Конфигурация Cisco ASA 5505
Я просмотрел много этих сообщений о Cisco ASA5505, а также заходил в Интернет. Мне нужны простые пошаговые инструкции для выполнения следующих задач.
Я знаю, как заставить его работать с внутренним и внешним интерфейсом, так что это здорово!
Мне нужны пошаговые инструкции для следующих задач
Настройка межсетевого экрана. К внутреннему интерфейсу будут подключены два сервера: один - это веб-сервер, поэтому порты 80, 25 и т. Д.… Другой - это DC, поэтому необходимо открыть все стандартные порты для этого. Нам также нужен RDP, открытый для обеих машин, мы используем нестандартный порт. Мне кажется, если бы я увидел один пример, например, для порта 80, я мог бы это воспроизвести. Есть ли какие-либо другие конфигурации, о которых я должен знать, чтобы защитить настоящий брандмауэр, или он хорошо настроен из коробки?
Настроить доступ к устройству из нашего главного офиса и моей удаленной лаборатории. Я также мог бы RDP к DC на внутреннем интерфейсе, а затем подключиться, если это было более безопасно.
Вот мой текущий статус. Сейчас он просто настроен на моей рабочей машине для некоторого тестирования. Таким образом, внешний интерфейс просто подключается к офисной сети.
Результат выполнения команды: "show running-config"
: Saved
:
ASA Version 8.2(1)
!
hostname superasa
domain-name somedomainname
enable password /****** encrypted
passwd ******************** encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.1.9 255.255.255.252
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
clock timezone EST -5
clock summer-time EDT recurring
dns domain-lookup inside
dns domain-lookup outside
dns server-group DefaultDNS
name-server 192.168.1.120
domain-name somedomain
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
http 192.168.2.0 255.255.255.0 inside
http 192.168.2.4 255.255.255.255 inside
http 192.168.1.108 255.255.255.255 outside
http internetip 255.255.255.255 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd dns 192.168.1.120 208.67.222.222
dhcpd domain somedomain
dhcpd auto_config outside
!
dhcpd address 192.168.2.2-192.168.2.33 inside
dhcpd dns 192.168.1.120 interface inside
dhcpd auto_config outside interface inside
dhcpd enable inside
!
dhcpd dns 192.168.1.120 interface outside
dhcpd domain supernova interface outside
!
dhcprelay timeout 60
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
!
prompt hostname context
Cryptochecksum:abunchofnumbersgohere
: end
На первом этапе брандмауэр уже настроен. Об этом позаботились те команды «уровня безопасности», которые вы вводили для интерфейса. Более высокие уровни могут взаимодействовать с более низкими уровнями, но более низким уровням необходимо предоставить доступ к ресурсам на более высоких уровнях. Чтобы предоставить доступ, вы создаете список доступа и назначаете его интерфейсу с помощью команды access-group. Поскольку вы также используете NAT, вам необходимо создать несколько статических сопоставлений, чтобы брандмауэр знал, куда отправлять трафик. Я исключил DC из своих инструкций, потому что вам не нужно ничего открывать для DC (это проблема безопасности). Если у вас есть удаленные офисы, которым требуется аутентификация, настройте VPN между сайтами. Вот как бы это выглядело:
список доступа external_access_in расширенное разрешение tcp любой хост 192.168.1.153 экв 80
список доступа external_access_in расширенное разрешение tcp любой хост 192.168.1.153 экв 25
группа доступа external_access_in в интерфейсе за пределами
статический (внутри, снаружи) 192.168.1.153 192.168.2.5 сетевая маска 255.255.255.255
В качестве альтернативы вы можете использовать PAT вместо назначения серверу собственного внешнего IP-адреса. Я рекомендую не делать этого, если это возможно, поскольку больше команд для настройки и сохранения почтового сервера на его собственном IP-адресе помогут вам не попасть в черный список. Если вы хотите сделать это, вот что вы бы сделали (обратите внимание, что в этой конфигурации вам нужно создать статическое сопоставление для каждого порта):
список доступа external_access_in расширенное разрешение tcp любой хост [внешний IP-адрес брандмауэра] экв 80
список доступа external_access_in расширенное разрешение tcp любой хост [внешний IP-адрес брандмауэра] уравнение 25
группа доступа external_access_in в интерфейсе за пределами
статический (внутри, снаружи) tcp interface 80 [внутренний IP-адрес сервера] 80 маска сети 255.255.255.255
статический (внутри, снаружи) tcp interface 25 [внутренний IP-адрес сервера] 25 маска сети 255.255.255.255
Чтобы разрешить доступ, вы просто указываете ssh, где слушать, как проходить аутентификацию (проще всего настроить локальную базу данных), и генерируете ключ:
ssh [IP-адрес главного офиса] 255.255.255.255 вне
ssh [IP-адрес удаленной лабораторной сети] [маска подсети удаленной лабораторной сети] вне
ssh [подсеть внутренней сети] [маска подсети внутренней сети] внутри
имя пользователя компания пароль администратора [создать надежный пароль] привилегия 15
Консоль SSH аутентификации aaa ЛОКАЛЬНАЯ
криптоключ генерировать RSA
РЕДАКТИРОВАТЬ
Вы не можете выполнить требуемый тип аварийного переключения на ASA. Он может переключать провайдеров, но не хосты. Возможно, вы захотите изучить Network Load Balancer в Windows или специальный аппаратный балансировщик нагрузки.
Первый фрагмент кода не касается VPN между сайтами. Извините за путаницу. Он предназначен для переадресации портов с выделенным IP-адресом (также известным как статический NAT) в отличие от IP-адреса, совместно используемого с межсетевым экраном. Когда это общий IP-адрес, это называется трансляцией адресов порта (PAT), потому что номер и тип порта определяют, на какой хост он перенаправляется. Когда у вас есть выделенный IP-адрес, он называется статическим NAT. Вы уже используете NAT и можете использовать PAT или статический NAT в сочетании с NAT.
Я достиг как использования ASDM, так и «Общедоступных серверов». То, что об этом нигде не упоминается в Интернете, вне меня. Настраивая этот параметр, он настраивает все необходимые правила брандмауэра! Это просто и понятно.
Я смог ответить на все свои вопросы с помощью этого раздела.
Вот скриншот. 