Реализации основных решений Cisco ASA Security
Описание курса
Пятидневный курс SASAC "Реализации основных решений Cisco ASA Security" предназначен для сетевых администраторов, отвечающих за сетевую безопасность предприятия, и призван обеспечить их знаниями и навыками, которые позволят выполнять конфигурирование базовых возможностей межсетевых экранов Cisco ASA по обеспечению безопасности периметра сети, а также проводить настройку и использовать различные виды виртуальных частных сетей (VPN) на платформе Cisco ASA.В курсе рассматривается линейка моделей и принципы работы Cisco ASA, система лицензирования, а также некоторые новые возможности программного обеспечения, реализованные в версиях 9.x, позволяющие обеспечить безопасность инфраструктуры сети, пользователей и используемых ими приложений.
Слушатели курса научатся производить встраивание систем Cisco ASA в существующую сеть, выполнять их конфигурирование средствами командной строки и графического интерфейса Cisco ASDM, формулировать и настраивать политику безопасности с помощью списков контроля доступа (ACL) и модульных политик безопасности (MPF), осуществлять управление работой приложений с помощью анализа трафика приложений на прикладном уровне, конфигурировать различные варианты трансляции адресов, включая Object (Auto) NAT и Manual NAT, настраивать статическую и динамическую маршрутизацию и ряд дополнительных сервисов, производить мониторинг соединений, записей таблицы трансляции адресов, маршрутизации и других подсистем.
В качестве технологий построения виртуальных частных сетей акцент делается на виртуальные частные сети удаленного доступа, клиент AnyConnect, протоколы SSL и IKEv2, а также безклиентский способ доступа в корпоративную сеть по VPN. Данный раздел курса научит слушателей разбираться в типах виртуальных частных сетей, их назначении и особенностях, конфигурировать SSL VPN, использовать Cisco AnyConnect Client, а также безклиентский режим для доступа в корпоративную сеть, включая Application Plug-ins и Smart Tunnels, конфигурировать IPSec VPN и Cisco AnyConnect Client в режиме IKEv2, использовать различные механизмы контроля доступа в корпоративную сеть по VPN, настраивать и использовать различные схемы аутентификации и авторизации, использовать внешние сервера авторизации, такие как RADIUS и LDAP, развертывать инфраструктуру PKI, а также использовать цифровые сертификаты для аутентификации клиента и VPN-сервера.
Значительное внимание также уделено вопросам избыточности и обеспечения отказоустойчивости. В курсе рассматриваются такие традиционно используемые механизмы, как Active/Standby и Active/Active Failover, Cisco EtherChannel и Redundant Interfaces, а также мультиконтекстный режим работы. Кластеризация в данном курсе не рассматривается.
Все модули курса содержат разделы, посвященные вопросам поиска и устранения неисправностей в работе ПО и решению проблем, возникающих из-за ошибок конфигурирования.
Данный тренинг относится к устаревшей системе сертификации Cisco. Обновленный контент по данной тематике можно найти в программе курса SISE 3.0
Целевая аудитория
- Инженеры по сетевой безопасности
- Продавцы и партнеры Cisco
- Клиенты Cisco
Минимальные требования
- Опыт практической работы в IP-сетях
- Базовые знания о продукте Cisco ASA
- Общие знания в области сетевой безопасности
Содержание курса
Модуль 1. Основы Cisco ASA- Технологии защитных экранов
- Возможности Cisco ASA
- Модели Cisco ASA
- Лицензирование Cisco ASA
Модуль 2. Базовые возможности подключения к сети и управления Cisco ASA
- Управление процессом загрузки Cisco ASA
- Синтаксис командной строки Cisco ASA
- Управление Cisco ASA с помощью Cisco ASDM
- Обзор возможностей Cisco ASDM
- Обновление Cisco ASA
- Управление доступом с помощью уровней безопасности
- Начальная настройка
- Настройка и проверка VLANs
- Настройка маршрута по умолчанию
- Настройка DHCP Server на Cisco ASA
- Процесс поиска и устранения проблем начальной конфигурации
Модуль 3. Использование Cisco ASA в сети
- Трансляция адресов (NAT) на Cisco ASA
- Конфигурирование Object (Auto) NAT
- Конфигурирование Manual NAT
- Устранение проблем, связанных с NAT на Cisco ASA
- Таблица соединений и таблица хостов
- Настройка и проверка списков доступа (Interface ACLs)
