CHƯƠNG 2 HỆ THỐNG FIREWALL ASA
2.4. Các chức năng cơ bản của firewall ASA
2.4.8. Một vài chức năng khác
SPF là cơ chế theo dõi trạng thái kết nối, thực hiện việc chuẩn hóa giao thức TCP, việc kiểm tra sự phù hợp và việc thương lượng động giữa các phiên.
AIC cho phép phân tích các giao thức ở tầng 7 và theo dõi trạng thái kết nối và đảm bảo chúng phù hợp giao thức chuẩn.
Session auditing: các record sẽ được tạo ra cho các phiên người dùng, và các phiên kết nối ở tầng 7.
60
Security services modules: nền tảng ASA hỗ trợ nhiều module SSM gồm các thiết bị phần cứng chuyên dùng có tính năng bảo mật giúp giảm tải công việc cho bộ vi xử lý. Một ASA có thể cắm một module SSM nhằm giảm tải công việc của IPS hay cung cấp dịch vụ bảo mật.
Reputation-based botnet traffic filtering: ASA có thể phát hiện và lọc traffic liên quan đến botnet. Cơ sở dữ liệu của botnet traffic filter đƣợc Cisco cập nhật thường xuyên.
Cryptographic unified communications proxy: ASA phải đƣợc cấu hình với vai trò UC proxy đƣợc ủy quyền để cho phép traffic đi qua. ASA có thể ngƣng hay chuyển tiếp các phiên UC đƣợc mã hóa giữa client và server.
Denial-of-service prevention: ASA có tính năng kiểm soát traffic nhƣ chuẩn hóa các giao thức, áp đặt chính sách và kiểm soát các tần suất kết nối để hạn chế bị tấn công DoS.
Traffic correlation: tính năng nhận diện mối đe dọa và sự tương quan giữa các traffic từ nhiều phiên kết nối khác nhau cho phép phát hiện và ngăn chặn những bất thường xuất phát từ các cuộc tấn công mạng và hành vi thăm dò.
Remote access VPN: ASA hỗ trợ người dùng từ bên ngoài Internet kết nối VPN có mã hóa vào mạng bên trong. Clientless SSL VPN đƣợc dùng để kết nối VPN có mã hóa qua giao diện web mà không cần chương trình hỗ trợ nhưng rất hạn chế về tính năng cho nên đề nghị người dùng nên dùng chương trình VPN client để kết nối VPN có mã hóa SSL hay IPSec với đầy đủ tính năng.
Site-to-site VPN: ASA hỗ trợ IPSec VPN giữa các site, mô hình này thường được xây dựng trên firewall biên hay router biên.
High availability failover clustering: hai ASA cùng dòng có thể đƣợc cấu hình lỗi dự phòng trong trường hợp lỗi phần cứng.
Redundant interfaces: nhằm gia tăng tính luôn sẵn sàng với ASA đơn lẻ, các cổng interface có thể đƣợc cấu hình dự phòng để ASA này thay thế ASA khác trong trường hợp lỗi cổng interface vật lý.
Etherchannel: một bó các cổng interface có thể đƣợc gom nhóm lại thành một cổng logic đơn lẻ. Bằng việc kết nối cổng etherchannel giữa
61
ASA và switch có thể cân bằng băng thông và một số các dự phòng khác.
Traffic and policy virtualization: ASA có thể hoạt động với đa thực thể ảo virtual instance hay còn gọi là security context, mỗi thực thể ảo là một firewall độc lập trong đó có các cổng interface logic riêng, các chính sách bảo mật riêng.
Rich IP routing functionality: ASA có thể chuyển tiếp traffic vào mạng nội bộ qua các cổng interface mà không có bất kỳ thông tin định tuyến nào thêm. ASA hỗ trợ định tuyến tĩnh và các giao thức định tuyến động nhƣ RIPv1, RIPv2, EIGRP, OSPF.
Transparent (bridge) operation: ASA có thể cấu hình và hoạt động nhƣ một transparent firewall, một cầu nối bảo mật giữa các cổng interface, với transparent mode, ASA có thể đƣợc thêm vào hệ thống mạng và không cần phải đặt lại địa chỉ IP.
Integrated DHCP, DNS and PPPoE: ASA có thể cấu hình với vai trò là DHCP client hay PPPoE client để nhận địa chỉ IP động và giữ vai trò DNS client động để ghi nhận thông tin phân giải từ hostname sang địa chỉ IP. Ngoài ra, ASA còn giữ vai trò DHCP server để cấp phát địa chỉ IP động.
IPv6 support: hỗ trợ IPv6.
IP multicast support: ASA hỗ trợ giao thức multicast nhƣ IGMP và PIM để điều khiển IP multicast traffic.
Management control and protocols: ASA hỗ trợ nhiều cách thức quản lý khác nhau nhƣ dùng cổng console, TELNET, SSH, HTTPS và SNMP.
Simple software management: ASA hỗ trợ cập nhật phần mềm qua file cục bộ hay truyền tải file, việc cập nhật đƣợc thực hiện tự động hay thủ công.
Configuration flexibility and scalabiliy: chính sách bảo mật và các quy luật đƣợc cấu hình bằng việc tái sử dụng các đối tƣợng object. Thông qua modular policy framework, các tính năng bảo mật có thể đƣợc cấu hình và triển khai một cách linh hoạt.
62
Cisco security management suite: bộ công cụ giúp quản lý ASA một cách đễ dàng với giao diện đồ họa.