Недавно мы обновили устройство межсетевого экрана Watchguard X5500e Peak до Cisco 5500 ASA с модулем CSC. ASA выполняет программное обеспечение 8.2, а CSC - программное обеспечение 6.3.1172. Мы, наконец, стабилизировали все после нескольких недель выдергивания волос и скрежета зубов, и теперь мы пытаемся настроить несколько пунктов, которые были ниже в списке приоритетов.
С помощью watchguard мы смогли перейти с браузером на внутреннюю веб-страницу и пройти аутентификацию с помощью брандмауэра, чтобы позволить нам обойти фильтры. Полезно, когда классу здесь нужен доступ к потоковому мультимедиа или руководителю требуется, чтобы мы загрузили видео. Я пытаюсь настроить что-то подобное, но у меня нет опыта работы с устройствами Cisco, такими как этот ASA, поэтому я не уверен, рассматривается ли это как VPN-соединение или какой-то ACL. В идеале мы хотели бы установить более одного, чтобы ограничить экспозицию, а не один, который широко открыт при использовании.
Я выполнил поиск и не смог найти ничего, связанного с этим в других заданных здесь вопросах, и мне тоже не повезло с поиском в Google.
Вы ищете AAA (аутентификация, авторизация и учет) с сайта поддержки cisco:
«AAA позволяет устройству безопасности определять, кем является пользователь (аутентификация), что пользователь может делать (авторизация) и что пользователь делал (учет). AAA обеспечивает дополнительный уровень защиты и контроля для доступа пользователей, чем использование только ACL . Например, вы можете создать ACL, позволяющий всем внешним пользователям получать доступ к Telnet на сервере в сети DMZ. Если вы хотите, чтобы только некоторые пользователи имели доступ к серверу, и вы не всегда можете знать IP-адреса этих пользователей, вы можете включить AAA. чтобы разрешить только аутентифицированным и / или авторизованным пользователям проходить через устройство безопасности (сервер Telnet также обеспечивает аутентификацию; устройство безопасности предотвращает попытки неавторизованных пользователей получить доступ к серверу). Вы можете использовать аутентификацию отдельно или с авторизацией и учетом . Авторизация всегда требует, чтобы пользователь сначала прошел аутентификацию. Вы можете использовать только учетные записи или с аутентификацией и авторизацией. Этот раздел включает следующие темы:
• Об аутентификации
• Об авторизации
• О бухгалтерском учете
http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/aaa.html
Но насколько я знаю, вам нужно будет настроить «Сервер управления безопасным доступом Cisco». Я думаю, вам было бы лучше, если бы вы использовали решение для веб-фильтрации (websense и тому подобное). вы также можете настроить сервер squid, интегрированный с ldap и настроить ACL на основе аутентифицированного пользователя.