Cisco与CSC模块绕过

Question

最近，我们从Watchguard X5500e山顶防火墙设备升级到了Cisco5500ASA和CSC模块。ASA运行8.2软件，CSC运行6.3.1172软件。经过几周的拔毛和咬牙切齿，我们终于把一切都稳定下来了，现在我们开始尝试设置一些优先级较低的项目。

使用watchguard，我们能够与浏览器一起访问内部网页，并在防火墙上进行身份验证，从而使我们能够绕过过滤器。当这里的教室需要访问流媒体或管理人员需要我们下载视频时，这是非常有用的。我试图设置类似的东西，但我对这样的Cisco设备相当缺乏经验，所以我不确定它是作为VPN连接还是某种ACL。理想情况下，我们会希望设置一个以上的曝光限制，而不是一个大开放的时候使用。

我做了一个搜索，但在这里问的其他问题中找不到任何与事物相关的东西，而且我在谷歌上也没有运气。

Answer 1

您正在寻找的是来自cisco支持站点的AAA(身份验证、授权和会计)：

"AAA使安全设备能够确定用户是谁(身份验证)、用户可以做什么(授权)和用户做了什么(记帐)。与单独使用ACL相比，AAA为用户访问提供了额外的保护和控制。例如，您可以创建一个ACL，允许所有外部用户访问DMZ网络上的服务器上的Telnet。如果您只希望某些用户访问服务器，而且您可能并不总是知道这些用户的IP地址，则可以启用AAA，以便只允许通过安全设备进行身份验证和/或授权用户访问。( Telnet服务器也执行身份验证；安全设备防止未经授权的用户试图访问服务器。)您可以单独使用身份验证，也可以使用授权和记帐。授权总是需要首先对用户进行身份验证。您可以单独使用会计，也可以使用身份验证和授权。本节包括以下主题: ·关于身份验证、·关于授权、·关于会计

http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/aaa.html

但据我所知，您将需要设置一个“思科安全访问控制服务器”。我认为如果您使用web过滤解决方案(websense等)，您会更好。您还可以设置一个squid服务器，集成使用ldap，并根据经过身份验证的用户设置ACL。