Cisco ASA 5510 Security Appliance는 널리 사용되는 ASA 5500 라인의 방화벽에 속합니다. 높은 레벨중소 기업의 네트워크 환경에서 데이터 전송의 보안. PPPoE 설정또한 회사 직원의 컴퓨터에서 글로벌 인터넷 네트워크에 대한 보안 액세스를 유지할 수 있습니다.
방화벽은 표준 Base 라이선스 또는 확장 Security Plus 라이선스가 있는 최종 사용자에게 제공됩니다. 마지막 옵션라이선스는 기본 라이선스를 통해 사용할 수 있는 기능과 비교할 때 새로운 수준의 ASA 성능을 얻을 수 있는 가능성을 열어줍니다. 표준 라이센스로 최대 50,000개의 연결을 지원할 수 있는 경우 Security Plus를 구입하면 130,000개의 연결을 보호하는 방화벽을 얻을 수 있습니다. VLAN의 최대 개수도 증가했습니다. 이전에 50개만 사용할 수 있었다면 새 라이선스를 사용하면 이 숫자가 두 배가 되어 100개가 됩니다.
Cisco ASA 5510에는 기본 라이센스에서 10/100Mbps만 지원할 수 있는 5개의 ASA 포트가 있습니다. 보안 라이선스또한 10/100/1000Mbps까지 성장합니다.
Security Plus 라이선스를 구매한 후 활성화해야 합니다. 이렇게 하려면 다음 명령을 실행해야 합니다.
telecombookASA(구성)#활성화 키 0xab12cd34
telecombookASA(config)#exit
telecombookASA#복사 실행 시작
telecombookASA#다시 로드
다음으로, 인터넷에 대한 액세스를 설정하는 예를 고려하십시오. 정보 서비스를 제공하는 인터넷 제공자는 하나를 할당했습니다. 고정 IP 주소 77.77.77.1. 을 위한 내부 네트워크공간 172.16.10.0/24가 사용됩니다. WAN의 경우 이더넷 0/0 인터페이스를 사용하고 네트워크 내 장치 연결을 위한 이더넷 0/1 인터페이스를 사용합니다.
논리에 따르면 내부 네트워크 구성의 모든 장치는 VLAN 10에 포함되고 이더넷 0/1.10 인터페이스를 활성화해야 합니다. ASA는 IP 주소가 워크스테이션에 자동으로 배포되는 방식으로 구성됩니다. 이를 위해 사용됩니다 DHCP 프로토콜. 내부-외부 네트워크 구성을 위해 NAT(PAT)를 구성해 보겠습니다.
네트워크 토폴로지는 다음과 같습니다.
초기 설정에는 전역 구성에 액세스하기 위한 암호 설정이 포함됩니다. 이렇게 하려면 암호 활성화 MyPass 명령을 사용합니다. 여기서 MyPass는 장치에 액세스하기 위한 암호입니다.
외부 인터페이스를 구성하려면 interface Ethernet0/0 명령을 사용하십시오. 이름은 nameif outside 명령을 사용하여 지정하고 보안 수준 표시기는 보안 수준 0, IP 주소는 ip 주소 77.77.77.1 255.255.255.252입니다.
내부 Ethernet0/1.10 인터페이스를 구성하고 VLAN 10용 trunc 802.1q로 변환하려면 다음 블록을 구현하십시오.
telecombookASA(config-if)#종료 없음
telecombookASA(config)#인터페이스 이더넷0/1.10
telecombookASA(config-if)#nameif 내부
telecombookASA(config-if)#vlan 10
telecombookASA(config-if)#보안 수준 100
telecombookASA(config-if)#ip 주소 172.16.10.254 255.255.255.0
telecombookASA(config-if)#종료 없음
패트 설정
telecombookASA(config)#global(외부) 1 인터페이스
telecombookASA(config)#nat(내부) 1 172.16.0.0 255.255.0.0
기본 경로 설정:
telecombookASA(config)#외부 경로 0.0.0.0 0.0.0.0 77.77.77.2 1
!*1 – 관리 거리.
