Конфигурация брандмауэра Cisco
Обновлено: 21.11.2024
Ака диа Информационные технологии
Ниже вы найдете краткое описание того, как установить и настроить маршрутизатор/брандмауэр CISCO 2603. В примере у нас есть две локальные сети, использующие частные IP-адреса 192.168.102.0 и 192.168.101.0. Помимо маршрутизации, брандмауэр преобразует все адреса из внутренней локальной сети (192.168.102.0) во внешнюю локальную сеть (192.168.101.0) с использованием NAT (преобразование сетевых адресов) и реализует списки доступа между двумя локальными сетями.
Необходимо выполнить следующие шаги:
Подключите Admin-Workstation с помощью последовательного кабеля к брандмауэру для настройки
Установите TFTP-сервер и программу эмуляции терминала на рабочую станцию администратора
Сохранить текущую версию CISCO IOS с маршрутизатора на рабочую станцию администратора
Загрузить CISCO Firewall IOS на маршрутизатор с помощью TFTP
Сохранить текущий файл конфигурации с маршрутизатора на рабочую станцию администратора с помощью TFTP
Создайте файл конфигурации и загрузите его на маршрутизатор с помощью TFTP
Подключите Admin-Workstation с помощью последовательного кабеля к брандмауэру для настройки
Подключите рабочую станцию администратора NT4 к COM1 или COM2 с помощью синего кабеля RS-232, поставляемого с портом CONSOLE на маршрутизаторе CISCO. Это подключение используется в качестве консоли маршрутизатора для ввода команд и проверки процесса загрузки. Для загрузки и загрузки образа IOS и файла конфигурации требуется перекрестный сетевой кабель. После загрузки маршрутизатора вы увидите следующие сообщения в TeraTermPro (ПО для эмуляции терминала).
Системная начальная загрузка, версия 11.3(2)XA4, ВЫПУСК ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (fc1)
Авторские права (c) 1999 г. принадлежат cisco Systems, Inc.
TAC:Home:SW:IOS:Специальные предложения для информации
/>Платформа C2600 с 32768 Кбайт оперативной памяти
Введите основные параметры
Продолжить диалоговое окно конфигурации? [да/нет]: да
Хотите ввести базовые настройки управления? [да/нет]: yes
Введите имя хоста []: firebox
Введите ключ доступа []: eiger
Введите пароль доступа []: moench
Введите пароль виртуального терминала [] : jungfrau
Настроить управление сетью SNMP? [no]: no
Введите имя интерфейса, используемого для подключения к
сети управления из приведенной выше сводки по интерфейсу: FastEthernet0/0
Настройка интерфейса FastEthernet0/0:
Использовать разъем 100 Base-TX (RJ-45)? [да]: да
Работать в полнодуплексном режиме? [no]: no
Настроить IP на этом интерфейсе? [yes]: yes
IP-адрес для этого интерфейса []: 192.168.102.200
Маска подсети для этого интерфейса [] : 255.255.255.0
Сеть класса C: 192.168.102.0, 24 бита подсети ; маска /24
[0] Перейти в командную строку IOS без сохранения этой конфигурации.
[1] Вернуться к настройкам без сохранения этой конфигурации.
[2] Сохраните эту конфигурацию в nvram и выйдите.
Введите свой выбор [2]: 2
Установите TFTP-сервер и программу эмуляции терминала на рабочую станцию администратора
- Загрузить CD-ROM
- Нажмите на Tftpserv.exe, установите его в C:\TFTP
- Запустите TFTP
- Меню: Вид/Опции: Корневой каталог TFTP-сервера: C :\TFTP\корень
Сохранить текущую версию CISCO IOS с маршрутизатора на рабочую станцию администратора
Каталог системной флэш-памяти:
Длина файла Имя/статус 1 4519168 C2600-IP_FW_MZ-120-7
[4519232 байта использовано, 3869376 доступно, 8388608 всего]
8192 КБ процессорной платы Система flash (чтение/запись)
Текущий образ IOS теперь сохранен на рабочей станции администратора.
