Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页
1-7
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
1
장 Cisco ASA 소개
방화벽 기능 개요
방화벽 기능 개요
방화벽은 외부 네트워크의 사용자가 내부 네트워크에 무단 액세스하는 것을 차단합니다. 방화벽
은 또한 내부 네트워크 사이에서도 상호 간 보호가 가능합니다. 인사부 네트워크를 사용자 네트워
크로부터 분리하는 것 등이 그 예입니다. 웹 또는 FTP 서버 같이 외부 사용자에게 제공해야 하는
네트워크 리소스가 있을 경우, 이러한 리소스를 방화벽 뒤에 있는 DMZ(Demilitarized Zone)라는
별도의 네트워크에 배치할 수 있습니다. 방화벽에서는 DMZ에 제한된 액세스를 허용하지만 DMZ
에는 공용 서버만 포함되므로, 이곳에 공격이 발생할 경우 해당 서버에만 영향을 미치며 다른 내
부 네트워크에서는 영향을 미치지 않습니다. 또한 특정 주소만 내보내도록 허용하거나, 인증이나
권한을 요청하거나, 외부 URL 필터링 서버와 조율하는 방식을 통해 내부 사용자가 외부 네트워크
에 액세스(예: 인터넷 액세스)하는 것도 제어할 수 있습니다.
기본 제약 조건 CA 플래그 적용 CA 플래그 없는 인증서는 이제 기본적으로 CA 인증서로 ASA에 설치할 수 없습니
다. 기본 제약 조건 확장은 인증서의 주체가 CA인지 여부 및 이 인증서를 포함하는
유효한 인증 경로의 최대 수준을 식별합니다. 필요 시 해당 인증서의 설치가 가능하
도록 ASA를 구성할 수 있습니다.
다음 명령을 도입했습니다. ca-check
다음 명령을 도입했습니다. ca-check
IKEv2
의 잘못된 선택기 알림 구성 현재 ASA가 SA의 인바운드 패킷을 수신하고 패킷 헤더 필드가 SA의 선택사항과
일치하지 않는 경우, ASA는 패킷을 버립니다. 이제 IKEv2 알림을 피어에게 전송하
는 기능을 활성화하거나 비활성화할 수 있습니다. 이 알림의 전송은 기본적으로 비
활성화되어 있습니다.
참고: 이 기능은 AnyConnect 3.1.06060 이상에서 지원됩니다.
다음 명령을 도입했습니다. crypto ikev2 notify invalid-selectors
참고: 이 기능은 AnyConnect 3.1.06060 이상에서 지원됩니다.
다음 명령을 도입했습니다. crypto ikev2 notify invalid-selectors
16
진수로 된 IKEv2 사전 공유 키 이제 IKEv2 사전 공유 키를 16진수로 구성할 수 있습니다.
다음 명령을 도입했습니다. ikev2 local-authentication pre-shared-key hex,
ikev2 remote-authentication pre-shared-key hex
관리 기능
인증서 구성의 ASDM 사용자
인증서 구성의 ASDM 사용자
이름
이 기능은 사용자가 제공한 사용자 이름과 함께 사용하여 인증서에서 사용자를 추
출하여 ASDM 사용자에게 권한을 부여하는 역할을 제공합니다.
다음 명령을 도입했습니다. aaa authorization http console, http
다음 명령을 도입했습니다. aaa authorization http console, http
username-from-certificate
terminal interactive
명령은
CLI
에서 ?를 입력하는 경우 도
움말을 활성화 또는 비활성화합
니다.
일반적으로 ?를 ASA CLI에서 입력하는 경우 명령 도움말을 볼 수 있습니다. ?를 명
령 내에서 텍스트로 입력하려면 (예를 들어, URL의 일부로 ? 포함) no terminal
interactive
interactive
명령을 사용하여 상호 작용 도움말을 비활성화할 수 있습니다.
다음 명령을 도입했습니다. terminal interactive
REST API
버전 1.1
REST API
버전 1.1에 대한 지원을 추가했습니다.
표
1-1
ASA
버전
9.4(1)
의
새로운
기능
(
계속
)
기능
설명