ASA에서 DHCP 서버 구성
telecombookASA(구성)#dhcpd dns 88.88.88.20
telecombookASA(config)#dhcpd 주소 172.16.10.1-192.168.10.240 내부
telecombookASA(config)#dhcpd 내부 활성화
전체 구성은 다음과 같습니다.
telecombookASA(config)#암호 활성화 MyPass
telecombookASA(config)#인터페이스 이더넷0/0
telecombookASA(config-if)#nameif 외부
telecombookASA(config-if)#보안 수준 0
telecombookASA(config-if)#ip 주소 77.77.77.1 255.255.255.252
telecombookASA(config-if)#종료 없음
telecombookASA(config)#인터페이스 이더넷0/1
telecombookASA(config-if)#속도 100
telecombookASA(config-if)#이중 전체
telecombookASA(config-if)#이름이 없으면
telecombookASA(config-if)#보안 수준 없음
telecombookASA(config-if)#ip 주소 없음
telecombookASA(config-if)#종료 없음
이 부분에서는 ROMMON에서 작업하는 방법을 살펴보겠습니다.
ROMMON과 함께 일하는 것은 비상 작업에 가깝습니다.
일반적인 비상 상황은 손상되거나 실수로 발생합니다. 원격 이미지 OS 또는 단순히 비밀번호를 잊어버린 경우.
이 상황을 시뮬레이션하려면 OS 파일을 삭제하고 구성도 재설정합니다.
구성 공장 기본값
콘솔을 통해 ASA에 연결됩니다.
ROMMON 모드로 들어갑니다. 타이머 중에 Esc를 누릅니다.
! rommon: 인터페이스 ethernet0/0 주소 10.0.0.1 서버 10.0.0.2 파일 asa842-k8.bin tftpdnld
이 경우 ASA는 tftp에서 직접 OS를 부팅하고 우리는 이미 "일반" 모드에 있는 장치를 제어할 수 있습니다.
이 모드로 부팅한 후에는 활성화 암호가 비어 있습니다(Enter 키 누르기).
우리는 계획에 따라 추가 설정을 할 것입니다: 
따라서 구성표에 따라 내부 인터페이스를 구성합니다.
인터페이스 gigabitethernet 2 보안 수준 100 nameif 내부 IP 주소 192.168.2.253 255.255.255.0 종료 없음
여기 인터페이스에서 다음 매개변수를 설정합니다.
보안 수준 100- 왜냐하면 주어진 인터페이스내부인 경우 가장 높은 보안 수준으로 설정합니다. 우리는 그를 가장 신뢰합니다.
이름이 내부에 있으면- 인터페이스의 이름을 정의했습니다. 그것 중요한 매개변수, 이 이름은 이후 설정에서 자주 사용됩니다.
IP 주소 확인:
인터페이스에서 IP 주소 지정 설정을 확인할 수 있습니다.
실행 구성 IP 표시
또는 핑: 
그건 그렇고, 콘솔에 대해 조금 :
빈 구성으로 암호 ~할 수 있게 하다비어 있음 - Enter 키를 누르십시오.
명령 라우터에 알려진 대로 보여 주다에만 입력할 수 있습니다. 특권 모드. 우리가 있다면 구성 모드그런 다음 명령을 내려야합니다 보여주다.
ASA의 경우 show 명령은 모든 모드에서 작동합니다.
명령 실행 중단(예: 실행 구성 표시) 버튼을 통해 수행할 수 있습니다. 큐".
OS 이미지
부팅 시스템 플래시:/asa914-5-k8.bin
이 명령이 없으면 사용 가능한 첫 번째 이미지가 로드됩니다. 운영 체제.
부팅할 이미지 확인:
우리는 책망한다
ASDM 이미지
따라서 내부 인터페이스가 올바르게 구성되어 있고 ping도 통과하는지 확인했습니다.
이제 내부 네트워크에 대한 연결이 완전히 구성되었으며 이제 관리 기능을 구성할 수 있습니다. 관리하다우리 ASA.
ASA 관리는 여러 가지 방법으로 수행할 수 있습니다.
- SSH- 통해 관리 명령줄 SSH 프로토콜을 통해
- ASDM- 그래픽 사용자 인터페이스.
GNS3로 작업하는 특별한 경우에는 서로 호환 가능하고 GNS3과 호환됩니다.
ASA 버전 8.4(2)
ASDM 버전 6.4(3)
ASDM이 작동하려면 파일을 플래시에도 복사합니다.
asdm 이미지 플래시:/asdm-643.bin
ASDM 작업 이미지 확인:
요약하자면 ASA가 제대로 작동하려면 플래시에 두 개의 파일이 있어야 합니다.
