Cisco ASA CLI / ASDM für Dummies

7

Ich bin ein Idiot, wenn es um Cisco geht. Normalerweise kann ich die meisten Firewalls herausfinden und Netzmasken, IP-Adressierung, DMZs, NAT usw. verstehen. Aber aus irgendeinem Grund bekomme ich keine Cisco ASAs. Sowohl CLI als auch ASDM.

Kurz gesagt, ich suche eine gute Site oder jemanden, der mir eine grundlegende Konfigurationsdatei mit Kommentaren zur Verfügung stellt, damit ich sie verstehen kann.

Und ja, ich habe RTFM ausprobiert.

Vielen Dank an alle.

Dayton Brown
quelle

Antworten:

5

Ich verstehe, dass Ihr Schmerz, Ihre Forschung und Ihre Praxis Ihre besten Freunde sein werden. Hier sind einige meiner Lesezeichen für den Umgang mit Cisco-Geräten:

Viel Glück!

l0c0b0x
quelle
fast genau das, wonach ich gesucht habe. Besonders die Mitte 2. Danke
Dayton Brown
1

Ich bin der Typ, der den zuvor erwähnten Artikel "8 grundlegende Befehle zum Konfigurieren Ihres Cisco ASA" geschrieben hat. Als Cisco im Frühjahr 2010 die PAT / NAT-Konfiguration änderte, wurden einige dieser Befehle überflüssig. Ich habe den Artikel mit einem neuen Blog-Beitrag unter http://blog.soundtraining.net/2010/11/understanding-eight-basic-commands-on.html aktualisiert . Ich hoffe, das hilft.

Don R. Crawley
quelle
0

Was versuchst du zu tun?

Ich habe möglicherweise Zugriff auf einen ASA, aber ohne zu wissen, was Sie erreichen möchten, kann ich nicht erraten, welche Konfigurationselemente relevant sein können

Ben Quick
quelle
0

Sie können cisco asa in zwei Modi ausführen: Router und transparenter Modus. Das GregD-Tutorial behandelt den Router-Modus von asa. Wenn Sie bereits einen Router haben, empfehle ich Ihnen, den Cisco asa in transparent, als Layer 2-Firewall zu verwenden, und das wirkt auch wie eine "Stealth-Firewall", und es ist nicht erforderlich, IP neu zu adressieren.
Im gerouteten Modus können einige Arten von Datenverkehr die Security Appliance nicht passieren, selbst wenn Sie dies in einer Zugriffsliste zulassen. Alternativ im transparenten Modus, der jeden Datenverkehr entweder mit einer erweiterten Zugriffsliste (für IP-Datenverkehr) oder einer EtherType-Zugriffsliste (für Nicht-IP-Datenverkehr) zulassen kann.

Ali Mezgani
quelle
Ich würde davor warnen, Ihren ASA in den transparenten Modus zu versetzen. Sie können VPNs auf einer Firewall nicht im transparenten Modus beenden und verlieren diesen erheblichen Teil der Funktionalität von Ihrem ASA.
GregD
0

Von hier aus :

In diesem Artikel wird auf die Grundlagen der Cisco ASA-Firewalls zurückgegriffen. Ich biete Ihnen hier ein grundlegendes Konfigurations-Tutorial für die Cisco ASA 5510 Security Appliance an. Dieses Gerät ist das zweite Modell der ASA-Serie (ASA 5505, 5510, 5520 usw.) und sehr beliebt, da es für kleine und mittlere Unternehmen gedacht ist. Wie das kleinste ASA 5505-Modell verfügt der 5510 über zwei Lizenzoptionen: Die Basislizenz und die Security Plus-Lizenz. Die zweite (Security Plus) bietet einige Leistungs- und Hardwareverbesserungen gegenüber der Basislizenz, z. B. 130.000 maximale Firewall-Verbindungen (anstelle von 50.000), 100 maximale VLANs (anstelle von 50), Failover-Redundanz usw. Auch die Security Plus-Lizenz Ermöglicht, dass zwei der fünf Firewall-Netzwerkports als 10/100/1000 anstatt nur als 10/100 arbeiten.

