站点发起的连接采取某个措施，管理员可以运行System Administration（系统管理） > Policy Trace（策略跟踪）下的跟踪工具。

填写好工具中要求的信息后，您就可以对某个 URL 进行测试，查看如果由 WSA 对该URL 进行处理，WSA 预计会采取什么措施。如果您使用更高级的特性，这一信息将特别有用。

总结 您现在已成功安装了思科 Web 安全设备。系统部署了基本配置，设备可以插入网络并接受来自 ASA 防火墙的重定向流量。默认策略允许企业建立 HTTP 和 HTTPS 访问控制。此外还建立了用于配置 HTTPS 解密的策略，并设立了验证机制，使 WSA 能对用户进行验证并将用户名与日志中的访问控制相关联。

如需详细讨论策略的具体实施步骤，请咨询值得信赖的合作伙伴或思科客户代表。

更多信息

以下网址提供了用户资料：http://www.ironport.com/support/login.html

请向思科 IronPort 渠道合作伙伴索取登录资料。

互联网边缘服务器负载均衡 96

互联网边缘服务器负载均衡

业务概述 企业在互联网上的业务运作对于企业的成功至关重要。最低限度，企业的网站应该提供关于企业的基本信息。由于互联网是全天候在线，因此网站必须提供较高的可用性，以便合作伙伴或客户能够在任何时间访问企业的站点。即使对一个简单的信息网站来说，停机也会导致机会丧失。

技术概述 互联网的繁荣带动了服务器负载均衡器（SLB）的发展。SLB 的主要功能是将客户端的负载分散到多个服务器，以提高响应速度和可用性。SLB 提供的其它功能还包括应用代理和完整的第 4 层到第 7 层应用交换。

应用控制引擎（ACE）是思科最新推出的 SLB 产品。除第 4 层到第 7 层应用交换这一主流功能外，ACE 还提供了一系列加速和服务器卸载功能，包括 TCP 任务卸载、安全套接字层（SSL）卸载、压缩和其它各种加速技术。在互联网边缘，Cisco ACE 位于网络与应用服务器前面，通过一系列服务使服务器效能最大化，并最大限度增强了应用可用性、安全性和应用加速。因此，借助 Cisco ACE，企业能够更好地控制应用和服务器基础设施，更轻松地管理和保护应用服务，提高性能和可用性。

作为下一代的应用分发控制器，Cisco ACE 具有四个主要优势：

• 可扩展性—ACE 能够将客户端请求分发到多个服务器（称为服务器群），从而提高了基于服务器的应用（如网络服务器）的性能。随着流量的增多，可以在群中增加更多服务器。

• 高可用性—ACE 能够自动检测出服务器的故障并在几秒钟之内将客户端流量重定向到其它服务器，从而为用户提供了服务连续性和高可用性。

• 应用加速—ACE 为基于 HTTP 的应用、任何内部或外部最终用户最大限度减少了延迟和数据传输，从而提高了应用性能和响应速度。

• 服务器卸载—ACE 能够卸载 TCP 和 SSL 处理任务，使服务器在数量不变的情况下能够支持更多用户，处理更多请求。

为实现高可用性，ACE 硬件总是成对部署：一个作为主用设备，另一个作为备用设备。如果主用 ACE 停机，备用 ACE 将取而代之。这种故障切换操作不会中断客户端到服务器的连接。

Cisco ACE 同时采用了主动和被动方法来监控服务器的运行状况。通过定期探测服务器，ACE 可以迅速检测服务器故障并将连接快速重路由到可用的服务器。ACE 支持各种状态检查特性，包括验证网络服务器、SSL 服务器、应用服务器、数据库、FTP 服务器、流媒体服务器等等。

在物理部署方面，ACE 可采用多种方式部署。“单臂”模式是最简单的部署方法。在这种模式中，ACE 与实际的服务器位于同一个 VLAN。ACE 不是位于流量的传输路径当中，只是接收专门以 ACE 为目的地的流量。发给 ACE 的流量通过 VLAN、虚拟服务器地址和服务器默认网关进行管理。