- Настройка и проверка глобального списка доступа (Global ACL)
- Настройка и проверка групп объектов (Object Groups)
- Настройка и проверка других возможностей контроля доступа
- Устранение проблем ACLs
- Статическая и динамическая маршрутизация
- Настройка и проверка EIGRP
- Поддержка Multicast-маршрутизации на Cisco ASA
Модуль 4. Реализация политики безопасности
- Обзор модульных политик (Cisco MPF)
- Настройка и проверка политик сетевого и транспортного уровней
- Настройка и проверка политики для управляющего трафика
- Контроль доступа на уровне прикладных протоколов
- Настройка и проверка инспекции HTTP
- Настройка и проверка инспекции FTP
- Инспекция трафика других приложений на Cisco ASA
- Поиск и устранение неисправностей при испектировании трафика прикладных протоколов
Модуль 5. Базовые элементы, используемые различными типами виртуальных частных сетей (VPN)
- Определение VPN
- Типы VPN
- Компоненты VPN
- Понятие и настройка Cisco ASA VPN Policy
- Понятие и настройка Cisco ASA Connection Profiles
- Понятие и настройка Cisco ASA Group Policies
- Использование системы AAA для загрузки параметров VPN с внешнего сервера
- Пользовательские параметры
- Методы контроля доступа
- VPN Accounting
- Dynamic Access Policy (DAP)
- Использование цифровых сертификатов и PKI для аутентификации клиента и VPN-сервера
- Сервер сертификатов
- Функциональность SCEP Proxy
- Связывание VPN-соединений с Connection Profile на основе полей сертификата
Модуль 6. Cisco Clientless SSL VPN
- Применение Clientless SSL VPN
- Secure Sockets Layer (SSL) и Transport Layer Security (TLS)
- Установка сессии SSL
- Аутентификация сервера
- Аутентификация клиента
- Закладки в Clientless SSL VPN
- Базовый контроль доступа в Clientless SSL VPN
- Выключение Content Rewriting
- Настройка и проверка базового Clientless SSL VPN
- Поиск и устранение неисправностей Clientless SSL VPN
- Дополнительные возможности Cisco Clientless SSL VPN: Application Plug-ins, Smart Tunnels
- Варианты настройки клиентской аутентификации и авторизации (Client-side Authentication)
- Клиентская аутентификация с применением AAA Server
- Двойная клиентская аутентификация
Модуль 7. VPN в режиме Full Tunnel с применением Cisco AnyConnect (Cisco AnyConnect SSL VPN)
Базовый Cisco AnyConnect SSL VPN
- Аутентификация клиента
- Назначение IP адреса
- Понятие SSL VPN Split Tunneling
- Настройка и мониторинг AnyConnect SSL VPN
- Обзор и настройка DTLS
- Автоматическое обновление Cisco AnyConnect Client
- Дополнительные возможности: Trusted Network Detection (TND), Start Before Logon (SBL)
- Дополнительные возможности аутентификации
- Аутентификация с применением клиентского сертификата и двухфакторная аутентификация
- Обзор и настройка авторизации в AnyConnect SSL VPN
- Настройка и проверка локальной авторизации и авторизации с применением LDAP/AD
- Устранение проблем Cisco AnyConnect VPN
- Подключение по IPsec (AnyConnect Support for IKEv2)
- Обзор протоколов Internet Key Exchange (IKE) v1 и v2
- Настройка Cisco AnyConnect IPsec VPN на Cisco ASA
- Проверка и устранение неисправностей Cisco AnyConnect IPsec VPN на Cisco ASA
Модуль 8. Отказоустойчивость и виртуализация Cisco ASA
- Настройка и проверка EtherChannel
- Настройка и проверка Redundant Interfaces
- Устранение неисправностей EtherChannel и Redundant Interfaces
- Active/Standby и Active/Active Failover: конфигурирование, поиск и устранение неисправностей
- Мультиконтекстный режим
- Настройка и проверка Security Contexts
- Настройка и проверка Resource Management
- Устранение неисправностей при использовании мультиконтекстного режима
Лабораторные работы:
- Настройка Cisco ASA
- Настройка NAT
- Настройка базовых функций контроля доступа
- Настройка MPF, инспекций, QoS
- Настройка продвинутого контроля над приложениями с помощью MPF
- Развертывание базового безклиентского SSL VPN на Cisco ASA
- Использование Plugins и Smart Tunnels в рамках безклиентского SSL VPN на Cisco ASA
- Аутентификация и авторизации для безклиентского SSL VPN через Microsoft AD
- Настройка AnyConnect SSL VPN на Cisco ASA
- Настройка продвинутой аутентификации для Cisco AnyConnect SSL VPN
- Развертывание Cisco AnyConnect IPsec/IKEv2 VPN
- Конфигурирование Active/Standby Failover