Cisco PIX/ASA防火牆最新功能及技術
Published by knick,
Cisco PIX/ASA 防火牆最新功能及技術
資料來源文◎奇科電腦資深網路技術顧問 – Ben 哥
有鑒於許多讀者紛紛來信與Ben哥討論防火牆的相關設定,並希望能夠針對近兩年防火牆的兩大新興功能:虛擬防火牆 (Virtual Firewall) 以及通透式防火牆 (Transparent or Layer 2 Firewall) ,多做一點介紹以及設定上的解說,是以Ben哥特別在本期介紹一些業界上相當有用的功能,提供給各位工程師及資訊主管們,對於防火牆的另一種認識。
再者,前一期網管人大幅報導資訊安全UTM方面的觀念,而防火牆也是其中重要的一塊領域,因此,Ben哥打算先從防火牆進行討論,爾後再以Cisco ASA 5500系列產品為基礎,詳細的介紹UTM的整體觀念。
由於篇幅的關係,本次的防火牆的技術專題將會有上、中、下三篇,所求的也就是務必讓各位讀者能夠有一個完整的概念而不是片斷的介紹而已;因此,在上篇中,Ben哥會先以單一防火牆(傳統式)的方式為例,簡單地介紹防火牆的設定。
本技術文件實驗所需的設備清單如下:
- Cisco PIX防火牆或是ASA (Adaptive Security Appliance) 網路安全整合防禦設備。
本技術文件實驗所需的軟體及核心清單如下:
- Cisco PIX或是ASA 5500系列,韌體版本7.21,管理軟體 ASDM 5.21。
- Cisco 3524 交換器。
本技術文件讀者所需基本知識如下:
- VLAN協定802.1Q。
- 路由以及防火牆的基礎知識。
- Cisco IOS 基礎操作技術。
初始化 (Initialized) Cisco的PIX/ASA 防火牆
在講解初始化PIX/ASA設定之前,先跟各位簡單介紹一下業界上防火牆的變遷:在以往網路安全的業界中,PIX是首屈一指的防火牆,不論是在功能面上亦或是在性能上,均勝出Cisco友商一籌,但是,PIX的設定方式大部分還是以CLI (Command Line Interface,文字介面) 為主;近幾年,由於資訊安全觀念的提升及普及,各企業或是政府機關均需要佈署能及時反應並有效防禦的網路安全設備,因此,簡單且容易操作的操控介面漸漸成為業界發展的的趨勢。
Cisco Systems, Inc.的執行長John Chambers早在幾年前就深知市場趨勢,因此帶領Cisco積極提昇Cisco設備的操作介面,其中一個重要的指標就是要能提供簡單而且容易了解的圖形操作介面 (GUI,Graphic User Interface) ;雖然Ben哥一般都是使用CLI的介面操作系統或是設備,但是在本實驗中將會以圖形介面為主,一步一步的帶著各位讀者了解Cisco PIX/ASA的操作設定,以便讓大家都能夠無痛上手,輕鬆的設定高階資安設備。
首先,當我們拿到一台全新的PIX/ASA防火牆,就如同一般Cisco IOS路由器一樣,需利用視窗上的超級終端機或是Linux中的minicom,透過PC序列埠 (Serial Port) 連接到PIX/ASA做初始化的設定,以下就是我們一個步驟一個步驟的設定圖解。
上圖是我們剛剛開啟 (Power On) PIX/ASA所會出現的畫面,它會要求我們是否要先設定,初始化此防火牆。初始化防火牆的目的,在於建立起管理的基本設定,以下的圖示顯示了設定的內容。
初始化防火牆時會有幾個問題必須回答,在這裡,Ben哥逐一解釋一下各個問題的內容,每項問題中的如果有方括號的話,其內的值就是預設值。
初始化的問題 | 解釋 |
---|---|
Firewall Mode [Routed]: | PIX/ASA根據OSI七層會有兩種運作模式,一種是路由 (Routed) 模式,而另一種則是通透式 (Transparent) 模式。 |
Enable password []: | 輸入enable模式的密碼,在此為了方便實驗,暫時不設定密碼。 |
Allow password recovery [yes]: | 當忘記密碼時,是否可以遵照密碼修復程序,重新設定密碼。 |
