her er et gæstepost sendt til mig af Don. Det er et uddrag fra hans seneste: den utilsigtede Administrator: Cisco ASA Security Appliance: en trinvis konfigurationsvejledning
der er bogstaveligt talt tusinder af kommandoer og underkommandoer tilgængelige til at konfigurere et Cisco security appliance. Når du får kendskab til apparatet, bruger du flere og flere kommandoer. Oprindeligt er der dog kun et par kommandoer, der kræves for at konfigurere grundlæggende funktionalitet på apparatet. Grundlæggende funktionalitet defineres som at tillade indvendige værter at få adgang til eksterne værter, men ikke tillade eksterne værter at få adgang til de indvendige værter. Derudover skal ledelsen være tilladt fra mindst en indvendig vært. For at aktivere grundlæggende funktionalitet er der otte grundlæggende kommandoer(disse kommandoer er baseret på programversion 8.3 (1) eller nyere):
- interface
- navnhvis
- sikkerhedsniveau
- ip-adresse
- koblingsportadgang
- objektnetværk
- nat
- rute
interface
interfacekommandoen identificerer enten udstyrsgrænsefladen eller den virtuelle grænseflade (vlan-grænseflade), der skal konfigureres. Når du er i interfacekonfigurationstilstand, kan du tildele fysiske grænseflader til skifteporte og aktivere dem (slå dem til), eller du kan tildele navne og sikkerhedsniveauer til VLAN-grænseflader.
nameif
kommandoen nameif giver grænsefladen et navn og tildeler et sikkerhedsniveau. Typiske navne er udenfor, inde eller DM.
sikkerhedsniveau
sikkerhedsniveauer er numeriske værdier fra 0 til 100, der bruges af apparatet til at styre trafikstrømmen. Trafik er tilladt at flyde fra grænseflader med højere sikkerhedsniveauer til grænseflader med lavere sikkerhedsniveauer, men ikke den anden vej. Adgangslister skal bruges til at tillade trafik at strømme fra lavere sikkerhedsniveauer til højere sikkerhedsniveauer. Standard sikkerhedsniveauet for en ekstern grænseflade er 0. For en indvendig grænseflade er standardsikkerhedsniveauet 100. I den følgende prøvekonfiguration bruges interfacekommandoen først til at navngive de indvendige og udvendige VLAN-grænseflader, derefter navngives DMS-grænsefladen, og der tildeles et sikkerhedsniveau på 50. interface vlan1 nameif inside interface vlan2 nameif outside interface vlan3 nameif sikkerhedsniveau 50
ciscoasa(config)#
ciscoasa(config-if)#
INFO: sikkerhedsniveau for “inside” indstillet til 100 som standard.
ciscoasa (config-if)#
ciscoasa(config-if) #
INFO: sikkerhedsniveau for “udenfor” indstillet til 0 som standard.
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ip-adresse
ip-adressekommandoen tildeler en IP-adresse til en VLAN-grænseflade enten statisk eller ved at gøre den til en DHCP-klient. Med moderne versioner af sikkerhedsapparatprogrammer er det ikke nødvendigt at eksplicit konfigurere standardundernetmasker. Hvis du bruger ikke-standardmasker, skal du eksplicit konfigurere masken, ellers er det ikke nødvendigt. interface vlan 1 ip-adresse 192.168.1.1
i den følgende prøvekonfiguration tildeles en IP-adresse til VLAN 1, Den indvendige grænseflade.
