Cisco ASA 5510 Security Appliance patří do oblíbené řady firewallů ASA 5500. Tato zařízení zaručují vysoká úroveň zabezpečení přenosu dat v síťovém prostředí středních a malých podniků. Nastavení PPPoE Umožní vám také udržovat bezpečný přístup ke globálnímu internetu z počítačů zaměstnanců společnosti.

Firewally jsou nabízeny koncovým uživatelům se standardní základní licencí nebo rozšířenou licencí Security Plus. Poslední možnost licence odhaluje možnost získat novou úroveň výkonu ASA ve srovnání s těmi schopnostmi, které jsou dostupné prostřednictvím základní licence. Pokud vám standardní licence umožňuje podporovat až 50 000 připojení, pak zakoupením Security Plus můžete získat firewall, který ochrání 130 000 připojení. Zvýšil se také maximální počet VLAN. Pokud bylo dříve k dispozici pouze 50, pak se s novou licencí tento počet zdvojnásobí a činí 100.

Cisco ASA 5510 má 5 ASA portů, které v základní licenci podporují pouze rychlosti 10/100 Mbit/s a v Bezpečnostní licence Navíc roste na 10/100/1000 Mbit/s.

Po zakoupení licence Security Plus je potřeba ji aktivovat. Chcete-li to provést, musíte spustit následující příkazy:

telecombookASA(config)#aktivační klíč 0xab12cd34

telecombookASA(config)#exit

telecombookASA#copy spuštěné spuštění

telecombookASA#reload

Dále se podívejme na příklad nastavení přístupu k internetu. Poskytovatel internetových služeb poskytující informační služby jednu přidělil statická IP adresa 77.77.77.1. Pro vnitřní síť bude využit prostor 172.16.10.0/24. Pro WAN se používá rozhraní Ethernet 0/0 a pro připojení zařízení v rámci sítě rozhraní Ethernet 0/1.

Logicky budou všechna zařízení v konfiguraci interní sítě zahrnuta do VLAN 10 a budete muset použít rozhraní Ethernet 0/1.10. ASA bude nakonfigurováno tak, aby byly IP adresy automaticky distribuovány pracovním stanicím. K tomu bude sloužit DHCP protokol. Pojďme nakonfigurovat NAT(PAT) pro konfiguraci interní-externí sítě.

Topologie sítě bude vypadat takto:

Počáteční nastavení zahrnuje nastavení hesla pro přístup ke globální konfiguraci. K tomu použijte příkaz enable password MyPass, zde MyPass je heslo pro přístup k zařízení.

Zřídit přední konec Je použit příkaz rozhraní Ethernet0/0. Jméno se zadává pomocí příkazu nameif outside, indikátor úrovně zabezpečení je úroveň zabezpečení 0, adresa IP je adresa IP 77.77.77.1 255.255.255.252.

Pro konfiguraci interního rozhraní Ethernet0/1.10 a jeho přenos do trunc 802.1q pro VLAN 10 by měl být implementován následující blok:

telecombookASA(config-if)#no shut

telecombookASA(config)#interface Ethernet0/1.10

telecombookASA(config-if)#nameif uvnitř

telecombookASA(config-if)#vlan 10

telecombookASA(config-if)#security-level 100

telecombookASA(config-if)#ip adresa 172.16.10.254 255.255.255.0

telecombookASA(config-if)#no shut

Nastavení PAT

telecombookASA(config)#global (mimo) 1 rozhraní

telecombookASA(config)#nat (uvnitř) 1 172.16.0.0 255.255.0.0

Výchozí nastavení trasy:

telecombookASA(config)#route outside 0.0.0.0 0.0.0.0 77.77.77.2 1

!*1 – administrativní vzdálenost.

