zde je příspěvek hosta, který mi poslal Don Crawley, autor knihy náhodné Správce. Jedná se o výňatek z jeho nejnovější: náhodný Správce: Cisco ASA Security Appliance: krok za krokem konfigurační příručka
existují doslova tisíce příkazů a sub-příkazy k dispozici pro konfiguraci Cisco security appliance. Jakmile získáte znalosti o zařízení, budete používat stále více příkazů. Zpočátku však existuje jen několik příkazů potřebných ke konfiguraci základních funkcí na zařízení. Základní funkce je definována jako umožnění přístupu vnitřních hostitelů k vnějším hostitelům, ale neumožnění přístupu vnějších hostitelů k vnitřním hostitelům. Kromě toho musí být správa povolena alespoň od jednoho hostitele uvnitř. Chcete-li povolit základní funkce, existuje osm základních příkazů (tyto příkazy jsou založeny na verzi softwaru 8.3 (1) nebo vyšší):
- rozhraní
- nameif
- úroveň zabezpečení
- ip adresa
- switchport access
- objektová síť
- Nat
- trasa
rozhraní
příkaz rozhraní identifikuje buď hardwarové rozhraní, nebo virtuální rozhraní přepínače (rozhraní VLAN) to bude nakonfigurováno. Poté, co v režimu konfigurace rozhraní, můžete přiřadit fyzické rozhraní pro switchports a povolit (zapnout), nebo můžete přiřadit názvy a úrovně zabezpečení VLAN rozhraní.
nameif
příkaz nameif dává rozhraní název a přiřadí úroveň zabezpečení. Typická jména jsou venku, uvnitř nebo DMZ.
úroveň zabezpečení
úrovně zabezpečení jsou číselné hodnoty v rozmezí od 0 do 100, které spotřebič používá k řízení toku provozu. Provoz je povolen proudit z rozhraní s vyšší úrovní zabezpečení na rozhraní s nižší úrovní zabezpečení, ale ne naopak. Přístupové seznamy musí být použity k tomu, aby provoz proudil z nižších úrovní zabezpečení na vyšší úrovně zabezpečení. Výchozí úroveň zabezpečení pro vnější rozhraní je 0. Pro vnitřní rozhraní je výchozí úroveň zabezpečení 100. V následující ukázkové konfiguraci je příkaz interface nejprve použit k pojmenování vnitřních a vnějších rozhraní VLAN, poté je pojmenováno rozhraní DMZ a je mu přiřazena úroveň zabezpečení 50. interface vlan1 nameif inside interface vlan2 nameif outside interface vlan3 nameif dmz security-level 50
ciscoasa (config)#
CISCOASA (config-if)#
INFO: úroveň zabezpečení pro „inside“ nastavena na hodnotu 100 ve výchozím nastavení.
ciscoasa (config-if)#
ciscoasa (config-if)#
informace: úroveň zabezpečení pro „mimo“ je ve výchozím nastavení nastavena na 0.
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa (config-if)#
ip adresa
příkaz ip adresa přiřadí IP adresu rozhraní VLAN buď staticky, nebo tím, že z něj učiní klienta DHCP. U moderních verzí softwaru security appliance není nutné explicitně konfigurovat výchozí masky podsítě. Pokud používáte nestandardní masky, musíte masku explicitně nakonfigurovat, jinak to není nutné. rozhraní vlan 1 ip adresa 192.168.1.1
v následující konfiguraci vzorku je IP adresa přiřazena VLAN 1, vnitřnímu rozhraní.
