Современные межсетевые экраны cisco asa и asasm
DESCRIPTION
TRANSCRIPT
Современные межсетевые экраны Cisco ASA и ASASM.
Руслан Иванов, системный инженер-консультант [email protected]
Цели доклада:
§ Обзор современного семейства межсетевых экранов Cisco ASA;
§ Новые функциональные возможности; § Рекомендации по использованию МСЭ; § В этой сессии не рассматривается IOS Firewall.
Содержание
• Семейство межсетевых экранов Cisco ASA и ASASM; • Списки контроля доступа на Cisco ASA; • Функции высокой доступности на Cisco ASA и ASASM; • Трансляция сетевых адресов на Cisco ASA; • Продвинутые функции защиты от современных угроз; • Новая функциональность; • Вопросы и ответы.
Семейство межсетевых экранов Cisco ASA и ASASM.
Межсетевые экраны Cisco – что это такое?
• Adaptive Security Appliance (ASA) – программно-аппаратный комплекс, с ОС собственной разработки, с возможностью расширения за счёт сервисных модулей на некоторых моделях. Медные и оптические Ethernet порты. – не использует IOS, хотя и выглядит похоже J
• FireWall Services Module (FWSM) – сервисный модуль для Catalyst 6500 предоставляющий сервисы МСЭ.
• ASA SM – новый сервисный модуль для Catalyst 6500, использует такое же ПО, что и ASA (в отличии от FWSM).
• Устройства на базе IOS с функционалом MCЭ (IOS FW) – не рассматриваются в данной презентации.
Межсетевые экраны Cisco
ASA 5550 (1.2 Gbps,
36K conn/s)
ASA 5580-20 (5-10 Gbps, 90K conn/s)
ASA 5580-40 (10-20 Gbps, 150K conn/s)
ASA 5540 (650 Mbps, 25K conn/s) ASA 5520
(450 Mbps, 12K conn/s) ASA 5510
(300 Mbps, 9K conn/s)
ASA 5585SSP20 (5-10 Gbps,
125K conn/s)
ASA 5585 SSP40 (10-20 Gbps, 240K conn/s)
ASA 5585 SSP60 (15-30 Gbps, 350K conn/s)
ASA 5585 SSP10 (2-4 Gbps,
50K conn/s)
Удалённая работа
Филиал Интернет Центры обработки данных
Корпоративная сеть
FWSM (5.5 Gbps,
100K conn/s)
МСЭ и VPN
Сервисные модули
Мультисервисные
ASA 5505 (150 Mbps, 4K conn/s)
ASA SM (16-20 Gbps, 300K conn/s)
Списки контроля доступа на Cisco ASA
Новые функции списков контроля доступа (с 8.3+)
• Старые версии ПО Cisco PIX 6.x имели проблемы с большим количеством записей в списках контроля доступа (100k+);
• В версиях ПО 7.0.x и 8.0.x код был полностью переписан, чтобы увеличить производительность;
• Начиная с версии 8.3 метки времени в списках контроля доступабыли модифицированы, теперь они включают время последнего срабатывания правила, вместо более общего понятия количество срабатываний;
• Четвертый хэш в выводе списка контроля доступа – это время последнего срабатывания правила в UNIX Epoch format:
asa(config)# sh access-list test brief! access-list test; 3 elements; name hash: 0xcb4257a3! ca10ca21 44ae5901 00000001 4a68aa7e!
Группы объектов облегчают и упрощают конфигурирование
• Группы объектов позволяют собирать вместе разные объекты и служат для упрощения изменения их содержимого;
• Могут использовать в качестве объектов протоколы, сети, хосты или сервисы;
• Могут быть вложены одна в другую.
(config)# object-group network ADMINS!(config-protocol)# description LAN Addresses !(config-protocol)# network-object host 10.1.1.4!(config-protocol)# network-object host 10.1.1.78!(config-protocol)# network-object host 10.1.1.34 !!(config)# object-group service RADIUS-GROUP udp !(config-service)# description RADIUS Group !(config-service)# port-object eq radius !(config-service)# port-object eq radius-acct !