Konfigurace serveru DHCP na ASA

telecombookASA(config)#dhcpd dns 88.88.88.20

telecombookASA(config)#dhcpd adresa 172.16.10.1-192.168.10.240 uvnitř

telecombookASA(config)#dhcpd povolit uvnitř

Kompletní konfigurace vypadá takto:

telecombookASA(config)#enable password MyPass

telecombookASA(config)#interface Ethernet0/0

telecombookASA(config-if)#nameif venku

telecombookASA(config-if)#úroveň zabezpečení 0

telecombookASA(config-if)#ip adresa 77.77.77.1 255.255.255.252

telecombookASA(config-if)#no shut

telecombookASA(config)#interface Ethernet0/1

telecombookASA(config-if)#speed 100

telecombookASA(config-if)#duplex plný

telecombookASA(config-if)#no nameif

telecombookASA(config-if)#žádná úroveň zabezpečení

telecombookASA(config-if)#žádná IP adresa

telecombookASA(config-if)#no shut

V tomto díle se podíváme na práci v ROMMONu.
Práce s ROMMONem je spíše nouzová práce.
Typické nouzové případy jsou poškozené nebo omylem vzdálený obrázek OS, nebo když jste jednoduše zapomněli heslo.

Pokud chceme simulovat tuto situaci, smažeme soubor OS a také resetujeme konfiguraci:

config tovární nastavení

K ASA se připojujeme pomocí konzole.
Přejděte do režimu ROMMON - během časovače stiskněte Esc.

! rommon: rozhraní ethernet0/0 adresa 10.0.0.1 server 10.0.0.2 soubor asa842-k8.bin tftpdnld

V tomto případě ASA načte OS přímo z tftp a my budeme mít kontrolu nad zařízením v „normálním“ režimu.

Po načtení v tomto režimu bude heslo pro povolení prázdné (stiskněte enter)

Další nastavení provedeme podle schématu:

V souladu s diagramem tedy nakonfigurujeme vnitřní rozhraní:

rozhraní gigabitethernet 2 úroveň zabezpečení 100 nameif uvnitř IP adresa 192.168.2.253 255.255.255.0 bez vypnutí

Zde na rozhraní jsme nastavili následující parametry:
úroveň zabezpečení 100- Protože toto rozhraní je interní, nastavíme jej na nejvyšší úroveň zabezpečení, tzn. věříme mu víc než komukoli jinému.
nameif uvnitř- Definovaný název pro rozhraní. Tento důležitý parametr, protože tento název bude často používán v dalších nastaveních.

Kontrola IP adresy:
Nastavení IP adresování můžete zkontrolovat na rozhraních:

zobrazit running-config ip

Nebo proveďte ping:

Mimochodem, něco málo o konzoli:
Pokud je config prázdný, heslo umožnit prázdné - stačí stisknout enter.

Jak je známo na týmovém routeru ukázat lze zadat pouze privilegovaný režim. Pokud jsme v konfigurační režim pak byste měli dát příkaz ukázat.
V případě ASA bude příkaz show fungovat v libovolném režimu.
Přerušit provádění příkazu (např zobrazit running-config) lze provést pomocí tlačítka " q".

Obrázek OS

spouštěcí systémový flash:/asa914-5-k8.bin

Bez tohoto příkazu se načte první dostupný obrázek operační systém.

Kontrola spouštěcího obrazu:

Pojďme restartovat

Obrázek ASDM

Takže jsme se ujistili, že vnitřní rozhraní je správně nakonfigurováno a že ping také prochází.
Nyní tedy máme plně nakonfigurované připojení k interní síti a nyní můžeme nakonfigurovat schopnost správy Spravovat naše ASA.

Správa ASA může být provedena několika způsoby:

• SSH- ovládání přes příkazový řádek přes protokol SSH.
• ASDM- Grafické rozhraní.

V našem konkrétním případě práce s GNS3 používáme ty kompatibilní mezi sebou a s GNS3:
ASA verze 8.4(2)
ASDM verze 6.4(3)

Aby ASDM fungoval, zkopírujeme také jeho soubor na flash:

flash obrázku asdm:/asdm-643.bin

Kontrola pracovního obrazu ASDM:

Abychom to shrnuli, pro správnou funkci ASA musí být na flash disku dva soubory:

• OS- Například asa914-5-k8.bin, soubor operačního systému. Vyžadováno ke spuštění systému
• ASDM- například asdm-643.bin, soubor potřebný pro fungování administračního panelu ASDM.

