Iată un post de invitat trimis de Don Crawley, autorul seriei de cărți accidentale Administrator. Este un fragment din ultimul său: administratorul Accidental: Cisco ASA Security Appliance: un ghid de configurare pas cu pas
există literalmente mii de comenzi și sub-Comenzi disponibile pentru a configura un aparat de securitate Cisco. Pe măsură ce obțineți cunoștințe despre aparat, veți folosi din ce în ce mai multe comenzi. Inițial, însă, există doar câteva comenzi necesare pentru a configura funcționalitatea de bază pe aparat. Funcționalitatea de bază este definită ca permițând gazdelor interioare să acceseze gazde exterioare, dar nu permițând gazdelor exterioare să acceseze gazdele interioare. În plus, managementul trebuie să fie permis de la cel puțin o gazdă din interior. Pentru a activa funcționalitatea de bază, există opt comenzi de bază (aceste comenzi se bazează pe versiunea software 8.3 (1) sau mai mare):
- interfață
- numedacă
- nivel de securitate
- adresă ip
- acces switchport
- rețea obiect
- nat
- traseu
interfață
comanda de interfață identifică fie interfața hardware, fie interfața virtuală switch (interfața VLAN) care va fi configurată. Odată ajuns în modul de configurare a interfeței, puteți atribui interfețe fizice la comutatoare și le puteți activa (activați-le) sau puteți atribui nume și niveluri de securitate interfețelor VLAN.
nameif
comanda nameif dă interfeței un nume și atribuie un nivel de securitate. Numele tipice sunt în exterior, în interior sau DMZ.
nivel de securitate
nivelurile de securitate sunt valori numerice, cuprinse între 0 și 100, utilizate de aparat pentru a controla fluxul de trafic. Traficul este permis să curgă de la interfețe cu niveluri de securitate mai ridicate la interfețe cu niveluri de securitate mai scăzute, dar nu invers. Listele de acces trebuie utilizate pentru a permite traficului să curgă de la niveluri de securitate mai scăzute la niveluri de securitate mai ridicate. Nivelul de securitate implicit pentru o interfață exterioară este 0. Pentru o interfață interioară, nivelul de securitate implicit este 100. În următoarea configurație a eșantionului, comanda de interfață este utilizată mai întâi pentru a denumi interfețele VLAN interioare și exterioare, apoi interfața DMZ este denumită și i se atribuie un nivel de securitate de 50. interface VLAN1 nameif inside interface vlan2 nameif outside interface vlan3 nameif dmz security-level 50
ciscoasa(config)#
ciscoasa(config-if)#
INFO: nivelul de securitate pentru „inside” este setat implicit la 100.
ciscoasa(config-if)#
ciscoasa(config-if)#
INFO: nivelul de securitate pentru „outside” este setat implicit la 0.
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
adresa ip
comanda adresă ip atribuie o adresă IP unei interfețe VLAN fie static, fie făcând-o client DHCP. Cu versiunile moderne ale software-ului security appliance, nu este necesar să configurați în mod explicit măștile de subrețea implicite. Dacă utilizați măști non-standard, trebuie să configurați în mod explicit masca, în caz contrar, nu este necesar. interfață vlan 1 adresa ip 192.168.1.1
în următoarea configurație eșantion, o adresă IP este atribuită VLAN 1, interfața interior.