Clock (UTC):等問題 | 設定PIX的時間。 |
Inside IP address: | 設定PIX內部介面 (Inside Interface)的IP定址,通常是 Ethernet 0/1。 |
Inside network mask: | 設定PIX內部介面 (Inside Interface)IP的子網路遮罩。 |
Host name: | 設定此主機名稱。 |
Domain name: | 設定此主機的網域名稱。 |
IP address of host running Device Manager: | PIX/ASA有其專用的圖型管理介面,名為ASDM (Adaptive Security Device Manager) ,這個設定限制了只有此IP位址才能連接到PIX/ASA的ADSM。 |
接下來,PIX就會問『Use this configuration and write to flash?』,如果回答『yes』的話就會將剛剛所輸入的資料寫入flash,如果回答『no』的話,就會重複問以上的問題,再作一次剛剛的設定。
接下來,各位讀者就可以使用瀏覽器連結到ADSM的管理IP位址,注意:請務必使用SSL的連線方式。在這個實驗中,ASDM的IP位址為192.168.1.2,因此,在瀏覽器網址的部份就可以輸入『https://192.168.1.2』,然後就會出現以下的管理畫面。
管理介面有兩種方式可以連接,一是安裝ASDM用戶端程式,另一種則是使用ASDM 的JAVA applet;在此,我們選擇第二種方式來啟動圖形的管理介面,因此,只要點選『Run ASDM Applet』即可,另外,因為我們剛剛並沒有輸入登入密碼,如果遇到認證視窗時,點選登入即可。
由ASDM的資訊顯示面板 (Dashboard) 中的『Device Information』,各位讀者可以清楚的了解目前防火牆的模式,『Firewall Mode』顯示了目前防火牆是處於路由 (Routed) 或是通透 (Transparent) 的模式,『Context Mode』則顯示了目前防火牆是處於單機 (Single) 或是 虛擬 (Multiple) 的模式。以目前所顯示的狀態看來,這個PIX是處於單機路由模式。
各位也可以經由『System Resources Status』面版的圖形顯示中,了解到系統CPU以及記憶體的使用狀況;經由『Interface Status』面版的顯示,得知每個介面的設定值以及啟動狀況;經由『Traffic Status』面版的圖形顯示,了解到TCP、UDP資料流的情形,以及進入、出去的資料流量;在下方的『Latest ASDM Syslog Messages』的文字顯示中,可得知syslog所輸出的系統即時 (Real-time) 訊息。
首先,Ben哥先以單機路由模式,先讓內部IP 位址192.168.1.1的電腦能夠順利連線到Internet,在此,有兩件事情必須先做。第一、設定外部介面(Outside Interface)IP位址,第二、設定NAT。
各位可以點選主選單上的『Configuration』進入設定畫面,選擇左邊選單的『Interface』即可對於各個介面做設定,通常對PIX來說,Ethernet0習慣上會設定為連接外部網路的介面,在PIX/ASA中,則定義其名為outside,因此,各位可以先反白你們要設定的介面,在點選右邊的『Edit』進入介面的設定畫面。
進入介面設定後,請各位勾選『Enable Interface』來啟動此介面,並命名『Interface Name』為outside。在這邊,我們要順帶介紹一下Cisco PIX/ASA中的一個設定上的專有名詞,叫做『Security Level』,其設定值為0到100間的任一整數,數字越小代表由其連接的網路所進來封包資料,越不可靠、越危險,安全性(security)越低。因此,通常我們會設定連接到Internet的介面的『Security Level』設為0,而連接內部或是可靠網路介面的『Security Level』設為100,DMZ的『Security Level』則設為0到100中間的任一值;不同『Security Level』之間的資料流量有其規定,從『Security Level』大傳到『Security Level』小的資料不會被阻擋,從『Security Level』小傳到『Security Level』大的資料則會被阻擋,如過要讓其資料可以通過的話,則需要額外下達防火牆規則來檢驗,通過檢驗才可通過;接下來,各位可以設定介面的IP位址取得的方式,在大部分的情況下,都是設定靜態IP位址,在此Ben哥使用DHCP的方式讓其自動取得IP位址;設定完成後,就可以點擊『OK』離開視窗,並點選『Apply』使剛剛的設定生效。