Концепция глобальных политик доступа
• До версии ПО 8.3 политики доступа применялись в зависимости от направления трафика в привязке к интерфейсам (например «к нам» и «от нас»);
• В ПО версии 8.3+ появилось понятие глобальной политики доступа (Global Access Policies) которая применияется вне зависимости от интерфейса;
• Глобальные политики доступа обрабатывают только трафик, проходящий через МСЭ и не могут быть использованы для защиты control-plane;
• Списки контроля доступа, привязанные к интерфейсу имеют более высокий приоритет;
• Списки контроля доступа теперь оперируют реальными (до сетевой трансляции) адресами.
Функции высокой доступности на Cisco ASA и ASASM
Поддержка резервированных интерфейсов § До 8 пар резервированных интерфейсов может быть сконфигурировано;
§ Поддерживается во всех режимах работы МСЭ, в том числе отказоустойчивом;
§ Если происходит отказ активного интерфейса, трафик начинает передаваться по резервному, при этом нет необходимости перестраивать таблицы маршрутизации, соединений и состояний;
§ Не поддерживается на ASA 5505, FWSM or ASASM
interface Redundant1 member-interface GigabitEthernet0/2 member-interface GigabitEthernet0/1 no nameif no security-level no ip address ! interface Redundant1.4 vlan 4 nameif inside security-level 100 ip address 172.16.10.1 255.255.255.0 ! interface Redundant1.10 vlan 10 nameif outside security-level 0 ip address 172.16.50.10
255.255.255.0
Особенности применения резервированных интерфейсов § Интерфейсы работают только в режиме основной/резервный. В настоящий момент не поддерживается балансировка или аггрегация интерфейсов;
§ Работает, начиная с ASA 5510 и выше, на ASA 5505, подобная функциональность доступна благодаря встроенному коммутатору;
§ Не поддерживается на FWSM или ASASM (нет физических интерфейсов);
§ Подинтерфейсы (dot1q) настраиваются поверх логических интерфейсов redundant, а не входящих в него физических интерфейсов.
Наблюдение за доступностью маршрута – route tracking § Метод позволяет убедится в доступности статичного маршрута с возможностью задания резервного пути, если основной маршрут более недоступен;
§ Обычно используется для статичных маршрутов к шлюзам по умолчанию, зачастую при работе с двумя операторами связи;
§ Использует механизм ICMP echo replies для проверки доступности заданного хоста, как правило, следующего шлюза;
§ Работает только в режиме single routed mode.
asa(config)# sla monitor 123!asa(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside!
asa(config-sla-monitor-echo)# frequency 3!asa(config)# sla monitor 123 life forever start-time now!asa(config)# track 1 rtr 123 reachability!asa(config)# route outside 0.0.0.0 0.0.0.0 10.1.1.1 track 1!
Как работает отказоустойчивый режим?
§ По специальному выделенному Failover соединению, каждые 15 секунд (настраивается) отправляются hello-пакеты от активного устройства резервному;
§ Если нет ответа на три hello-пакета подряд, активное устройство отправляет hello-пакеты через все интерфейсы, чтобы проверить доступность резервного;
§ В зависимости от ответов, происходит или не происходит переключение на резервное устройство;
§ Также можно постоянно контролировать состояние интерфейсов и в случае срабатывания триггера переключаться на резервное устройство;
§ Процесс подробно описан в документации: http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/ha_overview.html
Что такое statefull failover?
Реплицируется с основного на резервный
Не реплечируется с основного на резервный
NAT Translation Table User authentication table
TCP connection states Routing table information **
UDP connection states State information for SSMs (IPS etc.)
ARP Table DHCP Server Leases
L2 Bridge Table (Transparent Mode) Stateful failover for phone proxy
HTTP State *
ISAKMP and IPSEC SA Table
* HTTP по умолчанию не реплицируется из соображений производительности; включается командой
http replication state ** начиная с версии ПО 8.4.1 реплицирует по умолчанию.
