Buscar

Fundamental Firewall Cisco ASA

                        Fundamental Firewall Cisco ASA

Model Cisco ASA

Cisco Asas datang dalam dua rasa, fisik dan virtual. Satu virtual yang relatif baru, dan dikenal sebagai ASAv ( "v" untuk virtual, masuk akal). Rentang fisik ASA firewall (5500 series) telah sekitar selama beberapa tahun, dan menggantikan firewall PIX.

Berbagai produk saat ini dimulai dengan 5505, yang akan menjadi SOHO router firewall combo khas Anda, dan kemudian rentang bergerak ke model X, dimulai dengan 5506-X.

X menunjukkan bahwa model ini adalah generasi berikutnya dari ASA, dan datang dengan senjata, yang kita akan melihat dalam posting yang berbeda. Jadi, apa perbedaan antara 5505 dan 5506-X? Itu cukup besar sebenarnya.

Meskipun jumlahnya kecil melompat, yang 5506 adalah perangkat jauh lebih uprated. Berikut adalah beberapa statistik komparatif dari situs Cisco:

Model Cisco ASA

ASA 5505 / Security Plus

ASA 5506-X / Security Plus

Gambar
Cisco ASA 5505
Cisco ASA 5506-X
inspeksi stateful throughput yang (max) Hingga 150 Mbps 750 Mbps
sesi bersamaan Maksimum 10.000 / 25.000 20.000 / 50.000
Paket per detik (64 byte) 85.000 246.900
Maksimum situs-situs dan klien VPN sesi pengguna IPsec IKEv1 10/25 10/50
sesi pengguna maksimum Cisco AnyConnect IKEv2 akses remote VPN atau clientless VPN 25 2/50
VLAN 3 (trunking dinonaktifkan) / 20 (trunking diaktifkan) 30/05
dukungan ketersediaan tinggi Stateless A / S hanya (aktif / standby) SEBAGAI
Integrated I / O 8-port FE dengan 2 Power over Ethernet (PoE) port 8 x 1 Gigabit Ethernet (GE)

Seperti yang Anda lihat, Anda dapat mendorong jumlah yang jauh lebih besar dari lalu lintas melalui 5506-X dari 5505.

Harga untuk 5505 mulai sekitar $200 dan naik ke sekitar £ 800, satu di atas jatuh ke dalam kisaran harga yang terakhir. Kisaran 5506-X tidak jauh lebih mahal, harga mulai dari $200

Ketika Anda bergerak lebih tinggi garis model, secara alami harga mulai memasuki perusahaan jenis uang (banyak angka nol di akhir). Tapi, sekali lagi, Anda mendapatkan lebih banyak bang untuk uang Anda.

Sizing firewall adalah bisnis yang rumit. Anda perlu melihat jumlah pengguna yang Anda miliki, baik di situs dan remote, jumlah yang akan terhubung melalui VPN, baik situs ke situs, dan klien VPN, seperti AnyConnect. Anda juga perlu melihat apa jenis lalu lintas aplikasi firewall akan lewat.

Misalnya 5512-X bisa dengan mudah mendukung sekitar 2000 pengguna, dengan sekitar 500 dari mereka yang menjadi pengguna jauh. Harga ini adalah sekitar $234

konfigurasi firewall Cisco ASA dasar

Cisco ASA firewall adalah sesuatu tapi dasar. Tapi jangan menunda oleh kompleksitas mereka. Mendapatkan mereka dan berjalan bisa dilakukan dalam waktu singkat.

Mari kita mulai dengan antarmuka kami, dan bagaimana mereka berhubungan dengan firewall fungsi. Firewall memisahkan lalu lintas antara daerah yang berbeda. Antarmuka ASA dapat ditugaskan ke daerah yang berbeda, kita akan membutuhkan satu di luar, menghubungkan kita ke penyedia kami hulu layanan, satu di dalam untuk pengguna kami, dan mungkin satu untuk server menghadapi publik kami, yang dikenal sebagai DMZ, atau Demiliterisasi Zone.

Dalam contoh kami di bawah ini, kita memiliki ISP, ASA kami (ASAv), dan klien kami (pengguna) mesin:

Cisco ASA basic configuration
Kami akan, untuk sementara, perlu menggunakan VNC untuk mengontrol ASA.