ciscoasa (config-if) #
ciscoasa(config-if)#
koblingsadgang
kommandoen koblingsadgang på ASA 5505 security appliance tildeler en fysisk grænseflade til en logisk (VLAN) grænseflade. I det næste eksempel bruges interfacekommandoen til at identificere fysiske grænseflader, tildele dem til at skifte porte på apparatet og aktivere dem (tænde dem). Denne kommando bruges ikke på ASA 55h0 apparaterne. interface ethernet 0/0 koblingsadgang VLAN 2 ingen nedlukningsgrænseflade ethernet 0/1 koblingsadgang VLAN 1 ingen nedlukning
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
objektnetværk obj_any
objektnetværket obj_any-erklæring opretter et objekt kaldet “obj_any”. (Du behøver ikke at navngive objektet “obj_any”; det er et beskrivende navn, men du kan lige så let navngive det “Juan”.) Netværksindstillingen angiver, at netop dette objekt vil være baseret på IP-adresser. Kommandoen subnet 0.0.0.0 0.0.0.0 angiver, at obj_any vil påvirke enhver IP-adresse, der ikke er konfigureret på noget andet objekt.objektnetværk obj_any subnet 0.0.0.0 0.0.0.0
ciscoasa(config-if)#
ciscoasa(config-netværk-objekt)#
nat
nat-erklæringen, som vist nedenfor, fortæller brandvæggen at tillade al trafik, der strømmer fra indersiden til den udvendige grænseflade, at bruge den adresse, der er dynamisk (DHCP) konfigureret på den udvendige grænseflade.nat(inde,ude) dynamisk grænseflade
ciscoasa (config)#
rute
rutekommandoen tildeler i sin mest basale form en standardrute for trafik, typisk til en internetudbyders router. Det kan også bruges sammen med adgangslister til at sende bestemte typer trafik til specifikke værter på specifikke undernet. udenfor identificerer grænsefladen, gennem hvilken trafikken vil strømme for at nå standardruten. rute uden for 0 0 12.3.4.6
i denne prøvekonfiguration bruges rutekommandoen til at konfigurere en standardrute til internetudbyderens router på 12.3.4.6. De to nuller før internetudbyderens routeradresse er stenografi for en IP-adresse på 0.0.0.0 og en maske på 0.0.0.0. Erklæringen
ciscoasa (config-if) #
ovenstående kommandoer opretter en meget grundlæggende brandvæg, men ved hjælp af en sofistikeret enhed som f.eks. for at tillade fjernadministration, DHCPD-kommandoer for at tillade brandvæsenet at tildele IP-adresser til interne værter og statiske rute-og adgangslistekommandoer for at tillade interne værter som f.eks.
andre kommandoer, der skal bruges, inkluderer
her er en prøvebasekonfiguration:
Prøvebasekonfiguration
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
INFO: sikkerhedsniveau for “inside” indstillet til 100 som standard.
ciscoasa( config-if)# interface vlan2
ciscoasa(config-if) # nameif udenfor
INFO: sikkerhedsniveau for “udenfor” indstillet til 0 som standard.
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# omskiftningsadgang VLAN 2
ciscoasa(config-if)# ingen nedlukning
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if) VLAN 1
ciscoasa(config-if)# ingen nedlukning
ciscoasa(config-if)# interface vlan 2
ciscoasa(config-if)# IP-adresse 12.3.4.5
ciscoasa(config-if)# interface vlan 1
ciscoasa(config-if)# ip-adresse 192.168.1.1
ciscoasa(config-if)# rute uden for 0 0 12.3.4.6
ciscoasa(config-if)#objektnetværk obj_any
ciscoasa(config-netværk-objekt)#subnet 0.0.0.0 0.0.0.0
ciscoasa(config)#nat (inde,ude) dynamisk interface
ciscoasa(config)#Afslut
uddraget fra den utilsigtede administrator: Cisco ASA Security Appliance: en trinvis konfigurationsvejledning af Don R.
brugt med tilladelse.
om forfatteren
den utilsigtede Administrator: Cisco ASA Security Appliance: en trinvis konfigurationsvejledning og præsident for soundtraining.net et Seattle – baseret it-træningsfirma. Han er en veteran IT fyr med over 35 års erfaring i teknologi til arbejdspladsen. Han har flere certificeringer på Microsoft -, Cisco-og Cisco-produkter. Don kan nås på (206) 988-5858 www.soundtraining.net [email protected]
Don R. Forfatter af den utilsigtede Administratorserie af bøger til IT-fagfolk, herunder