Další nastavení

Zadáme název hostitele:

Nastavení aktivačního hesla

povolit heslo mysecretpassword

Vytvořte uživatele admin a povolte ověřování prostřednictvím místní databáze pro SSH metody a HTTP.

uživatelské jméno asaadmin heslo administrátorské heslo oprávnění 15 aaa autentizace ssh konzole LOCAL aaa autentizace http konzole LOCAL

Mimochodem, zde jsme nezahrnuli aaa pro telnet. V tomto případě bude primární heslo pro telnet určeno příkazem:

Vygenerujeme klíč RSA nezbytný pro fungování SSH:

kryptografický klíč generovat rsa modul 1024

Aby ASDM fungovalo, povolme podporu https:

Povolení serveru http http 192.168.2.0 255.255.255.0 uvnitř ssh 192.168.2.0 255.255.255.0 uvnitř

Zde první příkaz zapne server a druhý určí, koho pustit dovnitř.

Jak víte, HTTPS ke svému fungování vyžaduje certifikát. V tomto případě ASA použije . To znamená, že s každým restartem bude certifikát vygenerován znovu.

Obecně můžeme pro ASA nakonfigurovat 3 typy certifikátů:

• Dočasný certifikát s vlastním podpisem- vlastní certifikát, který se generuje při každém načtení ASA
• Trvalý certifikát s vlastním podpisem- váš vlastní certifikát, který se vygeneruje jednou
• Skutečný certifikát od PKI- certifikát vygenerovaný certifikační autoritou třetí strany

K tomu se vrátíme později.

Pro usnadnění prodlužme časový limit pro SSH:

Kontrola nastavení HTTP, SSH, TELNET

show running-config aaa show running-config http show running-config ssh show running-config telnet

Úkolem bylo nakonfigurovat

umožnit serverům a uživatelům provoz lokální síť podniky.

servery jsou bílé

(internet typu 62.xxx) adresy a projděte

Předáváme uživatelská data

Servery mají dva síťové karty: jeden je v místní síti, druhý je na internetu a je řízen přes místní síť. Proto není konfigurován přístup z lokální sítě do DMZ, protože není potřeba.

Vzorová konfigurace je uvedena níže.

ASA verze 8.2(1)

Doména. Potřebné pro SSH

název domény strui.ru

Heslo pro povolení.

povolit heslo 4аеоLOxxxxxxjMx šifrované

passwd k0a6sN9ExxxxxxxxzV zašifrováno

Popis rozhraní při pohledu na internet

rozhraní Ethernet0/0

popis Internet

úroveň zabezpečení 0

IP adresa 213.xxx.xxx.194 255.255.255.240

Popis rozhraní nahlížejícího do lokální sítě

rozhraní Ethernet0/1

popis Místní

úroveň zabezpečení 100

IP adresa 10.10.10.20 255.255.255.0

Popis rozhraní nahlížejícího do sítě serverů (DMZ)

rozhraní Ethernet0/2

úroveň zabezpečení 50

IP adresa 62.xxx.xxx.177 255.255.255.240

Toto rozhraní je zakázáno

rozhraní Ethernet0/3

žádná úroveň zabezpečení

Toto rozhraní je zakázáno (není připojeno k lokální síti). Používá

Počáteční nastavení Cisco

Správa rozhraní0/0

management nameif

úroveň zabezpečení 100

IP adresa 192.168.1.1 255.255.255.0

pasivní režim ftp

Nastavte zónu a čas. Nezbytné pro logy.

hodiny časové pásmo MSK/MDD 3

hodiny letního času MSK/MDD opakující se minulou neděli ne 2:00 minulou neděli ne 3:00

DNS server-group DefaultDNS

Přístupový list do demilitarizované zóny na servery. Příchozí provoz.

