itt van egy vendég bejegyzés, amelyet Don Crawley, az Accidental Administrator könyvsorozat szerzője küldött nekem. Ez egy részlet a legújabb: The Accidental Administrator: Cisco ASA Security Appliance: a Step-by-Step Configuration Guide
szó szerint több ezer parancs és Al-parancs áll rendelkezésre a Cisco security appliance konfigurálásához. Ahogy megismeri a készüléket, egyre több parancsot fog használni. Kezdetben azonban csak néhány parancs szükséges a készülék alapvető funkcióinak konfigurálásához. Az alapvető funkcionalitás úgy definiálható, hogy lehetővé teszi a belső gazdagépek számára a külső gazdagépek elérését, de nem teszi lehetővé a külső gazdagépek hozzáférését a belső gazdagépekhez. Ezenkívül a menedzsmentet legalább egy belső gazdagépről engedélyezni kell. Az alapvető funkciók engedélyezéséhez nyolc alapvető parancs van (ezek a parancsok a 8.3(1) vagy újabb szoftververzión alapulnak):
- interfész
- névha
- biztonsági szint
- ip-cím
- switchport hozzáférés
- objektum hálózat
- nat
- útvonal
interface
az interface parancs azonosítja a konfigurálandó hardver interfészt vagy a switch virtuális interfészt (VLAN interfész). Az interfész konfigurációs módban fizikai interfészeket rendelhet a switchportshoz, és engedélyezheti (bekapcsolhatja), vagy neveket és biztonsági szinteket rendelhet a VLAN interfészekhez.
nameif
a nameif parancs nevet ad az interfésznek, és biztonsági szintet rendel hozzá. Tipikus nevek kívül, belül vagy DMZ.
biztonsági szint
a biztonsági szintek 0-tól 100-ig terjedő numerikus értékek, amelyeket a készülék a forgalom irányítására használ. A forgalom a magasabb biztonsági szintű interfészekről az alacsonyabb biztonsági szintű interfészekre áramolhat, de nem fordítva. Hozzáférési listákat kell használni ahhoz, hogy a forgalom az alacsonyabb biztonsági szintekről a magasabb biztonsági szintekre áramolhasson. A külső interfész alapértelmezett biztonsági szintje 0. Belső felület esetén az alapértelmezett biztonsági szint 100. A következő mintakonfigurációban először az interface parancsot használjuk a belső és külső VLAN interfészek megnevezésére, majd a DMZ interfészt nevezzük el, és 50-es biztonsági szintet rendelünk hozzá. interfész vlan1 nameif belső interfész vlan2 nameif külső interfész vlan3 nameif DMZ biztonsági szint 50
ciscoasa(config)#
ciscoasa(config-if)#
INFO: a “belső” biztonsági szintje alapértelmezés szerint 100-ra van állítva.
ciscoasa(config-if)#
ciscoasa(config-if)#
INFO: a “külső” biztonsági szintje alapértelmezés szerint 0.
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ip-cím
az ip-cím parancs egy IP-címet rendel egy VLAN-interfészhez statikusan vagy DHCP-klienssé téve. A security appliance szoftver modern verzióival nem szükséges kifejezetten konfigurálni az alapértelmezett alhálózati maszkokat. Ha nem szabványos maszkokat használ, akkor kifejezetten konfigurálnia kell a maszkot, különben nem szükséges. interfész vlan 1 ip-cím 192.168.1.1
a következő mintakonfigurációban IP-címet rendelnek a VLAN 1-hez, a belső interfészhez.