ciscoasa (config-if)#
ciscoasa (config-if)#
switchport access
comanda switchport access de pe ASA 5505 security appliance atribuie o interfață fizică unei interfețe logice (VLAN). În exemplul următor, comanda de interfață este utilizată pentru a identifica interfețele fizice, a le atribui la comutatoarele de pe aparat și a le activa (porniți-le). Această comandă nu este utilizată pe aparatele ASA 55×0. interfață ethernet 0/0 switchport access vlan 2 fără interfață shutdown ethernet 0/1 switchport access vlan 1 fără shutdown
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa (config-if) #
object network obj_any
instrucțiunea object network obj_any creează un obiect numit „obj_any”. (Nu trebuie să denumiți obiectul „obj_any”; acesta este un nume descriptiv, dar îl puteți numi la fel de ușor”Juan”.) Opțiunea de rețea afirmă că acest obiect special se va baza pe adrese IP. Comanda subrețea 0.0.0.0 0.0.0.0 afirmă că obj_any va afecta orice adresă IP neconfigurată pe orice alt obiect.object network obj_any subnet 0.0.0.0 0.0.0.0
ciscoasa(config-if)#
ciscoasa(config-network-object)#
nat
instrucțiunea nat, așa cum se arată mai jos, spune firewall-ului să permită tot traficul care curge din interior către interfața exterioară să utilizeze orice adresă este dinamică (DHCP) configurat pe interfața exterioară.nat(interior, exterior) interfață dinamică
ciscoasa(config)#
traseu
comanda traseu, în forma sa cea mai de bază, atribuie o rută implicită pentru trafic, de obicei routerului unui ISP. De asemenea, poate fi utilizat împreună cu listele de acces pentru a trimite anumite tipuri de trafic către gazde specifice pe subrețele specifice. în afara identifică interfața prin care traficul va curge pentru a ajunge la ruta implicită. route outside 0 0 12.3.4.6
în această configurație de probă, comanda route este utilizată pentru a configura o rută implicită către routerul ISP-ului la 12.3.4.6. Cele două zerouri înainte de adresa routerului ISP sunt prescurtare pentru o adresă IP de 0.0.0.0 și o mască de 0.0.0.0. Instrucțiunea
ciscoasa(config-if)#
comenzile de mai sus creează un firewall foarte de bază, cu toate acestea, utilizarea unui dispozitiv sofisticat, cum ar fi un aparat de securitate Cisco PIX sau ASA, pentru a efectua astfel de funcții de firewall de bază este excesivă. nume de gazdă pentru a identifica firewall-ul, telnet sau SSH pentru a permite administrarea de la distanță, comenzile DHCPD pentru a permite firewall-ului să atribuie adrese IP gazdelor interioare și comenzi statice de rută și Listă de acces pentru a permite gazdelor interne, cum ar fi serverele web DMZ sau serverele de mail DMZ să fie accesibile gazdelor de Internet.
alte comenzi de utilizat includ
Iată o configurație de bază eșantion:
configurație de bază eșantion
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
INFO: nivel de securitate pentru „inside” setat la 100 în mod implicit.
ciscoasa(config-if)# interface vlan2
ciscoasa(config-if)# nameif outside
INFO: nivel de securitate pentru „outside” setat la 0 în mod implicit.
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport acces VLAN 1
ciscoasa(config-if)# fără oprire
ciscoasa(config-if)# interfață VLAN 2
ciscoasa(Config-if)# adresa IP 12.3.4.5
ciscoasa(config-if)# interface vlan 1
ciscoasa(config-if)# IP address 192.168.1.1
ciscoasa(config-if)# route outside 0 0 12.3.4.6
ciscoasa(config-if)#object network obj_any
ciscoasa(Config-network-object)#subnet 0.0.0.0 0.0.0.0
ciscoasa(config)#nat (interior,exterior) interfață dinamică
ciscoasa(Config)#exit
extras din administratorul accidental: Cisco ASA security appliance: un ghid de configurare pas cu pas de Don R. Crawley
folosit cu permisiune.
despre autor
administratorul Accidental: Cisco ASA Security Appliance: un ghid de configurare pas cu pas și președinte al soundtraining.net o firmă de instruire IT din Seattle, Washington. Este un tip it veteran cu peste 35 de ani de experiență în tehnologie pentru locul de muncă. Deține mai multe certificări pentru produsele Microsoft, Cisco și Linux. Don se poate ajunge la (206) 988-5858 www.soundtraining.net [email protected]
Don R. Crawley autor al seriei accidentale Administrator de cărți pentru profesioniștii IT, inclusiv