CiscoASA防火墙升级IOS版本需注意的问题

引用Cisco官方的公告:

在Internet密钥交换(IKE)1版本的漏洞(V1)和IKE协议版本2(v2)Cisco ASA软件代码可能允许未经身份验证的远程攻击者造成的影响重装系统或远程执行代码。

该漏洞是由于受影响的代码区缓冲区溢出。攻击者可以通过发送特制的UDP数据包来利用此漏洞影响的系统。一个漏洞可能允许攻击者执行任意代码,获得系统的完全控制或导致重装系统的影响。

注意:只有流量定向到受影响的系统可以用来利用此漏洞。这个漏洞影响配置防火墙模式只在单个或多个上下文模式系统。此漏洞可以被触发的IPv4和IPv6流量。

思科发布了软件更新,解决这个漏洞。

受影响的Cisco ASA软件对以下产品的运行可能会受此漏洞的影响:

Cisco ASA5500系列自适应安全设备

Cisco ASA5500-X系列下一代防火墙

Cisco ASA服务模块的Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器

Cisco ASA1000V云防火墙

Cisco自适应安全虚拟设备(ASAV)

思科火力9300 ASA安全模块

思科ISA 3000工业安全设备

所以,在某大型企业的出口防火墙Cisco 5520也需要将IOS进行升级。

升级之前的准备工作(重要,必须要执行)

1、检查防火墙当前运行状态,包括防火墙面板指示灯,防火墙风扇,防火墙CPU、内存运行状态

当然,查看防火墙指示灯,风扇的运行只能是查看现场去查看

查看防火墙CPU、内存运行状态可以使用命令:

CiscoASA#show process cpu-usage
CiscoASA#show process memory

2、一定要注意把配置备份好,这个需要使用SecureCRT的记录会话功能,把show running-config中的内容导入到日志文件中

然后再用SecureCRT连接防火墙,输入show running-config,就可以把配置命令保存在本地的日志文件中了,这样也就不怕丢了配置到处抓瞎了。

注意:正常情况下,升级CiscoASA的IOS不会造成配置丢失,即使你从asa847-k8.bin升级到asa912-k8.bin,正常也都是命令自动会转换成当前version支持的命令。但不排除有命令丢失这种风险。

3、(非常重要)备份CiscoASA的License

在升级的过程中,如果丢失了配置或许还能够补救的话,但如果License弄丢了,那个可不好找,你需要重新和Cisco公司去联系才能找回License。

不过备份CiscoASA的License非常简单,只需要一条命令Show version就可以了

ciscoasa# show version 

*************************************************************************
**                                                                     **
**   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***   **
**                                                                     **
**          ----> Minimum Memory Requirements NOT Met! <----           **
**                                                                     **
**  Installed RAM: 1024 MB                                             **
**  Required  RAM: 2048 MB                                             **
**  Upgrade part#: ASA5520-MEM-2GB=                                    **
**                                                                     **
**  This ASA does not meet the minimum memory requirements needed to   **
**  run this image. Please install additional memory (part number      **
**  listed above) or downgrade to ASA version 8.2 or earlier.          **
**  Continuing to run without a memory upgrade is unsupported, and     **
**  critical system features will not function properly.               **
**                                                                     **
*************************************************************************

Cisco Adaptive Security Appliance Software Version 9.1(2) 
Device Manager Version 7.5(1)

Compiled on Thu 09-May-13 15:37 by builders
System image file is "disk0:/asa912-k8.bin"
Config file at boot was "startup-config"
<--- More --->
              

ciscoasa up 1 min 59 secs

Hardware:   ASA5520, 1024 MB RAM, CPU Pentium 4 Celeron 2000 MHz,
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB

Encryption hardware device : Cisco ASA-55xx on-board accelerator (revision 0x0)
                             Boot microcode        : CN1000-MC-BOOT-2.00 
                             SSL/IKE microcode     : CNLite-MC-SSLm-PLUS-2_05
                             IPSec microcode       : CNlite-MC-IPSECm-MAIN-2.08
                             Number of accelerators: 1

 0: Ext: GigabitEthernet0/0  : address is c84c.7561.88fe, irq 9
 1: Ext: GigabitEthernet0/1  : address is c84c.7561.88ff, irq 9
 2: Ext: GigabitEthernet0/2  : address is c84c.7561.8900, irq 9
 3: Ext: GigabitEthernet0/3  : address is c84c.7561.8901, irq 9
 4: Ext: Management0/0       : address is c84c.7561.8902, irq 11
 5: Int: Not used            : irq 11
 6: Int: Not used            : irq 5

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 150            perpetual
<--- More --->
              
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
Encryption-DES                    : Enabled        perpetual
Encryption-3DES-AES               : Enabled        perpetual
Security Contexts                 : 2              perpetual
GTP/GPRS                          : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 750            perpetual
Total VPN Peers                   : 750            perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 2              perpetual
Total UC Proxy Sessions           : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Intercompany Media Engine         : Disabled       perpetual
Cluster                           : Disabled       perpetual

This platform has an ASA 5520 VPN Plus license.

