Cisco
®
ASA
Configuration
ABOUT THE AUTHOR
For over ten years, Richard Deal has operated his own company, The Deal Group Inc.,
in Oviedo, Florida, east of Orlando. Richard has over 20 years of experience in the com-
puting and networking industry including networking, training, systems administra-
tion, and programming. In addition to a BS in Mathematics from Grove City College,
he holds many certifications from Cisco and has taught many beginning and advanced
Cisco classes. This book replaces Richard’s Cisco PIX Firewalls (2002), an in-depth book
on Cisco’s PIX firewalls and their implementation, published by McGraw-Hill Profes-
sional. Richard has also written two revisions for the CCNA certification for McGraw-
Hill, CCNA Cisco Certified Network Associate Study Guide (2008) and will be finishing his
book for the CCNA Security certification in mid-2009: CCNA Cisco Certified Network As-
sociate Security Study Guide. Richard is also the author of two books with Cisco Press: The
Complete Cisco VPN Configuration Guide (2005) and Cisco Router Firewall Security (2004),
named a Cisco CCIE Security recommended reading. In all, Richard has more than ten
books under his belt.
Richard also periodically holds boot-camp classes on the CCNA and CCSP, which
provide hands-on configuration of Cisco routers, switches, and security devices.
About the Technical Editor
Ryan Lindfield has worked in IT since 1996 and is currently teaching Cisco certifica-
tion courses at Boson Training and consulting for Westchase Technologies. Ryan holds
several certifications including CCSP, CISSP, CEH, GCFA, CCSI, and MCSE and enjoys
vulnerability research and exploring the latest trends in security technologies. He lives
in Tampa, Florida, with his wife, Desiree, and his dog, Logan.
Cisco
®
ASA

Configuration
RICHARD A. DEAL
New York Chicago San Francisco
Lisbon London Madrid Mexico City Milan
New Delhi San Juan Seoul Singapore Sydney Toronto
Copyright © 2009 by The McGraw-Hill Companies. All rights reserved. Except as permitted under the United States Copyright Act of
1976, no part of this publication may be reproduced or distributed in any form or by any means, or stored in a database or retrieval sys-
tem, without the prior written permission of the publisher.
ISBN: 978-0-07-162268-4
MHID: 0-07-162268-3
The material in this eBook also appears in the print version of this title: ISBN: 978-0-07-162269-1, MHID: 0-07-162269-1.
All trademarks are trademarks of their respective owners. Rather than put a trademark symbol after every occurrence of a trademarked
name, we use names in an editorial fashion only, and to the benefit of the trademark owner, with no intention of infringement of the
trademark. Where such designations appear in this book, they have been printed with initial caps.
McGraw-Hill eBooks are available at special quantity discounts to use as premiums and sales promotions, or for use in corporate train-
ing programs. To contact a representative please e-mail us at
Information has been obtained by McGraw-Hill from sources believed to be reliable. However, because of the possibility of human or
mechanical error by our sources, McGraw-Hill, or others, McGraw-Hill does not guarantee the accuracy, adequacy, or completeness of
any information and is not responsible for any errors or omissions or the results obtained from the use of such information.
TERMS OF USE
This is a copyrighted work and The McGraw-Hill Companies, Inc. (“McGraw-Hill”) and its licensors reserve all rights in and to the work.
Use of this work is subject to these terms. Except as permitted under the Copyright Act of 1976 and the right to store and retrieve one
copy of the work, you may not decompile, disassemble, reverse engineer, reproduce, modify, create derivative works based upon, trans-
mit, distribute, disseminate, sell, publish or sublicense the work or any part of it without McGraw-Hill’s prior consent. You may use the
work for your own noncommercial and personal use; any other use of the work is strictly prohibited. Your right to use the work may be
terminated if you fail to comply with these terms.
THE WORK IS PROVIDED “AS IS.” McGRAW-HILL AND ITS LICENSORS MAKE NO GUARANTEES OR WARRANTIES AS
TO THE ACCURACY, ADEQUACY OR COMPLETENESS OF OR RESULTS TO BE OBTAINED FROM USING THE WORK,
INCLUDING ANY INFORMATION THAT CAN BE ACCESSED THROUGH THE WORK VIA HYPERLINK OR OTHERWISE,
AND EXPRESSLY DISCLAIM ANY WARRANTY, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO IMPLIED

WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. McGraw-Hill and its licensors do not
warrant or guarantee that the functions contained in the work will meet your requirements or that its operation will be uninterrupted or
error free. Neither McGraw-Hill nor its licensors shall be liable to you or anyone else for any inaccuracy, error or omission, regardless
of cause, in the work or for any damages resulting therefrom. McGraw-Hill has no responsibility for the content of any information
accessed through the work. Under no circumstances shall McGraw-Hill and/or its licensors be liable for any indirect, incidental,
special, punitive, consequential or similar damages that result from the use of or inability to use the work, even if any of them has been
advised of the possibility of such damages. This limitation of liability shall apply to any claim or cause whatsoever whether such claim
or cause arises in contract, tort or otherwise.
I dedicate this book to my two daughters, the loves of my life:
Alina and Nika. May life bring you love, health, and happiness.
This page intentionally left blank
vii
AT A GLANCE
Part I Introduction to ASA Security Appliances
and Basic Configuration Tasks
▼ 1 ASA Product Family . . . . . . . . . . . . . . . . . . . 3
▼ 2 CLI Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
▼ 3 Basic ASA Configuration . . . . . . . . . . . . . . . . 45
▼ 4 Routing and Multicasting . . . . . . . . . . . . . . . 75
Part II Controlling Traffic Through the ASA
▼ 5 Address Translation . . . . . . . . . . . . . . . . . . 105
▼ 6 Access Control . . . . . . . . . . . . . . . . . . . . . . 151
▼ 7 Web Content . . . . . . . . . . . . . . . . . . . . . . . . 189
▼ 8 CTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
▼ 9 IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
viii

Cisco ASA Configuration
Part III Policy Implementation
▼ 10 Modular Policy Framework . . . . . . . . . . . . 247

▼ 11 Protocols and Policies . . . . . . . . . . . . . . . . . 277
▼ 12 Data Applications and Policies . . . . . . . . . . 295
▼ 13 Voice and Policies . . . . . . . . . . . . . . . . . . . . 327
▼ 14 Multimedia and Policies . . . . . . . . . . . . . . . 347
Part IV Virtual Private Networks (VPNs)
▼ 15 IPSec Phase 1 . . . . . . . . . . . . . . . . . . . . . . . 371
▼ 16 IPSec Site-to-Site . . . . . . . . . . . . . . . . . . . . . 395
▼ 17 IPSec Remote Access Server . . . . . . . . . . . . 409
▼ 18 IPSec Remote Access Client . . . . . . . . . . . . 441
▼ 19 SSL VPNs: Clientless . . . . . . . . . . . . . . . . . 451
▼ 20 SSL VPNs: AnyConnect Client . . . . . . . . . . 48
7
Part V Advanced Features of the ASA
▼ 21 Transparent Firewall . . . . . . . . . . . . . . . . . . 509
▼ 22 Contexts . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
▼ 23 Failover . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
▼ 24 Network Attack Prevention . . . . . . . . . . . . 577
▼ 25 SSM Cards . . . . . . . . . . . . . . . . . . . . . . . . . 597
Part VI Management of the ASA
▼ 26 Basic Management from the CLI . . . . . . . . 619
▼ 27 ASDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647
▼ Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703
ix
CONTENTS
Foreword

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiii
Preface

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv

Acknowledgments

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxvii
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxix
Part I
Introduction to ASA Security Appliances and Basic Configuration Tasks
▼
1 ASA Product Family . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
ASA Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Operating System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Security Algorithm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Redundancy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Advanced Features of the Operating System . . . . . . . . . . . . 18
ASA Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
ASA Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Hardware Modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Licensing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
x

Cisco ASA Configuration
▼
2 CLI Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Access to the Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Console Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Other Access Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
ASA Bootup Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
CLI Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
ASA and Router IOS CLI Comparison . . . . . . . . . . . . . . . . . 41
▼

3 Basic ASA Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Setup Script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Basic Management Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Viewing Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Copy Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Write Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Clear Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Basic Configuration Commands . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Host and Domain Names . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Device Names . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Login Banner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Dynamic Addressing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Remote Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Connectivity Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Hardware and Software Information . . . . . . . . . . . . . . . . . . . . . . 70
Version Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Memory Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
CPU Utilization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
ASA Configuration Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
▼
4 Routing and Multicasting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Routing Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Routing Recommendations . . . . . . . . . . . . . . . . . . . . . . . . . 76
Administrative Distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Static Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

EIGRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Multicast Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Multicast Traffic and the Appliances . . . . . . . . . . . . . . . . . . 95
Multicast Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
xi
Contents
Stub Multicast Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
PIM Multicast Routing

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

100
Part II
Controlling Traffic Through the ASA
▼
5 Address Translation
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
105
Protocol Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
TCP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
UDP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
ICMP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Other Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Protocol and Application Issues . . . . . . . . . . . . . . . . . . . . 110
Translations and Connections . . . . . . . . . . . . . . . . . . . . . . . . . 113
Connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Translations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
TCP Connection Example . . . . . . . . . . . . . . . . . . . . . . . . 115
Address Translation Overview . . . . . . . . . . . . . . . . . . . . . . . . 119
Private Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Needs for Address Translation . . . . . . . . . . . . . . . . . . . . 120
Examples of Address Translation . . . . . . . . . . . . . . . . . . 122
Address Translation Configuration . . . . . . . . . . . . . . . . . . . . . 128
Requiring Address Translation . . . . . . . . . . . . . . . . . . . . 128
Configuring Dynamic Address Translation . . . . . . . . . . . 129
Configuring Static NAT Translation . . . . . . . . . . . . . . . . 138
Configuring Static PAT Translation . . . . . . . . . . . . . . . . . 140
Finding a Matching Translation Policy . . . . . . . . . . . . . . 141
TCP SYN Flood Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
The Original TCP Intercept . . . . . . . . . . . . . . . . . . . . . . . 143
TCP Intercept with SYN Cookies . . . . . . . . . . . . . . . . . . 143
Translation and Connection Verification . . . . . . . . . . . . . . . . . 144
Viewing Active Translations . . . . . . . . . . . . . . . . . . . . . . 144
Viewing Active Connections . . . . . . . . . . . . . . . . . . . . . . 146
Viewing Local Host Information . . . . . . . . . . . . . . . . . . . 147
Clearing Entries in the Xlate and Conn Tables . . . . . . . . . 148
▼
6 Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Access Control Lists (ACLs) . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Introduction to ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Creating and Activating ACLs . . . . . . . . . . . . . . . . . . . . 155
ACL Activation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
ACL Verification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
xii

Cisco ASA Configuration
ACL Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
ACL Configuration Examples . . . . . . . . . . . . . . . . . . . . . 163
Object Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Advantages of Object Groups . . . . . . . . . . . . . . . . . . . . . 171

Creating Object Groups . . . . . . . . . . . . . . . . . . . . . . . . . 171
Examining Your Object Groups . . . . . . . . . . . . . . . . . . . . 174
Deleting Object Groups . . . . . . . . . . . . . . . . . . . . . . . . . 174
Using Object Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Object Group Configuration Example . . . . . . . . . . . . . . . 176
ICMP Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
ICMP Traffic Through the Appliances . . . . . . . . . . . . . . . 178
ICMP Traffic Directed at the Appliances . . . . . . . . . . . . . 179
Connection Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Packet Tracer Feature . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Packet Capture Feature . . . . . . . . . . . . . . . . . . . . . . . . . 184
▼
7 Web Content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Java and ActiveX Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Java and ActiveX Issues . . . . . . . . . . . . . . . . . . . . . . . . . 190
Java and ActiveX Filtering Solutions . . . . . . . . . . . . . . . . 191
Configuring Java Filters . . . . . . . . . . . . . . . . . . . . . . . . . 191
Configuring ActiveX Filters . . . . . . . . . . . . . . . . . . . . . . 192
Web Content Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Web Filtering Process . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
URL Filtering Server . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
URL Filtering Verification . . . . . . . . . . . . . . . . . . . . . . . . 200
URL Filtering Example . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Web Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
WCCP Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
WCCP Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
WCCP Verification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
WCCP Configuration Example . . . . . . . . . . . . . . . . . . . . 206
▼
8 CTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

