Asa üzerinde kullanabileceğimiz 2 adet CSC kart çeşidi bulunmaktadır.CSC-SSM-10 ve CSC-SSM-20 modelleridir.Aslında ikisininde yaptığı iş aynıdır.Aralarındaki tek fark cpu ve ram kapasitelerinin farklı olması ve daha iyi performans sağlıyor olmasıdır.Modülün üzerinde sadece 1 adet gigabitethernet bakır kablo (rj45) interface’i bulunmaktadır.Trend micro mimarisini kullanarak database’ini güncel tutmaktadır.CSC-SSM sadece http,ftp,pop3 ve smtp trafiğinin analizini yapabilmektedir, bu sebeple bahsettiğimiz tipteki trafikleri CSC kartımıza yönlendirerek gerekli kötü kod analizleri ve zararlıları bulabilmesi için gerekli ortamı oluşturuyoruz.
access-list CSC extended permit tcp any any eq www
access-list CSC extended permit tcp any any eq ftp
access-list CSC extended permit tcp any any eq smtp
access-list CSC extended permit tcp any any eq pop3
İlk olarak hangi trafiklerin inspect edileceğini belli edecek bir erişim listesi oluşturuyoruz.Ben örneğimde tüm inspect edebildiği trafik tipleri için tüm oluşan trafiği belirtiyorum.
class-map CSC_ClassMap
match access-list CSC
Layer3-4 bir class map ile trafiğimizin match olması için access listemizi gösteriyoruz.
policy-map CSC_PolicyMap
class CSC_ClassMap
csc fail-open
Class map içerisindeki match edilmiş trafiğin layer 3-4 policy-map içerisinde ne tür bir aksiyona uğrayacağını belli ediyoruz edebilmek için Class-Map’imizi Policy-map ile ilişkilendiriyoruz.”fail-open” syntax’ı ile eğer olurda CSC-SSM modülü hata verirse trafiğin kesilmeden devam edebileceğini söylüyoruz.Kritik networklerde “fail-close” syntax’ı kullanılarak trafiğin kesilmesi sağlanabilir.
service-policy CSC_PolicyMap interface outside
service-policy CSC_PolicyMap interface inside
Son olarak yukarıda aksiyonu belli edilmiş match olan trafiği inside ve outside interface için hem ingress hem de egress yönünde bidirectional olarak çalışmasını söylüyoruz.