图 149. ACE

互联网

互联网 服务器

客户端对公司服务器发起一个连接

ACE 选择一个服务器，将连接分配给它并向该服务器发起一个连接

与服务器的连接建立，返回流量被发回 ACE

ACE 将客户端和服务器会话连接起来并将流量发送到客户端

客户端收到回复，继续发起连接

后续的连接被分发给其它可用的服务器

互联网边缘服务器负载均衡 97

部署详解 在这个部署实例中，我们首先为 ACE 配置基本的网络设置，以便为其建立网络连接。第二部分是配置一个策略，将流量定向到网络服务器。第一步配置通常是在第一次启动 ACE时在 CLI 中完成的，但两部分配置均可在 ACE GUI 中进行。由于负载均衡配置的范例比较简单，部署指南中的设置是通过 CLI 命令执行的。 步骤 1：设置系统密码 在初次设置 ACE 时，必须更改管理账户的默认密码。

switch login: admin Password: admin Admin user is allowed to log in only from console until the default password is changed. www user is allowed to log in only after the default password is changed. Enter the new password for user “admin”: [admin password] Confirm the new password for user “admin”: [admin password] admin user password successfully changed. Enter the new password for user “www”: [www password] Confirm the new password for user “www”: [www password] www user password successfully changed. Cisco Application Control Software (ACSW) TAC support: http://www.cisco.com/tac Copyright © 1985-2009 by Cisco Systems, Inc. All rights reserved. The copyrights to certain works contained herein are owned by other third parties and are used and distributed under license. Some parts of this software are covered under the GNU Public License. A copy of the license is available at http://www.gnu.org/licenses/ gpl.html. ACE>

This script will perform the configuration necessary for a user to manage the ACE Appliance using the ACE Device Manager. The management port is a designated Ethernet port that has access to the same network as your management tools including the ACE Device Manager. You will be prompted for the Port Number, IP Address, Netmask, and Default Route (optional). Enter ‘ctrl-c’ at any time to quit the script ACE>Would you like to enter the basic configuration dialog (yes/no) [y]: n switch/Admin#

步骤 2：配置基本访问策略

在继续进行其它配置之前，必须设置基本网络安全策略，以便使管理员能够访问 ACE。

access-list ALL line 8 extended permit ip any any class-map match-all http-vip 2 match virtual-address [Server Virtual IP] tcp eq www class-map type management match-any remote_ access 2 match protocol xml-https any 3 match protocol icmp any 4 match protocol telnet any 5 match protocol ssh any 6 match protocol http any 7 match protocol https any 8 match protocol snmp any policy-map type management first-match remote_ mgmt_allow_policy class remote_access permit

步骤 3：接口设置

连接网络交换资源的以太网 VLAN 中继线将 ACE 连接在一起。必须在每个 ACE 上配置两个千兆以太网端口，以连接到核心交换机：

interface gigabitEthernet 1/1 channel-group 1 no shutdown interface gigabitEthernet 1/2 channel-group 1 no shutdown interface gigabitEthernet 1/3 switchport trunk allowed vlan 12 no shutdown

interface port-channel 1 switchport trunk allowed vlan 1121 no shutdown

初始设置 程序 1

1

流程

配置ACE服务器负载均衡

1. 初始设置

2. 配置负载均衡

互联网边缘服务器负载均衡 98

必须配置与安全设备连接的交换端口，这样这些交换端口就成为同一个安全 VLAN 的成员，能够将安全的流量发送到与服务器和服务器机房中的其它设备相连的交换机。

ACE 设备采用了主用—备用高可用性配置。在主用—备用模式中，备用设备不处理流量，因此必须确保主用设备拥有足够高的吞吐率，能够支持核心和服务器机房之间的连接需求。

容错（FT）VLAN 是一个专用 VLAN，一对冗余 ACE 将利用该 VLAN 发布心跳和状态信息。所有与冗余相关的流量都在此 FT VLAN 上发送，包括心跳、配置同步数据包和状态复制数据包。

步骤 4：设置高可用性

ft interface vlan 12 ip address [Failover Primary IP] 255.255.255.0 peer ip address [Failover Secondary IP] 255.255.255.0 no shutdown ft peer 1 heartbeat interval 300 heartbeat count 10 ft-interface vlan 12 ft group 1 peer 1 priority 120 peer priority 110 associate-context Admin inservice

步骤 5：接口 IP 配置

要让 ACE 开始传送流量，我们需要创建一个 VLAN 接口并为它分配一个 IP 地址。由于我们使用的是单臂模式，还需要建立一个 NAT 池。

interface vlan 1121 ip address [Interface IP] 255.255.255.0 peer ip address [Peer IP] 255.255.255.0 access-group input ALL nat-pool 1 [NAT IP] [NAT IP] netmask 255.255.255.0 pat service-policy input remote_mgmt_allow_ policy no shutdown ip route 0.0.0.0 0.0.0.0 [Default Gateway IP]

