Cisco ASA 5510 Firewall

Cisco ASA 5510 Firewall – Basic Configuration Tutorial

Denne artikel kommer tilbage til det grundlæggende, ved hensyn til Cisco ASA firewalls. Jeg tilbyder jer her en grundlæggende konfiguration tutorial til Cisco ASA 5510 sikkerhedsudstyr. Denne enhed er den anden model i ASA serien (ASA 5505, 5510, 5520 osv.) og er temmelig populær siden er beregnet til små og mellemstore virksomheder. Ligesom den mindste ASA 5505 model, kommer 5510 med to licens muligheder: The Base licens og Security Plus licens. Den anden (sikkerhed plus) giver nogle resultater og hardware forbedringer over basen licens, såsom 130.000 Maksimale firewall-forbindelser (i stedet for 50.000), 100 Maximum VLANs (i stedet for 50), Failover redundancy (afskedigelse) osv. Også sikkerheden plus licens muliggør to af de fem firewall netværksporte at arbejde som 10/100/1000 stedet for kun 10/100.

Nedenfor har jeg lavet en simpel internetadgang scenario, der vil hjælpe os med at forstå de grundlæggende nødvendige skridt for at opsætte en ASA 5510. Antag, at vi fik tildelt en statisk offentlig IP-adresse 100.100.100.1 fra vores internetudbyder. Også det interne LAN-netværk tilhører subnet 192.168.10.0/24. Interface Ethernet 0/0 vil blive forbundet med ydersiden (mod ISP), og Ethernet 0/1 vil blive forbundet med det indre LAN-switch. Se diagrammet nedenfor for eksempel scenario.

 

Firewallen vil blive konfigureret til at levere IP-adresser dynamisk (vha. DHCP) til de interne hosts (værter). Alle udgående kommunikation (indefra og ud) vil blive oversat ved hjælp af Port Address Translation (PAT) på ydersiden offentlige interface. Lad os se et uddrag af de nødvendige konfigurationstrin for dette grundlæggende scenario:

Trin 1: Konfigurer et privilegeret niveau password (aktivere adgangskode)
Som standard er der ingen adgangskode for at få adgang til ASA firewall, så det første skridt før du gør noget andet er at konfigurere et privileget level password (privilegeret niveau password), som vil være nødvendig for at tillade efterfølgende adgang til apparatet.

 

 

Trin 1: Konfigurer dette under Configuration Mode:

ASA5510 (config) # enable password [password]

Trin 2: Konfigurer public ydersiden interface

ASA5510(config)# interface Ethernet0/0
ASA5510(config-if)# nameif outside
ASA5510(config-if)# security-level 0
ASA5510(config-if)# ip address 100.100.100.1 255.255.255.252
ASA5510(config-if)# no shut

Trin 3: Konfigurer trusted indersiden interface

ASA5510(config)# interface Ethernet0/1
ASA5510(config-if)# nameif inside
ASA5510(config-if)# security-level 100
ASA5510(config-if)# ip address 192.168.10.1 255.255.255.0
ASA5510(config-if)# no shut

Trin 4: Konfigurér PAT på ydersiden interface

ASA5510(config)# global (outside) 1 interface
ASA5510(config)# nat (inside) 1 0.0.0.0 0.0.0.0

UPDATE til ASA Version 8.3

Fra marts 2010 meddelte Cisco den nye Cisco ASA software version 8.3. Denne version indført flere vigtige konfigurationsændringer, især på NAT / PAT mekanisme. Den “globale” kommando understøttes ikke længere. NAT (statisk og dynamisk) og PAT er konfigureret under netværks objekter. PAT konfiguration nedenfor er for ASA 8,3 og nyere:

object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface

Trin 5: Konfigurer Default rute mod ISP (antag at default gateway er 100.100.100.2)

ASA5510(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.2 1

Trin 6: Konfigurer firewall til at tildele interne IP og DNS adresse til hosts ved hjælp af DHCP

ASA5510(config)# dhcpd dns 200.200.200.10
ASA5510(config)# dhcpd address 192.168.10.10-192.168.10.200 inside
ASA5510(config)# dhcpd enable inside

Ovenstående grundlæggende konfiguration er kun begyndelsen for at gøre apparatet operationel. Der er mange flere konfigurations funktioner, som du har brug for at implementere for at øge sikkerheden i dit netværk, såsom Statisk og dynamisk NAT, at Access Control Lists styre traffic flow, DMZ zoner, VPN osv. Jeg prøvede bare at tilbyde jer et udgangspunkt for en grundlæggende konfiguration, hvor I kan opbygge jeres viden videre. For en mere fuldstændig praktisk vejledning om Cisco ASA Firewall konfiguration kommer det nogle undersider i nærmeste fremtid.