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.180 eq www

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.180 eq ftp

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.180 eq ftp-data

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.181 eq www

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.181 eq ftp

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.181 eq ftp-data

přístupový seznam acl_in_dmz rozšířené povolení tcp libovolný hostitel 62.xxx.xxx.178 eq doména

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq smtp

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq pop3

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq imap4

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.184 eq 8081

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.184 eq www

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.185 eq www

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.186 eq ftp

přístupový seznam acl_in_dmz rozšířené povolení tcp libovolný hostitel 62.xxx.xxx.186 eq ftp-data

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.186 eq www

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.189 eq www

přístupový seznam acl_in_dmz rozšířené povolení tcp libovolného hostitele 62.xxx.xxx.179 eq doména

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq https

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.182 eq smtp

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.182 eq pop3

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.182 eq imap4

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.184 eq rtsp

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.187 eq www

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.188 eq www

Přístupový list pro servery z demilitarizované zóny. Odchozí provoz.

access-list acl_out_dmz rozšířené povolení tcp any any

access-list acl_out_dmz rozšířené povolení udp any any

access-list acl_out_dmz rozšířené povolení icmp any any

přístupový seznam acl_out_dmz rozšířený deny tcp hostitel 62.xxx.19.76 hostitel 213.xxx.36.194 ekv 135

přístupový seznam acl_out_dmz rozšířený deny tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp

Přístupový list pro uživatele místní sítě.

Vše je povoleno pro odchozí provoz.

přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.10.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.20.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.40.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.50.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.110.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.10.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.110.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.20.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.50.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení udp 10.10.10.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení udp 10.10.20.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení udp 10.10.110.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení udp 10.10.50.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení udp 10.10.40.0 255.255.255.0 libovolný

Nastavení protokolování

logovací časové razítko

protokolování upozornění na pasti

protokolování asdm informační

protokolování hostitele uvnitř 10.10.10.4

mtu mimo 1500

mtu management 1500

icmp nedosažitelný rychlostní limit 1 velikost shluku 1

není povolena žádná asdm historie

arp timeout 14400

Nastavení globální

globální (mimo) 1 rozhraní

Nastavení NAT pro místní síť

nat (uvnitř) 1 0.0.0.0 0.0.0.0

Nastavení statiky pro servery

nat (dmz) 0 0.0.0.0 0.0.0.0

statická (dmz,venčí) 62.xxx.xxx.180 62.xxx.xxx.180 maska ​​sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.181 62.xxx.xxx.181 maska ​​sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.178 62.xxx.xxx.178 maska ​​sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.179 62.xxx.xxx.179 maska ​​sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.184 62.xxx.xxx.184 maska ​​sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.185 62.xxx.xxx.185 maska ​​sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.186 62.xxx.xxx.186 maska ​​sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.189 62.xxx.xxx.189 maska ​​sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.187 62.xxx.xxx.187 maska ​​sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.188 62.xxx.xxx.188 maska ​​sítě 255.255.255.255

Přístupový seznam vážeme přes přístupovou skupinu k rozhraním.

přístupová skupina acl_in_dmz v rozhraní mimo

přístupová skupina acl_out_inside v rozhraní uvnitř

přístupová skupina acl_out_dmz v rozhraní dmz

Registrujeme směrování pro rozhraní.

trasa mimo 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1

trasa uvnitř 10.10.20.0 255.255.255.0 10.10.10.10 1

trasa uvnitř 10.10.40.0 255.255.255.0 10.10.10.10 1

trasa uvnitř 10.10.50.0 255.255.255.0 10.10.10.10 1

trasa uvnitř 10.10.110.0 255.255.255.0 10.10.10.10 1

timeout xlate 3:00:00

timeout conn 1:00:00 polozavřeno 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

časový limit sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

časový limit sip-provisional-media 0:02:00 uauth 0:05:00 absolutní

časový limit tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

Umožňujeme práci přes WEB face z lokální sítě.