#这里就是防火墙的序列号与License,具体的号码我没有提供
Serial Number: J*********hV
Running Permanent Activation Key: 0x1***** 0x4******2 0x08******a8 0x******0 0x4******97 

Configuration register is 0x1
Configuration has not been modified since last system restart.

4、只有把备份工作做好了,才能规避可能出现的风险,然后就可以准备IOS镜像升级了

你需要准备的东西是:

FileZilla Server

防火IOS

注意:如果防火墙的型号是Cisco55xx-X,那你的IOS中必须有“smp”字样

本次升级项目使用的防火墙型号是Cisco5520,原有的IOS版本是asa741-k8.bin,于是,你必须遵照Cisco提供的升级顺序才能完成升级,最好不要跳级,否则容易丢失配置或者License

So the upgrade step should be 7.0->7.1->7.2->8.2->8.4(6)->9.1x

所以,必须升级到8.2,也就是asa821-k8.bin,再升级到8.4(6),也就是asa846.k8.bin,然后再升级到9.1(2),最后才能升级到9.1(3)或更高级,必须这样逐次提升。

升级操作其实比较简单,先用FileZilla搭建FTP,设置用户名test和密码haha

然后拷贝IOS镜像到ASA的闪存中

ciscoasa# copy ftp://test:[email protected]/asa847-k8.bin flash:
Address or name of remote host []?10.164.12.3
Source filename []? asa847-k8.bin
Destination filename [asa847-k8.bin]?

拷贝完成后,应该能用show flash:看见

ciscoasa# show flash:
-#- --length-- -----date/time------ path
  10          Mar 12 2011 18:52:14crypto_archive
  28515584    Jun 18 2010 05:53:48asa724-k8.bin
  34181246    Jun 18 2010 05:55:04securedesktop-asa-3.2.1.103-k9.pkg
  4398305     Jun 18 2010 05:55:30sslclient-win-1.1.0.154.pkg
 156514852    Mar 12 2011 03:46:24asdm-524.bin
 180          Feb 10 2014 09:27:06 log
 482289       Feb 23 2016 09:42:027_2_4_0_startup_cfg.sav
 490          Feb 10 2014 09:27:24coredumpinfo
 5059         Feb 10 2014 09:27:24coredumpinfo/coredump.cfg
 511138       Jul 04 2014 14:05:58upgrade_startup_errors_201407041405.log
 521138       Feb 23 2016 08:40:18upgrade_startup_errors_201602230840.log
 531138       Feb 23 2016 09:42:04upgrade_startup_errors_201602230942.log
 54 24809472   Feb 23 2016 11:14:52 asa847-k8.bin
 
210485248 bytes available (44818432 bytesused)

拷贝完成后,执行升级命令

ciscoasa# conf t
ciscoasa(config)# boot systemdisk0:/asa847-k8.bin
ciscoasa(config)# no boot systemdisk0:/asa724-k8.bin
ciscoasa(config)# exit
ciscoasa# reload
可以同时升级ASDM
ciscoasa(config)#asdm image filedisk0:/asdm-751.bin

升级操作完成后,必须达到以下标准

执行show vlan查看防火墙上vlan状态

执行show route查看防火墙路由表

使用ping命令检查各个业务连通性

要求:防火墙原有配置、策略不丢失,防火墙路由条目不丢失

2、防火墙当前运行的IOS软件版本符合升级后的软件版本

执行show version查看当前IOS软件版本

ASDM能够正常使用

3、防火墙运行状态正常,CPU、内存使用率未出现明显偏高的情形

执行show process cpu-usage

4、防火墙SSM工作正常

执行show module all查看防火墙模块

时间: 2024-11-07 17:39:42

CiscoASA防火墙升级IOS版本需注意的问题的相关文章

ASA Failover业务不中断升级IOS

之前给客户割接,客户额外要求升级两台ASA5520防火墙的IOS.IOS版本842要升级到847. 当然客户什么都不懂,需要和大家说明的是,ASA升级IOS注意点,严重注意: 检查防火墙的内存--5520跑8.3以上版本内存要2G,其他型号内存需要都不一样 是否做了Failover--做了HA后升级IOS要保证不中断业务 明确升级到的版本是多少--有升级顺序讲究,842先升级到845或846再升级到847,其他IOS升级顺序也不一样 知道这些注意点,接下来就开始升级IOS. 1.先在Active