Als Nächstes sehen wir ein einfaches Internet-Zugangsszenario, das uns hilft, die grundlegenden Schritte zum Einrichten eines ASA 5510 zu verstehen. Angenommen, wir erhalten 100.100.100.1von unserem ISP eine statische öffentliche IP-Adresse . Außerdem gehört das interne LAN-Netzwerk zum Subnetz. Die 192.168.10.0/24.Schnittstelle Ethernet0/0wird nach außen (zum ISP) und Ethernet0/1mit dem internen LAN-Switch verbunden. In der folgenden Abbildung finden Sie unser Beispielszenario.

Alternativtext http://www.cisco-tips.com/images/asa-5510-basic-configuration.jpg

Die Firewall wird so konfiguriert, dass IP-Adressen dynamisch (mithilfe von DHCP) an die internen Hosts gesendet werden. Die gesamte ausgehende Kommunikation (von innen nach außen) wird mithilfe der Port Address Translation (PAT) auf der externen öffentlichen Schnittstelle übersetzt. Sehen wir uns einen Ausschnitt der erforderlichen Konfigurationsschritte für dieses Basisszenario an:

Schritt 1: Konfigurieren Sie ein Passwort auf privilegierter Ebene (Passwort aktivieren)

Standardmäßig gibt es kein Kennwort für den Zugriff auf die ASA-Firewall. Bevor Sie etwas anderes tun, müssen Sie zunächst ein Kennwort auf privilegierter Ebene konfigurieren, das für den nachfolgenden Zugriff auf die Appliance erforderlich ist. Konfigurieren Sie dies im Konfigurationsmodus:

ASA5510(config)# enable password mysecretpassword

Schritt 2: Konfigurieren Sie die öffentliche externe Schnittstelle

ASA5510(config)# interface Ethernet0/0
ASA5510(config-if)# nameif outside
ASA5510(config-if)# security-level 0
ASA5510(config-if)# ip address 100.100.100.1 255.255.255.252
ASA5510(config-if)# no shut

Schritt 3: Konfigurieren Sie die vertrauenswürdige interne Schnittstelle

ASA5510(config)# interface Ethernet0/1
ASA5510(config-if)# nameif inside
ASA5510(config-if)# security-level 100
ASA5510(config-if)# ip address 192.168.10.1 255.255.255.0
ASA5510(config-if)# no shut

Schritt 4: Konfigurieren Sie PAT auf der externen Schnittstelle

ASA5510(config)# global (outside) 1 interface
ASA5510(config)# nat (inside) 1 0.0.0.0 0.0.0.0

Schritt 5: Konfigurieren Sie die Standardroute zum ISP (vorausgesetzt, das Standard-Gateway ist 100.100.100.2)

ASA5510(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.2 1

Schritt 6: Konfigurieren Sie die Firewall so, dass Hosts mithilfe von DHCP interne IP- und DNS-Adressen zugewiesen werden

ASA5510(config)# dhcpd dns 200.200.200.10
ASA5510(config)# dhcpd address 192.168.10.10-192.168.10.200 inside
ASA5510(config)# dhcpd enable inside

Die obige Grundkonfiguration ist nur der Anfang, um die Appliance betriebsbereit zu machen. Es gibt viele weitere Konfigurationsfunktionen, die Sie implementieren müssen, um die Sicherheit Ihres Netzwerks zu erhöhen, z. B. statisches und dynamisches NAT, Zugriffssteuerungslisten zur Steuerung des Verkehrsflusses, DMZ-Zonen, VPN usw. Ich habe nur versucht, Ihnen einen Ausgangspunkt für anzubieten Eine Grundkonfiguration, von der aus Sie Ihr Wissen weiter ausbauen können.

GregD
quelle