Загрузить CISCO Firewall IOS на маршрутизатор с помощью TFTP
- Вставьте компакт-диск
- Перейдите в E:\Images\12.0
- Посмотрите информационный файл с помощью Блокнота: RIL.idf для правильной ОС
- Мы использовали aaa1314.bin Набор функций IP/FW Cisco 2600 IOS 12.0(7)XK1
— Скопируйте файл aaa1314.bin в каталог TFTP: C:\TFTP\root
Загрузить изображение в маршрутизатор:
Стирание устройства. стерто
Стирание flash: завершено
Загрузка aaa1314.bin с адреса 192.168.102.147 (через FastEthernet0/0):
[OK - 4519168/9037824 байт]
Проверка контрольной суммы. OK (0x37C6)
4519168 байт скопировано за 56,244 с (80699 байт/с)
Сохранить текущий файл конфигурации с маршрутизатора на рабочую станцию администратора с помощью TFTP
Отредактируйте файл конфигурации и загрузите его на маршрутизатор с помощью TFTP
Файл конфигурации с использованием NAT, списков доступа и маршрутизации
Межсетевой экран Cisco ASA 5505 — это самая маленькая модель в новой серии аппаратных устройств Cisco 5500. Хотя эта модель подходит для малого бизнеса, филиалов или даже домашнего использования, ее возможности защиты брандмауэра такие же, как у самых больших моделей (5510, 5520, 5540 и т. д.). Технология Adaptive Security брандмауэров ASA обеспечивает надежную и надежную защиту брандмауэра, расширенную безопасность с учетом приложений, защиту от атак типа «отказ в обслуживании» и многое другое.Более того, производительность устройства ASA 5505 поддерживает пропускную способность брандмауэра 150 Мбит/с и 4000 соединений брандмауэра в секунду, что более чем достаточно для небольших сетей. В этой статье я объясню базовую конфигурацию Cisco ASA 5505 для подключения небольшой сети к Интернету (здесь полные руководства).
Конфигурация Cisco ASA 5505
А теперь пошагово рассмотрим конфигурацию Cisco ASA 5505.
Шаг 1. Настройте vlan внутреннего интерфейса
Шаг 2. Настройте vlan внешнего интерфейса (подключенный к Интернету)
Шаг 3. Назначьте Ethernet 0/0 сети Vlan 2
Шаг 4. Включите остальные интерфейсы без закрытия
Шаг 5. Настройте PAT на внешнем интерфейсе
В марте 2010 г. компания Cisco анонсировала новую версию программного обеспечения Cisco ASA 8.3. В этой версии было внесено несколько важных изменений в конфигурацию, особенно в механизме NAT/PAT. Команда «global» больше не поддерживается. NAT (статический и динамический) и PAT настраиваются под сетевыми объектами. Приведенная ниже конфигурация PAT предназначена для ASA 8.3 и более поздних версий:
object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (внутри, снаружи) динамический интерфейс
Приведенные выше команды будут выполнены. та же задача, что и у команд «global» и «nat» в версиях до 8.3.
Шаг 6. Настройте маршрут по умолчанию
Здесь вы также можете узнать, как настроить любой брандмауэр Cisco ASA 5500, а также VPN.
Дополнительные примеры конфигурации Cisco и другие сведения о разработке и внедрении решений Cisco: советы и учебные пособия Cisco.
Необходимое условие — Адаптивное устройство безопасности (ASA)
Адаптивное устройство безопасности (ASA) — это устройство безопасности Cisco, сочетающее в себе классические функции брандмауэра с функциями VPN, предотвращения вторжений и антивируса. Он может обеспечить защиту от угроз до того, как атаки распространятся на сети.
Как администратор, мы должны обеспечить защиту от несанкционированного доступа к нашему брандмауэру. Мы можем установить пароли для входа, включить пароли для этого. Также мы обсудим настройку IP-адреса на интерфейсе ASA.
Административная конфигурация —
Поднимите интерфейс и назначьте IP-адрес ASA.