- OS- 예를 들어 asa914-5-k8.bin, 운영 체제 파일. 시스템 부팅에 필요
- ASDM- 예를 들어 asdm-643.bin은 ASDM 관리자 패널이 작동하는 데 필요한 파일입니다.
추가 설정
호스트 이름 입력:
활성화 암호 설정
비밀번호 활성화 mysecretpassword
admin 사용자를 생성하고 로컬 데이터베이스를 통한 인증 활성화 SSH 방법그리고 HTTP.
사용자 이름 asaadmin 암호 adminpassword 권한 15 aaa 인증 ssh 콘솔 LOCAL aaa 인증 http 콘솔 LOCAL
그런데 여기에서는 텔넷용 aaa를 포함하지 않았습니다. 이 경우 telnet의 기본 암호는 다음 명령에 의해 결정됩니다.
SSH가 작동하는 데 필요한 RSA 키를 생성합니다.
암호화 키는 rsa 모듈러스 1024를 생성합니다.
ASDM이 작동하려면 https 지원을 활성화하십시오.
http 서버 활성화 http 192.168.2.0 255.255.255.0 내부 ssh 192.168.2.0 255.255.255.0 내부
여기서 첫 번째 명령은 서버를 켜고 두 번째 명령은 허용할 사람을 결정합니다.
아시다시피 HTTPS가 작동하려면 인증서가 필요합니다. 이 경우 ASA는 다음을 사용합니다. . 즉, 재부팅할 때마다 인증서가 다시 생성됩니다.
일반적으로 ASA에 대해 3가지 유형의 인증서를 구성할 수 있습니다.
- 자체 서명된 임시 인증서- ASA가 부팅될 때마다 생성되는 자체 인증서
- 자체 서명된 영구 인증서- 한 번 생성되는 자체 인증서
- PKI의 실제 인증서- 타사 인증 기관에서 생성한 인증서
이에 대해서는 나중에 다시 설명하겠습니다.
편의를 위해 SSH의 시간 초과를 늘리겠습니다.
HTTP, SSH, TELNET 설정 확인
show running-config aaa show running-config http show running-config ssh show running-config telnet
설정하는 것이 과제였습니다.
서버와 사용자가 작업할 수 있도록 지역 네트워크기업.
서버는 흰색
(인터넷 유형 62.xxx) 주소 및 작업을 통해
사용자 데이터는 다음을 통해 전달됩니다.
서버는 두 가지 네트워크 카드: 하나는 로컬 네트워크에서, 다른 하나는 인터넷에서 로컬 네트워크를 통해 제어됩니다. 따라서 로컬 네트워크에서 DMZ로의 액세스는 필요하지 않으므로 구성되지 않습니다.
샘플 구성이 아래에 나와 있습니다.
ASA 버전 8.2(1)
도메인. SSH에 필요
도메인 이름 strui.ru
활성화를 위한 암호입니다.
암호 활성화 4aeeoLOxxxxxxjMx 암호화
passwd k0a6sN9ExxxxxxxzV 암호화
인터넷을 바라보는 인터페이스에 대한 설명
인터페이스 이더넷0/0
설명 인터넷
보안 수준 0
IP 주소 213.xxx.xxx.194 255.255.255.240
로컬 네트워크를 조사하는 인터페이스에 대한 설명
인터페이스 이더넷0/1
설명 지역
보안 수준 100
IP 주소 10.10.10.20 255.255.255.0
서버 네트워크(DMZ)를 조사하는 인터페이스에 대한 설명
인터페이스 이더넷0/2
보안 수준 50
IP 주소 62.xxx.xxx.177 255.255.255.240
이 인터페이스는 비활성화되어 있습니다
인터페이스 이더넷0/3
보안 수준 없음
이 인터페이스는 비활성화되어 있습니다(로컬 네트워크에 연결되지 않음). 사용
초기 시스코 설정
인터페이스 관리0/0
nameif 관리
보안 수준 100
IP 주소 192.168.1.1 255.255.255.0
FTP 모드 패시브
영역과 시간을 설정합니다. 로그에 필요합니다.
시계 시간대 MSK/MDD 3
시계 여름 시간 MSK/MDD 마지막 일요일 3월 2:00 마지막 일요일 10월 3:00
dns 서버 그룹 DefaultDNS
서버에 대한 비무장지대에 대한 액세스 목록입니다. 들어오는 트래픽.