Отказоустойчивая пара основной/резервный в Transparent Mode
§ В топологии не должно быть петель! § На коммутаторах, к которым подключены МСЭ должен быть скоммутирован STP;
§ Рекомендуется использовать RPVST (802.1w) и Port Fast на коммутаторах;
§ Не включать BPDU Guard или Loop Guard на портах, в которые включен МСЭ;
§ Если используется отказоустойчивая пара активный/активный в transparent mode т.к. BPDU коммутируются через МСЭ по умолчанию;
§ Очень хороший подкаст по Transparent Firewall: http://www.cisco.com/en/US/solutions/ns170/tac/security_tac_podcasts.html
Ограничения в режиме работы отказоустойчивой пары активный/активный § Необходимо использовать канал с низкой задержкой для передачи состояний сессий между обоими активными устройствами, чтобы избежать гонки таймеров между собой – если обратное соединение будет получено вторым устройство раньше информации о наличии прямого соединения на первом;
§ При необходимости использования разделяемых интерфейсов необходимо использовать трансляцию сетевых адресов;
§ Информация о состоянии HTTP-соединений по умолчанию не передаётся и её нужно включить явно;
§ Между двумя ASA в одной ASR-группе должна быть L2-связность;
§ ВСЭ в виртуализированном режиме не поддерживают VPN, динамическую маршрутизацию и маршрутизацию multicast.
Трансляция сетевых адресов на Cisco ASA
Что такое NAT Control и когда он нужен?
§ NAT control это концепция, при которой пакет с интерфейса с более высоким security-level (например, “inside”) должен пройти сетевую трансляцию адресов, чтобы попасть в интерфейс с более низким security-level (например, “outside”);
§ Если пакет не попадает ни под одно правило сетевой трансляции, он будет сброшен;
§ NAT control выключен по умолчанию**
** В некоторых случаях, после обновления ПО, он может быть включен
Три варианта обхода трансляции сетевых адесов
§ Identity NAT (nat 0) – ограничивает NAT на всех интерфейсах, очень низкая точность задания политики, не позволяет разрешить соединение из outside в inside даже если разрешено ACL;
§ Static Identity NAT – узел может быть оттранслирован на одном интерфейсе и не транслироваться на других, работает с Policy NAT;
§ NAT exemption (nat 0 с использованием списка контроля доступа) – наиболее точный метод, позволяет регулировать сетевую трансляцию адресов двунаправленно, как снаружи вовнутрь, так и наоборот;
§ NAT exemption наиболее часто применяемый метод обхода сетевой трансляции адресов на сегодняшний день.
Сетевая трансляция адресов на основе списка контроля доступа – Policy NAT § В некоторых случаях может потребоваться трансляция сетевых адресов как на основе адреса источника, так и адреса получателя;
§ Динамическая трансляция сетевых адресов NAT оперирует только адресом источника,
§ Сетевая трансляция адресов на основе списка контроля доступа (Policy NAT) может использовать в политике трансляции как адрес источника, так и адрес получателя, включая порты;
§ Очень удобно в случаях, когда приложения (такие, как FTP, VoIP) имеют дополнительные каналы данных, помимо каналов управления, требующих специфической трансляции адресов;
§ Адреса источника, назначения, порты указываются с помощью списка контроля доступа ACL;
§ Policy NAT не поддерживает time-based ACL.
Настройка NAT (до версии ПО 8.3)
§ Настройка сетевой трансляции адресов состоит из двух частей: nat и global
asa(config)# nat (inside) 1 10.1.2.0 255.255.255.0 asa(config)# global (outside) 1 172.16.1.3-172.16.1.10
asa(config)# nat (inside) 1 10.1.2.0 255.255.255.0 asa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 asa(config)# nat (dmz) 1 10.1.1.0 255.255.255.0 asa(config)# global (outside) 1 209.165.201.3-209.165.201.10
§ Множество nat записей могут соответствовать одной global:
§ Множество записей с разными идентификаторами позволяют гибко задавать политики трансляции адресов.
Рекомендации по настройке трансляции сетевых адресов до версии ПО 8.3
§ Не забывайте при трансляции адресов про DNS; § Порядок применения политик трансляции адресов — первые три работают по принципу первого срабатывания: § NAT Exemption; § Static NAT и Static PAT (включая Policy NAT); § Policy Dynamic NAT; § Обычный Dynamic NAT – порядок следования
записей не имеет значения, выбирается наиболее близкое значение.