AAA Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
AAA Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
AAA Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
AAA Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
AAA Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
AAA Server Configuration . . . . . . . . . . . . . . . . . . . . . . . 211
CTP Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
CTP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Appliance Configuration of CTP Authentication . . . . . . . 215
Verifying CTP Authentication . . . . . . . . . . . . . . . . . . . . . 222
xiii
Contents
CTP Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
CTP Authorization Options . . . . . . . . . . . . . . . . . . . . . . 225
Classic Authorization Configuration . . . . . . . . . . . . . . . . 226
Downloadable ACL Configuration . . . . . . . . . . . . . . . . . 228
CTP Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Appliance Configuration for Accounting . . . . . . . . . . . . . 230
Cisco Secure ACS Reports . . . . . . . . . . . . . . . . . . . . . . . 231
▼
9 IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
IPv6 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
IPv6 Capabilities of the Appliances . . . . . . . . . . . . . . . . . 234
IPv6 Limitations of the Appliances . . . . . . . . . . . . . . . . . 235
IPv6 Interface Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . 236
Stateless Autoconfiguration . . . . . . . . . . . . . . . . . . . . . . 236
Link-Local Address Configuration . . . . . . . . . . . . . . . . . 237
Global Address Configuration . . . . . . . . . . . . . . . . . . . . 237
IPv6 Interface Configuration Verification . . . . . . . . . . . . . 238
IPv6 Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

IPv6 Neighbors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Neighbor Solicitation Messages . . . . . . . . . . . . . . . . . . . 240
Router Advertisement Messages . . . . . . . . . . . . . . . . . . . 241
IPv6 ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
IPv6 ACL Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 242
IPv6 ACL Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Part III
Policy Implementation
▼
10 Modular Policy Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
MPF Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
MPF Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Why MPF Is Necessary . . . . . . . . . . . . . . . . . . . . . . . . . 249
MPF Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Class Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Layer 3/4 Class Maps . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Application Layer Class Maps . . . . . . . . . . . . . . . . . . . . 256
Policy Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Layer 3/4 Policy Map . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Layer 7 Policy Map . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Service Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Activating a Layer 3/4 Policy Map . . . . . . . . . . . . . . . . . 274
Service Policy Verification . . . . . . . . . . . . . . . . . . . . . . . 275
xiv

Cisco ASA Configuration
▼
11 Protocols and Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
ICMP Inspection Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
ICMP Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278

ICMP Inspection Configuration . . . . . . . . . . . . . . . . . . . 279
DCE/RPC Inspection Policies . . . . . . . . . . . . . . . . . . . . . . . . . 280
DCE/RPC Policy Configuration . . . . . . . . . . . . . . . . . . . 280
DCE/RPC Example Configuration . . . . . . . . . . . . . . . . . 281
Sun RPC Inspection Policies . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Sun RPC Policy Configuration . . . . . . . . . . . . . . . . . . . . 282
Sun RPC Example Configuration . . . . . . . . . . . . . . . . . . 283
ILS/LDAP Inspection Policies . . . . . . . . . . . . . . . . . . . . . . . . 284
Mechanics of ILS/LDAP Connections . . . . . . . . . . . . . . . 284
ILS/LDAP Policy Configuration . . . . . . . . . . . . . . . . . . . 285
ILS/LDAP Example Configuration . . . . . . . . . . . . . . . . . 285
NetBIOS Inspection Policies . . . . . . . . . . . . . . . . . . . . . . . . . . 285
NetBIOS Policy Configuration . . . . . . . . . . . . . . . . . . . . 286
NetBIOS Example Configuration . . . . . . . . . . . . . . . . . . 286
IPSec Pass-Thru Inspection Policies . . . . . . . . . . . . . . . . . . . . . 287
IPSec Pass-Thru Policy Configuration . . . . . . . . . . . . . . . 287
IPSec Pass-Thru Example Configuration . . . . . . . . . . . . . 288
PPTP Inspection Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
PPTP Policy Configuration . . . . . . . . . . . . . . . . . . . . . . . 289
PPTP Example Configuration . . . . . . . . . . . . . . . . . . . . . 289
XDMCP Inspection Policies . . . . . . . . . . . . . . . . . . . . . . . . . . 289
Mechanics of XDMCP Connections . . . . . . . . . . . . . . . . . 290
XDMCP Policy Configuration . . . . . . . . . . . . . . . . . . . . . 291
Established Command Configuration . . . . . . . . . . . . . . . 291
XDMCP Example Configuration . . . . . . . . . . . . . . . . . . . 293
▼
12 Data Applications and Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
DNS Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
DNS Inspection Features . . . . . . . . . . . . . . . . . . . . . . . . 296
DNS Policy Configuration . . . . . . . . . . . . . . . . . . . . . . . 299

