2011-04-05

In the spring of 2011, Cisco ASA becomes self-aware...

En av lösningarna jag jobbar mest med är Ciscos Adaptive Security Appliance (ASA). Det har nyligen kommit ett par uppgraderingar (8.3 och 8.4)  till denna brandvägg som ger en del efterlängade funktioner men också kräver en del nytänkande. 

Global access-lista. Fram tills nu har man i Ciscos brandväggar arbetat med ett regelverk per interface. Numera kan man dock bygga ett globalt regelverk som gäller för hela brandväggen istället. Detta innebär att man frilägger regelverket från nätverkstopologin och i framtiden lättare kan bygga om routing i brandväggen utan att göra om hela regelverket. Detta kräver dock att man har disciplinen att använda objekt-grupper istället för att definiera ip-adresser eller ip-nät då regelverket tenderar att bli stort och oläsbart. För oss som jobbar primärt med Cisco-produkter är detta ett nytt sätt att tänka. För oss som också är insatta i andra brandväggstilverkares metodik (t ex Checkpoint) är detta dock inget nytt.

NAT. För oss som jobbar dagligen med Cisco-brandväggar och som primärt gör detta via kommandorad är kommandona för adressöversättning helt omgjorda. Arbetar man i det grafiska gränssnitttet (ASDM) ser dock allting ut som tidigare.

Etherchannel. Brandväggen har numera stöd för etherchannel vilket ger möjlighet att bygga en virtuell förbindelse mellan brandväggen och intilligande switch. Denna virtuella förbindelse består i sin tur av flera (alla?) brandväggsinterface och genom att sprida ut trafiken över flera fysiska interface vinner man både bandbredd och redundans. Ansluter man sedan brandväggens etherchannel-interface i en modulär eller stackbar switch (t ex 3750) och sprider de fysiska interfacen mellan olika moduler/stackmedlemmar i switchen så har man uppnått full redundans!

Summariska licenser. Om du har en redundant brandväggslösning så har du plötsligt dubblerat dina VPN-licenser! Tidigare var man tvungen att ha separata identiska licenser i båda brandväggarna i en failover-lösning (t ex 50+50 Anyconnect Premium licenser). Med uppgraderingen behöver licenserna inte längre vara identiska och dessutom summeras dessa ihop (50+50=100) och du har fått en massa licenser på köpet!

En viktig sak att notera om man uppgraderar sin brandvägg till 8.3 eller 8.4 är att minneskraven har ökat. Det finns alltså anledning att kontrollera hur mycket minne man har i brandväggen innan man uppgraderar, och eventuellt köpa ett uppgraderingskit.

Listan med nya features är mycket längre än såhär. För den som är nyfiken på mer detaljer rekommenderar jag att man klickar här och här.