接下來就要做NAT的設定,點選左方的『NAT』就會進入下圖的設定視窗。
在這個視窗中,提供了所有NAT/PAT的功能及設定,為了讓內部網路的私有(Private) IP位址能夠順利的與外界溝通,必須加設一條能讓內部網路出去的封包資料能夠被NAT的規則,所以各位可以點選左上角的『Add』選項,並選擇『Add Dynamic NAT rule』來新增一條規則。
在這裡我們選定了須要被轉換的IP位址,並且指定了outside為Dynamic Translation的介面,接下來點選『Add』產生下列視窗。
選擇『Port Address Translation (PAT) using IP Address of the interface』並點選『Add >>』加入Address Pool,然後點選『OK』。
於是就會在Dynamic Translation中出現一條新的動態轉換規則名稱為outside且Pool ID為1,最後一步,請點選『NAT Options』按鍵出現以下圖示。
請勾選『DNS Rewrite』中『Translate the DNS replies that match the translation rule』的勾選方框,再點選『OK』即可跳出視窗,Apply所有新增的規則即可出現以下視窗。
設定完成後,各位可以發現視窗下方會出現一個簡單的圖示,清楚地表示此條規則的作用,讓使用者能夠圖型簡單的標示,了解此規則的內容;在這裡需特別注意一下,PIX/ASA的預設值是不讓ICMP的封包進入高『Security Level』的網路,因此,使用ping是沒有反應的,但其它的通訊協定則沒有這個問題。
最新版的ASDM提供了一個相當重要的功能稱為『Packet Tracer』(封包尋跡),讓使用者可以事先檢視封包流經防火牆的過程,如果封包過不了防火牆,『Packet Tracer』會顯示出封包是在哪裡被丟棄或是被如何處理,這裡Ben哥就用內部網路ping外部網路的資料流作為實驗的範例。
Ben哥在此選擇了outside介面以及ICMP通訊協定,來源IP為外部的一個合法IP位址,目的地為內部網路的IP位址,經過封包循跡 (Packet Tracer) 的結果,發現封包被丟棄,這證明了外部要進入內部的ICMP封包會被成功的擋下來。
如果我們想讓ICMP的封包能夠通過PIX/ASA,可以下達一條允許由outside介面來的ICMP封包,進入inside介面的規則,各位可以點選右方的『Security Policy』進入以下視窗。
PIX/ASA已經有三條預設的『Security Policy』 (安全政策,如果您是Linux的使用者,這些規則就是Netfilter中各位使用指令iptables所下達的規則) ,這三條規則讓剛剛安裝PIX/ASA的使用者能有高度的安全性。
為了順利讓外部網路的ICMP封包通過PIX/ASA到內部網路,我們必須作以下的設定。首先點選『Add』新增加一條規則,規則中則規定凡是從outside介面進來的ICMP所有類型的封包,不限定封包來源或是封包的目的地IP位址,皆可進入到內部網路。
點選『OK』後再『Apply』新的設定即可以讓ICMP封包順利的進到內部網路。
本來ping不到內部的IP位址,可以由下圖的顯示看出下達Security Policy之後,ping就可以通了。
什麼是虛擬防火牆跟通透式防火牆
虛擬防火牆 (Virtual Firewall or Security Contexts):
