Представьте, что вам предоставляется существующая сеть с использованием межсетевого экрана ASA. Сеть работает, но вы ни в чем не уверены. Брандмауэр может быть настроен совершенно неправильно: «снаружи» на самом деле внутри, а «внутри» на самом деле снаружи, насколько вы знаете.
У меня такой вопрос: какие команды используются для анализа существующей настройки брандмауэра ASA? Имея только доступ к интерфейсу командной строки, как мне понять:
Я знаю, как это настроить (interface, nameif, security-level, и access-list/access-group), но я не знаю, как их понять, учитывая существующую систему.
В связи с этим, есть ли еще что-нибудь, о чем мне следует беспокоиться, чтобы убедиться, что сеть не является широко открытой?
Спасибо!
Ответ на все вышеперечисленные вопросы можно обобщить одной командой: show running-config. Это выведет текущий файл конфигурации, который будет включать интерфейсы, их имена и адреса, уровни безопасности, списки управления доступом и маршрутизацию. Это должно дать вам всю информацию, необходимую для начала инвентаризации устройства.
Я бы также рекомендовал бегло взглянуть на ASDM, если у вас нет большого опыта работы с ASA; некоторые команды, которые вносят радикальные изменения в поведение системы (управление NAT, трафик того же уровня безопасности), не обязательно интуитивно понятны, когда вы видите их в конфигурации командной строки.
Как только вы войдете в командную строку, выполните «показательный запуск». Тогда ищите раздел интерфейсов. Вот пример:
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address (outside ip address) 255.255.255.0
ospf cost 10
!
interface GigabitEthernet0/1
speed 1000
duplex full
nameif inside
security-level 100
ip address (inside ip address) 255.255.240.0
ospf cost 10
!
interface GigabitEthernet0/2
shutdown
no nameif
security-level 100
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
nameif management
security-level 100
ip address (mgmt ip address) 255.255.255.0
ospf cost 10
management-only
Это сообщает вам порт, имя, уровень безопасности и IP-адрес.
Списки доступа немного сложнее, так как списков доступа может быть всего два, три или, возможно, сотни. Опять же, "show run" предоставит вам полную конфигурацию, и вам придется ее прочитать.
NAT будет выглядеть так:
nat (внутри) 0 список доступа inside_nat0_outbound
Это изнутри наружу.
Статический обычно устанавливается на NAT конкретного внутреннего сервера на внешний IP-адрес, например:
статический (внутри, снаружи) (общедоступный IP-адрес) (внутренний IP-адрес) маска сети 255.255.255.255
И, наконец, список доступа позволяет внешнему общедоступному Интернету подключаться по указанному IP-адресу или порту.
Надеюсь это поможет!