Новая концепция настройки трансляции сетевых адресов в ПО 8.3+ на Cisco ASA
Новая концепция настройки трансляции сетевых адресов в ПО ASA 8.3 § Начиная с ПО версии 8.3, концепция настройки трансляции сетевых адресов полностью переделана с целью облегчения настройки и поиска неисправностей;
§ Использует модель “оригинальный пакет” вместо “оттранслированный пакет”;
§ Новые функции: 1. Объединённая таблица политик трансляции сетевых адресов в
ASDM; 2. Объектно-ориентированная трансляция сетевых адресов:
объекты могут быть созданы для узлов, сетей, диапазонов адресов и правила трансляции могут быть заданы внутри объекта;
3. Два варианта настройки: объектно-ориентированная трансляция сетевых адресов (автоматическая) и ручная настройка;
4. Трансляция адресов не привязана больше к интерфейсам.
Очень детальное описание различий в формате видеоролика: https://supportforums.cisco.com/videos/1014
Сетевые объекты в трансляции сетевых адресов в ПО 8.3+
§ Понятия global и static больше не используются; § В списках контроля доступа теперь нужно указывать оригинальный (не транслированный) IP-адрес;
§ Использует новое понятие network object; § Объекты могут быть созданы для узлов, сетей, диапазонов адресов;
§ Два новых типа трансляции сетевых адресов: § Auto-NAT – покрывает большинство случаев
использования трансляции на основании адреса источника;
§ Twice NAT – когда трансляцию необходимо делать в зависимости от адреса назначения.
Настройка Auto NAT
§ Auto NAT требует создания объекта и настройки трансляции внутри него:
asa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 asa(config)# global (outside) 1 interface
asa(config)# object network inside-net asa(config)# subnet 192.168.1.0 255.255.255.0 asa(config)# nat (inside,outside) dynamic interface
Настраивали до версии 8.3
§ Пример задания статичной сетевой трансляции сервера с адресом 192.168.1.201 в адрес 172.16.1.201:
asa(config)# object network big-server asa(config)# host 192.168.1.201 255.255.255.0 asa(config)# nat (inside,outside) static 172.16.1.201
О чём нужно помнить, настраивая Auto NAT?
§ Так как правила привязаны к объектам и не являются парными, вы не можете указать, что для источника А и назначения А нужно использовать иную трансляцию адресов, чем для источника А и назначения B.
§ Списки контроля доступа оперируют внутренними (локальными) IP-адресами, а не глобальными;
§ Auto NAT применяется или адресу источника, или к адресу назначения — НО не к обоим одновременно;
§ Если нужно одновременно менять и то, и то, нужно использовать другой тип сетевой трансялции адресов: Twice NAT (также известен как ручной тип настройки).
Что такое Twice NAT
§ В отличии от Auto NAT, Twice NAT настраивается вне сетевого объекта;
§ Настройка трансляции как для адресов источника, так и адреса получателя делается в одном двунаправленном правиле;
§ Twice NAT может использовать сетевые объекты и группы объектов, но политика трансляции применяется вовне сетевого объекта.
Пример статичной сетевой трансляции с трансляцией портов:
asa(config)# object service FTP_PASV_PORT_RANGE asa(config)# service tcp port range 65000 65004 asa(config)# object network FTP_SERVER asa(config)# service host 192.168.1.201 nat (inside,outside) source static HOST_FTP_SERVER interface service FTP_PASV_PORT_RANGE FTP_PASV_PORT_RANGE
Подробнее в руководстве по эксплуатации для версии ПО 8.4: http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/nat_overview.html
Порядок применения операций сетевой трансляции адресов в ПО ASA 8.3+ § Правила трансляции применяются по принципу первого совпадения сверху вниз;
§ Правила трансляции применяются в следующей последовательности: § Правила Twice NAT; § Объектно-ориентированные правила сетевой трансляции; § Правила Twice NAT, транслирующие одновременно адреса
источника и назначения;
§ Используйте packet tracer в Cisco ASDM для проверки работы сетевой трансляции;
§ Полезные show команды: show run nat
show nat
show run object
Функции обнаружения угроз Threat Detection
Функции обнаружения угроз в ПО Cisco ASA
§ Статистический анализ пакетов, отброшенных МСЭ; § МСЭ контролирует события в течении определённых интервалов времени;
§ Если обнаружена угроза, МСЭ создаёт запись syslog с кодом 730100;
§ Два варианта: базовый и продвинутый § базовый метод включен по умолчанию и не сказывается на производительности устройства;
§ продвинутый использует более продвинутый анализ, включая порты, протоколы и адреса узлов. Может нагружать CPU.
