Her er et gjestepost sendt til Meg Av Don Crawley, forfatter av Den Utilsiktede Administratorbokserien. Det er et utdrag fra hans siste: The Accidental Administrator: Cisco ASA Security Appliance: A Step-by-Step Configuration Guide
det er bokstavelig talt tusenvis av kommandoer og underkommandoer tilgjengelig for å konfigurere Et Cisco security appliance. Når du får kunnskap om apparatet, vil du bruke flere og flere av kommandoene. I utgangspunktet er det imidlertid bare noen få kommandoer som kreves for å konfigurere grunnleggende funksjonalitet på apparatet. Grunnleggende funksjonalitet er definert som å tillate interne verter å få tilgang til eksterne verter, men ikke tillate eksterne verter å få tilgang til interne verter. I tillegg må ledelsen tillates fra minst en innvendig vert. For å aktivere grunnleggende funksjonalitet finnes det åtte grunnleggende kommandoer (disse kommandoene er basert på programvareversjon 8.3 (1) eller nyere):
- grensesnitt
- nameif
- sikkerhetsnivå
- ip-adresse
- switchport access
- objektnettverk
- nat
- rute
grensesnitt
grensesnittkommandoen identifiserer maskinvaregrensesnittet eller vlan-grensesnittet (switch virtual interface) som skal konfigureres. Når du er i grensesnittkonfigurasjonsmodus, kan du tilordne fysiske grensesnitt til switchports og aktivere dem (slå dem på), eller du kan tilordne navn og sikkerhetsnivåer TIL VLAN-grensesnitt.
nameif
kommandoen nameif gir grensesnittet et navn og tildeler et sikkerhetsnivå. Typiske navn er utenfor, inne eller DMZ.
sikkerhetsnivå
Sikkerhetsnivåer er numeriske verdier, fra 0 til 100, som brukes av apparatet til å kontrollere trafikkflyten. Trafikk tillates å strømme fra grensesnitt med høyere sikkerhetsnivåer til grensesnitt med lavere sikkerhetsnivåer, men ikke omvendt. Access-lister må brukes til å tillate trafikk til å flyte fra lavere sikkerhetsnivåer til høyere sikkerhetsnivåer. Standard sikkerhetsnivå for et eksternt grensesnitt er 0. For et innvendig grensesnitt er standard sikkerhetsnivå 100. I følgende eksempelkonfigurasjon brukes grensesnittkommandoen først til å nevne innsiden OG utsiden AV vlan-grensesnittene, DA ER DMZ-grensesnittet navngitt og et sikkerhetsnivå på 50 er tildelt det. grensesnitt vlan1 navnhvis inne grensesnitt vlan2 navnhvis utenfor grensesnitt vlan3 navnhvis dmz sikkerhetsnivå 50
ciscoasa(config)#
ciscoasa(config-if)#
INFO: Sikkerhetsnivå for «innsiden» satt til 100 som standard.
ciscoasa(config-if)#
ciscoasa(config-if)#
INFO: Sikkerhetsnivå for «utenfor» satt til 0 som standard.
ciscoasa(config-if)#
ciscoasa (config-if) #
ciscoasa(config-if) #
ip-adresse
kommandoen ip-adresse tilordner EN IP-adresse til ET vlan-grensesnitt enten statisk eller VED å gjøre DET TIL EN DHCP-klient. Med moderne versjoner av security appliance-programvaren er det ikke nødvendig å eksplisitt konfigurere standard nettverksmasker. Hvis du bruker ikke-standard masker, må du eksplisitt konfigurere masken, ellers er det ikke nødvendig. grensesnitt vlan 1 ip-adresse 192.168.1.1
I følgende eksempelkonfigurasjon tilordnes EN IP-adresse TIL VLAN 1, det indre grensesnittet.
