Как превратить маршрутизатор cisco в межсетевой экран?
DESCRIPTION
TRANSCRIPT
![Page 1: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/1.jpg)
Как превратить маршрутизатор Cisco в межсетевой экран?
Сергей Кучеренко 19 сентября 2013
![Page 2: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/2.jpg)
О чем мы поговорим:
§ Рекомендации по дизайну защищенных сетей
§ Продукты по обеспечению информационной безопасности Cisco, их место в
архитектуре сети
§ Функционал безопасности в Cisco IOS
§ Технология Cisco Zone Based Firewall
§ Интеграция IOS и облака ScanSafe
§ Демонстрация настройки ZBF и работы IOS ScnaSafe Connector
![Page 3: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/3.jpg)
Дизайны и архитектуры – зачем и почему?
VS
§ Организации и отдельные люди становятся все более зависимыми от сетей
§ Угрозы усложняются, а их количество увеличивается
§ Новые тренды не делают обеспечение безопасности проще (BYOD/
Virtualizadon/Cloud)
У нас всегда есть два пути:
1. Строить по наитию 2. Опереться на лучше практики
![Page 4: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/4.jpg)
Дизайны и архитектуры – эволюция Cisco
Cisco SAFE 2000 год: § Модульный подход § Многоуровневая защита § Рекомендуемый дизайн § Независимость от производителя § Позволяет повысить уровень защищенности
Cisco SAFE 2009 год: § Защищенная сеть на основе решений Cisco § Инфраструктура маршрутизации и
коммутации как часть защиты § Подход Self-‐Defending Network
![Page 5: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/5.jpg)
Cisco Borderless Network 2010 год – подход к сетевой архитектуре с учётом новых трендов: § Размытость корпоративного периметра § Мобильные сотрудники § Облачные сервисы § Виртуализация
Cisco Smart Business Architecture: § Рекомендации по проектированию различных модулей сети § Рекомендации по настройке оборудования § Рекомендации планированию внедрения отдельных технологий § Рекомендации по настройке отдельных технологий
Cisco Secure-‐X Architecture – идеология, предполагающая контроль и управление доступом на основе контекста Кто? Как? Откуда? Куда? Какое приложение?
![Page 6: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/6.jpg)
Продукты и технологии обеспечения безопасности
§ Cisco ASA – многофункциональное устройство обеспечения безопасности с поддержкой технологий Statefull Firewall/Applicadon Inspecdon/Intrusion Prevendon/High Availability/Virtualizadon/Content Security
§ Cisco IPS – сетевая система предотвращения вторжений с поддержкой сигнатурного/
репутационного/поведенческого анализа
§ Cisco Web Security Appliance – прокси-‐сервер с функционалом URL фильтрации/Malware protecdon/DLP
§ Cisco Email Security Appliance – специализированый MTA с функционалом защиты от SPAM/Viruses/Zero-‐day A�ack/DLP
§ Cisco Wireless IPS – функционал Wireless LAN Controller по предотвращению атак на беспроводную инфраструктуру
§ Cisco ISE – центральный компонент системы контекстного доступа. Выполняет Аутентификацию пользователей/оценку соответствия рабочей станции корпоративным политикам/Динамической определение типа устройства/назначение меток безопасности/
Создание и распространение ACL на основе меток
![Page 7: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/7.jpg)
§ VPN – набор технологий, призванных обеспечить защищенное взаимодействие Сеть-‐Сеть/Устройство-‐Сеть/Устройство-‐Устройство Компоненты: § Cisco ISR § Cisco Catalyst/Nexus § Cisco ASA § AnycConect
§ Cloud Web Security – перенаправление пользовательского трафика для анализа и наложения политик в облако ScanSafe Компоненты: § Cisco ISR § Cisco ASA
§ Cisco TrustSec – набор технологий по предоставлению контекстного доступа. Основные элементы: Проверка рабочих станций/Доступ на основе Security Group Tag/Шифрование на L2 Компоненты: § Cisco ISE – основная точка настройки политик § Routers/Switches/ASA/WLC – наложение политик § Cisco NAC Agent – проверка рабочей станции
![Page 8: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/8.jpg)
Продукты и технологии безопасности в архитектуре сети
Ядро
Партнеры
Филиал
Удаленные работники
Управление
WAN
Cisco SIO
ЦОД
Комплекс Зданий
Внешние организации
Интернет
Ведомственная Сеть
Internet
Идентификация и авторизация пользователей и устройств
![Page 9: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/9.jpg)
Модуль доступа в Интернет
Реализуем:
Управление доступом
§ Политики доступа между зонами доверия § Организация и управление доступом удалённых
