CiscoASA防火牆升級IOS版本需注意的問題

標籤：升級   防火牆   ios   asa   下一代   

引用Cisco官方的公告：

在Internet金鑰交換（IKE）1版本的漏洞（V1）和IKE協議版本2（v2）Cisco ASA軟體代碼可能允許未經身分識別驗證的遠程攻擊者造成的影響重裝系統或遠程執行代碼。

該漏洞是由於受影響的代碼區緩衝區溢位。攻擊者可以通過發送特製的UDP資料包來利用此漏洞影響的系統。一個漏洞可能允許攻擊者執行任意代碼，獲得系統的完全控制或導致重裝系統的影響。

注意：只有流量定向到受影響的系統可以用來利用此漏洞。這個漏洞影響配置防火牆模式只在單個或多個上下文模式系統。此漏洞可以被觸發的IPv4和IPv6流量。

思科發布了軟體更新，解決這個漏洞。

受影響的Cisco ASA軟體對以下產品的運行可能會受此漏洞的影響：

Cisco ASA5500系列自適應安全裝置

Cisco ASA5500-X系列下一代防火牆

Cisco ASA服務模組的Cisco Catalyst 6500系列交換器和Cisco 7600系列路由器

Cisco ASA1000VCloud Firewall

Cisco自適應安全虛擬設備（ASAV）

思科火力9300 ASA安全模組

思科ISA 3000工業安全裝置

所以，在某大型企業的出口防火牆Cisco 5520也需要將IOS進行升級。

升級之前的準備工作（重要，必須要執行）

1、檢查防火牆當前運行狀態，包括防火牆面板指示燈，防火牆風扇，防火牆CPU、記憶體運行狀態

當然，查看防火牆指示燈，風扇的運行只能是查看現場去查看

查看防火牆CPU、記憶體運行狀態可以使用命令：

CiscoASA#show process cpu-usageCiscoASA#show process memory

2、一定要注意把配置備份好，這個需要使用SecureCRT的記錄會話功能，把show running-config中的內容匯入到記錄檔中

650) this.width=650;" src="http://s5.51cto.com/wyfs02/M01/7B/F4/wKioL1bOh8XgXOkWAABz2zbqPaw343.png" title="haha.png" alt="wKioL1bOh8XgXOkWAABz2zbqPaw343.png" />

然後再用SecureCRT串連防火牆，輸入show running-config，就可以把配置命令儲存在本地的記錄檔中了，這樣也就不怕丟了配置到處抓瞎了。

注意：正常情況下，升級CiscoASA的IOS不會造成配置丟失，即使你從asa847-k8.bin升級到asa912-k8.bin，正常也都是命令自動會轉換成當前version支援的命令。但不排除有命令丟失這種風險。

3、（非常重要）備份CiscoASA的License

在升級的過程中，如果丟失了配置或許還能夠補救的話，但如果License弄丟了，那個可不好找，你需要重新和Cisco公司去聯絡才能找回License。

不過備份CiscoASA的License非常簡單，只需要一條命令Show version就可以了

ciscoasa# show version ***************************************************************************                                                                     ****   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***   ****                                                                     ****          ----> Minimum Memory Requirements NOT Met! <----           ****                                                                     ****  Installed RAM: 1024 MB                                             ****  Required  RAM: 2048 MB                                             ****  Upgrade part#: ASA5520-MEM-2GB=                                    ****                                                                     ****  This ASA does not meet the minimum memory requirements needed to   ****  run this image. Please install additional memory (part number      ****  listed above) or downgrade to ASA version 8.2 or earlier.          ****  Continuing to run without a memory upgrade is unsupported, and     ****  critical system features will not function properly.               ****                                                                     ***************************************************************************Cisco Adaptive Security Appliance Software Version 9.1(2) Device Manager Version 7.5(1)Compiled on Thu 09-May-13 15:37 by buildersSystem image file is "disk0:/asa912-k8.bin"Config file at boot was "startup-config"<--- More --->              ciscoasa up 1 min 59 secsHardware:   ASA5520, 1024 MB RAM, CPU Pentium 4 Celeron 2000 MHz,Internal ATA Compact Flash, 256MBBIOS Flash M50FW016 @ 0xfff00000, 2048KBEncryption hardware device : Cisco ASA-55xx on-board accelerator (revision 0x0)                             Boot microcode        : CN1000-MC-BOOT-2.00                              SSL/IKE microcode     : CNLite-MC-SSLm-PLUS-2_05                             IPSec microcode       : CNlite-MC-IPSECm-MAIN-2.08                             Number of accelerators: 1 0: Ext: GigabitEthernet0/0  : address is c84c.7561.88fe, irq 9 1: Ext: GigabitEthernet0/1  : address is c84c.7561.88ff, irq 9 2: Ext: GigabitEthernet0/2  : address is c84c.7561.8900, irq 9 3: Ext: GigabitEthernet0/3  : address is c84c.7561.8901, irq 9 4: Ext: Management0/0       : address is c84c.7561.8902, irq 11 5: Int: Not used            : irq 11 6: Int: Not used            : irq 5Licensed features for this platform:Maximum Physical Interfaces       : Unlimited      perpetualMaximum VLANs                     : 150            perpetual<--- More --->              Inside Hosts                      : Unlimited      perpetualFailover                          : Active/Active  perpetualEncryption-DES                    : Enabled        perpetualEncryption-3DES-AES               : Enabled        perpetualSecurity Contexts                 : 2              perpetualGTP/GPRS                          : Disabled       perpetualAnyConnect Premium Peers          : 2              perpetualAnyConnect Essentials             : Disabled       perpetualOther VPN Peers                   : 750            perpetualTotal VPN Peers                   : 750            perpetualShared License                    : Disabled       perpetualAnyConnect for Mobile             : Disabled       perpetualAnyConnect for Cisco VPN Phone    : Disabled       perpetualAdvanced Endpoint Assessment      : Disabled       perpetualUC Phone Proxy Sessions           : 2              perpetualTotal UC Proxy Sessions           : 2              perpetualBotnet Traffic Filter             : Disabled       perpetualIntercompany Media Engine         : Disabled       perpetualCluster                           : Disabled       perpetualThis platform has an ASA 5520 VPN Plus license.#這裡就是防火牆的序號與License，具體的號碼我沒有提供Serial Number: J*********hVRunning Permanent Activation Key: 0x1***** 0x4******2 0x08******a8 0x******0 0x4******97 Configuration register is 0x1Configuration has not been modified since last system restart.