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.180 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.180 eq ftp
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.180 eq ftp-data
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.181 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.181 eq ftp
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.181 eq ftp-data
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.178 eq 도메인
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.179 eq smtp
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.179 eq pop3
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.179 eq imap4
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.184 eq 8081
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.184 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.185 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.186 eq ftp
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.186 eq ftp-data
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.186 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.189 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.179 eq 도메인
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.179 eq https
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.182 eq smtp
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.182 eq pop3
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.182 eq imap4
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.184 eq rtsp
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.187 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.188 eq www
DMZ에서 서버에 대한 액세스 목록입니다. 나가는 트래픽.
액세스 목록 acl_out_dmz 확장 허가 tcp any any
액세스 목록 acl_out_dmz 확장 허가 udp 모든
액세스 목록 acl_out_dmz 확장 허가 icmp 모든
액세스 목록 acl_out_dmz 확장 거부 tcp 호스트 62.xxx.19.76 호스트 213.xxx.36.194 eq 135
액세스 목록 acl_out_dmz 확장 거부 tcp 호스트 87.xxx.95.11 호스트 213.xxx.36.194 eq ftp
로컬 네트워크 사용자의 액세스 목록입니다.
나가는 트래픽에는 모든 것이 허용됩니다.
액세스 목록 acl_out_inside 확장 허가 tcp 10.10.10.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 tcp 10.10.20.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 tcp 10.10.40.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 tcp 10.10.50.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 tcp 10.10.110.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 icmp 10.10.10.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 icmp 10.10.110.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 icmp 10.10.20.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 icmp 10.10.50.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 udp 10.10.10.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 udp 10.10.20.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 udp 10.10.110.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 udp 10.10.50.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 udp 10.10.40.0 255.255.255.0 모두
로깅 설정
로깅 타임스탬프
트랩 알림 로깅
로깅 asdm 정보
10.10.10.4 내부의 로깅 호스트
mtu 외부 1500
mtu 관리 1500
icmp 도달할 수 없는 속도 제한 1 버스트 크기 1
asdm 기록 활성화 없음
arp 시간 초과 14400
전역 설정
전역(외부) 1 인터페이스
로컬 네트워크에 대한 NAT 설정
nat(내부) 1 0.0.0.0 0.0.0.0
서버에 대한 정적 설정
nat(dmz) 0 0.0.0.0 0.0.0.0
정적(dmz, 외부) 62.xxx.xxx.180 62.xxx.xxx.180 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.181 62.xxx.xxx.181 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.178 62.xxx.xxx.178 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.179 62.xxx.xxx.179 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.184 62.xxx.xxx.184 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.185 62.xxx.xxx.185 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.186 62.xxx.xxx.186 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.189 62.xxx.xxx.189 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.187 62.xxx.xxx.187 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.188 62.xxx.xxx.188 넷마스크 255.255.255.255
access-group을 통해 access-list를 인터페이스에 바인딩합니다.
외부 인터페이스의 액세스 그룹 acl_in_dmz
내부 인터페이스의 액세스 그룹 acl_out_inside
인터페이스 dmz의 액세스 그룹 acl_out_dmz
인터페이스에 대한 라우팅을 등록합니다.
외부 경로 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
내부 경로 10.10.20.0 255.255.255.0 10.10.10.10 1
내부 경로 10.10.40.0 255.255.255.0 10.10.10.10 1
내부 경로 10.10.50.0 255.255.255.0 10.10.10.10 1
내부 경로 10.10.110.0 255.255.255.0 10.10.10.10 1
시간 초과 xlate 3:00:00
시간 초과 conn 1:00:00 반 폐쇄 0:10:00 udp 0:02:00 icmp 0:00:02
시간 초과 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
타임아웃 sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
시간 초과 sip-provisional-media 0:02:00 uauth 0:05:00 절대
시간 초과 tcp-proxy-reassembly 0:01:00
동적 액세스 정책 기록 DfltAccessPolicy
로컬 네트워크에서 WEB 얼굴을 통한 작업을 허용합니다.
http 서버 활성화
http 10.10.10.0 255.255.255.0 내부
snmp 서버 위치 없음
snmp-server 연락처 없음
snmp-server enable 트랩 snmp 인증 linkup linkdown coldstart
암호 ipsec 보안 연결 수명 초 28800
암호화 ipsec 보안 협회 수명 킬로바이트 4608000
telnet과 ssh가 로컬 네트워크에서 작동하도록 허용합니다.