ciscoasa(config-if)#
ciscoasa (config-if))#
switchport access
kommandoen switchport access på ASA 5505 security appliance tilordner et fysisk grensesnitt til et logisk (VLAN) grensesnitt. I det neste eksemplet brukes grensesnittkommandoen til å identifisere fysiske grensesnitt, tilordne dem til switchports på apparatet og aktivere dem (slå dem på). Denne kommandoen brukes ikke på ASA 55×0-apparatene. grensesnitt ethernet 0/0 switchport tilgang vlan 2 ingen avslutning grensesnitt ethernet 0/1 switchport tilgang vlan 1 ingen avslutning
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
object network obj_any
object network obj_any-setningen oppretter et objekt som heter «obj_any». (Du trenger ikke å nevne objektet «obj_any»; det er et beskrivende navn, men du kan like gjerne nevne Det «Juan».) Nettverksalternativet sier at dette bestemte objektet vil være basert PÅ IP-adresser. Kommandoen subnet 0.0.0.0 0.0.0.0 sier at obj_any vil påvirke EN IP-adresse som ikke er konfigurert på et annet objekt.object network obj_any subnet 0.0.0.0 0.0.0.0
ciscoasa(config-if)#
ciscoasa(config-network-object)#
nat
nat-setningen, som vist nedenfor, forteller brannmuren at all trafikk som strømmer fra innsiden til utsiden, kan bruke hvilken adresse som helst dynamisk (DHCP) konfigurert på utsiden grensesnittet.nat(innvendig,utvendig) dynamisk grensesnitt
ciscoasa (config)#
rute
rutekommandoen, i sin mest grunnleggende form, tilordner en standardrute for trafikk, vanligvis til en isp-ruter. Den kan også brukes sammen med tilgangslister for å sende bestemte typer trafikk til bestemte verter på bestemte delnett. utenfor identifiserer grensesnittet der trafikken vil flyte for å nå standardruten. rute utenfor 0 0 12.3.4.6
i denne eksempelkonfigurasjonen brukes rutekommandoen til å konfigurere en standardrute til internett-LEVERANDØRENS ruter på 12.3.4.6. DE to nullene før internett-LEVERANDØRENS ruteradresse er stenografi for EN IP-adresse på 0.0.0.0 og en maske på 0.0.0.0. Setningen
ciscoasa(config-if)#
kommandoene ovenfor skaper en veldig grunnleggende brannmur, men ved hjelp Av en sofistikert enhet som En Cisco PIX eller ASA security appliance for å utføre slike grunnleggende brannmurfunksjoner er overkill. vertsnavn for å identifisere brannmuren, telnet eller SSH for å tillate ekstern administrasjon, DHCPD-kommandoer for å tillate brannmuren å tildele IP-adresser til interne verter, og statiske rute-og tilgangslistekommandoer for å tillate interne verter som DMZ-Webservere eller DMZ-postservere å være tilgjengelige For internett-verter.
Andre kommandoer som skal brukes inkluderer
her er et eksempel på grunnkonfigurasjon:
Eksempel På Grunnkonfigurasjon
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
INFO: Sikkerhetsnivå for «inside» satt til 100 som standard.
ciscoasa(config-if)# interface vlan2
ciscoasa(config-if)# nameif utenfor
INFO: Sikkerhetsnivå for «utenfor» satt til 0 som standard.
ciscoasa(config-if)# grensesnitt ethernet 0/0
ciscoasa(config-if)# switchport tilgang vlan 2
ciscoasa(config-if)# ingen avslutning
ciscoasa(config-if)# grensesnitt ethernet 0/1
ciscoasa(config-if))# switchport tilgang vlan 1
ciscoasa(config-if)# ingen avslutning
ciscoasa(config-if)# grensesnitt vlan 2
ciscoasa(config-if)# ip-adresse 12.3.4.5
ciscoasa(config-if)# grensesnitt vlan 1
ciscoasa(config-if)# ip-adresse 192.168.1.1
ciscoasa(config-if)# rute utenfor 0 0 12.3.4.6
ciscoasa(config-if)#objektnettverk obj_any
ciscoasa(config-network-object)#subnet 0.0.0.0 0.0.0.0
ciscoasa(config)#nat (innvendig,utvendig) dynamisk grensesnitt
ciscoasa(config)#exit
utdrag fra utilsiktet administrator: cisco asa security appliance: en trinnvis konfigurasjonsveiledning av don r. crawley
brukt med tillatelse.
om forfatteren
Den Utilsiktede Administratoren: Cisco ASA Security Appliance: En Trinnvis Konfigurasjonsveiledning og Leder for soundtraining.net Et Seattle, Washington-basert IT-treningsfirma. Han er en veteran IT fyr med over 35 års erfaring i teknologi for arbeidsplassen. Han har flere sertifiseringer På Microsoft, Cisco og Linux-produkter. Don kan nås på (206) 988-5858 www.soundtraining.net [email protected]
Don R. Crawley forfatter Av Accidental Administrator-serien av bøker for IT-fagfolk, inkludert