ciscoasa (config-if)#
ciscoasa (config-if)#
switchport access
příkaz switchport access na ASA 5505 security appliance přiřadí fyzické rozhraní logickému (VLAN) rozhraní. V dalším příkladu se příkaz interface používá k identifikaci fyzických rozhraní, jejich přiřazení k přepínacím portům na zařízení a jejich povolení (zapnutí). Tento příkaz se nepoužívá u spotřebičů ASA 55×0. interface ethernet 0/0 switchport access vlan 2 no shutdown interface ethernet 0/1 switchport access vlan 1 no shutdown
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa (config-if) #
object network obj_any
příkaz obj_any obj_any vytvoří objekt nazvaný „obj_any“. (Nemusíte pojmenovat objekt „obj_any“; to je popisný název, ale můžete ho stejně snadno pojmenovat „Juan“.) Volba síť uvádí, že tento konkrétní objekt bude založen na IP adresách. Příkaz podsítě 0.0.0.0 0.0.0.0 uvádí, že obj_any ovlivní jakoukoli IP adresu, která není nakonfigurována na žádném jiném objektu.object network obj_any subnet 0.0.0.0 0.0.0.0
ciscoasa (config-if)#
ciscoasa (config-network-object)#
nat
příkaz Nat, jak je uvedeno níže, říká firewallu, aby umožnil veškerý provoz proudící z vnitřku do vnějšího rozhraní používat jakoukoli dynamicky nakonfigurovanou adresu (DHCP) na vnějším rozhraní.nat (uvnitř,venku) dynamické rozhraní
ciscoasa (config)#
route
příkaz route ve své nejzákladnější podobě přiřadí výchozí trasu pro provoz, typicky směrovači ISP. Může být také použit ve spojení s přístupovými seznamy k odesílání konkrétních typů provozu konkrétním hostitelům v konkrétních podsítích. mimo identifikuje rozhraní, přes které bude provoz proudit k dosažení výchozí trasy. trasa mimo 0 0 12.3.4.6
v této ukázkové konfiguraci se příkaz route používá ke konfiguraci Výchozí trasy k routeru ISP na 12.3.4.6. Dvě nuly před adresou routeru ISP jsou zkratkou pro IP adresu 0.0.0.0 a masku 0.0.0.0. Příkaz
ciscoasa (config-if)#
výše uvedené příkazy vytvářejí velmi základní firewall, nicméně použití sofistikovaného zařízení, jako je Cisco PIX nebo ASA security appliance k provádění takových základních funkcí brány firewall, je přehnané. název hostitele pro identifikaci brány firewall, telnet nebo SSH umožňující vzdálenou správu, příkazy DHCPD umožňující bráně firewall přiřadit IP adresy uvnitř hostitelů, a příkazy statické trasy a seznamu přístupů, které umožňují interním hostitelům, jako jsou webové servery DMZ nebo poštovní servery DMZ, přístup k internetovým hostitelům.
další příkazy k použití zahrnují
zde je konfigurace vzorové základny:
konfigurace vzorové základny
ciscoasa(config)# interface vlan1
CISCOASA(config-if)# nameif uvnitř
informace: úroveň zabezpečení pro „uvnitř“ je ve výchozím nastavení nastavena na 100.
ciscoasa(config-if)# interface vlan2
ciscoasa (config-if)# nameif mimo
INFO: úroveň zabezpečení pro „mimo“ je ve výchozím nastavení nastavena na 0.
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 1
ciscoasa(config-if) config-if)# no shutdown
ciscoasa(config-if)# interface VLAN 2
ciscoasa(config-if)# IP adresa 12.3.4.5
ciscoasa(config-if)# interface vlan 1
ciscoasa(config-if)# ip adresa 192.168.1.1
ciscoasa(config-if)# route outside 0 0 12.3.4.6
ciscoasa(config-if)#object network obj_any
ciscoasa(config-network-object)#subnet 0.0.0.0 0.0.0.0
ciscoasa(config)#nat (uvnitř,venku) dynamické rozhraní
ciscoasa(config)#exit
výňatek z náhodného Správce: Cisco ASA Security Appliance: průvodce konfigurací krok za krokem DON R.Crawley
používá se s povolením.
o autorovi
náhodný Administrátor: Cisco ASA Security Appliance: Průvodce konfigurací krok za krokem a prezident soundtraining.net Seattlu, Washington-založené IT školení firma. Je to Veterán IT chlap s více než 35 let zkušeností v oblasti technologií na pracovišti. Je držitelem několika certifikací na produkty Microsoft, Cisco a Linux. Don může být dosaženo na (206) 988-5858 www.soundtraining.net [email protected]
Don R. Crawley autor náhodné Správce série knih pro IT profesionály, včetně