텔넷 10.10.10.0 255.255.255.0 내부
텔넷 시간 초과 5
SSH 10.10.10.0 255.255.255.0 내부
SSH 10.10.10.71 255.255.255.255 내부
콘솔 시간 초과 0
dhcpd 주소 192.168.1.2-192.168.1.254 관리
위협 탐지 기본 위협
위협 탐지 통계 액세스 목록
위협 탐지 통계 없음 tcp-intercept
WEB 총구에 대한 시간 서버 및 사용자.
ntp 서버 10.10.10.3 소스 내부
사용자 이름 관리자 암호 trAp5eVxxxxxxnv 암호화된 권한 15
클래스 맵 검사_기본값
기본 검사 트래픽 일치
정책 맵 유형 검사 dns preset_dns_map
최대 메시지 길이 512
정책 맵 global_policy
클래스 검사_기본값
DNS 사전 설정_dns_map 검사
h323 h225 검사
h323 ras 검사
서비스 정책 global_policy 글로벌
프롬프트 호스트 이름 컨텍스트
암호 체크섬:58da28923df5a5f8d5192125f9b1796f
ASA 버전 8.2(1)
!
!시스코 이름
호스트 이름 asa
!도메인. SSH에 필요
도메인 이름 strui.ru
!활성화를 위한 비밀번호입니다.
암호 활성화 4aeeoLOxxxxxxjMx 암호화
passwd k0a6sN9ExxxxxxxzV 암호화
이름
! 인터넷을 바라보는 인터페이스에 대한 설명.
인터페이스 이더넷0/0
설명 인터넷
외부인 경우 이름
보안 수준 0
IP 주소 213.xxx.xxx.194 255.255.255.240
! 로컬 네트워크를 조사하는 인터페이스에 대한 설명.
인터페이스 이더넷0/1
설명 지역
이름이 내부에 있으면
보안 수준 100
IP 주소 10.10.10.20 255.255.255.0
!
! 서버 네트워크(DMZ)를 조사하는 인터페이스에 대한 설명
인터페이스 이더넷0/2
설명 DMZ
nameif dmz
보안 수준 50
IP 주소 62.xxx.xxx.177 255.255.255.240
!이 인터페이스는 비활성화되어 있습니다
인터페이스 이더넷0/3
일시 휴업
이름없음
보안 수준 없음
IP 주소 없음
!이 인터페이스는 비활성화되어 있습니다(로컬 네트워크에 연결되지 않음). 사용
!초기 설정시스코
인터페이스 관리0/0
nameif 관리
보안 수준 100
IP 주소 192.168.1.1 255.255.255.0
관리 전용
!
FTP 모드 패시브
! 영역과 시간을 설정합니다. 로그에 필요합니다.
시계 시간대 MSK/MDD 3
시계 여름 시간 MSK/MDD 마지막 일요일 3월 2:00 마지막 일요일 10월 3:00
dns 서버 그룹 DefaultDNS
! 서버에 대한 비무장지대에 대한 액세스 목록입니다. 들어오는 트래픽.
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.180 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.180 eq ftp
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.180 eq ftp-data
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.181 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.181 eq ftp
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.181 eq ftp-data
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.178 eq 도메인
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.179 eq smtp
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.179 eq pop3
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.179 eq imap4
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.184 eq 8081
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.184 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.185 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.186 eq ftp
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.186 eq ftp-data
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.186 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.189 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.179 eq 도메인
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.179 eq https
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.182 eq smtp
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.182 eq pop3
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.182 eq imap4
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.184 eq rtsp
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.187 eq www
액세스 목록 acl_in_dmz 확장 허가 tcp 모든 호스트 62.xxx.xxx.188 eq www
! DMZ에서 서버에 대한 액세스 목록입니다. 나가는 트래픽.
액세스 목록 acl_out_dmz 확장 허가 tcp any any
액세스 목록 acl_out_dmz 확장 허가 udp 모든
액세스 목록 acl_out_dmz 확장 허가 icmp 모든
액세스 목록 acl_out_dmz 확장 거부 tcp 호스트 62.xxx.19.76 호스트 213.xxx.36.194 eq 135
액세스 목록 acl_out_dmz 확장 거부 tcp 호스트 87.xxx.95.11 호스트 213.xxx.36.194 eq ftp
!LAN 사용자를 위한 액세스 목록입니다.
! 나가는 트래픽에는 모든 것이 허용됩니다.