пользователей SSL VPN § Политики использования WEB § Политики использования email
Противодействие угрозам
§ Предотвращение вторжений на уровне сети § Использование SIO для ускорения работы IPS § Выявление аномалий § Защита от spam § Защита от вирусов и атак в email § Защита от вирусов и атак в web
Cisco ASA
WSA
ESA
Cisco IPS
WSA
ESA
![Page 10: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/10.jpg)
Модуль ведомственной сети
Реализуем:
Безопасное взаимодействие
§ GET VPN для WAN-‐взаимодействия § DMVPN phase 3 для организации резервных каналов
через Интернет
Управление доступом
§ Разграничение доступа ZPBFW § Защита Management Plane и Control Plane
Cisco ISR
Cisco ISR
![Page 11: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/11.jpg)
Модуль внешних организаций
Реализуем:
Безопасное взаимодействие
§ Политики взаимодействия с внешними организациями
§ Организация защищённых соединений
Противодействие угрозам
§ Предотвращение вторжений на уровне сети § Использование SIO для ускорения работы IPS § Выявление аномалий
Cisco ASA
Cisco IPS
![Page 12: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/12.jpg)
Модуль Кампуса
Управление доступом
§ Идентификация устройств и пользователей § Наложение политик авторизации § Сегментация сети
Реализуем:
Противодействие угрозам
§ Противодействие L2-‐атакам § Контроль радиоэфира Безопасное взаимодействие
§ L2-‐шифрование
Cisco ISE
SGT ACL
Cisco Switches
Cisco WLC
MacSec
![Page 13: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/13.jpg)
Модуль ЦОД
Реализуем:
Управление доступом
§ Политики доступа между зонами доверия на основе групповой принадлежности пользователя
§ Управление доступом как между физическими
серверами, так и между виртуальными машинами
Противодействие угрозам
§ Предотвращение вторжений на уровне сети § Использование SIO для ускорения работы IPS § Выявление аномалий
Безопасное взаимодействие
§ L2-‐шифрование
SGT ACL
Cisco ASA
Cisco IPS MacSec
![Page 14: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/14.jpg)
Филиал
Управление доступом
§ Идентификация пользователей § Разграничение доступа ZPBFW § Защита Management Plane и Control Plane
Безопасное взаимодействие
§ GET VPN для WAN-‐взаимодействия § DMVPN phase 3 для организации
резервных каналов через Интернет Cisco ISR
Cisco ISR
Противодействие угрозам
§ Предотвращение вторжений IOS IPS § Защита web-‐доступа (ScanSafe Connector)
Cisco ISR
![Page 15: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/15.jpg)
Удаленный пользователь
Управление доступом
§ Аутентификация в проводных и беспроводных сетях § Оценка здоровья рабочей станции
Противодействие угрозам
§ Интеграция с облаком ScanSafe
Безопасное взаимодействие
§ SSL VPN § IPSec VPN с поддержкой IKEv2 § L2-‐шифрование MacSec
![Page 16: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/16.jpg)
Функционал безопасности в Cisco IOS*
* – Исключая технологии VPN ** – детально будет рассмотрен далее
§ AAA Framework – структура аутентификации, авторизации и учета, позволяющая контролировать и управлять как доступом администраторов на устройство, так и доступом пользователей сквозь устройство, применяется в большом количестве функций безопасности
§ IOS Firewall – на текущий момент IOS Zone Based Policy Firewall**
§ IOS IPS – система предотвращения вторжений встроена в IOS, имеет поддержку большого количества сигнатур
§ FPM – Flexibility Packet Matching, технология, позволяющая писать собственные сигнатуры для противодействия новым атакам
§ Authenscason Proxy – аутентификация пользователя при попытке доступа сквозь устройство с динамическим назначением прав доступа
§ IOS Foundason Protecson – набор технологий, обеспечивающий защиту операционной системы и основных функций маршрутизатора
![Page 17: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/17.jpg)
Технология Cisco Zone Based Firewall
Современная реализация межсетевого экрана в Cisco IOS. Zone в названии означает, что администратор применяет политики доступа не между отдельными интерфейсами, а между зонами. Зона может состоять из одного и более интерфейсов. К функциям ZPF относятся: § Statefull Firewall
§ Applicason Inspecson
§ User Based Policy
§ IP to SGT mapping on ISR
§ Transparent Firewall
§ ZBF High Availability
![Page 18: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/18.jpg)
Statefull Firewall Функционал, обеспечивающий сохранение сессионной информации для трафика, идущего между зонами (разрешённый трафик выбирает администратор), и автоматический пропуск ответных пакетов.