Чтобы настроить IP-адрес на интерфейсе ASA, нам нужно настроить 4 вещи:
После входа в режим глобального интерфейса используйте команду no Shut, чтобы открыть интерфейс. <р>2. Назначить IP-адрес интерфейсу ASA —
После вызова интерфейса назначить IP-адрес командой
Точно так же мы назначаем IP-адрес интерфейсу маршрутизатора. Но разница в том, что мы можем назначить IP-адрес интерфейсу ASA и без маски подсети.
Теперь, если мы не задаем маску подсети, она автоматически принимает классовую маску подсети. например, если мы назначим 192.168.1.1 интерфейсу ASA, он автоматически примет 255.255.255.0 в качестве маски подсети.
<р>3. Назначьте имя интерфейсу ASA.В ASA мы также назначаем имя интерфейсу, иначе интерфейс будет недоступен. Наиболее распространенные названия: INSIDE OUTSIDE или DMZ. Эти имена используются при применении политики, но не играют роли в пересылке трафика.
Мы можем присвоить имя интерфейсу ASA с помощью команды:
NAME — это имя, которое вы хотите присвоить интерфейсу.
<р>4. Назначьте интерфейсу уровень безопасности.Уровень безопасности представляет собой целое число в диапазоне от 0 до 100. Он говорит о надежности интерфейса, т. е. о том, какой интерфейс является наиболее надежным. 0 означает меньше доверия, а 100 означает больше всего доверия.
Если мы предоставим интерфейсу имя ВНУТРЕННЕЕ, он автоматически присвоит ему уровень безопасности 100, а если мы предоставим любое другое имя, такое как ВНЕШНЕЕ или DMZ, оно автоматически присвоит ему 0, но его можно изменить вручную.
Мы можем назначить уровень безопасности интерфейсу с помощью команды:
Вот пример, где мы предоставим IP-адрес 192.268.1.1 и маску подсети 255.255.255.0, имя INSIDE и уровень безопасности 100.
Предоставление имени хоста ASA.
Оно используется для присвоения имени устройству, указывающего идентификатор устройства. Задается той же командой, что и на роутере:-
Установка паролей.
Поскольку ASA является устройством безопасности, по умолчанию он будет запрашивать пароль, когда мы пытаемся войти в привилегированный режим. По умолчанию пароль не установлен, поэтому, просто нажав Enter, мы можем войти в привилегированный режим.
enable password —
Enable password используется для защиты привилегированного режима. В маршрутизаторах этот пароль отображается открытым текстом в рабочей конфигурации, но в ASA этот пароль зашифрован (поэтому не требуется разрешающий секрет). Пароль представляет собой пароль с учетом регистра, содержащий до 16 буквенно-цифровых и специальных символов.Мы можем установить активирующий пароль с помощью
Или по команде
Где GeeksforGeeks — пароль.
Если мы хотим отключить этот пароль или установить пароль по умолчанию, просто введите команду.
пароль для входа —
Этот пароль используется для получения доступа к ASA с помощью Telnet или SSH. По умолчанию пароль для входа — «Cisco». Мы можем изменить его командой
Где GeeksforGeeks — пароль для входа.
Использование локальной базы данных для входа в систему:
Локальная база данных настроена на устройстве (имя пользователя и пароль), чтобы ее можно было использовать для входа в систему. Он настраивается так же, как и на роутере. Локальную базу данных можно настроить на устройстве с помощью команды
Где SAURABH — имя пользователя, а пароль — GeeksforGeeks.
Если мы хотим, чтобы ASA использовал свою локальную базу данных для входа в систему, мы можем использовать команду
Всегда полезно иногда освежиться! Особенно с учетом того, что Cisco разработала линейку межсетевых экранов нового поколения.
Сегодня в модели Cisco ASA 5506-X мы шаг за шагом рассмотрим настройку брандмауэра ASA для типичной бизнес-организации.
На следующем рисунке показана топология системы, от которой зависит модель Cisco ASA 5506-X. Мы расскажем, как спроектировать базовый ACL (список контроля доступа), трансляцию сетевых адресов (NAT) и базовую демилитаризованную (DMZ) структуру, облегчающую работу WWW-сервера. В этой конфигурации используется устройство Cisco ASA 5506-X с модулем FirePOWER, рабочий код 9.5(2).