4、只有把備份工作做好了，才能規避可能出現的風險，然後就可以準備IOS鏡像升級了

你需要準備的東西是：

FileZilla Server

防火IOS

注意：如果防火牆的型號是Cisco55xx-X，那你的IOS中必須有“smp”字樣

本次升級項目使用的防火牆型號是Cisco5520，原有的IOS版本是asa741-k8.bin，於是，你必須遵照Cisco提供的升級順序才能完成升級，最好不要跳級，否則容易丟失配置或者License

650) this.width=650;" src="http://s4.51cto.com/wyfs02/M01/7B/FA/wKiom1bOikHybIpqAAHj3BZzpyg184.jpg" title="QQ20160225130142.jpg" alt="wKiom1bOikHybIpqAAHj3BZzpyg184.jpg" />

So the upgrade step should be 7.0->7.1->7.2->8.2->8.4(6)->9.1x

所以，必須升級到8.2，也就是asa821-k8.bin，再升級到8.4(6)，也就是asa846.k8.bin，然後再升級到9.1(2)，最後才能升級到9.1(3)或更進階，必須這樣逐次提升。

升級操作其實比較簡單，先用FileZilla搭建FTP，設定使用者名稱test和密碼haha

然後拷貝IOS鏡像到ASA的快閃記憶體中

ciscoasa# copy ftp://test:[email protected]/asa847-k8.bin flash:Address or name of remote host []?10.164.12.3Source filename []? asa847-k8.binDestination filename [asa847-k8.bin]?

拷貝完成後，應該能用show flash:看見

ciscoasa# show flash:-#- --length-- -----date/time------ path  10          Mar 12 2011 18:52:14crypto_archive  28515584    Jun 18 2010 05:53:48asa724-k8.bin  34181246    Jun 18 2010 05:55:04securedesktop-asa-3.2.1.103-k9.pkg  4398305     Jun 18 2010 05:55:30sslclient-win-1.1.0.154.pkg 156514852    Mar 12 2011 03:46:24asdm-524.bin 180          Feb 10 2014 09:27:06 log 482289       Feb 23 2016 09:42:027_2_4_0_startup_cfg.sav 490          Feb 10 2014 09:27:24coredumpinfo 5059         Feb 10 2014 09:27:24coredumpinfo/coredump.cfg 511138       Jul 04 2014 14:05:58upgrade_startup_errors_201407041405.log 521138       Feb 23 2016 08:40:18upgrade_startup_errors_201602230840.log 531138       Feb 23 2016 09:42:04upgrade_startup_errors_201602230942.log 54 24809472   Feb 23 2016 11:14:52 asa847-k8.bin 210485248 bytes available (44818432 bytesused)

拷貝完成後，執行升級命令

ciscoasa# conf tciscoasa(config)# boot systemdisk0:/asa847-k8.binciscoasa(config)# no boot systemdisk0:/asa724-k8.binciscoasa(config)# exitciscoasa# reload可以同時升級ASDMciscoasa(config)#asdm image filedisk0:/asdm-751.bin

升級操作完成後，必須達到以下標準

執行show vlan查看防火牆上vlan狀態

執行show route查看防火牆路由表

使用ping命令檢查各個業務連通性

要求：防火牆原有配置、策略不丟失，防火牆路由條目不丟失

2、防火牆當前啟動並執行IOS軟體版本符合升級後的軟體版本

執行show version查看當前IOS軟體版本

ASDM能夠正常使用

3、防火牆運行狀態正常，CPU、記憶體使用量率未出現明顯偏高的情形

執行show process cpu-usage

4、防火牆SSM工作正常

執行show module all查看防火牆模組

本文出自 “捷哥的IT小屋” 部落格，請務必保留此出處http://wzjxzht.blog.51cto.com/4866070/1744970

CiscoASA防火牆升級IOS版本需注意的問題