就一般大眾使用者而言,通常買了一個防火牆就只能以一台來使用,當另外一個狀況或是環境需要防火牆的保護時,就需要另外一台實體的防火牆;如此,當我們需要5台防火牆的時候,就需要購買5台防火牆;虛擬防火牆的功能讓一台實體防火牆,可以虛擬成為數個防火牆,每個虛擬防火牆就猶如一台實體的防火牆,這解決了企業在部署大量防火牆上的困難,並使得操作及監控上更為簡便。
通透式防火牆 (Transparent or Layer 2 Firewall):
一般的防火牆最少有兩個以上的介面,在每個介面上,我們必須指定IP位址以便讓防火牆正常運作,封包到達一個介面經由防火牆路由到另一個介面,這種狀況下,防火牆是處在路由模式(Routed mode);試想,在服務提供商 (Internet Service Provider) 的環境中,至少有成千上萬的路由器組成的大型網路,如果我們要部署數十個以上的防火牆,對於整體網路的IP位址架構,將會有相當大的改變,不僅容易造成設定路由的巨大麻煩,也有可能會出現路由迴圈,部署將會曠日費時,且極容易出錯。
舉例來說,如果有兩個路由器A及B,我們想在A跟B之間部署路由模式的防火牆,必須重新設計路由器介面的IP位址,以配合防火牆的IP位址,另外,如果路由器之間有跑路由通訊協定 (ie. RIP、OSPF、BGP等),防火牆也必須支援這些通訊協定才行,因此相當的麻煩;通透式防火牆無須在其介面上設定IP位址,其部署方式就猶如部署交換器一樣,我們只需直接把通透式防火牆部署於路由器之間即可,完全不需要煩惱IP位址的問題,因此,提供此類功能的防火牆,亦可稱為第二層防火牆。
一般而言,高級的防火牆 (Cisco、Juniper等)都支援這些功能;就Cisco的ASA或是PIX而言 (版本7.0以上),都已支援虛擬防火牆以及通透式防火牆這兩個功能。
如何設定虛擬防火牆 (Security Contexts )
在Cisco的防火牆中,有些專有名詞必須先讓讀者了解,以便繼續以下的實驗及內容。
專有名詞 | 解釋 |
---|---|
Context | ASA/PIX在虛擬防火牆的模式下,每一個虛擬防火牆就可以稱為一個context。 |
System context | 這一個context是用來設定每一個虛擬防火牆所能使用的資源,例如所能使用的介面以及CPU資源等,而不會讓某一個context過度使用系統資源,另外,提供給防火牆管理員一個集中式且階層性的管理;此context並不能被用來當成防火牆使用。 |
Administration context (admin-context) | 可以被用來當成虛擬防火牆使用,除此之外,只有此context才有權限,這個context並不受授權的限制內。 |
Context <虛擬防火牆的名稱> | 一般的虛擬防火牆,並沒有對於防火牆硬體有任何的設定權限,只能設定該虛擬防火牆內的設定。 |
接下來讀者們可以在EXEC的模式下,下達『show version』指令而得知該ASA/PIX能夠支援多少個contexts,以下的範例顯示了該設備最多支援了5個contexts。
在八月份的網管人雜誌中,Ben哥已經詳細的介紹ASA/PIX的初始過程,通常來說,如果每有特殊設定的話,預設的防火牆模式為單一模式 (Single Mode),因此,我們必須熟悉一些指令來轉換以及顯示模式;在EXEC模式下,下達指令show mode即可以顯示目前是處於單一模式 (Single Mode) 或是虛擬模式 (Multiple Mode)。
如果要轉換模式的話,必須進入Configuration Mode下達mode的指令;以下的例子顯示了由單一模式轉換到虛擬模式,經過兩次的確認 (confirm) 後,必須重新啟動ASA/PIX以便讓功能即時生效。
重新開機後,進入EXEC模式檢視目前的模式,應該為虛擬模式了。
如何設定通透式防火牆
通透式防火牆的設定也是相當的簡單,ASA平台是可讓通透式的功能跟虛擬防火牆的功能並存,剛剛讀者們已經將ASA5510轉換成為Multiple模式了,這裡請特別注意,啟動通透式功能的時候,因為原本的contexts設定內容已經不符合通透式功能的需求,因此會把所有的contexts移除,所以,我們必須在轉換通透模式後,再一一加入每個虛擬防火牆(context);另外,轉換通透或是路由模式,不需要重新啟動防火牆設備即可生效。