ciscoasa(config-if)#
ciscoasa (config-if))#
switchport access
az ASA 5505 biztonsági készülék switchport access parancsa fizikai interfészt rendel egy logikai (VLAN) interfészhez. A következő példában az interface paranccsal azonosíthatók a fizikai interfészek, hozzárendelhetők a készülék switchportjaihoz, és engedélyezhetők (bekapcsolhatók). Ez a parancs nem használható az ASA 55×0 készülékeken. interfész ethernet 0/0 switchport hozzáférés vlan 2 nincs leállítás interfész ethernet 0/1 switchport hozzáférés vlan 1 nincs leállítás
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa (config-if) #
ciscoasa (config-if) #
obj_any objektumhálózat
az obj_any objektumhálózat utasítás létrehoz egy “obj_any”nevű objektumot. (Az objektumot nem kell “obj_any” – nak nevezni; ez egy leíró név, de ugyanolyan könnyen elnevezheti “Juan” – nak.) A hálózati opció kimondja, hogy ez az objektum IP-címeken alapul. Az alhálózat 0.0.0.0 0.0.0.0 parancs kimondja, hogy obj_any hatással lesz minden olyan IP-címre, amely nincs konfigurálva más objektumon.obj_any alhálózat obj_any 0.0.0.0 0.0.0.0
ciscoasa(config-if)#
ciscoasa(config-network-object)#
nat
a NAT utasítás, amint az alább látható, azt mondja a tűzfalnak, hogy engedélyezze a belső felületről a külső felületre áramló összes forgalom számára a dinamikusan konfigurált (DHCP) cím használatát a külső felületen.NAT (inside,outside) dinamikus interfész
ciscoasa(config)#
route
az útvonal parancs a legalapvetőbb formájában alapértelmezett útvonalat rendel a forgalomhoz, jellemzően az internetszolgáltató útválasztójához. Azt is fel lehet használni együtt access-listák küldeni bizonyos típusú forgalmat adott házigazdák adott alhálózatok. az outside azonosítja azt az interfészt, amelyen keresztül a forgalom az alapértelmezett útvonal eléréséhez áramlik. route outside 0 0 12.3.4.6
ebben a mintakonfigurációban a route paranccsal konfigurálható Az alapértelmezett útvonal az internetszolgáltató útválasztójához a 12.3.4.6. Az internetszolgáltató útválasztó címe előtti két nulla a 0.0.0.0 IP-cím és a 0.0.0.0 maszk rövidítése. A
ciscoasa(config-if)#
utasítás a fenti parancsok nagyon egyszerű tűzfalat hoznak létre, azonban egy kifinomult eszköz, például egy Cisco PIX vagy ASA biztonsági eszköz használata az ilyen alapvető tűzfalfunkciók végrehajtásához túlzás. hostname a tűzfal azonosítására, telnet vagy SSH a távoli adminisztráció engedélyezésére, DHCPD parancsok, amelyek lehetővé teszik a tűzfal számára, hogy IP-címeket rendeljen a belső gazdagépekhez, statikus útvonal-és hozzáférési lista parancsok, amelyek lehetővé teszik a belső gazdagépek, például a DMZ webszerverek vagy a DMZ levelezőszerverek elérését az internetes gazdagépek számára.
Egyéb használható parancsok közé tartozik
itt van egy minta alapkonfiguráció:
Minta alapkonfiguráció
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif belül
INFO: a “belső” biztonsági szintje 100 alapértelmezés szerint.
ciscoasa(config-if)# interface vlan2
ciscoasa(config-if)# nameif kívül
INFO: a “kívül” biztonsági szintje alapértelmezés szerint 0.
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport hozzáférés vlan 2
ciscoasa(config-if)# nincs leállítás
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if))# switchport hozzáférés VLAN 1
ciscoasa(config-if)# nincs leállítás
ciscoasa(config-if)# interfész VLAN 2
ciscoasa(config-if)# IP-cím 12.3.4.5
ciscoasa(config-if)# interfész vlan 1
ciscoasa(config-if)# ip-cím 192.168.1.1
ciscoasa(config-if)# útvonal kívül 0 0 12.3.4.6
ciscoasa(config-if)#objektum hálózat obj_any
ciscoasa(config-Network-Object)#alhálózat 0.0.0.0 0.0.0.0
ciscoasa(config)#nat (belső,külső) dinamikus interfész
ciscoasa(config)#exit
részlet a véletlen adminisztrátor: Cisco ASA security appliance: a lépésről-lépésre konfigurációs útmutató don R. Crawley
engedéllyel használható.
A szerzőről
a véletlen adminisztrátor: Cisco ASA Security Appliance: egy lépésről-lépésre konfigurációs útmutató és elnöke soundtraining.net egy Seattle-i, washingtoni székhelyű informatikai képzési cég. Ő egy veterán IT srác több mint 35 éves tapasztalattal rendelkezik a technológia a munkahelyen. Számos tanúsítvánnyal rendelkezik Microsoft, Cisco és Linux termékeken. Don elérhető a (206) 988-5858 telefonszámon www.soundtraining.net [email protected]
Don R. Crawley az Accidental Administrator könyvsorozat szerzője az informatikai szakemberek számára, beleértve a