Gi0 / 0 antarmuka kita akan kita "luar" interface, dan antarmuka Gi0 / 1 kita akan kita "dalam" antarmuka. Ada alasan kita nama mereka ini, dan itu adalah karena ASA otomatis akan menetapkan tingkat keamanan untuk antarmuka ini, seperti yang akan kita lihat sebentar lagi.
Mari kita mulai.
ISP: 
  Router (config) ISP #ho
 ISP (config) # int fa0 / 0
 ISP (config-if) # ip menambahkan 10.1.1.1 255.255.255.252
 ISP (config-if) # no shu
 ISP (config-if) # int lo0
 ISP (config-if) # ip menambahkan 8.8.8.8 255.255.255.255    
 ISP (config-if) # ip rute 0.0.0.0 0.0.0.0 10.1.1.2
 ISP (config) #
User-PC: 
  Router (config) #ho User1
 User1 (config) # int fa0 / 0
 User1 (config-if) # ip menambahkan 192.168.1.17 255.255.255.0
 User1 (config-if) # no shu
 User1 (config-if) # ip rute 0.0.0.0 0.0.0.0 192.168.1.254
 User1 (config) #

konfigurasi antarmuka Cisco ASA

OK, mari kita mengkonfigurasi ASA up, dimulai dengan menetapkan nama host dan antarmuka luar:

Configuring outside interface on a Cisco ASA

Sekarang kita mengkonfigurasi antarmuka Inside:

Configuring inside interface on a Cisco ASA

Perhatikan bagaimana ASA akan mengatur tingkat keamanan sesuai dengan nama antarmuka, dengan 0 untuk antarmuka luar, dan 100 untuk antarmuka dalam. 0 adalah "setidaknya dipercaya" tingkat dan 100 adalah "terbesar" tingkat. Kita dapat mengatur ini secara manual jika kita ingin, menggunakan perintah "keamanan tingkat <0-100>".

Pada tahap ini kita harus memiliki konektivitas dari user1 "PC", dan dari ISP: 
  User1 # ping 192.168.1.254 
 Jenis urutan escape untuk membatalkan.
 Mengirim 5, 100-byte ICMP Echos untuk 192.168.1.254, batas waktu adalah 2 detik:
 . !!!!
 Tingkat keberhasilan 80 persen (4/5), round-trip min / avg / max = 1/7/12 ms
 user1 #

 ISP # ping 10.1.1.2
 Jenis urutan escape untuk membatalkan.
 Mengirim 5, 100-byte ICMP Echos untuk 10.1.1.2, batas waktu adalah 2 detik:
 !!!!!
 Tingkat keberhasilan 100 persen (5/5), round-trip min / avg / max = 8/12/28 ms
 ISP #

The ASAv perlu menyadari 8.8.8.8 "server", sehingga kami dapat membuat rute default pada ASAv untuk melakukan hal ini:

Configuring a default route on an ASA

Perhatikan bahwa tidak seperti perangkat berbasis iOS tradisional, ASA sebenarnya sedikit kurang pintar di sini, kita perlu menentukan antarmuka, atau arah, rute itu mempengaruhi.

Memungkinkan akses SSH ke Cisco ASA

Sekarang, mari kita menyiapkan diri untuk mengelola ASA dari kami User1 "PC". Pertama kita perlu untuk menghasilkan umum kunci kami, menggunakan perintah "kunci kripto menghasilkan rsa modulus 1024", idealnya (produksi), Anda harus menggunakan 2048:

Configuring SSH on Cisco ASA

Perhatikan bahwa saya juga mengatur nama domain, dan versi.

Sisa perintah sedang ditampilkan melalui pertunjukan perintah, setelah saya telah berhasil terhubung dari user1: 
  User1 # ssh -l stu 192.168.1.254
 Kata sandi: 
 Jenis bantuan atau '?'  untuk daftar perintah yang tersedia.
 ASAv> en
 Password: ******
 ASAv # sh run |  i nama pengguna
 nama sandi stu QFwZO2R.a0n6RaA / dienkripsi keistimewaan 15
 ASAv # sh run |  i aaa
 otentikasi aaa ssh konsol LOKAL 
 otentikasi aaa mengaktifkan konsol LOKAL 
 ASAv # sh run |  i ssh
 otentikasi aaa ssh konsol LOKAL 
 ssh stricthostkeycheck
 ssh 192.168.1.0 255.255.255.0 dalam
 ssh timeout 5
 ssh versi 2
 ssh kunci grup-exchange dh-group1-sha1
 ASAv # sh run |  i manajemen
  manajemen-satunya
 manajemen-akses dalam
 ASAv #
Kami akan membutuhkan pengguna untuk terhubung dengan. Perhatikan password akan otomatis dienkripsi. Kami memiliki dua perintah AAA, satu untuk akses SSH, satu lagi untuk mengaktifkan akses tingkat. Kami juga memungkinkan akses ssh dari 192.168.1.0/24 subnet, dan memiliki akses manajemen diperbolehkan dari sesuatu di belakang antarmuka dalam.

