Каталог курсов

Курсы Cisco

Cisco Security

SASAC Внедрение Cisco ASA для обеспечения безопасности сети передачи данных


Продолжительность: 40 ч    

Описание курса

Пятидневный курс SASAC: Реализации основных решений Cisco ASA Security - предназначен для сетевых администраторов, отвечающих за сетевую безопасность предприятия, и призван обеспечить их знаниями и навыками, которые позволят выполнять конфигурирование базовых возможностей межсетевых экранов Cisco ASA по обеспечению безопасности периметра сети, а также проводить настройку и использовать различные виды виртуальных частных сетей (VPN) на платформе Cisco ASA.

Предварительные требования:
------------------------------------
* Опыт практической работы в IP-сетях
* Базовые знания о продукте Cisco ASA
* Общие знания в области сетевой безопасности

В курсе рассматривается:
----------------------------
* линейка моделей и принципы работы Cisco ASA,
* система лицензирования, а также некоторые новые возможности программного обеспечения, реализованные в версиях 9.x, позволяющие обеспечить безопасность инфраструктуры сети, пользователей и используемых ими приложений.

Слушатели курса научатся производить встраивание систем Cisco ASA в существующую сеть, выполнять их конфигурирование средствами командной строки и графического интерфейса Cisco ASDM, формулировать и настраивать политику безопасности с помощью списков контроля доступа (ACL) и модульных политик безопасности (MPF), осуществлять управление работой приложений с помощью анализа трафика приложений на прикладном уровне, конфигурировать различные варианты трансляции адресов, включая Object (Auto) NAT и Manual NAT, настраивать статическую и динамическую маршрутизацию и ряд дополнительных сервисов, производить мониторинг соединений, записей таблицы трансляции адресов, маршрутизации и других подсистем.

В качестве технологий построения виртуальных частных сетей акцент делается на виртуальные частные сети удаленного доступа, клиент AnyConnect, протоколы SSL и IKEv2, а также безклиентский способ доступа в корпоративную сеть по VPN. Данный раздел курса научит слушателей разбираться в типах виртуальных частных сетей, их назначении и особенностях, конфигурировать SSL VPN, использовать Cisco AnyConnect Client, а также безклиентский режим для доступа в корпоративную сеть, включая Application Plug-ins и Smart Tunnels, конфигурировать IPSec VPN и Cisco AnyConnect Client в режиме IKEv2, использовать различные механизмы контроля доступа в корпоративную сеть по VPN, настраивать и использовать различные схемы аутентификации и авторизации, использовать внешние сервера авторизации, такие как RADIUS и LDAP, развертывать инфраструктуру PKI, а также использовать цифровые сертификаты для аутентификации клиента и VPN-сервера.

Значительное внимание также уделено вопросам избыточности и обеспечения отказоустойчивости. В курсе рассматриваются такие традиционно используемые механизмы, как Active/Standby и Active/Active Failover, Cisco EtherChannel и Redundant Interfaces, а также мультиконтекстный режим работы. Кластеризация в данном курсе не рассматривается.

Все модули курса содержат разделы, посвященные вопросам поиска и устранения неисправностей в работе ПО и решению проблем, возникающих из-за ошибок конфигурирования.

Программа курса

Модуль 1. Основы Cisco ASA

Технологии защитных экранов
Возможности Cisco ASA
Модели Cisco ASA
Лицензирование Cisco ASA

Модуль 2. Базовые возможности подключения к сети и управления Cisco ASA

Управление процессом загрузки Cisco ASA
Синтаксис командной строки Cisco ASA
Управление Cisco ASA с помощью Cisco ASDM
Обзор возможностей Cisco ASDM
Обновление Cisco ASA
Управление доступом с помощью уровней безопасности
Начальная настройка
Настройка и проверка VLANs
Настройка маршрута по умолчанию
Настройка DHCP Server на Cisco ASA
Процесс поиска и устранения проблем начальной конфигурации

Модуль 3. Использование Cisco ASA в сети

Трансляция адресов (NAT) на Cisco ASA
Конфигурирование Object (Auto) NAT
Конфигурирование Manual NAT
Устранение проблем, связанных с NAT на Cisco ASA
Таблица соединений и таблица хостов
Настройка и проверка списков доступа (Interface ACLs)
Настройка и проверка глобального списка доступа (Global ACL)
Настройка и проверка групп объектов (Object Groups)
Настройка и проверка других возможностей контроля доступа
Устранение проблем ACLs
Статическая и динамическая маршрутизация
Настройка и проверка EIGRP
Поддержка Multicast-маршрутизации на Cisco ASA

