溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
引用Cisco官方的公告:
在Internet密鑰交換(IKE)1版本的漏洞(V1)和IKE協議版本2(v2)Cisco ASA軟件代碼可能允許未經身份驗證的遠程***者造成的影響重裝系統或遠程執行代碼。
該漏洞是由于受影響的代碼區緩沖區溢出。***者可以通過發送特制的UDP數據包來利用此漏洞影響的系統。一個漏洞可能允許***者執行任意代碼,獲得系統的完全控制或導致重裝系統的影響。
注意:只有流量定向到受影響的系統可以用來利用此漏洞。這個漏洞影響配置防火墻模式只在單個或多個上下文模式系統。此漏洞可以被觸發的IPv4和IPv6流量。
思科發布了軟件更新,解決這個漏洞。
受影響的Cisco ASA軟件對以下產品的運行可能會受此漏洞的影響:
Cisco ASA5500系列自適應安全設備
Cisco ASA5500-X系列下一代防火墻
Cisco ASA服務模塊的Cisco Catalyst 6500系列交換機和Cisco 7600系列路由器
Cisco ASA1000V云防火墻
Cisco自適應安全虛擬設備(ASAV)
思科火力9300 ASA安全模塊
思科ISA 3000工業安全設備
所以,在某大型企業的出口防火墻Cisco 5520也需要將IOS進行升級。
升級之前的準備工作(重要,必須要執行)
1、檢查防火墻當前運行狀態,包括防火墻面板指示燈,防火墻風扇,防火墻CPU、內存運行狀態
當然,查看防火墻指示燈,風扇的運行只能是查看現場去查看
查看防火墻CPU、內存運行狀態可以使用命令:
CiscoASA#show process cpu-usage CiscoASA#show process memory
2、一定要注意把配置備份好,這個需要使用SecureCRT的記錄會話功能,把show running-config中的內容導入到日志文件中
然后再用SecureCRT連接防火墻,輸入show running-config,就可以把配置命令保存在本地的日志文件中了,這樣也就不怕丟了配置到處抓瞎了。
注意:正常情況下,升級CiscoASA的IOS不會造成配置丟失,即使你從asa847-k8.bin升級到asa912-k8.bin,正常也都是命令自動會轉換成當前version支持的命令。但不排除有命令丟失這種風險。
3、(非常重要)備份CiscoASA的License
在升級的過程中,如果丟失了配置或許還能夠補救的話,但如果License弄丟了,那個可不好找,你需要重新和Cisco公司去聯系才能找回License。
不過備份CiscoASA的License非常簡單,只需要一條命令Show version就可以了
ciscoasa# show version ************************************************************************* ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Minimum Memory Requirements NOT Met! <---- ** ** ** ** Installed RAM: 1024 MB ** ** Required RAM: 2048 MB ** ** Upgrade part#: ASA5520-MEM-2GB= ** ** ** ** This ASA does not meet the minimum memory requirements needed to ** ** run this p_w_picpath. Please install additional memory (part number ** ** listed above) or downgrade to ASA version 8.2 or earlier. ** ** Continuing to run without a memory upgrade is unsupported, and ** ** critical system features will not function properly. ** ** ** ************************************************************************* Cisco Adaptive Security Appliance Software Version 9.1(2) Device Manager Version 7.5(1) Compiled on Thu 09-May-13 15:37 by builders System p_w_picpath file is "disk0:/asa912-k8.bin" Config file at boot was "startup-config" <--- More ---> ciscoasa up 1 min 59 secs Hardware: ASA5520, 1024 MB RAM, CPU Pentium 4 Celeron 2000 MHz, Internal ATA Compact Flash, 256MB BIOS Flash M50FW016 @ 0xfff00000, 2048KB Encryption hardware device : Cisco ASA-55xx on-board accelerator (revision 0x0) Boot microcode : CN1000-MC-BOOT-2.00 SSL/IKE microcode : CNLite-MC-SSLm-PLUS-2_05 IPSec microcode : CNlite-MC-IPSECm-MAIN-2.08 Number of accelerators: 1 0: Ext: GigabitEthernet0/0 : address is c84c.7561.88fe, irq 9 1: Ext: GigabitEthernet0/1 : address is c84c.7561.88ff, irq 9 2: Ext: GigabitEthernet0/2 : address is c84c.7561.8900, irq 9 3: Ext: GigabitEthernet0/3 : address is c84c.7561.8901, irq 9 4: Ext: Management0/0 : address is c84c.7561.8902, irq 11 5: Int: Not used : irq 11 6: Int: Not used : irq 5 Licensed features for this platform: Maximum Physical Interfaces : Unlimited perpetual Maximum VLANs : 150 perpetual <--- More ---> Inside Hosts : Unlimited perpetual Failover : Active/Active perpetual Encryption-DES : Enabled perpetual Encryption-3DES-AES : Enabled perpetual Security Contexts : 2 perpetual GTP/GPRS : Disabled perpetual AnyConnect Premium Peers : 2 perpetual AnyConnect Essentials : Disabled perpetual Other ××× Peers : 750 perpetual Total ××× Peers : 750 perpetual Shared License : Disabled perpetual AnyConnect for Mobile : Disabled perpetual AnyConnect for Cisco ××× Phone : Disabled perpetual Advanced Endpoint Assessment : Disabled perpetual UC Phone Proxy Sessions : 2 perpetual Total UC Proxy Sessions : 2 perpetual Botnet Traffic Filter : Disabled perpetual Intercompany Media Engine : Disabled perpetual Cluster : Disabled perpetual This platform has an ASA 5520 ××× Plus license. #這里就是防火墻的序列號與License,具體的號碼我沒有提供 Serial Number: J*********hV Running Permanent Activation Key: 0x1***** 0x4******2 0x08******a8 0x******0 0x4******97 Configuration register is 0x1 Configuration has not been modified since last system restart.