DNS Example Configuration . . . . . . . . . . . . . . . . . . . . . 301
SMTP and ESMTP Inspection . . . . . . . . . . . . . . . . . . . . . . . . . 302
SMTP and ESMTP Inspection Features . . . . . . . . . . . . . . 302
SMTP and ESMTP Policy Configuration . . . . . . . . . . . . . 303
SMTP and ESMTP Example Configuration . . . . . . . . . . . 305
FTP Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
FTP Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
FTP Inspection Features . . . . . . . . . . . . . . . . . . . . . . . . . 309
FTP Policy Configuration . . . . . . . . . . . . . . . . . . . . . . . . 309
FTP Example Configuration . . . . . . . . . . . . . . . . . . . . . . 311
xv
Contents
TFTP Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
TFTP Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
TFTP Policy Configuration . . . . . . . . . . . . . . . . . . . . . . . 313
HTTP Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
HTTP Inspection Features . . . . . . . . . . . . . . . . . . . . . . . 313
HTTP Policy Configuration . . . . . . . . . . . . . . . . . . . . . . 314
HTTP Example Configuration . . . . . . . . . . . . . . . . . . . . 317
Instant Messaging Inspection . . . . . . . . . . . . . . . . . . . . . . . . . 318
IM Policy Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 318
IM Example Configuration . . . . . . . . . . . . . . . . . . . . . . . 320
RSH Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Mechanics of RSH Connections . . . . . . . . . . . . . . . . . . . 321
RSH Policy Configuration . . . . . . . . . . . . . . . . . . . . . . . 322
SNMP Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
SNMP Policy Configuration . . . . . . . . . . . . . . . . . . . . . . 322
SNMP Example Configuration . . . . . . . . . . . . . . . . . . . . 323
SQL*Net Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Mechanics of SQL*Net Connections . . . . . . . . . . . . . . . . 323

SQL*Net Policy Configuration . . . . . . . . . . . . . . . . . . . . 325
▼
13 Voice and Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
SIP Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
SIP Connections and Application Inspection . . . . . . . . . . 328
SIP Policy Configuration . . . . . . . . . . . . . . . . . . . . . . . . 331
SIP Example Configuration . . . . . . . . . . . . . . . . . . . . . . 334
SCCP Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
SCCP Connections and Application Inspection . . . . . . . . 335
SCCP Policy Configuration . . . . . . . . . . . . . . . . . . . . . . . 337
SCCP Example Configuration . . . . . . . . . . . . . . . . . . . . . 339
CTIQBE Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
CTIQBE Connections and Application Inspection . . . . . . 340
CTIQBE Policy Configuration . . . . . . . . . . . . . . . . . . . . . 341
MGCP Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
MGCP Connections and Application Inspection . . . . . . . . 343
MGCP Policy Configuration . . . . . . . . . . . . . . . . . . . . . . 344
MGCP Example Configuration . . . . . . . . . . . . . . . . . . . . 345
▼
14 Multimedia and Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
Multimedia Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Common Problems with Multimedia
Applications and Firewalls . . . . . . . . . . . . . . . . . . . . . 348
Firewall Solutions for Multimedia Applications . . . . . . . . 348
xvi

Cisco ASA Configuration
RTSP Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
RTSP Connections and Application Inspection . . . . . . . . . 350
RTSP Policy Configuration . . . . . . . . . . . . . . . . . . . . . . . 353

RTSP Example Configuration . . . . . . . . . . . . . . . . . . . . . 355
H.323 Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
H.323 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
H.323 Connections and Application Inspection . . . . . . . . 357
H.323 Policy Configuration . . . . . . . . . . . . . . . . . . . . . . 364
H.323 Example Configuration . . . . . . . . . . . . . . . . . . . . . 366
Part IV
Virtual Private Networks (VPNs)
▼
15 IPSec Phase 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
IPSec Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
IPSec Preparations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Same Interface Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
ISAKMP Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Global ISAKMP Properties . . . . . . . . . . . . . . . . . . . . . . . 373
ISAKMP Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
NAT Traversal and IPSec over TCP . . . . . . . . . . . . . . . . . 375
VPN Traffic and ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Tunnel Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Tunnel Group Creation . . . . . . . . . . . . . . . . . . . . . . . . . 378
General Tunnel Group Attributes . . . . . . . . . . . . . . . . . . 379
VPN-Specific Tunnel Group Attributes . . . . . . . . . . . . . . 380
Certificate Authorities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Introducing Certificates . . . . . . . . . . . . . . . . . . . . . . . . . 381
Obtaining Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Using Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
▼
16 IPSec Site-to-Site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Site-to-Site Preparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
ISAKMP Phase 1 Configuration . . . . . . . . . . . . . . . . . . . 397