액세스 목록 acl_out_inside 확장 허가 tcp 10.10.10.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 tcp 10.10.20.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 tcp 10.10.40.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 tcp 10.10.50.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 tcp 10.10.110.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 icmp 10.10.10.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 icmp 10.10.110.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 icmp 10.10.20.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 icmp 10.10.50.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 udp 10.10.10.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 udp 10.10.20.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 udp 10.10.110.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 udp 10.10.50.0 255.255.255.0 모두
액세스 목록 acl_out_inside 확장 허가 udp 10.10.40.0 255.255.255.0 모두
! 로깅 설정
로깅 활성화
로깅 타임스탬프
트랩 알림 로깅
로깅 asdm 정보
10.10.10.4 내부의 로깅 호스트
mtu 외부 1500
mtu 내부 1500
mtu dmz 1500
mtu 관리 1500
장애 조치 없음
icmp 도달할 수 없는 속도 제한 1 버스트 크기 1
asdm 기록 활성화 없음
arp 시간 초과 14400
! 전역 설정
전역(외부) 1 인터페이스
! 로컬 네트워크에 대한 NAT 설정
nat(내부) 1 0.0.0.0 0.0.0.0
! 서버에 대한 정적 설정
nat(dmz) 0 0.0.0.0 0.0.0.0
정적(dmz, 외부) 62.xxx.xxx.180 62.xxx.xxx.180 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.181 62.xxx.xxx.181 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.178 62.xxx.xxx.178 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.179 62.xxx.xxx.179 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.184 62.xxx.xxx.184 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.185 62.xxx.xxx.185 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.186 62.xxx.xxx.186 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.189 62.xxx.xxx.189 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.187 62.xxx.xxx.187 넷마스크 255.255.255.255
정적(dmz, 외부) 62.xxx.xxx.188 62.xxx.xxx.188 넷마스크 255.255.255.255
! access-group을 통해 access-list를 인터페이스에 바인딩합니다.
외부 인터페이스의 액세스 그룹 acl_in_dmz
내부 인터페이스의 액세스 그룹 acl_out_inside
인터페이스 dmz의 액세스 그룹 acl_out_dmz
! 인터페이스에 대한 라우팅을 등록합니다.
외부 경로 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
내부 경로 10.10.20.0 255.255.255.0 10.10.10.10 1
내부 경로 10.10.40.0 255.255.255.0 10.10.10.10 1
내부 경로 10.10.50.0 255.255.255.0 10.10.10.10 1
내부 경로 10.10.110.0 255.255.255.0 10.10.10.10 1
시간 초과 xlate 3:00:00
시간 초과 conn 1:00:00 반 폐쇄 0:10:00 udp 0:02:00 icmp 0:00:02
시간 초과 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
타임아웃 sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
시간 초과 sip-provisional-media 0:02:00 uauth 0:05:00 절대
시간 초과 tcp-proxy-reassembly 0:01:00
동적 액세스 정책 기록 DfltAccessPolicy
! 로컬 네트워크에서 WEB 얼굴을 통한 작업을 허용합니다.
http 서버 활성화
http 10.10.10.0 255.255.255.0 내부
snmp 서버 위치 없음
snmp-server 연락처 없음
snmp-server enable 트랩 snmp 인증 linkup linkdown coldstart
암호 ipsec 보안 연결 수명 초 28800
암호화 ipsec 보안 협회 수명 킬로바이트 4608000
! telnet과 ssh가 로컬 네트워크에서 작동하도록 허용합니다.
텔넷 10.10.10.0 255.255.255.0 내부
텔넷 시간 초과 5
SSH 10.10.10.0 255.255.255.0 내부
SSH 10.10.10.71 255.255.255.255 내부
SSH 시간 초과 30
콘솔 시간 초과 0
dhcpd 주소 192.168.1.2-192.168.1.254 관리
!
위협 탐지 기본 위협
위협 탐지 통계 액세스 목록
위협 탐지 통계 없음 tcp-intercept
! WEB 총구에 대한 시간 서버 및 사용자.
ntp 서버 10.10.10.3 소스 내부
웹 VPN
사용자 이름 관리자 암호 trAp5eVxxxxxxnv 암호화된 권한 15
!
클래스 맵 검사_기본값
기본 검사 트래픽 일치
!
!
