我们最近从WatchGuard X5500e Peak防火墙设备升级到Cisco CSA模块的Cisco 5500 ASA。 ASA运行8.2软件,CSC运行在6.3.1172软件上。 几周后,我们终于得到了一切稳定,拉了头发,咬牙切齿,现在正试图设置一些优先级较低的项目。
有了这个防护装置,我们就可以用浏览器访问一个内部网页,并通过防火墙进行身份validation,从而绕过filter。 当这里的教室需要访问stream媒体或执行官需要我们下载video时,这很有用。 我正在尝试设置类似的东西,但是我对ASA这样的思科设备相当缺乏经验,所以我不确定它是否被视为VPN连接或某种ACL。 理想情况下,我们希望设置多个限制曝光,而不是一个使用时打开。
我做了一个search,找不到与这里提到的其他问题有关的任何东西,而且我也没有运气。
您正在寻找的是来自思科支持站点的AAA(authentication,授权和会计):
“AAA使安全设备能够确定用户是谁(身份validation),用户可以做什么(授权)以及用户做了什么(计费)AAA为用户访问提供了比单独使用ACL更高级别的保护和控制例如,可以创build一个允许所有外部用户访问DMZnetworking服务器上的Telnet的ACL,如果只希望某些用户访问服务器,并且您可能并不总是知道这些用户的IP地址,则可以启用AAA以允许通过身份validation和/或授权的用户通过安全设备(Telnet服务器也强制进行身份validation;安全设备可防止未经授权的用户尝试访问服务器)。您可以单独使用身份validation,也可以使用授权和记帐。授权总是要求用户首先进行authentication,您可以单独使用帐户,也可以使用authentication和授权。本节包括以下主题:
•关于authentication
•关于授权
•关于会计
http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/aaa.html
但据我所知,你将需要build立一个“思科安全访问控制服务器”。 我想你会更好,如果你使用网页过滤解决scheme(Websense之类的)。 你也可以build立一个鱿鱼服务器,集成whit ldap并根据经过validation的用户设置ACL。