引用Cisco官方的公告:


Internet密钥交换(IKE1版本的漏洞(V1)和IKE协议版本2v2Cisco ASA软件代码可能允许未经身份验证的远程***者造成的影响重装系统或远程执行代码。

该漏洞是由于受影响的代码区缓冲区溢出。***者可以通过发送特制的UDP数据包来利用此漏洞影响的系统。一个漏洞可能允许***者执行任意代码,获得系统的完全控制或导致重装系统的影响。

注意:只有流量定向到受影响的系统可以用来利用此漏洞。这个漏洞影响配置防火墙模式只在单个或多个上下文模式系统。此漏洞可以被触发的IPv4IPv6流量。

思科发布了软件更新,解决这个漏洞。

受影响的Cisco ASA软件对以下产品的运行可能会受此漏洞的影响:

Cisco ASA5500系列自适应安全设备

Cisco ASA5500-X系列下一代防火墙

Cisco ASA服务模块的Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器

Cisco ASA1000V云防火墙

Cisco自适应安全虚拟设备(ASAV

思科火力9300 ASA安全模块

思科ISA 3000工业安全设备


所以,在某大型企业的出口防火墙Cisco 5520也需要将IOS进行升级。


升级之前的准备工作(重要,必须要执行)

1、检查防火墙当前运行状态,包括防火墙面板指示灯,防火墙风扇,防火墙CPU、内存运行状态

当然,查看防火墙指示灯,风扇的运行只能是查看现场去查看

查看防火墙CPU、内存运行状态可以使用命令:

CiscoASA#show process cpu-usage
CiscoASA#show process memory


2、一定要注意把配置备份好,这个需要使用SecureCRT的记录会话功能,把show running-config中的内容导入到日志文件中

CiscoASA防火墙升级IOS版本需注意的问题_第1张图片

然后再用SecureCRT连接防火墙,输入show running-config,就可以把配置命令保存在本地的日志文件中了,这样也就不怕丢了配置到处抓瞎了。


注意:正常情况下,升级CiscoASA的IOS不会造成配置丢失,即使你从asa847-k8.bin升级到asa912-k8.bin,正常也都是命令自动会转换成当前version支持的命令。但不排除有命令丢失这种风险。


3、(非常重要)备份CiscoASA的License

在升级的过程中,如果丢失了配置或许还能够补救的话,但如果License弄丢了,那个可不好找,你需要重新和Cisco公司去联系才能找回License。

不过备份CiscoASA的License非常简单,只需要一条命令Show version就可以了

ciscoasa# show version 

*************************************************************************
**                                                                     **
**   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***   **
**                                                                     **
**          ----> Minimum Memory Requirements NOT Met! <----           **
**                                                                     **
**  Installed RAM: 1024 MB                                             **
**  Required  RAM: 2048 MB                                             **
**  Upgrade part#: ASA5520-MEM-2GB=                                    **
**                                                                     **
**  This ASA does not meet the minimum memory requirements needed to   **
**  run this p_w_picpath. Please install additional memory (part number      **
**  listed above) or downgrade to ASA version 8.2 or earlier.          **
**  Continuing to run without a memory upgrade is unsupported, and     **
**  critical system features will not function properly.               **
**                                                                     **
*************************************************************************

Cisco Adaptive Security Appliance Software Version 9.1(2) 
Device Manager Version 7.5(1)

Compiled on Thu 09-May-13 15:37 by builders
System p_w_picpath file is "disk0:/asa912-k8.bin"
Config file at boot was "startup-config"
<--- More --->
              

ciscoasa up 1 min 59 secs

Hardware:   ASA5520, 1024 MB RAM, CPU Pentium 4 Celeron 2000 MHz,
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB

Encryption hardware device : Cisco ASA-55xx on-board accelerator (revision 0x0)
                             Boot microcode        : CN1000-MC-BOOT-2.00 
                             SSL/IKE microcode     : CNLite-MC-SSLm-PLUS-2_05
                             IPSec microcode       : CNlite-MC-IPSECm-MAIN-2.08
                             Number of accelerators: 1

 0: Ext: GigabitEthernet0/0  : address is c84c.7561.88fe, irq 9
 1: Ext: GigabitEthernet0/1  : address is c84c.7561.88ff, irq 9
 2: Ext: GigabitEthernet0/2  : address is c84c.7561.8900, irq 9
 3: Ext: GigabitEthernet0/3  : address is c84c.7561.8901, irq 9
 4: Ext: Management0/0       : address is c84c.7561.8902, irq 11
 5: Int: Not used            : irq 11
 6: Int: Not used            : irq 5