§ В ПО версии 8.3 проведена оптимизация использования памяти; § Команда show threat-detection memory позволяет контролировать использование памяти этими алгоритмами.
Функции активного противодействия ботнетам Botnet Traffic Filter (BTF)
Botnet Traffic Filter (BTF) – что это такое?
§ Лицензируемый функционал, выключен по умолчанию § Портированная функциональность Ironport S-серии Layer 4
Traffic Monitor; § Проверяет адреса на причастность к известным «чёрным спискам» из IronPort SenderBase, а также относительно локальной базы данных хороших/плохих адресов;
§ В ПО ASA 8.3+ умеет блокировать паразитную активность; в 8.2 может только информировать о ней;
§ МСЭ скачивает чёрные списки с сайта senderbase.org каждые 60 минут;
§ Доступен поиск по чёрным спискам; § Рекомендуется включить DNS Snooping вместе с BTF.
Что такое DNS Snooping?
§ DNS Snooping позволяет МСЭ вести базу данных привязок IP <-> имя домена; § Данный функционал позволяет BTF в проверках оперировать именем домена;
§ DNS Snooping подсматривает в UDP DNS ответы (только для записей типа A и CNAME)
§ База данных постоянно чистится и обновляется; § Рекомендуется включать только на тех интерфейсах, где присутствует UDP DNS трафик, обычно это Интернет-интерфейс.
39 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID
Версия ПО 8.4.1
В чём разница между разными релизами ПО Cisco ASA?
§ 8.4.2 последний релиз, работает на всех платформах;
§ При использовании ПО версий 8.3 и 8.4 может потребоваться добавить RAM*
§ 8.3 не поддерживается на 5585; 8.1 работает только на 5580;
§ Имейте ввиду, что на 5580 и 5585 используюся SMP-версии ПО.
* Для устройств выпущенных до февраля 2010: http://www.cisco.com/en/US/docs/security/asa/asa84/release/notes/asarn84.html#wp321918
Новый функционал в ASA 8.4
§ 8.4 использует 64-bit код; § Увеличено количество поддерживаемых соединений и VLAN;
§ Функции Port Channel и Bridge-Group; § Stateful failover для EIGRP и OSPF; § Дополнительные SNMP trap, улучшения Log Viewer в ASDM, TCP Ping, поиск информации в WhoIs и многое, многое другое ;)
§ Подробнее в примечании к выпущенному ПО: http://www.cisco.com/en/US/partner/products/ps6120/prod_release_notes_list.html
В версии 8.4.1 увеличено количество поддерживаемых сессий и VLAN
Модель Сессий (8.3)
Сессий (8.4)
Контекстов (8.3)
Контекстов (8.4)
VLAN (8.3)
VLAN (8.4)
5550 650K 650K 50 100 250 400
5580-20 1M 2M 50 250 250 1024
5580-40 2M 4M 50 250 250 1024
5585-10 750K 1M 50 100 250 1024
5585-20 1M 2M 50 250 250 1024
5585-40 2M 4M 50 250 250 1024
5585-60 2M 10M 50 250 250 1024
Что такое EtherChannel?
• Etherchannel позвоялет объединить до 8 физических Ethernet портов в один логический (стандарт IEEE 802.3ad);
• Свойства портов должны быть идентичны: скорость, дуплекс и т.д.;
• Преимущества EtherChannel это балансировка нагрузки и высокая доступность;
• Virtual Port Channels (vPC) наиболее новая реализация и позволяет множествам устройств разделять множество интерфейсов;
• vPC увеличивает производительность и надёжность, т.к. при расчётах spanning-tree считается за одно логическое соединение;
• vPC White paper: http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9402/white_paper_c11-516396.html
EtherChannel на Cisco ASA
§ Поддерживает как стандарт 802.3ad, так и LACP;
§ До 8 активных и до 8 резервных логических соединений;
§ Поддерживается во всех режимах;
§ Хэш-алгоритм настраивается (default is src/dest IP);
§ Использует один mac-адрес для всех физ. портов в группе;
§ Не поддерживается на 5505.