Povolit http server

http 10.10.10.0 255.255.255.0 uvnitř

žádné umístění snmp-serveru

žádný kontakt snmp-server

snmp-server enable traps snmp autentizace linkup linkdown coldstart

životnost bezpečnostní asociace krypto ipsec 28800 sekund

životnost bezpečnostní asociace crypto ipsec kilobajtů 4608000

Umožňujeme telnet a ssh pracovat přes lokální síť.

telnet 10.10.10.0 255.255.255.0 uvnitř

časový limit telnetu 5

ssh 10.10.10.0 255.255.255.0 uvnitř

ssh 10.10.10.71 255.255.255.255 uvnitř

časový limit konzole 0

správa dhcpd 192.168.1.2-192.168.1.254

hrozba-detekce basic-threat

přístupový seznam statistik detekce hrozeb

žádná statistika detekce hrozeb tcp-intercept

Časový server a uživatel pro webovou tvář.

zdroj ntp serveru 10.10.10.3 uvnitř

uživatelské jméno heslo správce trAp5eVxxxxxxnv šifrované oprávnění 15

class-map inspekce_default

odpovídat default-inspection-traffic

policy-map type inspect dns preset_dns_map

maximální délka zprávy 512

policy-map global_policy

class inspekce_výchozí

zkontrolovat dns preset_dns_map

zkontrolujte h323 h225

zkontrolovat h323 ras

service-policy global_policy global

kontextové jméno hostitele

Kryptokontrolní součet:

ASA verze 8.2(1)
!
!Jméno Cisco
název hostitele asa
!Doména. Potřebné pro SSH
název domény strui.ru
!Heslo pro povolení.
povolit heslo 4аеоLOxxxxxxjMx šifrované
passwd k0a6sN9ExxxxxxxxzV zašifrováno
jména
! Popis rozhraní při pohledu na internet.
rozhraní Ethernet0/0
popis Internet
nameif venku
úroveň zabezpečení 0
IP adresa 213.xxx.xxx.194 255.255.255.240
! Popis rozhraní nahlížejícího do lokální sítě.
rozhraní Ethernet0/1
popis Místní
nameif uvnitř
úroveň zabezpečení 100
IP adresa 10.10.10.20 255.255.255.0
!
! Popis rozhraní nahlížejícího do sítě serverů (DMZ)
rozhraní Ethernet0/2
popis DMZ
nameif dmz
úroveň zabezpečení 50
IP adresa 62.xxx.xxx.177 255.255.255.240
!Toto rozhraní je zakázáno
rozhraní Ethernet0/3
vypnout
no nameif
žádná úroveň zabezpečení
žádná ip adresa
!Toto rozhraní je zakázáno (není připojeno k lokální síti). Používá
!počáteční nastavení Cisco
Správa rozhraní0/0
management nameif
úroveň zabezpečení 100
IP adresa 192.168.1.1 255.255.255.0
pouze pro správu
!
pasivní režim ftp
! Nastavte zónu a čas. Nezbytné pro logy.
hodiny časové pásmo MSK/MDD 3
hodiny letního času MSK/MDD opakující se minulou neděli ne 2:00 minulou neděli ne 3:00
DNS server-group DefaultDNS
! Přístupový list do demilitarizované zóny na servery. Příchozí provoz.
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.180 eq www
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.180 eq ftp
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.180 eq ftp-data
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.181 eq www
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.181 eq ftp
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.181 eq ftp-data
přístupový seznam acl_in_dmz rozšířené povolení tcp libovolný hostitel 62.xxx.xxx.178 eq doména
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq smtp
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq pop3
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq imap4
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.184 eq 8081
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.184 eq www
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.185 eq www
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.186 eq ftp
přístupový seznam acl_in_dmz rozšířené povolení tcp libovolný hostitel 62.xxx.xxx.186 eq ftp-data
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.186 eq www
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.189 eq www
přístupový seznam acl_in_dmz rozšířené povolení tcp libovolného hostitele 62.xxx.xxx.179 eq doména
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq https
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.182 eq smtp
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.182 eq pop3
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.182 eq imap4
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.187 eq www
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.188 eq www
! Přístupový list pro servery z demilitarizované zóny. Odchozí provoz.
access-list acl_out_dmz rozšířené povolení tcp any any
access-list acl_out_dmz rozšířené povolení udp any any
access-list acl_out_dmz rozšířené povolení icmp any any
přístupový seznam acl_out_dmz rozšířený deny tcp hostitel 62.xxx.19.76 hostitel 213.xxx.36.194 ekv 135
přístupový seznam acl_out_dmz rozšířený deny tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp
!Přístupový seznam pro uživatele místní sítě.
! Vše je povoleno pro odchozí provoz.
přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.10.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.20.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.40.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.50.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.110.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.10.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.110.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.20.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.50.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení udp 10.10.10.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení udp 10.10.20.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení udp 10.10.110.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení udp 10.10.50.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení udp 10.10.40.0 255.255.255.0 libovolný