Практика: конфигурация ASA 5506-X
Требования к сети
В обычном бизнес-условии система включает три раздела, а именно: Интернет, клиентскую локальную сеть или, альтернативно, сеть DMZ. Сеть DMZ используется для общедоступных серверов, таких как веб-сервер, сервер электронной почты и т. д. Cisco ASA действует как брандмауэр, а также как проход в Интернет.
Вот несколько дополнительных замечаний:
Обновление программного обеспечения ASA и кода ASDM
Настройте систему для загрузки с нового образа и настройте используемый образ ASDM.
Запишите в память и убедитесь, что загрузочная переменная установлена правильно. Перезагрузите систему, чтобы загрузить новый образ.
Уровни безопасности брандмауэра Cisco ASA
Перед настройкой ключевое значение имеет рассмотрение того, как Cisco ASA работают в поэтапной структуре безопасности, поскольку эта модель предназначена для того, чтобы помочь вам обрабатывать сетевой трафик в соответствии с политикой безопасности вашей организации. Полное понимание структуры безопасности поможет вам увидеть конечную цель и получить все преимущества брандмауэра ASA.
Конечно, трафик, переходящий с более низкого на более высокий уровень безопасности, блокируется. Это может быть заменено ACL, примененным к этому интерфейсу с более низким уровнем безопасности. Аналогичным образом, ASA разрешает трафику с более высокого уровня безопасности перемещаться по безопасным интерфейсам. Это поведение может быть отменено с помощью ACL. Уровни безопасности характеризуются числами в диапазоне от 0 до 100. Ненадежные системы, например Интернет, характеризуются 0. Наиболее безопасные системы характеризуются 100. В нашей модели мы расположили уровни безопасности следующим образом: LAN = 100, DMZ1 = 50 и снаружи = 0.
LAN считается самой защищенной сетью. На нем размещаются не только внутренние рабочие станции пользователей, но и критически важные производственные серверы. Пользователи локальной сети могут подключаться к другим сетям. Однако входящий доступ из любых других сетей запрещен, если это явно не разрешено.
Проектирование глобальной сети PivIT и назначение IP
Последняя часть, прежде чем мы углубимся в настройку, — это конкретный дизайн, который мы использовали в глобальной сети PivIT с назначением IP-адресов. Для простоты предположим, что сеть SOHO имеет менее 200 пользователей и не имеет коммутатора уровня в локальной сети. Весь пользовательский и серверный трафик указывает на ASA как на шлюз по умолчанию в Интернет. Мы назначаем каждому сегменту сети маску подсети /24 (255.255.255.0).
Конфигурация Cisco ASA 5506-X
Процесс из 7 шагов поможет вам настроить сеть PivIT Network в качестве примера. Как вы видели выше, на каждом шаге есть пояснительный текст, диаграммы и процедуры, которые помогут вам ориентироваться в пользовательском интерфейсе, максимизировать производительность и устранять сложности. Обращайтесь в PivIT с любыми вопросами или дополнительной информацией о конфигурации Cisco ASA 5506-X!
О PivIT Global
Оставьте комментарий, вопрос или проблему ниже. Мы создали Технический уголок, чтобы общаться с вами, обсуждать руководства по настройке продуктов, сравнивать продукты и предоставлять вам информацию об отрасли. Подпишитесь на Tech Corner сегодня!
Устройства безопасности Cisco ASA серии 5500 существуют уже довольно давно и являются одними из самых популярных аппаратных брандмауэров на рынке. Сегодня Firewall.cx рассказывает, как легко настроить брандмауэр Cisco ASA серии 5500 для выполнения основных функций, которых более чем достаточно для обеспечения безопасного и ограниченного доступа в Интернет, безопасного доступа и управления брандмауэром ASA и многого другого.