§ Алгоритм хэширования на ASA и на Nexus vPC должны совпадать;
§ Функции резервирования интерфейсов и EtherChannel эксклюзивны – можно использовать либо то, либо другое;
§ Нет поддержки динамической маршрутизации через L3 vPC; § Не поддерживается на модуле 4GE SSM (5540/50); § Позволяет контролировать состояние EtherChannel в целях отказоустойчивости;
§ В режиме основной/резервный создаёт разные EtherChannel при подключении к Catalyst 6K VSS*
Подробнее в руководстве по эксплуатации* : http://www.cisco.com/en/US/partner/products/ps6120/products_installation_and_configuration_guides_list.html
Рекомендации по применению
10.1.1.0 /24 – vlan 20
Management IP 10.1.1.100
10.1.1.0 /24 - vlan 10
До 8.4 8.4.1
vlan 150
vlan 151
vlan 101
Vlan 100
vlan 250
vlan 201
vlan 200
vlan 251
Bridge Group1 Bridge Group 2
vlan 400
vlan 301
vlan 300
Bridge Group 8
BVI1 BVI2 BVI8
§ До 4 VLAN на bridge-group; § 8 bridge-group на МСЭ или контекст виртуального МСЭ
Vlan 401
Bridge Group in ASA 8.4.1
Рекомендации по использованию Bridge Group
§ Внешнее L3-устройство требуется для маршрутизации между bridge group;
§ Интерфейсы не могут быть расшарены между bridge group; § BVI должен обязательно иметь IP адрес; § Одинаковые MAC-адреса могут существовать в двух и более разных bridge groups (LB, HSRP, SVI применения)*
* Дефект CSCti13482 на ASA (ASA SM не подвержен) вызывает сброс трафика в таком сценарии
Пример настройки: ASA 8.3 vs. ASA 8.4
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID
firewall transparent interface GigabitEthernet 0/0
nameif inside security 100 bridge-group 1
interface GigabitEthernet 0/1 nameif outside security 0 bridge-group 1
interface GigabitEthernet 0/2
nameif dmz security 50 bridge-group 1
interface GigabitEthernet 0/3
nameif inside security 51 bridge-group 1
interface BVI 1 Ip address 10.10.10.100 255.255.255.0
Transparent Firewall ASA 8.3 and Earlier
Transparent Firewall ASA 8.4
firewall transparent interface GigabitEthernet 0/0
nameif inside security-level 100
interface GigabitEthernet 0/1 nameif outside security-level 0 ip address 10.10.10.100 255.255.255.0
Версия ПО 8.4.2
Новые функци ASA 8.4.2
§ МСЭ на основоне идентификационной информации пользователя
§ Возможность использования FQDN-имён в политиках доступа;
§ PAT Pool Round Robin; § IPv6 Inspection; § Поддержка двух SSP в ASA 5585-40 и ASA 5585-60. Более подробно в примечании к выпуску: http://www.cisco.com/en/US/partner/docs/security/asa/asa84/release/notes/asarn84.html
МСЭ на основоне идентификационной информации пользователя
В ПО версии 8.4.2 появились две новых функции:
§ возможность оперировать в списках контроля доступа информаций о пользователе или его группой из Microsoft Active Directory;
§ возможность использования FQDN-имен в списках контроля доступа.
Компонент ПО Оборудование
ASA 5500 ASA 8.4(2) ASDM 6.4(x)
ASA 5505 ASA5510 ASA 5520 ASA 5540 ASA 5550 ASA 5580 ASA5585-X
AD Agent Windows 2003, Windows 2008, Windows 2008 R2
Intel Quad-core CPU 4GB of RAM 2 x 250GB HDD 1GE Network Interface
AD Domain Controller Windows 2003 Windows 2008 Server
Intel Quad-core CPU 4GB of RAM 2 x 250GB HDD 1GE Network Interface
Аппаратные и программные требования
Directory Servers 30
Пользователей на ASA 64,000
IP–адресов на пользователя 8
Групп в политике 256
Несколько групп в политике Да
Несколько доменов? Да
FQDN-политики? Да
МСЭ на основоне идентификационной информации пользователя - масштабируемость
Вопросы?
Спасибо! Просим Вас заполнить анкеты. Ваше мнение очень важно для нас.