Protocol Source IP Source Port Dest. IP Dest. Port Timeout
UDP 192.168.1.10 1024 1.1.1.10 53 20s
TCP 192.168.1.10 1025 1.1.1.1 80 3600s
Internet
WEB Server vk.com 1.1.1.1
DNS Server 1.1.1.10
192.168.1.10
S_IP:192.168.1.10
D_IP:1.1.1.10
D_Por:53
S_Por:1024
Data: DNS Req
S_IP:1.1.10
D_IP:192.168.1.10
D_Por:1024
S_Por:53
Data: DNS Resp
S_IP:192.168.1.10
D_IP:1.1.1.1
D_Por:80
S_Por:1025
Data: h�p req
S_IP:1.1.1
D_Por:1025
S_Por:80
Data: h�p Resp
D_IP:192.168.1.10
![Page 19: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/19.jpg)
§ Applicason Inspecson – функционал ZBF, решающий ряд задач:
ü Распознавание приложений – IOS знает заранее, какое приложение на каком порту искать
Администратор имеет возможность добавлять порты в стандартные приложения и создавать собственные приложения.
ü Открытие дополнительных соединений для динамических приложений (ex: FTP/SIP…)
ü Deep Applicadon Inspecdon – глубокая инспекция целого ряда приложений. Дает
возможность принимать решения, основываясь на информации L7 (Блокировать определенный URL/Тип файла в h�p/Почтовый ящик/…)
![Page 20: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/20.jpg)
§ User Based Policy – функция, работающая совместно с Authendcadon Proxy и дающая возможность назначать политики на основе групповой принадлежности пользователя.
1. При создании политик ZBF используются имена пользовательских групп и к этим
группам привязываются перечни разрешённых протоколов 2. Пользователь начинает инициировать соединения через интерфейс, на котором
настроено правило authendcadon proxy 3. В браузере появляется запрос на ввод login/password 4. Ввод пользователем login/password 5. Маршрутизатор пересылает credendals user на сервер AAA 6. Сервер возвращает вместе с результатом аутентификации атрибут “supplicant-‐group”
![Page 21: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/21.jpg)
§ IP to SGT mapping on ISR – технология, позволяющая интегрировать технологию Security Group Tag с ZBF. Данный функционал применяется для написания правил в межсетевом экране центрального офиса на основе SGT.
1. Идентификация пользователя в филиале (Auth-‐Proxy or 802,1x)
2. Информация о соответствии SGT to IP передается с маршрутизатора филиала на маршрутизатор центрального офиса
3. При настройке ZBF на центральном роутере в качестве идентификаторов групп были использованы SGT, к каждой группе назначается список разрешённых протоколов
![Page 22: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/22.jpg)
§ Transparent Firewall – вариант развертывания ZBF, при котором в Zone добавляются интерфейсы, принадлежащие к одной bridge-‐group
Bridge-‐Group – группа интерфейсов в IOS, при объединении в которую все, что за ними находится, попадает в единый broadcast-‐domain
§ ZBF High Availability – новый функционал, появившийся начиная с IOS 15.2(3)T, отказоустойчивость основана на технологии SSO (Statefull Switchover). При реализации ZBF HA нам доступна как схема Acdve-‐Standby, так и схема Acdve-‐Acdve
![Page 23: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/23.jpg)
Zones: § Zone – структура, состоящая из одного или нескольких интерфейсов § Zone–Self – специальная зона для управления трафиком, входящим в маршрутизатор и
покидающем его § Zone Pair – пара зон, где одна указывается как Source, а другая как Desdnadon. Политика для
прохождения трафика привязывается к zone pair
Internet 192.168.1.0/24
195.5.5.0/24
192.168.2.0/24
INSIDE zone
OUTSIDE zone
DMZ zone zone-‐pair IN_OUT source INSIDE dessnason OUTSIDE
Session Table: 192.168.1.100:1024>>>195.5.5.10:80
Check
zone-‐pair OUT_DMZ source OUTSIDE dessnason DMZ
Session Table: 195.5.5.10:1024>>>192.168.2.10:80
Check
Понятия ZBF
![Page 24: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/24.jpg)
Policy L3/L4: § Class Map (L3/L4) – компонент конфигурации, описывающий интересный трафик с помощью
ACL либо же указания протокола (h�p/dns…). Также может использоваться комбинация этих вариантов – в этом случае нас интересуют только данные определенных протоколов с/для определенных IP-‐адресов.