建立多個通透式虛擬防火牆
現在,Ben哥已經把ASA5510設成虛擬及通透模式,接下來,讓我們來建立幾個虛擬的通透式防火牆;首先我們先來看看目前的設定內容,並沒有設定任何IP位址,因此我們必須建立一個IP位址,以便讓我們使用ASDM來設定ASA5510。
我們可以在EXEC模式下,下達show context指令顯示是否有context存在於此防火牆中,目前看來並沒有任何的context。
在建立任何一個一般虛擬防火牆之前,admin-context必須先存在,所以讓我們來建立名為admin的admin-context,以及5個通透式虛擬防火牆,依序命名為geego1、geego2、geego3、geego4、geego5。
每個虛擬防火牆都需要有其獨立的設定檔,但是在建立每個虛擬防火牆的設定檔前,要先配置介面給各個虛擬防火牆,因為目前防火牆為通透虛擬模式,在有限的實體介面限制下,ASA/PIX的介面提供了802.1Q通訊協定的支援,在顯示授權的指令輸出中,我們已知道此ASA可以設定 25個VLANs,因此,Ben哥會建立12個VLANs,VLAN ID各為6、10、20、30、40、50、66、100、200、300、400、500,VLAN ID 6為admin的對外VLAN,VLAN ID 66為admin的內部VLAN,VLAN ID10的是geego1的外部VLAN ,VLAN ID100的是geego1的內部VLAN,其他context以此類推;因此,我們必須建立相關的VLAN介面在ASA平台上。
並且對每個VLAN介面設定相關的VLAN ID,如此,Ethernet0/3就會以802.1Q的通訊協定方式與交換器溝通。
接下來,Ben哥就必須做兩件事,1)對每個虛擬防火牆建立設定檔。2) 把剛剛建立的VLAN介面,分配到所有的虛擬防火牆上。
雖然我們設定了每一個context的組態檔案名稱及位置,但是到目前為止,這些檔案必不存在於儲存設備disk0:上,所以,我們還必須讓這些檔案建立出來,我們先以虛擬防火牆geego1為例,首先讓我們先進入context system,然後下達『changeto context …』的指令把直接進入geego1虛擬防火牆,然後下達指令write來儲存設定檔,如此,我們就產生出一個在disk0:下名為geego1.cfg的組態檔。
其他context的組態檔設定,請各位讀者根據上述的方式逕行設定。
再來Ben哥就要把所有的VLAN介面關連到相關的VLAN ID,接著再開始分配介面給各個context。
我們現在來看看如何在指令模式下切換system context及其他的contexts,在這裡,我們用admin context來做一個範例。
進入admin context以後,我們就可以看到剛剛我們所配置給他的介面出現在admin context的設定中。
到此為止,我們已經完成了各個通透視虛擬防火牆的設定了。
各位讀者可以在交換器連接到防火牆的連接埠上,下達802.1Q相關設定,以Cisco的交換器而言,我們可以先建立所有在防火牆上的VLAN ID,然後進入連接埠設定介面下達802.1Q的指令。
在EXEC模式下,下達vlan database指令進入設定VLAN的命令提示字元(prompt),建立所需的VLAN。
再下達指令sh vlan brief即可看出剛剛建立的VLAN了。
在進入連接埠設定命令提示字元,下達802.1Q的相關指令就完成了交換器的設定。
再來使用Ethernet cable連接交換器及防火牆就可使兩台設備互相溝通。
使用ADSM設定及管理ASA/PIX
在本專欄的上集以及中集,我們已經建立了六個虛擬通透式防火牆,分別是命名為admin、geego1、geego2、geego3、geego4、geego5等六個Security Contexts,如下圖所示。
現在,Ben老師要使用Cisco ASA/PIX專用的用戶端管理應用程式ADSM,管理所有的Security Contexts,因此,首先要做的就是設定名為admin的虛擬防火牆(Security Context)。
