oto post gościnny przysłany mi przez Dona Crawleya, autora serii Accidental Administrator book. Jest to fragment jego najnowszego: przypadkowy Administrator: Cisco ASA Security Appliance: Przewodnik Konfiguracji krok po kroku
istnieją dosłownie tysiące poleceń i podpowiedzi dostępnych do skonfigurowania urządzenia bezpieczeństwa Cisco. W miarę zdobywania wiedzy na temat urządzenia będziesz korzystać z coraz większej liczby poleceń. Początkowo jednak istnieje tylko kilka poleceń wymaganych do skonfigurowania podstawowej funkcjonalności urządzenia. Podstawowa funkcjonalność jest zdefiniowana jako zezwalanie wewnętrznym hostom na dostęp do zewnętrznych hostów, ale nie zezwalanie zewnętrznym hostom na dostęp do wewnętrznych hostów. Ponadto zarządzanie musi być dozwolone z co najmniej jednego wewnętrznego hosta. Aby włączyć podstawową funkcjonalność, istnieje osiem podstawowych poleceń (te polecenia są oparte na oprogramowaniu w wersji 8.3 (1) lub nowszej):
- interfejs
- nazwaif
- poziom bezpieczeństwa
- adres ip
- dostęp switchport
- sieć obiektu
- nat
- trasa
interfejs
polecenie interfejs identyfikuje interfejs sprzętowy lub interfejs wirtualny przełącznika (interfejs VLAN), który zostanie skonfigurowany. Po przejściu w tryb konfiguracji interfejsu, możesz przypisać fizyczne interfejsy do switchports i włączyć je (włączyć) lub możesz przypisać nazwy i poziomy zabezpieczeń do interfejsów VLAN.
nameif
polecenie nameif nadaje interfejsowi nazwę i przypisuje poziom bezpieczeństwa. Typowe nazwy to outside, inside lub DMZ.
poziom bezpieczeństwa
poziomy bezpieczeństwa są wartościami liczbowymi, w zakresie od 0 do 100, używanymi przez urządzenie do sterowania przepływem ruchu. Ruch może płynąć z interfejsów o wyższych poziomach bezpieczeństwa do interfejsów o niższych poziomach bezpieczeństwa, ale nie w drugą stronę. Listy dostępu muszą być używane w celu umożliwienia przepływu ruchu z niższych poziomów bezpieczeństwa do wyższych poziomów bezpieczeństwa. Domyślny poziom bezpieczeństwa interfejsu zewnętrznego to 0. W przypadku interfejsu wewnętrznego domyślnym poziomem zabezpieczeń jest 100. W poniższej przykładowej konfiguracji, polecenie interface jest najpierw używane do nazwania wewnętrznych i zewnętrznych interfejsów VLAN, następnie zostaje nazwany interfejs DMZ i przypisany jest do niego poziom bezpieczeństwa 50. interfejs vlan1 nameif wewnętrzny Interfejs vlan2 nameif zewnętrzny interfejs vlan3 nameif dmz poziom bezpieczeństwa 50
ciscoasa(config)#
ciscoasa(config-if)#
INFO: poziom bezpieczeństwa dla „wewnątrz” ustawiony domyślnie na 100.
ciscoasa(config-if)#
ciscoasa(config-if)#
INFO: poziom bezpieczeństwa dla „Na Zewnątrz” ustawiony domyślnie na 0.
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
adres ip
polecenie IP address przypisuje adres IP do interfejsu VLAN statycznie lub czyniąc go klientem DHCP. W przypadku nowoczesnych wersji oprogramowania security appliance nie jest konieczne jawne konfigurowanie domyślnych masek podsieci. Jeśli używasz niestandardowych masek, musisz ją jawnie skonfigurować, w przeciwnym razie nie jest to konieczne. interfejs VLAN 1 adres ip 192.168.1.1
w poniższej przykładowej konfiguracji adres IP jest przypisany do VLAN 1, wewnętrznego interfejsu.
ciscoasa(config-if)#
ciscoasa (config-if)#
switchport access
polecenie switchport access w urządzeniu zabezpieczającym ASA 5505 przypisuje fizyczny interfejs do interfejsu logicznego (VLAN). W następnym przykładzie Komenda interface służy do identyfikacji fizycznych interfejsów, przypisania ich do przełączników na urządzeniu oraz ich włączania (włączania). Polecenie to nie jest używane w urządzeniach ASA 55×0. interfejs ethernet 0/0 switchport access vlan 2 bez wyłączania interfejs ethernet 0/1 switchport access vlan 1 bez wyłączania
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(Config-if)#
ciscoasa(config-if)#
object network obj_any
polecenie objective Network obj_any tworzy obiekt o nazwie „obj_any”. (Nie musisz nazywać obiektu „obj_any”; jest to nazwa opisowa, ale równie łatwo możesz nazwać go „Juan”.) Opcja sieciowa stwierdza, że ten konkretny obiekt będzie oparty na adresach IP. Polecenie podsieć 0.0.0.0 0.0.0.0 stwierdza, że obj_any wpłynie na każdy adres IP nie skonfigurowany na żadnym innym obiekcie.object network obj_any subnet 0.0.0.0 0.0.0.0
ciscoasa(config-if)#
ciscoasa(config-network-object)#
nat
Instrukcja nat, jak pokazano poniżej, mówi zaporze, aby umożliwić cały ruch płynący z wnętrza do interfejsu zewnętrznego, aby używać dowolnego adresu dynamicznie (DHCP) skonfigurowany na zewnętrznym interfejsie.nat (inside,outside) dynamic interface
ciscoasa(config)#
route
polecenie route, w swojej najbardziej podstawowej formie, przypisuje domyślną trasę dla ruchu, zazwyczaj routerowi dostawcy usług internetowych. Może być również używany w połączeniu z listami dostępu do wysyłania określonych typów ruchu do określonych hostów w określonych podsieciach. outside identyfikuje interfejs, przez który ruch będzie płynął, aby dotrzeć do domyślnej trasy. route outside 0 0 12.3.4.6
w tej przykładowej konfiguracji polecenie route służy do skonfigurowania domyślnej trasy do routera ISP w wersji 12.3.4.6. Dwa zera przed adresem routera ISP są skrótem od adresu IP 0.0.0.0 i maski 0.0.0.0. Instrukcja
ciscoasa(config-if)#
powyższe polecenia tworzą bardzo podstawową zaporę ogniową, jednak użycie wyrafinowanego urządzenia, takiego jak Cisco PIX lub asa security appliance do wykonywania takich podstawowych funkcji zapory jest przesadą. Nazwa hosta w celu identyfikacji zapory sieciowej, telnet lub SSH w celu umożliwienia zdalnej administracji, polecenia DHCPD pozwalające zaporze na przypisywanie adresów IP do hostów wewnętrznych oraz statyczne polecenia route I access-list, aby umożliwić hostom wewnętrznym, takim jak serwery WWW DMZ lub Serwery Pocztowe DMZ, dostęp do hostów internetowych.
inne polecenia do użycia to
oto przykładowa konfiguracja bazowa:
Przykładowa konfiguracja bazowa
ciscoasa(config)# interfejs vlan1
ciscoasa(config-if) # nameif inside
INFO: poziom bezpieczeństwa dla „inside” ustawiony na domyślnie 100.
ciscoasa( config-if) # interfejs vlan2
ciscoasa(config-if)# nameif outside
INFO: poziom bezpieczeństwa dla „outside” ustawiony domyślnie na 0.
ciscoasa(config-if)# interfejs ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# brak wyłączenia
ciscoasa(config-if)# interfejs ethernet 0/1
ciscoasa(config-if)# switchport access VLAN 1
ciscoasa(config-if)# brak zamykania
ciscoasa(config-if)# interfejs VLAN 2
ciscoasa(config-if)# adres IP 12.3.4.5
ciscoasa(config-if)# interfejs VLAN 1
ciscoasa(config-if)# adres ip 192.168.1.1
ciscoasa(config-if)# trasa poza 0 0 12.3.4.6
ciscoasa(config-if)#sieć obiektów obj_any
ciscoasa(config-Network-Object)#podsieć 0.0.0.0 0.0.0.0
ciscoasa(config)#nat (wewnątrz,na zewnątrz) dynamiczny interfejs
ciscoasa(config)#wyjście
fragment z przypadkowego administratora: Cisco ASA Security Appliance: krok po kroku przewodnik konfiguracji autorstwa Dona R. crawleya
używany za zgodą.
o autorze
przypadkowy Administrator: Cisco ASA Security Appliance: Przewodnik Konfiguracji krok po kroku i prezes soundtraining.net firma szkoleniowa z siedzibą w Seattle w stanie Waszyngton. Jest weteranem IT z ponad 35-letnim doświadczeniem w technologii w miejscu pracy. Posiada wiele certyfikatów dotyczących produktów Microsoft, Cisco i Linux. Don można skontaktować się z (206) 988-5858 www.soundtraining.net [email protected]
Don R. Crawley autor serii książek dla informatyków, w tym