以下是通过执行程序 1 在实验室中生成和使用的配置。

peer hostname ace-4710-2 hostname ace-4710-1 interface gigabitEthernet 1/1 channel-group 1 no shutdown

interface gigabitEthernet 1/2 channel-group 1 no shutdown

interface gigabitEthernet 1/3 switchport trunk allowed vlan 12 no shutdown

interface port-channel 1 switchport trunk allowed vlan 1121 no shutdown

access-list ALL line 8 extended permit ip any any class-map match-all http-vip 2 match virtual-address 10.4.26.100 tcp eq www

class-map type management match-any remote_access 2 match protocol xml-https any 3 match protocol icmp any 4 match protocol telnet any 5 match protocol ssh any 6 match protocol http any 7 match protocol https any 8 match protocol snmp any

policy-map type management first-match remote_mgmt_allow_ policy class remote_access

permit interface vlan 1121 ip address 10.4.26.22 255.255.255.0 peer ip address 10.4.26.21 255.255.255.0 access-group input ALL nat-pool 1 10.4.26.99 10.4.26.99 netmask 255.255.255.0 pat service-policy input remote_mgmt_allow_policy service-policy input int1121 no shutdown

互联网边缘服务器负载均衡 99

ft interface vlan 12 ip address 10.10.12.11 255.255.255.0 peer ip address 10.10.12.12 255.255.255.0 no shutdown

ft peer 1 heartbeat interval 300 heartbeat count 10 ft-interface vlan 12

ft group 1 peer 1 peer priority 110 associate-context Admin inservice

ip route 0.0.0.0 0.0.0.0 10.4.26.1

此时，在网络上已经可以连接 ACE。现在我们开始配置负载均衡策略。

步骤 1：定义服务器

首先定义需要负载均衡的应用服务器：

rserver host webserver1 ip address [Web Server 1 IP] inservice rserver host webserver2 ip address [Web Server 2 IP] inservice

步骤 2：设置服务器状态监控

这一步将创建一个简单的 HTTP 探针，以查看网络服务器的运行状况：

probe http http-probe port 80 interval 15 passdetect interval 60 request method head expect status 200 200 open 1

步骤 3：定义服务器群

将网络服务器和探针放入一个服务器群：

serverfarm host webfarm probe http-probe rserver webserver1 80 inservice rserver webserver2 80 inservice

步骤 4：设置负载均衡策略

配置负载均衡策略并将其分配给 VLAN 接口：

class-map match-all http-vip 2 match virtual-address [Server Virtual IP] tcp eq www policy-map type loadbalance first-match http-vip-l7slb class class-default serverfarm webfarm policy-map multi-match int1121 class http-vip loadbalance vip inservice loadbalance policy http-vip-l7slb loadbalance vip icmp-reply active nat dynamic 1 vlan 1121 interface vlan 1121 service-policy input int1121

配置负载均衡 程序 2

互联网边缘服务器负载均衡 100

以下是通过执行程序 2 在实验室中生成和使用的配置。

rserver host webserver1 ip address 10.4.26.112 inservice

rserver host webserver2 ip address 10.4.26.113 inservice

probe http http-probe port 80 interval 15 passdetect interval 60 request method head expect status 200 200 open 1 serverfarm host webfarm probe http-probe rserver webserver1 80 inservice rserver webserver2 80 inservice class-map match-all http-vip 2 match virtual-address 10.4.26.100 tcp eq www policy-map type loadbalance first-match http-vip-17slb class class-default serverfarm webfarm

policy-map multi-match int1121 class http-vip

loadbalance vip inservice loadbalance policy http-vip-l7slb loadbalance vip icmp-reply active nat dynamic 1 vlan 1121 interface vlan 1121 service-policy input int1121

此时，通过我们创建的 VIP（10.4.26.100）就可以访问应用了，而且连接请求将在两个网络服务器之间平均分布。

总结 IT 机构目前面临的一个巨大挑战是在互联网边缘向全球范围内的合作伙伴、客户和公众提供应用。应用分发技术能够帮助企业提高所有应用的可用性、性能和安全性。思科应用控制引擎提供了核心服务器负载均衡服务、高级应用加速和安全服务，最大限度提升了应用可用性、性能和安全性。思科应用控制引擎与独特的虚拟化功能、特定应用智能和基于角色的细化管理相结合，整合了应用基础设施、降低了部署成本并最大限度减少了运营负担。

总结 101

总结

本部署指南是面向思科客户和合作伙伴的参考设计。本指南讨论了企业无边界网络中的互联网边缘部分，应与智能商业架构企业无边界网络局域网部署指南和广域网部署指南结合使用，这些指南位于 www.cisco.com/go/cn/iba。如果您的网络超出了本设计模型的规模，请参见思科验证设计（CVD），查看更大规模的部署模型。CVD 位于 Cisco.com。本文中使用的所有思科产品都在思科的网络实验室接受了测试。具体产品请参见本文最后的列表。另一份文档“企业 IBA 无边界网络配置指南”包含思科实验室测试中使用的产品的具体配置文件，请登录 Cisco.com