! Nastavení protokolování
povolit protokolování
logovací časové razítko
protokolování upozornění na pasti
protokolování asdm informační
protokolování hostitele uvnitř 10.10.10.4
mtu mimo 1500
mtu uvnitř 1500
mtu dmz 1500
mtu management 1500

žádné převzetí služeb při selhání
icmp nedosažitelný rychlostní limit 1 velikost shluku 1
není povolena žádná asdm historie
arp timeout 14400

! Nastavení globální
globální (mimo) 1 rozhraní
! Nastavení NAT pro místní síť
nat (uvnitř) 1 0.0.0.0 0.0.0.0
! Nastavení statiky pro servery
nat (dmz) 0 0.0.0.0 0.0.0.0
statická (dmz,venčí) 62.xxx.xxx.180 62.xxx.xxx.180 maska ​​sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.181 62.xxx.xxx.181 maska ​​sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.178 62.xxx.xxx.178 maska ​​sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.179 62.xxx.xxx.179 maska ​​sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.184 62.xxx.xxx.184 maska ​​sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.185 62.xxx.xxx.185 maska ​​sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.186 62.xxx.xxx.186 maska ​​sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.189 62.xxx.xxx.189 maska ​​sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.187 62.xxx.xxx.187 maska ​​sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.188 62.xxx.xxx.188 maska ​​sítě 255.255.255.255
! Přístupový seznam vážeme přes přístupovou skupinu k rozhraním.
přístupová skupina acl_in_dmz v rozhraní mimo
přístupová skupina acl_out_inside v rozhraní uvnitř
přístupová skupina acl_out_dmz v rozhraní dmz
! Registrujeme směrování pro rozhraní.
trasa mimo 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
trasa uvnitř 10.10.20.0 255.255.255.0 10.10.10.10 1
trasa uvnitř 10.10.40.0 255.255.255.0 10.10.10.10 1
trasa uvnitř 10.10.50.0 255.255.255.0 10.10.10.10 1
trasa uvnitř 10.10.110.0 255.255.255.0 10.10.10.10 1
timeout xlate 3:00:00
timeout conn 1:00:00 polozavřeno 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
časový limit sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
časový limit sip-provisional-media 0:02:00 uauth 0:05:00 absolutní
časový limit tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
! Umožňujeme práci přes WEB face z lokální sítě.
Povolit http server
http 10.10.10.0 255.255.255.0 uvnitř
žádné umístění snmp-serveru
žádný kontakt snmp-server
snmp-server enable traps snmp autentizace linkup linkdown coldstart
životnost bezpečnostní asociace krypto ipsec 28800 sekund
životnost bezpečnostní asociace crypto ipsec kilobajtů 4608000
! Umožňujeme telnet a ssh pracovat přes lokální síť.
telnet 10.10.10.0 255.255.255.0 uvnitř
časový limit telnetu 5
ssh 10.10.10.0 255.255.255.0 uvnitř
ssh 10.10.10.71 255.255.255.255 uvnitř
časový limit ssh 30
časový limit konzole 0
správa dhcpd 192.168.1.2-192.168.1.254
!
hrozba-detekce basic-threat
přístupový seznam statistik detekce hrozeb
žádná statistika detekce hrozeb tcp-intercept
! Časový server a uživatel pro webovou tvář.
zdroj ntp serveru 10.10.10.3 uvnitř
webvpn
uživatelské jméno heslo správce trAp5eVxxxxxxnv šifrované oprávnění 15
!
class-map inspekce_default
odpovídat default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parametry
maximální délka zprávy 512
policy-map global_policy
class inspekce_výchozí
zkontrolovat dns preset_dns_map
zkontrolovat ftp
zkontrolujte h323 h225
zkontrolovat h323 ras
zkontrolovat rsh
zkontrolovat rtsp
zkontrolovat esmtp
zkontrolovat sqlnet
prohlédnout hubená
zkontrolovat sunrpc
zkontrolovat xdmcp
zkontrolovat doušek
zkontrolovat netbios
zkontrolovat tftp
!
service-policy global_policy global
kontextové jméno hostitele
Kryptokontrolní součet:
: konec