4、只有把備份工作做好了,才能規避可能出現的風險,然后就可以準備IOS鏡像升級了
你需要準備的東西是:
FileZilla Server
防火IOS
注意:如果防火墻的型號是Cisco55xx-X,那你的IOS中必須有“smp”字樣
本次升級項目使用的防火墻型號是Cisco5520,原有的IOS版本是asa741-k8.bin,于是,你必須遵照Cisco提供的升級順序才能完成升級,最好不要跳級,否則容易丟失配置或者License
So the upgrade step should be 7.0->7.1->7.2->8.2->8.4(6)->9.1x
所以,必須升級到8.2,也就是asa821-k8.bin,再升級到8.4(6),也就是asa846.k8.bin,然后再升級到9.1(2),最后才能升級到9.1(3)或更高級,必須這樣逐次提升。
升級操作其實比較簡單,先用FileZilla搭建FTP,設置用戶名test和密碼haha
然后拷貝IOS鏡像到ASA的閃存中
ciscoasa# copy ftp://test:haha@10.164.12.3/asa847-k8.bin flash: Address or name of remote host []?10.164.12.3 Source filename []? asa847-k8.bin Destination filename [asa847-k8.bin]?
拷貝完成后,應該能用show flash:看見
ciscoasa# show flash: -#- --length-- -----date/time------ path 10 Mar 12 2011 18:52:14crypto_archive 28515584 Jun 18 2010 05:53:48asa724-k8.bin 34181246 Jun 18 2010 05:55:04securedesktop-asa-3.2.1.103-k9.pkg 4398305 Jun 18 2010 05:55:30sslclient-win-1.1.0.154.pkg 156514852 Mar 12 2011 03:46:24asdm-524.bin 180 Feb 10 2014 09:27:06 log 482289 Feb 23 2016 09:42:027_2_4_0_startup_cfg.sav 490 Feb 10 2014 09:27:24coredumpinfo 5059 Feb 10 2014 09:27:24coredumpinfo/coredump.cfg 511138 Jul 04 2014 14:05:58upgrade_startup_errors_201407041405.log 521138 Feb 23 2016 08:40:18upgrade_startup_errors_201602230840.log 531138 Feb 23 2016 09:42:04upgrade_startup_errors_201602230942.log 54 24809472 Feb 23 2016 11:14:52 asa847-k8.bin 210485248 bytes available (44818432 bytesused)
拷貝完成后,執行升級命令
ciscoasa# conf t ciscoasa(config)# boot systemdisk0:/asa847-k8.bin ciscoasa(config)# no boot systemdisk0:/asa724-k8.bin ciscoasa(config)# exit ciscoasa# reload 可以同時升級ASDM ciscoasa(config)#asdm p_w_picpath filedisk0:/asdm-751.bin
升級操作完成后,必須達到以下標準
執行show vlan查看防火墻上vlan狀態
執行show route查看防火墻路由表
使用ping命令檢查各個業務連通性
要求:防火墻原有配置、策略不丟失,防火墻路由條目不丟失
2、防火墻當前運行的IOS軟件版本符合升級后的軟件版本
執行show version查看當前IOS軟件版本
ASDM能夠正常使用
3、防火墻運行狀態正常,CPU、內存使用率未出現明顯偏高的情形
執行show process cpu-usage
4、防火墻SSM工作正常
執行show module all查看防火墻模塊
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