정책 맵 유형 검사 dns preset_dns_map
매개변수
최대 메시지 길이 512
정책 맵 global_policy
클래스 검사_기본값
DNS 사전 설정_dns_map 검사
FTP를 검사
h323 h225 검사
h323 ras 검사
rsh를 검사
rtsp를 검사
esmtp를 검사
SQLnet을 검사
마른 검사
sunrpc를 검사
xdmcp를 검사
한 모금 검사
netbios 검사
tftp를 검사
!
서비스 정책 global_policy 글로벌
프롬프트 호스트 이름 컨텍스트
암호 체크섬:
: 끝
이 기사에서는 Cisco ASA 5500 방화벽(ASA 5510, ASA 5520, ASA 5540 및 ASA 5550)에서 최신 ASA 5500-X(5512-X, 5515-X, 5525-X, 5545-)로 마이그레이션하는 방법을 설명합니다. X, 5555-X), 어떤 사전 준비가 필요한지, 어떤 점에 주의해야 하는지.
다음은 전환을 위한 이 두 라인의 장치 간의 대략적인 대응입니다.
마이그레이션 준비
마이그레이션이 문제 없이 신속하게 이루어지려면 신중하게 준비해야 합니다. 하드웨어 및 소프트웨어 요구 사항이 충족되는지 확인하십시오.
다음을 확인합니다.
- 모든 새 장치에 대한 라이센스 가용성 - 이전 라이센스는 일련 번호 특정 장치, 따라서 새 라이센스를 구입하고 새 하드웨어에서 사용해야 합니다.
- 버전 소프트웨어 5500-X 시리즈의 ASA는 8.6 이상이어야 하며 이러한 장치에서 이전 버전을 사용할 수 없습니다. 이전 버전만 있는 경우 cisco.com에서 최신 버전을 다운로드하십시오.
cisco 500 시리즈에서 마이그레이션을 준비하려면 다음 단계가 필요합니다.
- Cisco Security Manager 업데이트
- 모든 5500 시리즈 장비의 소프트웨어를 버전 8.4.2로 업그레이드하십시오. ASA 8.3 소프트웨어에서 작동하는 경우 필요한 버전으로 즉시 업데이트하십시오. 그러나 이전 버전을 사용하는 경우에는 한 단계가 아니라 여러 작업(예: 7.4에서 7.4로)으로 업데이트하는 것이 좋습니다. 8.0, 8.2, 8.4. V8.3에서.
또는 웹 기반 NAT 마이그레이션 도구를 사용하여 TAC 또는 고객 지원에 문의할 수 있습니다. 이 도구를 사용하면 처리할 기존 구성을 제출할 수 있습니다. 로컬 컴퓨터, 그런 다음 변환을 수행하고 마지막으로 단순히 복사하여 파일에 저장할 수 있는 업데이트된 구성을 사용자에게 제공합니다. 이 도구를 사용하기 전에 제한 사항을 주의 깊게 읽으십시오.
- 문제가 발생하여 구성을 복원해야 하는 경우에 대비하여 구성을 백업하고 저장하십시오. CLI 명령으로 수행됩니다. 복사또는 ASDM 관리자 사용
- 를 사용하는 경우 구성도 백업해야 합니다(CLI 또는 IDM/IME를 통해).
- 언제 할거야 백업구성, 이전 플랫폼에서 인증서 및 암호화 키를 내보내야 합니다.
5500 시리즈와 ASA 5500-X 장치의 하드웨어 아키텍처 차이점
당연히 새로운 장치의 아키텍처는 다소 다릅니다. 시각적으로 다음과 같은 차이점을 확인할 수 있습니다.
- SSM 없음
- ASA 및 IPS 서비스(있는 경우)는 동일한 포트를 통해 물리적으로 관리됩니다.
- 더 높은 밀도의 I/O 포트, 기가비트 포트만 사용
이러한 차이점 때문에 수동으로 몇 가지를 변경해야 합니다. 구성 파일 5500 시리즈 아래에서 정확히 무엇을 읽으십시오.
I/O 포트 구성 편집
모든 ASA 5500 대표자는 기가비트 포트를 가지고 있으며 해당 구성은 이미 등록되어 있으므로 변경할 필요가 없습니다. 예외는 그러한 포트가 없는 SecPlus 라이센스가 없는 ASA 5510입니다. 따라서 5510에서 구성을 전송하는 경우 새 장치에 기가비트 포트가 있음을 반영하도록 인터페이스 및 하위 인터페이스의 모든 이름을 변경해야 합니다.