V tomto článku vám řekneme, jak migrovat z firewallů Cisco ASA 5500 (ASA 5510, ASA 5520, ASA 5540 a ASA 5550) na modernější ASA 5500-X (5512-X, 5515-X, 5525-X, 5545-X X , 5555-X), jaká předběžná příprava je nutná, na jaké body je třeba věnovat pozornost.

Zde je přibližná shoda mezi zařízeními těchto dvou linek pro přechod.

Příprava na migraci

Aby migrace proběhla rychle a bez problémů, je potřeba se na ni pečlivě připravit – zkontrolovat, zda jsou splněny hardwarové a softwarové požadavky.

Kontrolujeme následující:

• dostupnost licencí pro všechna nová zařízení - předchozí licence nelze přenést, protože jsou s nimi svázány sériová čísla konkrétní zařízení, takže si budete muset zakoupit nové licence a používat je na novém zařízení
• verze software ASA pro řadu 5500-X musí být minimálně 8.6, starší verze na těchto zařízeních prostě použít nemůžete. Pokud máte pouze starší verzi, stáhněte si novou z webu cisco.com

K přípravě na přechod z řady Cisco 500 budete potřebovat následující kroky:

• aktualizujte Cisco Security Manager
• upgradujte software všech zařízení řady 5500 na verzi 8.4.2. Pokud jej máte spuštěný na softwaru ASA 8.3, jednoduše jej okamžitě aktualizujte na požadovanou verzi, ale pokud používáte starší verzi, doporučujeme to provést nikoli v jednom kroku, ale v několika operacích, například od 7.4 do 8.0, pak do 8.2 a na 8.4. na verzi 8.3.

Alternativně můžete také použít webový nástroj pro migraci NAT, kontaktovat TAS nebo zákaznickou podporu. Tento nástroj vám umožňuje odeslat existující konfiguraci ke zpracování místní počítač, poté provede transformace a nakonec poskytne uživateli aktualizovanou konfiguraci, kterou lze jednoduše zkopírovat a uložit do souboru. Před použitím tohoto nástroje si pozorně přečtěte jeho omezení.

• Nezapomeňte si zálohovat konfiguraci a uložit ji pro případ, že se něco pokazí a budete muset konfiguraci obnovit. To se provádí pomocí příkazu CLI kopírovat nebo pomocí správce ASDM
• pokud používáte , musíte také zálohovat jeho konfiguraci (přes CLI nebo IDM/IME)
• kdy to uděláš zálohy konfigurace, nezapomeňte exportovat certifikáty a kryptoklíče z předchozí platformy

Rozdíly v hardwarové architektuře zařízení ASA 5500-X z řady 5500

Architektura nových zařízení je přirozeně poněkud odlišná. Vizuálně si budete moci všimnout následujících rozdílů:

• žádné SSM
• Služby ASA a IPS (pokud existují) jsou fyzicky spravovány přes stejný port
• vyšší hustota I/O portů, jsou použity pouze gigabitové porty

Kvůli těmto rozdílům budete muset některé věci změnit ručně konfigurační souborřada 5500. Přečtěte si níže, co přesně.

Úprava konfigurace I/O portu

Všichni zástupci ASA 5500 mají gigabitové porty, jejich konfigurace je již zaregistrována a není třeba nic měnit. Výjimkou je ASA 5510 bez licence SecPlus, který takový port nemá. Pokud tedy přeneseme konfiguraci konkrétně z 5510, budeme muset změnit všechny názvy rozhraní a podrozhraní, aby odrážely, že nové zařízení má gigabitové porty.

Zde je příklad, jak se to dělá (přecházíme z 5510 na 5515-X).