Хотя многие считают брандмауэры Cisco ASA сложными и сложными в настройке устройств, Firewall.cx призван разрушить этот миф и показать, насколько легко можно настроить брандмауэр ASA для обеспечения базовых и расширенных функций. Мы делали это с другими технологиями и устройствами Cisco, и мы сделаем это снова :)
В таблице ниже представлено краткое сравнение различных устройств безопасности серии ASA5500:
Функция
Cisco ASA 5505
Cisco ASA 5510
Cisco ASA 5520
Cisco ASA 5540
Cisco ASA 5550
Пользователи/узлы
10, 50 или неограниченно
Пропускная способность брандмауэра
Максимальная пропускная способность брандмауэра и IPS
• До 150 Мбит/с с AIP-SSC-5
• До 150 Мбит/с с AIP-SSM-10
• До 300 Мбит/с с AIP-SSM-20
• До 225 Мбит/с с AIP-SSM-10
• До 375 Мбит/с с AIP-SSM-20
• До 450 Мбит/с с AIP-SSM-40
• До 500 Мбит/с с AIP-SSM-20
• До 650 Мбит/с с AIP-SSM-40
Пропускная способность 3DES/AES VPN***
VPN-узлы IPsec
Premium AnyConnect VPN Peers * (включено/максимум)
Параллельные подключения
Новых подключений в секунду
Встроенные сетевые порты
5 портов Fast Ethernet; 2 порта Gigabit Ethernet + 3 порта Fast Ethernet *
4 Gigabit Ethernet, 1 Fast Ethernet
4 Gigabit Ethernet, 1 Fast Ethernet
8 Gigabit Ethernet, 4 оптоволокна SFP, 1 Fast Ethernet
Виртуальные интерфейсы (VLAN)
3 (без поддержки транкинга)/20 (с поддержкой транкинга) *
Пользователи также могут загрузить полное техническое описание брандмауэров Cisco ASA серии 5500, посетив раздел Загрузка технических данных и руководств Cisco.
Возможно, одним из наиболее важных моментов, особенно для инженера с ограниченным опытом, является то, что настройка меньшего брандмауэра ASA 5505 на самом деле не отличается от настройки большего брандмауэра ASA5520. Для настройки почти всех межсетевых экранов ASA серии 5500 требуются одни и те же действия — отличная новость!
Основные различия помимо лицензий, которые включают или отключают функции, заключаются в физических интерфейсах каждой модели ASA (в основном между ASA 5505 и более крупными моделями 5510/5520) и, возможно, в устанавливаемых модулях. В любом случае мы должны иметь в виду, что если мы сможем настроить небольшой ASA5505, то настройка более крупных моделей не будет проблемой.
На момент написания этой статьи Firewall.cx наткнулся на Cisco ASA5505, поэтому мы решили использовать его в этой статье, однако обратите внимание, что все команды и философия настройки одинаковы для всех моделей ASA5500. устройства безопасности.
Примечание. В программном обеспечении ASA версии 8.3.0 и выше используются другие команды настройки NAT. В этой статье представлены как старые (до версии 8.2.5), так и новые (начиная с версии 8.3) команды настройки NAT.
Дополнительные материалы для чтения. Пользователи, которые ищут только самую лучшую информацию о безопасности брандмауэров ASA, написанную ведущими инженерами по безопасности Cisco, должны ознакомиться со следующими настоятельно рекомендуемыми изданиями Cisco Press:
Контрольный список конфигурации ASA5500
Мы создали простой контрольный список конфигурации, который поможет нам отслеживать настроенные службы в нашем брандмауэре ASA. Вот список вопросов, которые будут рассмотрены в этой статье:
Примечание: настоятельно рекомендуется часто сохранять конфигурацию ASA, чтобы гарантировать, что работа не будет потеряна в случае сбоя питания или случайного перезапуска.
Сохранение конфигурации можно легко выполнить с помощью команды записи в память:
Удаление существующей конфигурации
Этот первый шаг не является обязательным, так как он удалит конфигурацию брандмауэра. Если брандмауэр был настроен или использовался ранее, рекомендуется начать с заводских настроек по умолчанию. Если мы не уверены, мы предпочитаем стереть его и начать с нуля. После удаления конфигурации нам необходимо принудительно перезагрузиться, однако обратите внимание, что важно не сохранять конфигурацию системы, чтобы убедиться, что рабочая конфигурация не скопирована в конфигурацию запуска, иначе нам придется запустить этот процесс снова:
Настроить имя хоста, пользователей, «включить» пароль и отключить анонимные отчеты
Далее нам нужно настроить пароль Enable, необходимый для доступа в привилегированном режиме exec, а затем учетные записи пользователей, которые будут иметь доступ к брандмауэру.