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 150            perpetual
<--- More --->
              
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
Encryption-DES                    : Enabled        perpetual
Encryption-3DES-AES               : Enabled        perpetual
Security Contexts                 : 2              perpetual
GTP/GPRS                          : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other ××× Peers                   : 750            perpetual
Total ××× Peers                   : 750            perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco ××× Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 2              perpetual
Total UC Proxy Sessions           : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Intercompany Media Engine         : Disabled       perpetual
Cluster                           : Disabled       perpetual

This platform has an ASA 5520 ××× Plus license.

#这里就是防火墙的序列号与License,具体的号码我没有提供
Serial Number: J*********hV
Running Permanent Activation Key: 0x1***** 0x4******2 0x08******a8 0x******0 0x4******97 

Configuration register is 0x1
Configuration has not been modified since last system restart.


4、只有把备份工作做好了,才能规避可能出现的风险,然后就可以准备IOS镜像升级了

你需要准备的东西是:

FileZilla Server

防火IOS

注意:如果防火墙的型号是Cisco55xx-X,那你的IOS中必须有“smp”字样

本次升级项目使用的防火墙型号是Cisco5520,原有的IOS版本是asa741-k8.bin,于是,你必须遵照Cisco提供的升级顺序才能完成升级,最好不要跳级,否则容易丢失配置或者License

CiscoASA防火墙升级IOS版本需注意的问题_第2张图片

So the upgrade step should be 7.0->7.1->7.2->8.2->8.4(6)->9.1x

所以,必须升级到8.2,也就是asa821-k8.bin,再升级到8.4(6),也就是asa846.k8.bin,然后再升级到9.1(2),最后才能升级到9.1(3)或更高级,必须这样逐次提升。


升级操作其实比较简单,先用FileZilla搭建FTP,设置用户名test和密码haha

然后拷贝IOS镜像到ASA的闪存中

ciscoasa# copy ftp://test:[email protected]/asa847-k8.bin flash:
Address or name of remote host []?10.164.12.3
Source filename []? asa847-k8.bin
Destination filename [asa847-k8.bin]?

拷贝完成后,应该能用show flash:看见

ciscoasa# show flash:
-#- --length-- -----date/time------ path
  10          Mar 12 2011 18:52:14crypto_archive
  28515584    Jun 18 2010 05:53:48asa724-k8.bin
  34181246    Jun 18 2010 05:55:04securedesktop-asa-3.2.1.103-k9.pkg
  4398305     Jun 18 2010 05:55:30sslclient-win-1.1.0.154.pkg
 156514852    Mar 12 2011 03:46:24asdm-524.bin
 180          Feb 10 2014 09:27:06 log
 482289       Feb 23 2016 09:42:027_2_4_0_startup_cfg.sav
 490          Feb 10 2014 09:27:24coredumpinfo
 5059         Feb 10 2014 09:27:24coredumpinfo/coredump.cfg
 511138       Jul 04 2014 14:05:58upgrade_startup_errors_201407041405.log
 521138       Feb 23 2016 08:40:18upgrade_startup_errors_201602230840.log
 531138       Feb 23 2016 09:42:04upgrade_startup_errors_201602230942.log
 54 24809472   Feb 23 2016 11:14:52 asa847-k8.bin
 
210485248 bytes available (44818432 bytesused)


拷贝完成后,执行升级命令

ciscoasa# conf t
ciscoasa(config)# boot systemdisk0:/asa847-k8.bin
ciscoasa(config)# no boot systemdisk0:/asa724-k8.bin
ciscoasa(config)# exit
ciscoasa# reload
可以同时升级ASDM
ciscoasa(config)#asdm p_w_picpath filedisk0:/asdm-751.bin


升级操作完成后,必须达到以下标准

执行show vlan查看防火墙上vlan状态

执行show route查看防火墙路由表

使用ping命令检查各个业务连通性


要求:防火墙原有配置、策略不丢失,防火墙路由条目不丢失

2、防火墙当前运行的IOS软件版本符合升级后的软件版本

执行show version查看当前IOS软件版本

ASDM能够正常使用

3、防火墙运行状态正常,CPU、内存使用率未出现明显偏高的情形

执行show process cpu-usage

4、防火墙SSM工作正常

执行show module all查看防火墙模块