Konfigurace ASA 5510

! Fyzické rozhraní

rozhraní Ethernet0/1

no nameif

žádná úroveň zabezpečení

žádná ip adresa

žádné vypnutí

! Vytváření dílčích rozhraní na rozhraní E0/1 (dvě logické sítě)

rozhraní Ethernet0/1.120

vlan 1222

nameif fw-out

úroveň zabezpečení 50

Změněna konfigurace ASA 5515-X

! Fyzické rozhraní

rozhraní GigabitEthernet0/1

no nameif

žádná úroveň zabezpečení

žádná ip adresa

žádné vypnutí

! Vytváření dílčích rozhraní na rozhraní G0/1 (dvě logické sítě)

rozhraní GigabitEthernet0/1.1201

vlan 1222

nameif fw-out

úroveň zabezpečení 50

IP adresa 172.16.61.1 255.255.255.0

Změny konfigurace portů pro správu

Významný rozdíl oproti platformě ASA 5500-X spočívá v tom, že služby IPS a firewallu sdílejí port pro správu, ale nelze jej použít k žádnému jinému účelu. Mějte na paměti, že po přechodu jej nebude možné použít jako datový port nebo jako konfigurační prvek s vysokou dostupností (to bylo možné u řady 5500). Pokud jste to udělali na své předchozí platformě, nezapomeňte při migraci migrovat nastavení konfigurace pro tento port pro správu na jeden z gigabitových datových portů s vyšším číslem než G0/3. Níže je uveden příklad, jak se to dělá, pomocí příkladu migrace z ASA 5520 na ASA 5525-X.

Konfigurace ASA 5520

Správa rozhraní0/0

no nameif

žádná úroveň zabezpečení

žádná ip adresa

žádné pouze řízení

žádné vypnutí!

! Podrozhraní na rozhraní M0/0

Správa rozhraní 0/0.120

vlan 1222

nameif fw-out

úroveň zabezpečení 50

IP adresa 172.16.61.1 255.255.255.0

Konfigurace ASA 5515-X

! Vyhrazené rozhraní pro správu

Správa rozhraní0/0

no nameif

žádná úroveň zabezpečení

žádná ip adresa

pouze pro správu

žádné vypnutí

! Rozhraní pro správu migrováno na GigabitEthernet0/3

rozhraní GigabitEthernet0/3

no nameif

žádná úroveň zabezpečení

žádná ip adresa

žádné vypnutí

! Podrozhraní na rozhraní G0/3

rozhraní GigabitEthernet0/3.1201

vlan 1222

nameif fw-out

úroveň zabezpečení 50

IP adresa 172.16.61.1 255.255.255.0

Cisco ASA 5500 nemá rozhraní GigabitEthernet0/3, proto při upgradu na vyšší pozdější verze, konfigurace by spolu neměly být v konfliktu.

Podobně, pokud jste dříve používali rozhraní pro správu pro konfiguraci převzetí služeb při selhání, přesuňte jej do nějakého nového nepoužívaného rozhraní 5500-X.

Jak správně migrovat služby ASA a IPS? Zde je několik možností, protože, jak bylo uvedeno výše, pro IPS a firewall 5500 nyní mají jeden společný řídicí port, zatímco dříve byly používány jiné. , doporučujeme je pečlivě prostudovat a vybrat si tu vhodnou.

Přenos konfigurace IPS

Přímo při přenosu konfiguračního souboru IPS nebudete muset nic ručně měnit, pokud jste dokončili všechny potřebné přípravy popsané výše. Pro jistotu ještě jednou zkontrolujte, zda je správně nakonfigurován port pro správu.

Nezapomeňte, že IPS se aktivuje ve dvou krocích, k čemuž budete potřebovat licenci nejen na zařízení ASA, ale i na samotnou službu IPS.

Výsledek

Jak můžete vidět, migrace ze zařízení řady ASA 5500 na ASA 5500-X se provádí v několika fázích, některé z nich jsou automatizované a některé bude nutné provést ručně.

Pokusili jsme se popsat hlavní kroky, v jakém pořadí to udělat a na co si dát pozor, aby po přechodu nové zařízení fungovalo správně a plnilo jemu přidělené funkce.