Note: Если используется только ACL, будет проводиться простая statefull инспекция без анализа приложений § Policy Map (L3/L4) – компонент конфигурации, отвечающий за применения действий для
одного или нескольких классов Варианты действий:
ü Inspect – выполнять инспекцию (Statefull + applicadon inspecdon если class с протокол) ü Pass – пропустить, информация о сессии не сохраняется ü Drop – сбросить то, что попало под этот класс. Здесь же можно добавить log ü Police – наложить ограничение на скорость трафика, попавшего под класс ü Service – Policy – указать для этого класса глубокую инспекцию одного из приложений.
Для глубокой инспекции используется L7 Policy Map
![Page 25: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/25.jpg)
Policy L7: § Class Map (L7) – поиск по специфичным для приложения параметрам (ex: HTTP -‐ URI)
§ Policy Map (L7) – политик для применения действий к L7 Class. Не для всех классов приложений есть политики. Некоторые классы приложений описываются в одной политике (ex: P2P policy для классов kazaa2/gnutella…)
Варианты действий при попадании трафика в класс: allow/log/rest
![Page 26: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/26.jpg)
Parameter Map: § Parameter Map Inspect – задает ограничения на соединения и управляет aler/audit-‐trail.
Parameter map применяется с помощью указания ее имени после ключевого слова inspect в L3/L4 policy map
§ Parameter Map Regex – описывает pa�erns с помощью регулярных выражений. В одной regex parameter map можно задать несколько pa�erns, между ними срабатывает правило “ИЛИ”. Далее созданные regex map используются для Match в L7 Class Map
![Page 27: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/27.jpg)
Факты ZBF
§ Zone должна быть создана перед добавлением в нее интерфейсов
§ Интерфейс может быть добавлен только в одну Zone
§ Трафик между интерфейсам в разных Zone запрещен
§ Трафик между интерфейсам в одной Zone разрешен*
§ Чтоб трафик проходил между интерфейсам в разных Zone, для них должна быть создана
Zone pair, в которой должна быть назначена политика с действием Inspect или Pass
§ Трафик между Self Zone и всеми другими зонами неявно разрешен
* – начиная с IOS 15.0(1)M, логика изменилась. Теперь без наличия политики
трафик блокируется между интерфейсами в одной zone
![Page 28: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/28.jpg)
§ Трафик между интерфейсом, не являющимся членом зоны, и
интерфейсами, входящими в зоны, запрещён
§ ZBF работает после NAT – это значит, что если мы описываем политику для
сервера в Inside/DMZ, адрес которого транслируется, в ACL, созданном для
политики, нужно указать inside local address (серый IP)
§ Если на интерфейсе члене Zone назначен ACL – этот ACL всегда проверяется
раньше политик ZBF. Одновременное использование ZBF и ACL не
рекомендуется
![Page 29: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/29.jpg)
Интеграция IOS и облака ScanSafe
Начиная с версии IOS 15.2(1)T1 появилась поддержка ScanSafe Connector ScanSafe Connector –отвечает за перенаправление в облако web-‐безопасности ScanSafe пользовательского h�p и h�ps-‐трафика. При перенаправлении происходит инкапсуляция пользовательских пакетов и их зашифровка (в качестве транспорта используется SSL) Кроме перенаправления, происходит добавление информации о состоянии аутентификации пользователя (Group name/Username) Для аутентификации можно использовать базу LDAP или локальную базу данных маршрутизатора Аутентификация может происходить в двух режимах:
§ HTTP-‐Basic – при инициировании h�p/h�ps ISR перенаправляет запрос пользователя на адрес virtual-‐proxy, с этого адреса отправляется запрос на аутентификацию
§ NTLM – принцип тот же, но если пользователь выполнил вход в систему, под доменной учетной записью аутентификации проходит прозрачно
![Page 30: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/30.jpg)
Компоненты IOS ScanSafe Connector: § ldap-‐server – компонент конфигурации, отвечающий за подключение к серверу ldap и
хранящий параметры этого подключения § aaa group server – компонент, объединяющий несколько серверов в группу, при настройке
правил аутентификации и авторизации, в качестве точки проверки указывается эта группа
§ aaa authenscason/aaa authorizason – правила проведения аутентификации и авторизации пользователей
§ parameter-‐map type content-‐scan – элемент конфигурации, отвечающий за подключение к облаку ScanSafe, здесь указывается: ü Адреса серверов для подключения ü Ключ лицензии ü Что делать в случае отсутствия связи с облаком
§ ip admission – элемент конфигурации, управляющий аутентификацией и авторизацией пользователей.
![Page 31: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/31.jpg)
Ведомственная Сеть
Филиал
Модели использования IOS Security
Large/Medium Enterprise Model
Ядро
Управление
WAN
Cisco SIO
ЦОД
Комплекс Зданий
Внешние организации
Интернет Internet
Филиал: § ZBF для сегментации
внутренней сети офиса § Аутентификация и присвоение
SGT § ScanSafe при необходимости
минимизировать трафик через центральный офис
Центральный офис: § ZBF на основе SGT для предоставления доступа к ресурсам
головного офиса
![Page 32: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/32.jpg)
Small Enterprise Model
§ ZBF для сегментации внутренней сети офиса § ZBF для контроля доступа из вне § Authendcadon Proxy для контроля доступа на основе групповой принадлежности § IOS IPS для защиты от атак § ScanSafe для защиты web-‐доступа
![Page 33: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/33.jpg)
Топология демонстрационного стенда
192.168.32.0/24 .4
.2
AD/DNS Test PC 1
Интернет
.5
192.168.100.0/24
![Page 34: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/34.jpg)
Полезные ссылки: Пошаговая настройка ZBF (демонстрация) h�ps://docs.google.com/file/d/0B0VvUTk8KGW¥FlsSmJmN0x0T3M/edit?usp=sharing Финальная конфигурация h�ps://docs.google.com/file/d/0B0VvUTk8KGWfSlcwUElMVlFwZmM/edit?usp=sharing Security Configurason Guide: Zone-‐Based Policy Firewall h�p://www.cisco.com/en/US/docs/ios-‐xml/ios/sec_data_zbf/configuradon/15-‐1mt/sec-‐data-‐zbf-‐15-‐mt-‐book.html BRKSEC-‐3007 – Advanced Cisco IOS Security Features (2012 London) h�ps://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true Cisco ISR Web Security with Cisco ScanSafe Soluson Guide h�p://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SoludonGuide.pdf Как защитить сеть от web-‐угроз с помощью Cisco WSA h�p://www.youtube.com/watch?v=mdYlK3CscZc&feature=c4-‐overview&list=UUmpxXbPEgcbw2EcXBu8DYrw Новая Cisco ASA: тотальный контроль над пользователем h�p://www.youtube.com/watch?v=2Quzk8qr06w Практические советы по выбору и настройке Cisco VPN h�p://www.youtube.com/watch?v=J2OPdwsqKXs&list=TLgZ5EeIEQZnE
![Page 35: Как превратить маршрутизатор Cisco в межсетевой экран?](https://reader036.vdocuments.mx/reader036/viewer/2022081720/54989bd6b47959e62f8b476a/html5/thumbnails/35.jpg)
И напоследок:
h�ps://www.youtube.com/user/SkillFactoryVideo
h�p://www.slideshare.net/SkillFactory
h�p://skillfactory.smepad.ru/events/