Tường lửa nhận dạng ASA của Cisco (Cisco ASA Identity Firewall)

Cisco ASA Identity Firewall là gì?

Theo truyền thống, các chính sách và quy tắc ASA của Cisco được thực thi chủ yếu bằng cách sử dụng Danh sách kiểm soát truy cập (ACL) cho phép hoặc từ chối quyền truy cập vào các tài nguyên mạng nhất định dựa trên địa chỉ IP nguồn / đích và số cổng (ports).

Ví dụ: giả sử chúng ta muốn IP nguồn 10.1.1.1 có thể truy cập vào máy chủ có IP 10.2.2.2 trên cổng 80. Chúng ta sẽ tạo danh mục trên ACL trong đó cho phép IP nguồn cụ thể được phép truy cập vào IP đích cụ thể ở cổng 80.

Giờ đây, từ phiên bản Cisco ASA 8.4 (2), khái niệm Tường lửa nhận dạng đã được giới thiệu. Về cơ bản, tính năng mới tường lửa cho phép hoặc từ chối quyền truy cập vào tài nguyên mạng dựa trên nhận dạng tên người dùng thay vì địa chỉ IP nguồn đơn giản.

Ví dụ: bây giờ chúng ta có thể tạo một quy tắc cho biết người dùng “john” có thể truy cập máy chủ 10.2.2.2 tại cổng 80. Như bạn có thể thấy, tính năng mới đã giới thiệu khái niệm “xác thực dựa trên người dùng” thay vì xác thực dựa trên IP thuần túy.

Cách thức hoạt động của tính năng này là tích hợp Cisco ASA với Microsoft Active Directory. Một phần mềm Active Directory Agent đặc biệt cần được cài đặt trên máy chủ (thường được gọi là AD).

AD cung cấp tên người dùng để ánh xạ địa chỉ IP tới ASA. Vì vậy, khi người dùng “john” đăng nhập vào AD, sẽ nhận được địa chỉ IP của máy tính mà john đang sử dụng (tức là 10.1.1.1 ở trên chẳng hạn).

Vì vậy, ASA sẽ biết rằng john người dùng có địa chỉ IP 10.1.1.1 và sẽ áp dụng các quy tắc mạng cho phù hợp.

Các Tường lửa Mạng khác như Fortinet, Checkpoint, Palo Alto, v.v. đã cung cấp tính năng xác thực dựa trên người dùng từ lâu. Cuối cùng thì Cisco cũng bắt kịp điều này.