Leaflet
10-87
思科 ASA 系列命令参考,A 至 H 命令
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令
cxsc
2. 流入 VPN 流量被解密。
3. 应用防火墙策略。
4. 流量通过背板发送到 ASA CX 模块。
5. ASA CX 模块将其安全策略应用到流量并采取适当的措施。
6. 有效的流量通过背板发送回 ASA ; ASA CX 模块根据其安全策略可能会阻止某些流量,而该
流量不再传递。
7. 流出 VPN 流量被加密。
8. 流量退出 ASA。
关于身份验证代理的信息
当 ASA CX 需要对 HTTP 用户进行身份验证(利用身份策略)时,您必须配置 ASA 作为身份验
证代理:ASA CX 模块将身份验证请求重定向到 ASA 接口 IP 地址 / 代理端口。默认情况下,端口
为 885(用户可使用 cxsc auth-proxy port 命令配置)。将此功能配置为服务策略的一部分,以将
流量从 ASA 转移至 ASA CX 模块。如果不启用身份验证代理,则只有被动身份验证可用。
与 ASA 功能的兼容性
ASA 带有诸多高级应用检查功能,其中包括 HTTP 检查。但是,ASA CX 模块提供的 HTTP 检查
比 ASA 提供的更高级,还提供用于其他应用的附加功能,包括监控应用的使用。
要充分利用 ASA CX 模块功能,请参阅适用于发送到 ASA CX 模块的流量的以下指导原则:
• 请勿对 HTTP 流量配置 ASA 检查。
• 请勿配置云网络安全 (ScanSafe) 检查。如果为同一流量配置 ASA CX 操作和云网络安全检
查,则 ASA 只执行 ASA CX 操作。
• ASA 上的其他应用检查与 ASA CX 模块兼容,包括默认检查。
• 不要启用移动用户安全 (MUS) 服务器;它与 ASA CX 模块不兼容。
• 不要启用 ASA 集群;它与 ASA CX 模块不兼容。
• 如果启用故障切换,则当 ASA 故障切换时,所有现有 ASA CX 流量都会传输到新的 ASA,
但流量可以通过 ASA,而且 ASA CX 模块不会对其执行操作。ASA CX 模块只会对 ASA 收到
的新流量执行操作。
Monitor-Only 模式
为测试和演示,您可以使用 monitor-only 关键字配置 ASA 将只读流量的重复流发送到 ASA CX
模块,这样便可了解模块如何检查流量而不影响 ASA 流量。在此模式下,ASA CX 模块像平常一
样检查流量、制定策略决策和生成事件。但是,由于数据包是只读副本,模块操作不会影响实际
流量。相反,模块在检查后会丢弃副本。
请参阅以下指导原则:
• 在 ASA 上,您无法同时配置仅监控模式和正常内联模式。只允许一种安全策略。
• 在仅监控模式下不支持以下功能:
–
拒绝策略
–
活动身份验证
–
解密策略
• ASA CX 在仅监控模式下不执行数据包缓冲,事件也将按照尽力的原则生成。例如,有些事
件(比如具有跨越数据包边界的长 URL 的事件)可能因缺少缓冲而受到影响。
• 确保为 ASA 策略和 ASA CX 配置一致的模式:两者都为仅监控模式,或都为普通内嵌模式。