Tunnel Group Configuration . . . . . . . . . . . . . . . . . . . . . 397
VPN Traffic and Address Translation . . . . . . . . . . . . . . . 398
ISAKMP Phase 2 Configuration . . . . . . . . . . . . . . . . . . . . . . . 399
Crypto ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Transform Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Connection Lifetimes . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Crypto Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
xvii
Contents
Site-to-Site Verification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Viewing and Clearing Connections . . . . . . . . . . . . . . . . . 405
Troubleshooting Connections . . . . . . . . . . . . . . . . . . . . . 407
Site-to-Site Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
▼
17 IPSec Remote Access Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
Easy VPN Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
Easy VPN Products . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Easy VPN Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
Easy VPN Connectivity . . . . . . . . . . . . . . . . . . . . . . . . . 413
Remote Access Preparation . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
VPN Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
VPN Traffic and Address Translation . . . . . . . . . . . . . . . 415
Tunnel Limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
ISAKMP Phase 1 Configuration . . . . . . . . . . . . . . . . . . . . . . . 416
ISAKMP Phase 1 Commands . . . . . . . . . . . . . . . . . . . . . 416
Group Policy Configuration . . . . . . . . . . . . . . . . . . . . . . 417
Tunnel Group Configuration . . . . . . . . . . . . . . . . . . . . . 425
Auto Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
ISAKMP Phase 2 Configuration . . . . . . . . . . . . . . . . . . . . . . . 430
Dynamic Crypto Maps . . . . . . . . . . . . . . . . . . . . . . . . . . 430

Static Crypto Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Remote Access Verification . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Viewing Remote Access Connections . . . . . . . . . . . . . . . 432
Disconnecting Remote Access Users . . . . . . . . . . . . . . . . 434
IPSec Remote Access Server Example . . . . . . . . . . . . . . . . . . . 434
VPN Load Balancing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
Clustering Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
Clustering Configuration . . . . . . . . . . . . . . . . . . . . . . . . 438
Clustering Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
▼
18 IPSec Remote Access Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Connection Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Client Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Network Extension Mode . . . . . . . . . . . . . . . . . . . . . . . . 444
Network Extension Plus Mode . . . . . . . . . . . . . . . . . . . . 445
ASA 5505 Remote Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Hardware Client XAUTH Authentication Methods . . . . . 445
User Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Basic Client Configuration . . . . . . . . . . . . . . . . . . . . . . . 447
Tunnel Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
Easy VPN Configuration Example with a Hardware Remote . . . 449
ASA 5505 Configuration Example . . . . . . . . . . . . . . . . . . 449
Example Easy VPN Server Configuration . . . . . . . . . . . . 449
xviii

Cisco ASA Configuration
▼
19 SSL VPNs: Clientless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
Introduction to SSL VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
Connection Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453

WebVPN Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
Basic WebVPN Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 455
Implementing SSL Policies . . . . . . . . . . . . . . . . . . . . . . . 455
Enabling WebVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Supporting Both WebVPN and ASDM . . . . . . . . . . . . . . 456
Performing DNS Lookups . . . . . . . . . . . . . . . . . . . . . . . 457
Implementing Web Proxying . . . . . . . . . . . . . . . . . . . . . 458
Defining General WebVPN Properties . . . . . . . . . . . . . . . 460
WebVPN Group Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
Configuring Group Policies . . . . . . . . . . . . . . . . . . . . . . 460
Overriding Group Policies on a Per-User Basis . . . . . . . . 465
Tunnel Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
Tunnel Group General Attributes . . . . . . . . . . . . . . . . . . 467
Tunnel Group WebVPN Attributes . . . . . . . . . . . . . . . . . 468
Group Matching Methods . . . . . . . . . . . . . . . . . . . . . . . 469
WebVPN Clientless Home Portal . . . . . . . . . . . . . . . . . . . . . . 470
Login Screen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
Home Portal Overview . . . . . . . . . . . . . . . . . . . . . . . . . 472
Home Portal Tabs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Non-Web Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Port Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Web Browser Plug-Ins . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Smart Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
WebVPN Verification and Troubleshooting . . . . . . . . . . . . . . . 485
show Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
debug Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
▼
20 SSL VPNs: AnyConnect Client . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
AnyConnect Client Overview . . . . . . . . . . . . . . . . . . . . . . . . . 488
WebVPN Network Clients . . . . . . . . . . . . . . . . . . . . . . . 488