Sekarang kita bisa bekerja sedikit lebih mudah. Langkah terakhir untuk mendapatkan PC User1 untuk mengakses 8.8.8.8 Server di Internet. Untuk melakukan hal ini ASA perlu melakukan sedikit Network Address Translation (NAT).

Akses internet untuk di dalam host pada Cisco ASA

Mari kita memberikan akses untuk di dalam host kami. Untuk melakukan hal ini tidak mengambil banyak langkah, kita hanya perlu membuat jaringan untuk mencocokkan segalanya, dan kemudian NAT ini: 
  ASAv (config) OBJ_OUTSIDE # jaringan objek
 ASAv (config-network-objek) # subnet 0.0.0.0 0.0.0.0
 ASAv (config-network-objek) # exi
 ASAv (config) # nat (Inside, Outside) sumber antarmuka OBJ_OUTSIDE dinamis
 ASAv (config) #
Meskipun ping tidak berhasil, telnet tidak: 
  ASAv (config) # exi
 ASAv # exi
 [Koneksi ke 192.168.1.254 ditutup oleh host asing]
 User1 # ping 8.8.8.8
 Jenis urutan escape untuk membatalkan.
 Mengirim 5, 100-byte ICMP Echos untuk 8.8.8.8, batas waktu adalah 2 detik:
 .....
 Tingkat Sukses adalah 0 persen (0/5)
 User1 # telnet 8.8.8.8
 Mencoba 8.8.8.8 ... Terbuka


 Sandi diperlukan, tetapi tidak mengatur

 [Koneksi ke 8.8.8.8 ditutup oleh host asing]
 user1 #
Kita dapat membuktikan bahwa ini bekerja, dengan menetapkan password pada router ISP: 
  ISP (config) # line vty 0 4
 ISP (config-line) # password 802101
 ISP (config-line) #exi
 ISP (config) #enable sandi 802.101
 ISP (config) #

 User1 # telnet 8.8.8.8
 Mencoba 8.8.8.8 ... Terbuka


 Pengguna Verifikasi Access

 Kata sandi: 
 ISP> en
 Kata sandi: 
 ISP # yang
     Line User host (s) Menganggur Lokasi
    0 con 0 menganggur 00:00:24   
 * 2 vty 0 menganggur 00:00:00 10.1.1.2

   User interface Idle Mode rekan Alamat

 ISP #
Jadi, Anda dapat melihat bahwa ASAv telah dilakukan NAT untuk user1. Kita dapat memeriksa ini di ASAv yang:


Jadi, telnet bekerja dengan baik, bagaimana dengan permintaan http? Nah, ASAv akan melakukan NAT (baik, PAT tepatnya) bagi kita. Kita bisa melihat ini dengan menyiapkan router ISP menjadi server HTTP: 
  ISP (config) # ip server http
 ISP (config) #

 User1 # telnet 8.8.8.8 80
 Mencoba 8.8.8.8, 80 ... Buka
 mendapatkan
 HTTP / 1.1 400 Bad Request
 Tanggal: Sat, 5 September 2015 14:28:30 GMT
 Server: cisco-IOS
 Terima-Ranges: none

 400 permintaan Buruk
 [Koneksi ke 8.8.8.8 ditutup oleh host asing]
 user1 #

Seperti yang Anda lihat, itu tidak butuh waktu lama untuk bangun dan berjalan dengan ASA. Sekarang kita telah memiliki pengenalan kecil kami untuk Asas, saya bisa mulai mengkonfigurasi mereka di lab saya (dalam satu atau dua hari).
Diposting oleh Tkj doa ibu di 22.18.00

1 komentar:

kadirjaciele

Harrah's Casino & Racetrack - MapyRO
Find your way 광양 출장마사지 around the casino, find 순천 출장마사지 where everything is located with free parking, 광주 출장안마 and 양주 출장샵 find the best way to get 아산 출장마사지 there.

3 Maret 2022 pukul 18.46

Posting Komentar

Langganan: Posting Komentar (Atom)