här är ett gästinlägg skickat till mig av Don Crawley, författare till Accidental Administrator book series. Det är ett utdrag från hans senaste: den oavsiktliga administratören: Cisco ASA Security Appliance: en steg-för-steg konfigurationsguide
det finns bokstavligen tusentals kommandon och underkommandon tillgängliga för att konfigurera en Cisco security appliance. När du får kunskap om apparaten kommer du att använda fler och fler kommandon. Ursprungligen krävs dock bara några kommandon för att konfigurera grundläggande funktionalitet på apparaten. Grundläggande funktionalitet definieras som att tillåta inuti värdar att komma åt externa värdar, men inte tillåta externa värdar att komma åt insidan värdar. Dessutom måste ledningen tillåtas från minst en inuti värd. För att aktivera grundläggande funktionalitet finns det åtta grundläggande kommandon (dessa kommandon är baserade på programversion 8.3 (1)eller senare):
- gränssnitt
- namnom
- säkerhetsnivå
- ip-adress
- switchport access
- objektnätverk
- nat
- rutt
gränssnitt
gränssnittskommandot identifierar antingen hårdvarugränssnittet eller switch virtual interface (VLAN interface) som kommer att konfigureras. En gång i gränssnittskonfigurationsläge kan du tilldela fysiska gränssnitt till switchports och aktivera dem (slå på dem) eller så kan du tilldela namn och säkerhetsnivåer till VLAN-gränssnitt.
nameif
kommandot nameif ger gränssnittet ett namn och tilldelar en säkerhetsnivå. Typiska namn är utanför, inuti eller DMZ.
säkerhetsnivå
säkerhetsnivåer är numeriska värden, från 0 till 100, som används av apparaten för att styra trafikflödet. Trafik tillåts strömma från Gränssnitt med högre säkerhetsnivåer till gränssnitt med lägre säkerhetsnivåer, men inte tvärtom. Åtkomstlistor måste användas för att tillåta trafik att flöda från lägre säkerhetsnivåer till högre säkerhetsnivåer. Standardsäkerhetsnivån för ett externt gränssnitt är 0. För ett internt gränssnitt är standardsäkerhetsnivån 100. I följande provkonfiguration används gränssnittskommandot först för att namnge de inre och yttre VLAN-gränssnitten, sedan heter DMZ-gränssnittet och en säkerhetsnivå på 50 tilldelas den. gränssnitt vlan1 nameif inside interface vlan2 nameif outside interface vlan3 nameif DMZ säkerhetsnivå 50
ciscoasa(config)#
ciscoasa(config-if)#
INFO: säkerhetsnivå för ”inside” inställd på 100 som standard.
ciscoasa(config-if)#
ciscoasa (config-if)#
INFO: säkerhetsnivå för ”utanför” inställd på 0 som standard.
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa (config-if)#
ip-adress
ip-adresskommandot tilldelar en IP-adress till ett VLAN-gränssnitt antingen statiskt eller genom att göra det till en DHCP-klient. Med moderna versioner av security appliance-programvara är det inte nödvändigt att uttryckligen konfigurera standardnätmasker. Om du använder icke-standardiserade masker måste du uttryckligen konfigurera masken, annars är det inte nödvändigt. gränssnitt vlan 1 ip-adress 192.168.1.1
i följande provkonfiguration tilldelas en IP-adress till VLAN 1, det inre gränssnittet.
