Cisco ASAセキュリティアプライアンスの8つの最も重要なコマンド

ここにドンCrawley、偶然の管理者の本シリーズの著者によって私に送られるゲストのポスト それは彼の最新のものからの抜粋です:偶然の管理者:Cisco ASA Security Appliance:A Step-by-Step Configuration Guide

Cisco security applianceを設定するために利用できるたくさんのコマンドおよびサブコマン アプライアンスの知識を得ると、ますます多くのコマンドが使用されます。 ただし、最初は、アプライアンスの基本機能を設定するために必要なコマンドはいくつかあります。 基本的な機能は、内部ホストに外部ホストへのアクセスを許可するが、外部ホストに内部ホストへのアクセスを許可しないと定義されています。 さらに、少なくとも1つの内部ホストから管理を許可する必要があります。 基本機能を有効にするには、8つの基本コマンドがあります(これらのコマンドは、ソフトウェアバージョン8.3(1)以降に基づいています)。:インターフェイス

  • nameif
  • セキュリティレベル
  • ipアドレス
  • スイッチポートアクセス
  • オブジェクトネットワーク
  • nat
  • ルート
  • interface

    interfaceコマンドは、設定されるハードウェアインターフェイスまたはスイッチ仮想インターフェイスvlanインターフェイスのいずれかを識別します。 インターフェイス設定モードになったら、物理インターフェイスをスイッチポートに割り当てて有効にする(オンにする)か、名前とセキュリティレベルをVLAN

    nameif

    nameifコマンドはインターフェイスに名前を与え、セキュリティレベルを割り当てます。 一般的な名前は、outside、inside、またはDMZです。

    セキュリティレベル

    セキュリティレベルは、トラフィックの流れを制御するためにアプライアンスによって使用される0~100の数値です。 トラフィックは、より高いセキュリティレベルのインターフェイスから、より低いセキュリティレベルのインターフェイスへと流れることが許可されますが、それ以外の方法では許可されません。 アクセスリストは、トラフィックが低いセキュリティレベルから高いセキュリティレベルに流れることを許可するために使用する必要があります。 外部インターフェイスのデフォルトのセキュリティレベルは0です。 内部インターフェイスの場合、デフォルトのセキュリティレベルは100です。 次の設定例では、最初にinterfaceコマンドを使用して内部および外部VLANインターフェイスに名前を付け、次にDMZインターフェイスに名前を付け、セキュリティレ セキュリティレベル50

    ciscoasa(config)#

    CISCOASA(config-if)#

    INFO:”inside”のセキュリティレベルはデフォルトで100に設定されています。

    ciscoasa(config-if)#

    CISCOASA(config-if)#

    INFO:”outside”のセキュリティレベルはデフォルトで0に設定されています。Ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ip address

    ip addressコマンドは、静的に、またはDHCPクライアントにすることによって、IPアドレスをVLANインターフェイスに割 最新バージョンのセキュリティアプライアンスソフトウェアでは、デフォルトのサブネットマスクを明示的に設定する必要はありません。 非標準マスクを使用している場合は、マスクを明示的に設定する必要があります。 192.168.1.1

    次の設定例では、内部インターフェイスであるVLAN1にIPアドレスが割り当てられています。

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ASA5505セキュリティアプライアンスのswitchport accessコマンドは、物理インターフェイスを論理VLANインターフェイスに割り当てます。 次の例では、interfaceコマンドを使用して、物理インターフェイスを識別し、アプライアンスのスイッチポートに割り当て、それらを有効にします(オンにします)。 このコマンドは、ASA55x0アプライアンスでは使用されません。 インターフェイスイーサネット0/1スイッチポートアクセスvlan1シャットダウンなし