Брандмауэр ASA не будет запрашивать имя пользователя/пароль при следующем входе в систему, однако для получения доступа к привилегированному режиму потребуется пароль по умолчанию «cisco»:
На этом этапе мы должны отметить, что при запуске с заводской конфигурацией по умолчанию, как только мы вводим команду «настроить терминал», система спросит, хотим ли мы включить функцию отчетов Cisco по телефону. Мы отклонили предложение и продолжили настройку:
Параметр привилегии 15 в конце командной строки гарантирует, что система знает, что это учетная запись с полными привилегиями и имеет доступ ко всем командам настройки, включая удаление конфигурации и файлов на флэш-диске устройства, таких как операционная система.
Настройка IP-адресов интерфейса / IP-адресов и описаний VLAN
В зависимости от имеющегося у нас устройства ASA мы можем настроить физические интерфейсы (внутренние/внешние) с IP-адресами, как это обычно делается с моделями ASA5510 и более крупными, или создать виртуальные локальные сети (внутренние/внешние) и настроить их с помощью IP-адресов, обычно с меньшие модели ASA5505.
Во многих случаях сетевые инженеры используют интерфейсы VLAN на более крупных моделях ASA5500, однако это зависит от возможностей лицензирования устройства, существующей настройки сети и многого другого.
В случае ASA5505 мы должны использовать интерфейсы VLAN, которые настроены с соответствующими IP-адресами, а затем (следующий шаг) охарактеризованы как внутренние (частные) или внешние (общедоступные) интерфейсы:
В качестве альтернативы общедоступный интерфейс (VLAN2) можно настроить на автоматическое получение своего IP-адреса через DHCP с помощью следующей команды:
Параметр setroute в конце команды гарантирует, что брандмауэр ASA установит маршрут по умолчанию (шлюз) с использованием параметра шлюза по умолчанию, предоставленного DHCP-сервером.
После настройки VLAN1 и VLAN2 с соответствующими IP-адресами мы настроили Ethernet 0/0 в качестве канала доступа для VLAN2, чтобы мы могли использовать его в качестве физического общедоступного интерфейса. Из 8 общих интерфейсов Ethernet, которые есть у ASA5505, по крайней мере один должен быть настроен с vlan 2 доступа к коммутатору, иначе на ASA не будет физического общедоступного интерфейса для подключения нашего внешнего маршрутизатора. Порты Ethernet с 0/1 по 0/7 также должны быть настроены с помощью команды no shutdown, чтобы сделать их работоспособными. Все эти порты по умолчанию являются каналами доступа для VLAN1. Приведены команды конфигурации для первых двух интерфейсов Ethernet, так как конфигурация одинакова для всех:
Настройка внутреннего (частного) и внешнего (общедоступного) интерфейсов
Далее мы должны обозначить внутренний (частный) и внешний (общедоступный) интерфейсы. Этот шаг необходим и поможет брандмауэру ASA понять, какой интерфейс подключен к доверенной (частной) и ненадежной (общедоступной) сети:
Брандмауэр ASA автоматически установит уровень безопасности 100 для внутренних интерфейсов и 0 для внешних интерфейсов. Трафик может перетекать с более высоких уровней безопасности на более низкие (от частного к общедоступному), но не наоборот (от общедоступного к частному), если это не указано в списках доступа.
Чтобы изменить уровень безопасности интерфейса, используйте команду security-level xxx, заменив xxx числом от 0 до 100. Чем выше число, тем выше уровень безопасности. Интерфейсы DMZ обычно настраиваются с уровнем безопасности 50.
Очень важно соблюдать необходимую осторожность при выборе и применении внутренних/внешних интерфейсов на любом брандмауэре ASA.