ciscoasa(config-if)#
ciscoasa (config-if))#
switchport access
kommandot switchport access på ASA 5505 security appliance tilldelar ett fysiskt gränssnitt till ett logiskt (VLAN) gränssnitt. I nästa exempel används gränssnittskommandot för att identifiera fysiska gränssnitt, tilldela dem till switchports på apparaten och aktivera dem (slå på dem). Detta kommando används inte på ASA 55×0-apparaterna. gränssnitt ethernet 0/0 switchport tillgång vlan 2 ingen avstängning gränssnitt ethernet 0/1 switchport tillgång vlan 1 ingen avstängning
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
ciscoasa(config-if)#
object network obj_any
object network obj_any-satsen skapar ett objekt som heter ”obj_any”. (Du behöver inte namnge objektet ”obj_any”; det är ett beskrivande namn, men du kan lika lätt namnge det”Juan”.) Nätverksalternativet anger att det här objektet kommer att baseras på IP-adresser. Kommandot subnet 0.0.0.0 0.0.0.0 anger att obj_any kommer att påverka alla IP-adresser som inte är konfigurerade på något annat objekt.object network obj_any subnet 0.0.0.0 0.0.0.0
ciscoasa(config-if)#
ciscoasa(config-network-object)#
nat
nat-uttalandet, som visas nedan, berättar för brandväggen att all trafik som strömmar från insidan till utsidan gränssnittet ska använda vilken adress som helst dynamiskt (DHCP) konfigurerad på utsidan gränssnittet.nat(inuti,utanför) dynamiskt gränssnitt
ciscoasa (config)#
rutt
ruttkommandot, i sin mest grundläggande form, tilldelar en standardväg för trafik, vanligtvis till en ISP: s router. Den kan också användas tillsammans med access-listor för att skicka specifika typer av trafik till specifika värdar på specifika subnät. utanför identifierar gränssnittet genom vilket trafiken kommer att flöda för att nå standardvägen. rutt utanför 0 0 12.3.4.6
i denna exempelkonfiguration används kommandot rutt för att konfigurera en standardrutt till ISP: s router vid 12.3.4.6. De två nollorna före ISP: s routeradress är stenografi för en IP-adress på 0.0.0.0 och en mask på 0.0.0.0. Uttalandet
ciscoasa (config-if)#
ovanstående kommandon skapar en mycket grundläggande brandvägg, men med hjälp av en sofistikerad enhet som en Cisco PIX eller ASA security appliance för att utföra sådana grundläggande brandväggsfunktioner är overkill. värdnamn för att identifiera brandväggen, telnet eller SSH för att tillåta fjärradministration, DHCPD-kommandon för att låta brandväggen tilldela IP-adresser till inuti värdar och statiska rutt-och åtkomstlistkommandon för att tillåta interna värdar som DMZ-webbservrar eller DMZ-postservrar att vara tillgängliga för internetvärdar.
andra kommandon att använda inkluderar
här är en prov baskonfiguration:
prov baskonfiguration
ciscoasa(config)# gränssnitt vlan1
ciscoasa(config-if)# nameif inuti
INFO: säkerhetsnivå för ”inuti” inställd på 100 som standard.
ciscoasa( config-if)# gränssnitt vlan2
ciscoasa(config-if) # nameif utanför
INFO: säkerhetsnivå för ”utanför” inställd på 0 som standard.
ciscoasa(config-if)# gränssnitt ethernet 0/0
ciscoasa(config-if)# switchport tillgång vlan 2
ciscoasa(config-if)# ingen avstängning
ciscoasa(config-if)# gränssnitt ethernet 0/1
ciscoasa(config-if) om)# switchport tillgång VLAN 1
ciscoasa(config-if)# ingen avstängning
ciscoasa(config-if)# gränssnitt VLAN 2
ciscoasa(config-if)# IP-adress 12.3.4.5
ciscoasa(config-if)# gränssnitt vlan 1
ciscoasa(config-if)# ip-adress 192.168.1.1
ciscoasa(config-if)# rutt utanför 0 0 12.3.4.6
ciscoasa(config-if)#object network obj_any
ciscoasa(config-Network-Object)#subnet 0.0.0.0 0.0.0.0
ciscoasa(config)#nat (inuti,utanför) dynamiskt gränssnitt
ciscoasa(config)#exit
utdrag från den oavsiktliga administratören: Cisco ASA security appliance: en steg-för-steg konfigurationsguide av Don R. Crawley
används med tillstånd.
om författaren
den oavsiktliga administratören: Cisco ASA Security Appliance: en steg-för-steg konfigurationsguide och ordförande för soundtraining.net ett Seattle, Washington-baserat it-utbildningsföretag. Han är en veteran IT-kille med över 35 års erfarenhet av teknik för arbetsplatsen. Han har flera certifieringar på Microsoft, Cisco och Linux-produkter. Don kan nås på (206) 988-5858 www.soundtraining.net [email protected]
Don R. Crawley författare till den oavsiktliga Administratörsserien av böcker för IT-proffs inklusive