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    ciscoasa(config-if)#

    オブジェクトネットワークobj_any

    オブジェクトネットワークobj_anyステートメントは、”obj_any”というオブジェクトを作成します。 これはわかりやすい名前ですが、”Juan”という名前を簡単に付けることができます。)Networkオプションは、この特定のオブジェクトがIPアドレスに基づいていることを示します。 Subnet0.0.0.0 0.0.0.0コマンドは、obj_anyが他のオブジェクトで構成されていないIPアドレスに影響を与えることを示します。オブジェクトネットワークobj_any subnet0.0.0.0 0.0.0.0

    ciscoasa(config-if)#

    ciscoasa(config-network-object)#

    nat

    natステートメントは、以下に示すように、内部から外部インターフェイスに流れるすべ外インターフェイス。nat(inside,outside)dynamic interface

    ciscoasa(config)#

    route

    routeコマンドは、最も基本的な形式で、トラフィックのデフォルトルートを、通常はISPのルータに割り当てます。 また、アクセスリストと組み合わせて使用して、特定のサブネット上の特定のホストに特定のタイプのトラフィックを送信することもできます。 outsideは、トラフィックがデフォルトルートに到達するために流れるインターフェイスを識別します。 route outside0 0 12.3.4.6

    この設定例では、routeコマンドを使用して、12.3.4.6のISPのルータへのデフォルトルートを設定します。 ISPのルーターアドレスの前の二つのゼロは、IPアドレス0.0.0.0とマスク0.0.0.0の省略形です。 文

    ciscoasa(config-if)#

    上記のコマンドは非常に基本的なファイアウォールを作成しますが、そのような基本的なファイアウォール機能を実行するのにCisco PIXまたはASAセキ ファイアウォールを識別するhostname、リモート管理を可能にするtelnetまたはSSH、ファイアウォールが内部ホストにIPアドレスを割り当てることを可能にするDHCPDコ

    使用する他のコマンドは次のとおりです。

    サンプルベース設定は次のとおりです。

    サンプルベース設定は次のとおりです。

    ciscoasa(config)#interface vlan1

    ciscoasa(config-if)#nameif inside

    INFO:”inside”のセキュリティレベルは100に設定されています。デフォルト。

    ciscoasa(config-if)#インターフェイスvlan2

    ciscoasa(config-if)#nameif outside

    INFO:”outside”のセキュリティレベルはデフォルトで0に設定されています。

    ciscoasa(config-if)#インターフェイスイーサネット0/0

    ciscoasa(config-if)#スイッチポートアクセスvlan2

    ciscoasa(config-if)#シャットダウンなし

    ciscoasa(config-if)#インターフェイスイーサネット0/1

    ciscoasa(config-if)#インターフェイスイーサネット0/1

    ciscoasa(config-if)#スイッチポートアクセスvlan2

    ciscoasa(config-if)#スイッチポートアクセスvlan2

    ciscoasa(config-if)#シャットダウンなし

    ciscoasa(config-if)#シャットダウンなし

    #スイッチポートアクセスvlan1

    ciscoasa(config-if)#シャットダウンなし

    ciscoasa(config-if)#インターフェイスvlan2

    ciscoasa(config-if)#ipアドレス12.3.4。5

    ciscoasa(config-if)#インターフェイスvlan1

    ciscoasa(config-if)#ipアドレス192.168.1.1

    ciscoasa(config-if)#0外のルート0 12.3.4.6

    ciscoasa(config-if)#オブジェクトネットワークobj_any

    ciscoasa(config-if)#ipアドレス192.168.1.1

    ciscoasa(config-if)#ipアドレス192.168.1.1

    ciscoasa(config-if)#ipアドレス192.168.1.1

    ciscoasa(9026>

    ciscoasa(config-network-object)#subnet0.0.0.0 0.0.0.0

    ciscoasa(config)#nat(inside,outside)動的インターフェイス

    ciscoasa(config)#exit

    偶発的な管理者からの抜粋:cisco asa security appliance:a step-by-step configuration guide by don r.crawley

    許可により使用されます。

    著者について

    説明:Don_Crwaley_Photo_.png

    偶発的な管理者:Cisco ASAセキュリティアプライアンス:ステップバイステップの設定ガイドと社長soundtraining.net ワシントン州シアトルに拠点を置くITトレーニング会社。 彼は職場のための技術で35年以上の経験を持つベテランのIT男です。 彼は、Microsoft、Cisco、およびLinux製品に関する複数の認定を保持しています。 ドンは(206)988-5858で達することができますwww.soundtraining.net [email protected]

    ドンR. Itプロフェッショナルのための本の偶発的な管理者シリーズのクローリー著者

    コメントを残す

    メールアドレスが公開されることはありません。