Настроить маршрут по умолчанию (шлюз по умолчанию) и статические маршруты
Команда настройки маршрута по умолчанию необходима брандмауэру ASA для маршрутизации пакетов за пределы сети через следующий переход, обычно через маршрутизатор. Если общедоступный интерфейс (VLAN2) настроен с помощью команды ip address dhcp setroute, настройка шлюза по умолчанию не требуется.
На этом этапе рекомендуется попробовать протестировать маршрутизатор следующего перехода и убедиться, что брандмауэр ASA может получить к нему доступ:
Для сетей с несколькими внутренними VLAN необходимо настроить статические маршруты, чтобы брандмауэр ASA знал, как к ним добраться. Обычно к этим сетям можно подключиться через коммутатор 3-го уровня или внутренний маршрутизатор. В нашем примере предположим, что у нас есть две сети: 10.75.0.0/24 и 10.76.0.0/24, к которым нам нужно предоставить доступ в Интернет. Эти дополнительные сети доступны через устройство уровня 3 с IP-адресом 10.71.0.100:
Настройка трансляции сетевых адресов (NAT) для внутренних сетей
Это последний шаг, необходимый для успешного предоставления доступа в Интернет к нашим внутренним сетям. Преобразование сетевых адресов необходимо для маскировки нашей внутренней сети с использованием одного IP-адреса, с которым был настроен наш общедоступный интерфейс. Преобразование сетевых адресов, а также все его разновидности (статические, динамические и т. д.) подробно рассматриваются в нашем популярном разделе «Преобразование сетевых адресов».
На данный момент следует отметить, что конфигурация NAT немного изменилась в программном обеспечении ASA версии 8.3 и выше. Мы предоставим обе команды для установки с программным обеспечением версии до версии 8.2.5 и начиная с версии 8.3 и выше.
Следующие команды применяются к устройствам ASA с версией программного обеспечения до 8.2.5:
В приведенной выше конфигурации брандмауэр ASA получает указание использовать NAT для всех внутренних сетей с использованием группы NAT 1. Число «1» используется для обозначения групп NAT для процесса NAT между внутренним и внешним интерфейсами.
Команда global (outside) 1 interface дает указание межсетевому экрану ASA выполнять преобразование сетевых адресов с использованием IP-адреса, назначенного внешнему интерфейсу.
Еще один метод настройки NAT — использование списков доступа. В этом случае мы определяем внутренние IP-адреса для NAT с использованием списков доступа:
NAT с использованием списков доступа обеспечивает большую гибкость и позволяет контролировать, какие IP-адреса или сети будут использовать службу NAT.
В версии программного обеспечения 8.3 и новее все резко изменилось, и в строках конфигурации NAT больше нет списков доступа.
Новый формат NAT теперь использует "сеть объектов", "службу объектов" и "сеть групп объектов" для определения параметров конфигурации NAT.
Следующие команды (версия программного обеспечения 8.3 и выше) предоставят услуги NAT нашим внутренним сетям, чтобы они могли получить доступ к Интернету:
Настройка DHCP-сервера ASA
В большинстве случаев наличие DHCP-сервера необходимо, так как он помогает управлять назначением IP-адресов нашим внутренним хостам. Брандмауэр ASA можно настроить для предоставления услуг DHCP для нашей внутренней сети, что является очень удобной и долгожданной функцией.
Опять же, существуют некоторые ограничения конфигурации службы DHCP, которые зависят от используемой модели ASA. В нашем ASA5505 максимальное количество назначенных IP-адресов для пула DHCP составляло всего 128!
Обратите внимание, что служба DHCP может работать на всех интерфейсах ASA, поэтому необходимо указать, для какого интерфейса предназначены параметры конфигурации DHCP:
После настройки служба DHCP начнет работать и назначать IP-адреса клиентам. Параметр IP-адреса шлюза автоматически предоставляется клиенту, и его не требуется настраивать на устройстве брандмауэра ASA.
Мы можем проверить, работает ли служба DHCP, используя команду show dhcpd Statistics:
Сообщения неправильного формата 0
При необходимости мы можем очистить привязки DHCP (назначенные IP-адреса) с помощью команды привязки clear dhcpd.