Cisco ASA5500系列防火墙恢复IOS全过程

擦除防火墙配置的命令是write erase而不是erase flash!当ASA5510的flash被erase后,如何将新的IOS拷贝到5510内呢? 如下:1. 当flash被erase后设备会因为找不到启动文件而不断地重启Launching BootLoader-Default configuration file contains 1 entry.Searching / for images to boot.No images in /Error 15: File not found2

升级iOS 8,看完不要火大了

摘要:今日凌晨一点,苹果进行了iOS 8正式版的升级推送,众多小伙伴们怀着激动的心情,点开通用进行软件升级,然后被看到的页面搞的火大了-- 如我们之前猜测的一样,苹果在今日进行了iOS 8的升级推送,但是当我们点击软件更新时,我们会发现:所需存储空间未免太大了,iPhone4S上,iOS 8安装包大小为920MB,安装过程,要求至少4.6GB的存储空间,你要用的是4的话,从此果粉转路人,泪啊,因为iOS 8升级是支持iPhone4S及更高版本的,当然8G版iPhone 5C也不例外!(内存太小)

CentOS 6.9 升级OpenSSH版本 关闭ssh服务后门

最近用低版本的OpenSSH(5.9p1版本) 的漏洞给系统留了个后门 , 可以劫持root密码或者给root开启后门密码 ,  如果公司还在用CentOS6的系统 , 那肯定存在漏洞隐患  建议升级OpenSSH , 升级OpenSSH的操作并不复杂 ,但如果是线上环境 ,那么就需要谨慎操作  特别需要注意的是  如果是通过ssh远程连接服务器后进行的版本升级操作 ,万一升级失败了,则ssh就远程登录不上去了 当然 ,如果服务器安装了iDRAC远程管理卡就好说了,如果没有iDRAC远程管理卡,

Cisco asa 5510升级IOS和ASDM

asa asa(config)# dir //显示文件目录 copy disk0:/asa707-k8.bin tftp://192.168.1.149/ asa707-k8.bin //将原有IOS文件备份到TFTP服务器上 copy disk0:/asdm507.bin tftp://192.168.1.149/asdm507.bin //将原有asdm文件备份到TFTP服务器上 copy tftp://192.168.1.149/asa803-k8.bin disk0:/asa803-k8

H3C SR6604 升级IOS

1. 如使用ftp方式去上传或下载IOS的话配置如下:[WH-6604-2] ftp ser enable --- 开启FTP功能 [WH-6604-2] local-user ftp --- 建立用户名 [WH-6604-2-luser-ftp] password sim ftp --- 配置用户名密码 [WH-6604-2-luser-ftp] service-type ftp --- 给该用户名服务类型 [WH-6604-2-luser-ftp] authorization-attribu

Cisco路由器升级IOS

今天把公司里的一台老式Cisco路由器拿出来看了看,还能用,就是IOS的版本有点儿低,而且之前同事装的IOS版本还无法把路由器的所有接口都认出来,于是乎动手重新安装了IOS,我的路由器是2600,新的IOS版本为:c2600-i-mz.123-26,这个IOS是我从网上找的.一般124的都是企业级的路由器,我的这台不是,凑合用吧. 1.首先上网下载一个Cisco TFTP Server,下载回来后解压缩,运行"TFTPServer.exe",运行了这个程序也就代表着你的这台计算机就是一

Cisco PIX防火墙灌IOS

事件背景: 上周二出差,拿着在公司测试好的防火墙在客户机架上加点居然水土不服启动不起来,不断重启截图如下: 试过各种方法均FALSE,在百度上寻找解决办法,居然有人让送修.万般无奈之下决定重新灌一个新版本的IOS,死马当活马医.实在不行就让同事发个顺丰航空件,把公司另一台PIX墙发过来.结果灌完IOS之后,居然启动开了.实在想不出是什么原因导致以上无法启动的这个问题,在分享出灌IOS的步骤之前,如有哪位神级高手知道什么原因及解决方法,在下愿屈身请教. Cisco PIX防火墙灌IOS步骤: 首先

银行卡卡号识别:C#版本和iOS版本

(一)图像采集 首先我们要取得待识别的图像.这项工作可以通过数码相机.DV机.工业摄像机.电脑数字摄像头.手机摄像头等设备采集,并从中取得我们要分析的图像信息. (二)版面分析 取得图像信息后,要对图像整体版面进行分析.这一步工作如果使用通用算法进行分析,则效率很低.通常情况下都需要针对不同的识别对象进行专门的分析及设定,才能取得良好的分析效果. 抠出数字???? 倾斜图像校正?? http://www.doc88.com/p-34555054276.html (三)图像灰度化 从采集设备里取得