Модуль 4. Реализация политики безопасности
Обзор модульных политик (Cisco MPF)
Настройка и проверка политик сетевого и транспортного уровней
Настройка и проверка политики для управляющего трафика
Контроль доступа на уровне прикладных протоколов
Настройка и проверка инспекции HTTP
Настройка и проверка инспекции FTP
Инспекция трафика других приложений на Cisco ASA
Поиск и устранение неисправностей при испектировании трафика прикладных протоколов

В модуле 5 преподаватели рассмотрят базовые элементы, используемые различными типами виртуальных частных сетей (VPN)

Определение VPN
Типы VPN
Компоненты VPN
Понятие и настройка Cisco ASA VPN Policy
Понятие и настройка Cisco ASA Connection Profiles
Понятие и настройка Cisco ASA Group Policies
Использование системы AAA для загрузки параметров VPN с внешнего сервера
Пользовательские параметры
Методы контроля доступа
VPN Accounting
Dynamic Access Policy (DAP)
Использование цифровых сертификатов и PKI для аутентификации клиента и VPN-сервера
Сервер сертификатов
Функциональность SCEP Proxy
Связывание VPN-соединений с Connection Profile на основе полей сертификата

Модуль 6. Cisco Clientless SSL VPN
Применение Clientless SSL VPN
Secure Sockets Layer (SSL) и Transport Layer Security (TLS)
Установка сессии SSL
Аутентификация сервера
Аутентификация клиента
Закладки в Clientless SSL VPN
Базовый контроль доступа в Clientless SSL VPN
Выключение Content Rewriting
Настройка и проверка базового Clientless SSL VPN
Поиск и устранение неисправностей Clientless SSL VPN
Дополнительные возможности Cisco Clientless SSL VPN: Application Plug-ins, Smart Tunnels
Варианты настройки клиентской аутентификации и авторизации (Client-side Authentication)
Клиентская аутентификация с применением AAA Server
Двойная клиентская аутентификация

Модуль 7. VPN в режиме Full Tunnel с применением Cisco AnyConnect (Cisco AnyConnect SSL VPN)

Базовый Cisco AnyConnect SSL VPN
Аутентификация клиента
Назначение IP адреса
Понятие SSL VPN Split Tunneling
Настройка и мониторинг AnyConnect SSL VPN
Обзор и настройка DTLS
Автоматическое обновление Cisco AnyConnect Client
Дополнительные возможности: Trusted Network Detection (TND), Start Before Logon (SBL)
Дополнительные возможности аутентификации
Аутентификация с применением клиентского сертификата и двухфакторная аутентификация

Обзор и настройка авторизации в AnyConnect SSL VPN
Настройка и проверка локальной авторизации и авторизации с применением LDAP/AD
Устранение проблем Cisco AnyConnect VPN
Подключение по IPsec (AnyConnect Support for IKEv2)
Обзор протоколов Internet Key Exchange (IKE) v1 и v2
Настройка Cisco AnyConnect IPsec VPN на Cisco ASA
Проверка и устранение неисправностей Cisco AnyConnect IPsec VPN на Cisco ASA

Модуль 8. Отказоустойчивость и виртуализация Cisco ASA
Настройка и проверка EtherChannel
Настройка и проверка Redundant Interfaces
Устранение неисправностей EtherChannel и Redundant Interfaces
Active/Standby и Active/Active Failover: конфигурирование, поиск и устранение неисправностей
Мультиконтекстный режим
Настройка и проверка Security Contexts
Настройка и проверка Resource Management
Устранение неисправностей при использовании мультиконтекстного режима

Лабораторные работы курса совместно с преподавателями:
----------------------------------------------------------
Настройка Cisco ASA
Настройка NAT
Настройка базовых функций контроля доступа
Настройка MPF, инспекций, QoS
Настройка продвинутого контроля над приложениями с помощью MPF
Развертывание базового безклиентского SSL VPN на Cisco ASA
Использование Plugins и Smart Tunnels в рамках безклиентского SSL VPN на Cisco ASA
Аутентификация и авторизации для безклиентского SSL VPN через Microsoft AD
Настройка AnyConnect SSL VPN на Cisco ASA
Настройка продвинутой аутентификации для Cisco AnyConnect SSL VPN
Развертывание Cisco AnyConnect IPsec/IKEv2 VPN
Конфигурирование Active/Standby Failover