다음은 이것이 수행되는 방법의 예입니다(5510에서 5515-X로 이동).
ASA 5510 구성
! 물리적 인터페이스
인터페이스 이더넷0/1
이름없음
보안 수준 없음
IP 주소 없음
셧다운 없음
! 인터페이스 E0/1에서 하위 인터페이스 만들기(2개의 논리 네트워크)
인터페이스 이더넷0/1.120
VLAN 1222
nameif fw-out
보안 수준 50
ASA 5515-X 재구성
! 물리적 인터페이스
인터페이스 GigabitEthernet0/1
이름없음
보안 수준 없음
IP 주소 없음
셧다운 없음
! 인터페이스 G0/1(2개의 논리 네트워크)에 하위 인터페이스 만들기
인터페이스 GigabitEthernet0/1.1201
VLAN 1222
nameif fw-out
보안 수준 50
IP 주소 172.16.61.1 255.255.255.0
관리 포트 구성 변경
ASA 5500-X 플랫폼의 중요한 차이점은 IPS 및 방화벽 서비스에 공통 관리 포트가 있지만 다른 용도로는 사용할 수 없다는 점입니다. 전환 후에는 데이터 포트로 사용하거나 접근성이 높은 구성 요소로 사용할 수 없습니다(5500 시리즈에서는 가능). 이전 플랫폼에서 이 작업을 수행한 경우 마이그레이션 시 이 관리 포트의 구성 설정을 G0/3보다 높은 번호의 기가비트 데이터 포트 중 하나로 전송해야 합니다. 다음은 ASA 5520에서 ASA 5525-X로 마이그레이션하는 예를 사용하여 수행하는 방법을 보여줍니다.
ASA 5520 구성
인터페이스 관리0/0
이름없음
보안 수준 없음
IP 주소 없음
관리 전용 없음
셧다운 금지!
! 인터페이스 M0/0의 하위 인터페이스
인터페이스 관리0/0.120
VLAN 1222
nameif fw-out
보안 수준 50
IP 주소 172.16.61.1 255.255.255.0
ASA 5515-X 구성
! 전용 관리 인터페이스
인터페이스 관리0/0
이름없음
보안 수준 없음
IP 주소 없음
관리 전용
셧다운 없음
! GigabitEthernet0/3으로 마이그레이션된 관리 인터페이스
인터페이스 GigabitEthernet0/3
이름없음
보안 수준 없음
IP 주소 없음
셧다운 없음
! 인터페이스 G0/3의 하위 인터페이스
인터페이스 GigabitEthernet0/3.1201
VLAN 1222
nameif fw-out
보안 수준 50
IP 주소 172.16.61.1 255.255.255.0
Cisco ASA 5500에는 GigabitEthernet0/3 인터페이스가 없으므로 더 많은 인터페이스로 업그레이드할 때 최신 버전, 구성이 서로 충돌하지 않아야 합니다.
마찬가지로 이전에 장애 조치 구성을 위해 관리 인터페이스를 사용한 경우 사용하지 않은 새 5500-X 인터페이스로 마이그레이션하십시오.
ASA 및 IPS 서비스를 올바르게 마이그레이션하는 방법은 무엇입니까? 위에서 언급했듯이 IPS 서비스 및 방화벽 5500s에는 이제 다른 포트 대신 단일 공유 관리 포트가 있습니다. , 주의 깊게 살펴보고 적절한 것을 선택하는 것이 좋습니다.
IPS 구성 마이그레이션
IPS 구성 파일을 수동으로 직접 전송할 때 위에서 설명한 필요한 모든 준비를 완료했다면 아무 것도 변경할 필요가 없습니다. 만일을 대비하여 관리 포트가 올바르게 구성되었는지 다시 확인하십시오.
IPS는 두 단계로 활성화된다는 점을 잊지 마십시오. 이를 위해서는 ASA 장치뿐만 아니라 IPS 서비스 자체에 대한 라이센스도 필요합니다.
결과
보시다시피 ASA 5500 시리즈 디바이스에서 ASA 5500-X로의 마이그레이션은 여러 단계로 수행되며 그 중 일부는 자동화되고 일부는 수동으로 수행해야 합니다.
전환 후 새 장비가 올바르게 작동하고 할당된 기능을 수행할 수 있도록 주요 단계, 수행 순서, 주의해야 할 사항을 설명하려고 했습니다.