AnyConnect Client Implementation . . . . . . . . . . . . . . . . 489
AnyConnect Client Connections . . . . . . . . . . . . . . . . . . . 489
AnyConnect Client Preparation and Installation . . . . . . . . . . . 490
ASA Preparation for the AnyConnect Client . . . . . . . . . . 491
AnyConnect Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
WebVPN Tunnel Groups . . . . . . . . . . . . . . . . . . . . . . . . 497
Client Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
Managing and Troubleshooting AnyConnect Sessions . . . . . . . 501
Connecting to a WebVPN Server . . . . . . . . . . . . . . . . . . . 501
Viewing and Managing Connected Users . . . . . . . . . . . . 504
xix
Contents
Part V
Advanced Features of the ASA
▼
21 Transparent Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
Layer 2 Processing of Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . 510
Routed vs. Transparent Mode . . . . . . . . . . . . . . . . . . . . . 510
Bridges vs. Transparent Mode . . . . . . . . . . . . . . . . . . . . . 511
Supported and Unsupported Features . . . . . . . . . . . . . . . 513
Traffic Flow and ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Configuring Transparent Mode . . . . . . . . . . . . . . . . . . . . . . . . 515
Switching to Transparent Mode . . . . . . . . . . . . . . . . . . . 516
Management IP Address . . . . . . . . . . . . . . . . . . . . . . . . 516
MAC Address Table and Learning . . . . . . . . . . . . . . . . . 517
Additional Layer 2 Features . . . . . . . . . . . . . . . . . . . . . . . . . . 518
Non-IP Traffic and Ether-Type ACLs . . . . . . . . . . . . . . . . 518
ARP Inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
Transparent Firewall Example Configuration . . . . . . . . . . . . . . 520
▼

22 Contexts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
Context Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
Licensing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
Context Uses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
Context Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
Context Implementation . . . . . . . . . . . . . . . . . . . . . . . . . 526
Traffic Classification . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
Context Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
Switching to Multiple Mode . . . . . . . . . . . . . . . . . . . . . . 528
System Area Configuration . . . . . . . . . . . . . . . . . . . . . . 529
Designating the Administrative Context . . . . . . . . . . . . . 529
Creating Contexts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
Managing Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
Context Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Switching Between Contexts . . . . . . . . . . . . . . . . . . . . . . 535
Saving Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Removing Contexts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
Context Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
Example: Changing to Multiple Mode . . . . . . . . . . . . . . . 537
Example: Setting Up the Interfaces . . . . . . . . . . . . . . . . . 537
Example: Creating the Contexts . . . . . . . . . . . . . . . . . . . 538
Example: Configuring the Admin Context . . . . . . . . . . . . 538
Example: Configuring the ctx Context . . . . . . . . . . . . . . . 539
Example: Saving the Appliance Configuration . . . . . . . . . 540
xx

Cisco ASA Configuration
▼
23 Failover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Failover Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542

Failover Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Failover Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . 543
Failover Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Software Upgrades . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Failover Implementations . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Active/Standby Failover . . . . . . . . . . . . . . . . . . . . . . . . 546
Addressing and Failover . . . . . . . . . . . . . . . . . . . . . . . . 546
Active/Active Failover . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Failover Cabling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Failover Link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Stateful Link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549
PIX Cabling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
ASA Cabling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
Failover Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
Failover Communications . . . . . . . . . . . . . . . . . . . . . . . 551
Failover Triggers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Switch Connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
Active/Standby Configuration . . . . . . . . . . . . . . . . . . . . . . . . 555
Active/Standby: PIXs and the Serial Cable . . . . . . . . . . . 555
Active/Standby: LBF . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
Active/Standby: Optional Commands . . . . . . . . . . . . . . 560
Active/Standby: Example Configuration . . . . . . . . . . . . . 561
Active/Active Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 566
Active/Active: LBF Configuration . . . . . . . . . . . . . . . . . 566
Active/Active: Optional Commands . . . . . . . . . . . . . . . . 569
Active/Active: Example Configuration . . . . . . . . . . . . . . 570
▼
24 Network Attack Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
Threat Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578
Basic Threat Detection . . . . . . . . . . . . . . . . . . . . . . . . . . 578