查看此指南。

1 1

1

1

1

1

1

1

1

1

1

1

1 1

1

1

11

1

11

11

111

1

硬件和软件 VPN

远程员工/ 移动员工

远程

地区办公室

广域网汇聚

数据中心

局域网

无线接入点

客户端 接入交换机

支持应用加速的 分支机构路由器

互联网

广域网

紧缩分布/ 核心交换机

无线局域网控制器

区域路由器

应用加速 客户端

接入交换机

核心交换机

Web 安全设备

无线局域网控制器

应用加速

远程接入 VPN

互联网边缘路由器

电子邮件安全设备

访客无线局域网

互联网服务器

防火墙VPN

建筑物 1 建筑物 2 建筑物 3 建筑物 4

分布交换机

互联网边缘

附录 A：大型企业部署产品列表 102

附录 A: 大型企业部署产品列表

功能区域 产品 产品编号 软件版本

互联网边缘5K

防火墙 ASA 5510或

ASA 5520或

ASA 5540

ASA5510-AIP10-SP-K9

ASA5520-AIP20-K9

ASA5540-AIP40-K9

8.3.2

IPS SSM-AIP-10或

SSM-AIP-20或

SSM-AIP-40

*防火墙捆绑套件的一部分 7.0.4E4

主要ASA FW的软件许可证 250或500 SSL Session软件许可证 ASA5500-SSL-250

ASA5500-SSL-500

*与防火墙相同

电子邮件安全性 C370 C370-BUN-R-NA *请咨询可信合作伙伴或Ironport销售团队，了解价格与许可情况

Async OS 7.1.2

Web安全性 S370 S370-BUN-R-NA *请咨询可信合作伙伴或Ironport销售团队，了解价格与许可情况

Async OS 7.0

服务器负载均衡 ACE 4710 ACE-4710-0.5F-K9 A3（2.2）

外部交换机 2个Catalyst 3750X WS-C3750X-24P 12.2（55）SE1

DMZ交换机 2个Catalyst 3750X WS-C3750X-24P 12.2（55）SE1

附录 A：大型企业部署产品列表 103

功能区域 产品 产品编号 软件版本

互联网边缘10K

防火墙 2个ASA 5520或

2个ASA 5540

ASA5520-AIP20-K9

ASA5540-AIP40-K9

8.3.2

IPS 2个SSM-AIP-20或

2个SSM-AIP-40

*上述捆绑套件的一部分 7.0.2E4

VPN 2个ASA 5520和500 SSL席位（seat）或

2个ASA 5540和1000 SSL席位

ASA5520-SSL500-K9

ASA5540-SSL1000-K9

8.3.2

电子邮件安全性 2个C370 C370-BUN-R-NA

*请咨询可信合作伙伴或Ironport销售团队，了解价格与许可情况

Async OS 7.1.2

Web安全性 2个S370 S370-BUN-R-NA

*请咨询可信合作伙伴或Ironport销售团队，了解价格与许可情况

Async OS 7.0

服务器负载均衡 ACE 4710 ACE-4710-1F-K9 A3（2.2）

外部交换机 2个Catalyst 3750X WS-C3750X-24P 12.2（55）SE1

DMZ交换机 2个Catalyst 3750X WS-C3750X-24P 12.2（55）SE1

附录 B: 面向大型企业的 IBA 智能业务平台文档体系 104

附录 B: 面向大型企业的 IBA 智能业务平台文档体系

设计指南 部署指南

设计概述

IPv6 寻址 基础架构

LAN

WAN

配置文件

配置文件

互联网边缘

补充指南

无线 CleanAir

紧缩的园区和数据中心核心

网络设备身份验证和授权

高级访客无线访问

补充指南

VPN 远程站点

群组加密传输 VPN

第二层广域网

3G 无线远程站点

配置文件

补充指南

Cisco SIEM

ArcSight SIEM

LogLogic SIEM

nFx SIEM

RSA SIEM

Splunk SIEM

思科数据安全产品

服务和可用性－SolarWinds

服务和可用性－Cisco LMS

思科局域网管理解决方案

流量分析－Netflow 和 SolarWinds

流量分析－Netflow 和 NetQoS

SolarWinds

网络管理

您在这里

IBA

网络分析和报告

Lumension 数据安全产品

CREDANT数据安全产品

智能业务平台