要在不同的Seurity Context中互相切換,或是由System Context中切換到Security Contexts,必須使用指令『 changeto context 』,進入某個Security Context後,命令提示字元將會改變成『主機名稱/Security Context名稱』,以下圖為例,Ben老師進入名為admin的Security Context。
進入Security Context之後,就如同進入一個防火牆一樣,因為我們所設定的防火牆為虛擬通透式(Transparent Security Context),因為通透式並不能在網路介面上設定IP位址,因此,Ben老師會進行下列幾個步驟,達到的管理的目的。
1.設定網路介面的安全等級,網路介面的防火牆屬性,例如inside、outside、DMZ以及Security Level等。
首先進入admin context,先對每個網路介面設定名稱以及安全等級,在Cisco的防火牆設備中,把對外的網路介面卡取名為outside,對內的網路介面卡則命名為inside,安全等級從0到100,數字越小所代表的安全等級越低,安全等級低的無法建立連線到安全等級高的,必須要額外的設定才行,因此,預設行為是從outside介面,無法建立連線到inside介面。
2.設定管理用的IP位址。
所謂的通透式防火牆,就是在防火牆所分開的兩個區域網路,以IP的觀點來看必須在同一網段中,以區域網路的角度來看,則必須是不同的VLAN,因此,交換器的使用是不可避免的;以admin context為例,Ben老師分配了兩個網路介面給它,分別為 Ethernet 0/3.6以及Ethernet 0/3.66,這兩個介面必須連接到不同的VLAN,Ben老師為了統一起見,設定了VLAN ID 6以及 66,並分別把Ethernet 0/3.6接到VLAN ID 6,Ethernet 0/3.66接到VLAN ID 66。
因此,防火牆的管理IP位址也必須設在相同的區域網路中,為了方便觀察以及設定起見,所有的區域網路皆以192.168..0/24來做設定,例如,context admin的inside介面VLAN ID為6,admin context所在的區域網段則為192.168.6.0/24,防火牆的管理IP位址則為192.168.6.100。
3.啟動內部的網頁伺服器
在ASA/PIX的設定中,我們必須啟動其內部的網頁伺服器,然後經由IE瀏覽器連接管理,所需要的指令需在config模式中下達,指令則為http,下圖為http指令的相關選項以及Ben老師的設定方式。
4.以ADSM連線到ASA/PIX管理。
皆下來啟動IE瀏覽器,以https的連線方式連接到防火牆的管理IP位址192.168.6.100,就會出現下圖,Ben老師選擇安裝ASDM於電腦中,以便日後方便管理。
出現ADSM Launcher之後,我們把防火牆的管理IP位址輸入到Device IP Address/Name的欄位中,再按OK鍵就逕行連接到防火牆的ASDM。
連結完成後就出現ASDM的管理介面,皆下來的所有設定就都以ASDM進行,而且在admin context中,我們可以自由的切換到其他contexts做額外的設定,但是如果連結到admin context以外的contexts的話,則只能看到該context的設定,並不能做切換的動作;有了這個功能,在中大型的企業中,MIS人員便可以釋放防火牆管理的權限到每個部門的MIS工程師。
舉例來說,奇科電腦有五個部門,分別為人事部、工程部、研發部、財務部、以及總管理部,每個部門都有其獨立的MIS工程師,目前的設定有五個通透式防火牆,因此我們可以讓每部門擁有一個獨立的通透式防火牆;讓各個部門有其獨立訂定安全政策的彈性;接下來的實驗,Ben老師就把security context – geego1分配給研發部,讓其進行所有設定。
防火牆結合IPS 入侵防禦系統
Cisco的ASA 5510以上系列的整合防禦系統,皆有配備一個模組插槽,以供額外的安全性整合功能,其模組的名稱為SSM (Security Service Module),目前有兩款模組,個別所提供的功能有:
1.全功能的入侵防禦系統,跟Cisco IPS 4200系列一模一樣。
2.趨勢科技所提供的Anti-virus,Anti-spyware, Anti-spam, Anti-phishing,URL filtering/blocking等全方為的Anti-X科技。
另外,ASA本身則已經具有Cisco VPN Concentrator 3000系列的VPN全部功能,SSLVPN,以及PIX防火牆的全系列功能;可說是集合Cisco內部的四大產品於一身。
如下圖所示:
Ben老師所使用的將會是ASA5510加上AIP-SSM (Advanced Inspection and Prevention Security Services Module),AIP-SSM就是一個完整的Cisco IPS 4200系列的入侵偵測系統。
在ASDM的管理介面中,左手邊有一個IPS的圖示,稍做網路位址的設定後,便可以在ASDM中啟動AIP-SSM的管理介面了。
事實上,所有Cisco IPS 4200系列產品皆為通透式,也因此,AIP-SSM本身的運作模式也是通透式, AIP-SSM與ASA的流量連接是由一個內部的Gigabit Ethernet所連結的,因此,Ben老師需要下一個ACL把ASA的資料流量導入AIP-SSM,所需的ACL的設定如下圖所示:
設定完成之後,所有進入ASA的資料流量,會經果防火牆的檢視後,沒有被過濾掉的封包,就會被直接導入至AIP-SSM中,進行入侵防禦的功能,而達到UTM網路安全整合防禦管理的目的。
奇科電腦的研發部門被總部分配到一個通透式的虛擬防火牆,該管理的IP位址為192.168.10.100,因此,研發部MIS工程師就可以藉由ADSM Launcher連接到ADSM進行圖形介面的管理;連到該透式虛擬防火牆,跟admin context很明顯的差異就是不能自由的切換到其它context,如下圖所示:
接下來,請根據本文所述如何將ASA的資料流量導到AIP-SSM,設定於geego1 context中,然後在被保護的區域網路內(VLAN 10),啟動MSN Messenger,即可在AIP-SSM的IDM(IPS Device Manager)中觀察到所有的MSN Messenger的連線狀況。
藉由點選每一個偵測到的項目,亦可以清楚的看到傳輸訊息的內容,可供MIS工程師參考;因此,研發部的MIS工程師可以根據該部門所訂定安全政策,在ASA中使用PIX防火牆,以及IPS入侵防禦系統的所有功能,來實施資料流量的處理,不僅如此,也可以由ASA建立site-to-site IPSec或者是SSL VPN連線到其他的部門,確保資料的完整性以及安全性,這正是UTM所要達到的理想目標。
就一般的網路安全部署而言,防火牆會部署侵防禦系統之前,原因是防火牆的效能遠較入侵防禦系統好很多,以OSI七層的角度來看,封包經過每個網路設備,都需經過解封裝(Decapsulation)以及封裝(Encapsulation)的過程,例如交換器必需拆解封包至OSI的第二層,也就是Data Link Layer,才能知道MAC位址,然後再封裝封包後送出;路由器則必須拆解到OSI的第三層,也就是Network Layer,瞭解到IP位址後,在進行封裝送出;這樣拆解封裝再進行封裝是非常浪費硬體資源的,因此一般來說,同樣的硬體設備,如果只做交換器的功能,效能會是當路由器的二十幾倍。
因此,防火牆(Firewall)大部分會應用到OSI的第四層,也就是Transport Layer;但是入侵防禦系統(IPS)大部分都是看到第七層,也就是Application Layer,因此,IPS的效能遠不如防火牆;因此,Ben老師的網路安全部署會使用Firewall過濾到大部分的不良封包,接下來再由IPS做細部的檢視;Cisco對於ASA整合性的網路安全設備,不也就是這樣的設計嗎?就Ben老師在業界對於Cisco競爭對手的瞭解,沒有一個產品可以多元”並且”全面化的整合所有資訊安全的科技,只有Cisco的ASA能達到此項目的。