Scanning Threat Detection . . . . . . . . . . . . . . . . . . . . . . . 582
Threat Detection Statistics . . . . . . . . . . . . . . . . . . . . . . . 584
IP Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
IP Audit Signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
IP Audit Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 590
Additional Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590
TCP Normalization . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590
Reverse Path Forwarding . . . . . . . . . . . . . . . . . . . . . . . . 593
Fragmentation Limits . . . . . . . . . . . . . . . . . . . . . . . . . . . 594
xxi
Contents
▼
25 SSM Cards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597
AIP-SSM Card . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
AIP-SSM Card Modes and Failure Options . . . . . . . . . . . 598
Traffic and the AIP-SSM Card . . . . . . . . . . . . . . . . . . . . . 599
Traffic Forwarding to the AIP-SSM Card . . . . . . . . . . . . . 600
AIP-SSM Basic Configuration . . . . . . . . . . . . . . . . . . . . . 601
CSC-SSM Card . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606
Traffic and the CSC Card . . . . . . . . . . . . . . . . . . . . . . . . 606
Forwarding Traffic to the CSC-SSM Card . . . . . . . . . . . . . 607
Setting Up the CSC-SSM Card . . . . . . . . . . . . . . . . . . . . 609
SSM Card Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612
Verifying an SSM Card Operational Status . . . . . . . . . . . . 612
Hardware Module Commands . . . . . . . . . . . . . . . . . . . . 614
Re-Imaging an SSM Card . . . . . . . . . . . . . . . . . . . . . . . . 615
Part VI
Management of the ASA
▼
26 Basic Management from the CLI . . . . . . . . . . . . . . . . . . . . . . . . . . 619

DHCP Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
DHCP Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
Remote Management Features . . . . . . . . . . . . . . . . . . . . . . . . 623
Date and Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623
Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625
SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 629
File Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630
Files and Flash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630
OS Upgrades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631
Controlling the Bootup Process . . . . . . . . . . . . . . . . . . . . 633
License Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 634
Password Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 635
Restricting the Password Recovery Process . . . . . . . . . . . 635
Performing the PIX Password Recovery Process . . . . . . . 636
Performing the ASA Password Recovery Process . . . . . . . 638
AAA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
Restricting CLI Access . . . . . . . . . . . . . . . . . . . . . . . . . . 639
Command Authorization . . . . . . . . . . . . . . . . . . . . . . . . 642
Management Accounting . . . . . . . . . . . . . . . . . . . . . . . . 645
xxii

Cisco ASA Configuration
▼
27 ASDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647
ASDM Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648
ASDM Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . 648
ASDM Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
ASDM Configuration Preparations . . . . . . . . . . . . . . . . . . . . . 650
Setup Script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650

Basic Configuration Commands . . . . . . . . . . . . . . . . . . . 651
ASDM Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
Web Browser Access . . . . . . . . . . . . . . . . . . . . . . . . . . . 652
Startup Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
ASDM Home Screen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654
Menu Items . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
Toolbar Buttons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661
Home Screen Elements . . . . . . . . . . . . . . . . . . . . . . . . . . 662
ASDM Configuration Screens . . . . . . . . . . . . . . . . . . . . . . . . . 663
Device Setup Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663
Firewall Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664
Remote Access VPN Tab . . . . . . . . . . . . . . . . . . . . . . . . . 668
Cisco Secure Desktop . . . . . . . . . . . . . . . . . . . . . . . . . . . 678
Site-to-Site VPN Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . 690
Device Management Tab . . . . . . . . . . . . . . . . . . . . . . . . 691
ASDM Monitoring Screens . . . . . . . . . . . . . . . . . . . . . . . . . . . 692
Interfaces Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
VPN Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
Routing Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
Properties Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695
Logging Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695
ASDM and Contexts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Initial Access and Context Manipulation . . . . . . . . . . . . . 698
Failover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
▼
Index
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
703
xxiii
FOREWORD

O
ver the past decade computer networks as well as the attacks against
them have become increasingly complex. As information technol-
ogy professionals we are faced with overcoming challenges every
day, and learning new security concepts should not be one of them. I have
known Richard, the author of this book, during this same time, and his
gift of making difficult technology concepts understandable has remained
constant. Whether he is presenting to a room of information technology
professionals or writing books, Richard’s communication skills are unsur-
passed.
As the importance of networks continues to grow, security becomes ever more
vital. The Cisco Adaptive Security Appliances intelligent threat defense offers the
needed protection for businesses today as well as for the future. Technologies and
devices based on Internet protocol continually touch every aspect of our lives—we
need to be confident that our data is safe. Cisco ASA Configuration is a great refer-
ence and tool for answering our challenges.
Steve Marcinek, CCIE 7225
Systems Engineer, Cisco Systems

This page intentionally left blank