Настройка аутентификации AAA для аутентификации пользователей локальной базы данных
Как уже упоминалось, наш пример указывает брандмауэру ASA использовать свою локальную базу данных:
Включить управление SSH и Telnet для внутренних и внешних интерфейсов
Включить доступ по SSH и Telnet к брандмауэру Cisco довольно просто. Хотя мы всегда рекомендуем использовать SSH, особенно при доступе к брандмауэру с общедоступных IP-адресов, telnet также является вариантом, однако мы должны помнить, что методы управления telnet не обеспечивают никакой безопасности, так как все данные (включая имя пользователя, пароли и конфигурации ) отправляются открытым текстом.
Прежде чем включать SSH, мы должны сгенерировать пары ключей RSA для сертификатов удостоверения. Telnet не требует такого шага, поскольку не обеспечивает никакого шифрования или безопасности:
Обратите внимание, что устройство брандмауэра ASA будет принимать подключения SSH только от хоста 200.200.90.5, поступающие через его общедоступный интерфейс, в то время как подключения SSH и telnet разрешены из сети 10.71.0.0/24 на внутреннем интерфейсе.
Создание, настройка и применение групп объектов TCP/UDP
Неотъемлемой частью любой настройки брандмауэра является определение интернет-сервисов, к которым будут иметь доступ наши пользователи. Для этого либо создается несколько длинных списков доступа для каждого протокола/службы, а затем применяется их к соответствующим интерфейсам, либо используются группы объектов брандмауэра ASA, которые затем применяются к интерфейсам. Использовать группы объектов просто и рекомендуется, поскольку они обеспечивают большую гибкость и простоту управления.
Логика проста: создайте свои группы объектов, вставьте необходимые протоколы и службы, а затем укажите их в списках доступа брандмауэра. В качестве последнего шага мы применяем их к нужным нам интерфейсам.
Давайте воспользуемся примером, чтобы визуализировать концепцию. Наши потребности требуют, чтобы мы создали две группы объектов, одну для TCP и одну для служб UDP:
Теперь нам нужно сослаться на наши две группы объектов, используя списки доступа брандмауэра. Здесь мы также можем определить, какие сети будут иметь доступ к сервисам, перечисленным в каждой группе объектов:
Обратите внимание, что сеть 10.71.0.0/25 имеет доступ к обеим службам групп объектов, другие наши сети ограничены только службами, определенными в группе объектов TCP. Чтобы понять, как группы объектов помогают упростить управление списками доступа: без них нам потребовалось бы 37 команд для работы со списками доступа вместо 4!
Настройка списков доступа для ICMP-пакетов в Интернет
Чтобы завершить настройку нашего списка доступа, мы настраиваем наш брандмауэр ASA, чтобы разрешить эхо-пакеты ICMP (ping) в любое место назначения и их ответы (echo-reply):
Применение списков доступа брандмауэра к «внутренним» и «внешним» интерфейсам
Последний шаг в настройке правил брандмауэра включает в себя применение двух списков доступа, внутреннего и внешнего, к соответствующим интерфейсам. После выполнения этого шага правила брандмауэра вступают в силу немедленно:
Настройка регистрации/отладки событий и ошибок
Этот последний шаг в нашем руководстве по настройке брандмауэра ASA позволит вести журнал и отладку, чтобы мы могли легко отслеживать события и ошибки. Настоятельно рекомендуется включить ведение журнала, поскольку это, безусловно, поможет устранить неполадки брандмауэра ASA при возникновении проблем.
Команды, использованные выше, включают журнал на уровне отладки (7) и устанавливают размер буфера в ОЗУ равным 30 000 байт (~30 КБ).
Выполнение команды show log покажет ряд важных журналов, включая все пакеты, которые были обработаны или отклонены из-за списков доступа:
Заключение
Эта статья служит вводным руководством по настройке межсетевых экранов серии ASA5500. Мы рассмотрели все необходимые команды, необходимые для работы любого брандмауэра ASA5500 и обслуживания сетевых клиентов, а также подробно объяснили все команды, используемые в процессе настройки.
Читайте также: