Настройка межсетевого экрана cisco

Обновлено: 03.07.2024

Последнее время нас все чаще спрашивают с чего должна начинаться настройка межсетевого экрана нового поколения. Обладатели нового NGFW не всегда понимают, как нужно активировать или настроить опции, чтобы устройство обеспечивало защиту корпоративной сети.

В данной публикации мы рассмотрим пошаговую инструкцию (HOWTO) для настройки и запуска межсетевого экрана на примере оборудования трёх производителей: Cisco, Huawei, Fortinet.

Группируем настройки по типу, решаемым задачам - и приступим!

Администрирование

  • Административные учётные записи и пароли по умолчанию либо пустые, либо общеизвестные, либо доступные из документации. Если их не поменять, то злоумышленники без труда получат доступ к управлению устройством.
  • Ограничить доступ нужно только IP-адресами рабочих станций администраторов для того, чтобы пользователи, и тем более злоумышленники, не смогли бы провести атаку на подбор пароля.
  • Защищённые протоколы управления исключают возможность перехвата пароля, передаваемого в открытом виде, например, по сети Интернет.
  • Неизменённые настройки по умолчанию могут быть использованы для получения данных о структуре локальной сети или даже компрометации устройства.

1. Задать IP-адресацию интерфейсов. Как минимум, двух: для подключения к сети интернет (WAN) и для локальной сети (LAN). Опционально: настроить DHCP сервер.

_4. Cisco_Interface_small.jpg
 _4. Fortigate_Interface_small.jpg
 _4. Huawei_Interface_small.jpg

2. Настроить маршрутизацию. Как минимум: маршрут по умолчанию. Опционально: с использованием протоколов динамической маршрутизации (в крупных сетях).
_5. Cisco_Route_small.jpg
 _5. Fortigate_Route_small.jpg
 _5. Huawei_Route_small.jpg

3. Обновить версию операционной системы до последней, актуальной и рекомендованной производителем. ПО доступно на сайте при наличии сервисного контракта.
_6. Cisco_Firmware_small.jpg
 _6. Fortigate_Firmware_small.jpg
 _6. Huawei_Firmware_small.jpg

4. Опционально: настроить работу двух устройств в режиме HA (high availability) пары (собрать кластер). На Cisco возможность собрать кластер под управлением Firepower Device Manager появляется на сегодняшний день только при наличии Firepower Management Center (FMC).
_7. Fortigate_HA_small.jpg
 _7. Huawei_HA_small.jpg

Если не сделать: при ненастроенной или настроенной с ошибками маршрутизации не будет связанности между сетями, а также не будет доступа к сети Интернет.
Неактуальная версия прошивки может содержать уязвимости и быть нестабильной в работе.

Режим работы в кластере позволит повысить уровень доступности сервисов

1. Настроить подключение ресурсов локальной сети к сети Интернет с использованием динамической трансляции адресов (SNAT)

_8. Cisco_SNAT_small.jpg
 _8. Fortigate_SNAT_small.jpg
 _8. Huawei_SNAT_small.jpg

2. Настроить доступ из сети Интернет к ресурсам локальной сети с использованием статической трансляции сетевых адресов и портов (DNAT).
_9. Cisco_DNAT_small.jpg
 _9. Fortigate_DNAT_small.jpg

 _9. Huawei_DNAT_small.jpg

3. Настроить доступы между сегментами локальной сети на сетевом уровне.
_10. Cisco_Firewall_rule_small.jpg
 _10. Fortigate_Firewall_Rule_small.jpg
 _10. Huawei_Firewall_Rule_small.jpg

Для чего это нужно: правило по умолчанию запрещает прохождение любого трафика, без задания правил фильтрации не будет доступа как между локальными сетями, так и сетью Интернет.

1. Настроить подключение удалённых площадок друг с другом (Site to Site).

_11. Cisco_IPSEC_small.jpg
 _11. Fortigate_IPSEC_small.jpg
 _11. Huawei_IPSEC_small.jpg

2. Настроить удалённый доступ (Remote Access).
_12 Cisco SSL_VPN_small.jpg
 _12. Fortigate_SSL_VPN_small.jpg
 _12. Huawei_SSL_VPN_small.jpg

3. Опционально: настроить двухфакторную аутентификацию для доступа к VPN (2FA).

Для чего нужно: все современные NGFW позволяют организовать связь между разнесёнными площадками поверх любых сетей, в том числе Интернет. Также можно настроить защищённый доступ к ресурсам компании из любого места сети Интернет как IPSEC, L2TP, так и SSL VPN. Двухфакторная аутентификация (FortiToken, Cisco DUO) позволяет более эффективно защитить удалённый доступ к локальной сети.


Контентная фильтрация

1. Подключить устройство к облачным сервисам обновлений. Обновить базы данных средств защиты.

_13. Cisco_Update_Content_small.jpg
 _13. Fortigate_Update_Content_small.jpg
 _13. Huawei_Update_Content_small.jpg

2. Настроить профили антивируса, URL-фильтрации, предотвращения вторжений, защиты DNS и т. п. Более детально будет рассмотрено в тематических обзорах. Пример для URL фильтрации:
_14. Cisco_URL_Filter_small.jpg
 _14. Fortigate_URL_filter_small.jpg
 _14. Huawei_URL_Filter_small.jpg

3. Активировать функционал инспекции SSL-трафика для поиска вредоносного трафика внутри шифрованных туннелей.
_15. Cisco_SSL_Inspection_small.jpg
 _15. Fortigate_SSL_Inspect_small.jpg
 _15. Huawei_SSL_Inspect.jpg

4. Привязать профили защиты и SSL-инспекции к трафику внутри правил Firewall
_16. Cisco_FirewallInspect.jpg
 _16. Fortigate_FirewallInspect.jpg
 _16. Huawei_FirewallInspect.jpg

Что будет если не сделать: существует множество уязвимостей протоколов уровня приложений, которые невозможно обнаружить на сетевом уровне. Расширенные средства позволяют проанализировать уровни 5-7 на предмет наличия вредоносного трафика. Более того, на сегодняшний день более половины трафика является шифрованными по технологии SSL, что не позволяет провести анализ трафика без дешифрации.


Аутентификация

1. Подключить устройство к Microsoft AD.

_17. Cisco_LDAP.jpg
 _17. Fortigate_LDAP.jpg
 _17. Huawei_LDAP.jpg

2. Опционально: подключить устройство к серверу аутентификации/авторизации (Cisco ISE, FortiAuthenticator, Huawei Agile Controller)
3. Опционально: настроить получение данных от смежных систем (SSO)

Что это даёт: с настройками по умолчанию доступ к ресурсам сети Интернет ограничивается на основе IP-адресов. Существует возможность настройки доступа на основе аутентификационных данных, полученных из Microsoft AD. Появляется возможность расширенного протоколирования событий на основе данных пользователей из службы каталогов. Подключение к выделенным серверам аутентификации/авторизации (ААА) позволяет гибко настроить политики доступа в организации. Смежные системы могут предоставить данные для доступа через технологию единого входа (Single sign on).

Регулярное архивирование конфигураций позволяет отслеживать все внесённые изменения.

Чтобы надежно защитить свою сеть, просто следуйте лучшим практикам.

Связаться с Cisco

Вы научились настраивать новый беспроводной маршрутизатор, и теперь готовы к следующему упражнению: настройке межсетевого экрана. Перехватило дыхание? Звучит пугающе, мы понимаем. Но не волнуйтесь: мы разложили всю процедуру на шесть простых шагов. Это поможет покорить вершину под названием «Сетевая безопасность». Начнем.

Шаг 1. Защитите свой межсетевой экран (да, мы знаем, что это кажется лишним)

Административный доступ к межсетевому экрану должен быть ограниченным и предоставлен только тем, кому вы доверяете. Чтобы предотвратить проникновение потенциальных злоумышленников, убедитесь, что ваш межсетевой экран защищен хотя бы одним из следующих действий по настройке его конфигурации:

  • Обновите микропрограммное обеспечение межсетевого экрана до последней версии, рекомендованной поставщиком.
  • Удалите, отключите или переименуйте все учетные записи пользователей, настроенные по умолчанию, а также измените все заданные по умолчанию пароли. Убедитесь, что вы используете только сложные и безопасные пароли.
  • Если межсетевым экраном будут управлять несколько человек, создайте дополнительные учетные записи с ограниченными правами, которые соответствуют обязанностям пользователей. Никогда не используйте общие учетные записи пользователей. Отслеживайте внесенные изменения: кто их внес и почему. Такой контроль способствует должной осмотрительности при внесении изменений.
  • Ограничьте места, из которых люди могут вносить изменения. Так вы уменьшите поверхность атаки, то есть разрешите внесение изменений только из доверенных подсетей внутри вашей организации.

Шаг 2. Разработайте структуру зон и схему IP-адресов межсетевого экрана (поднимать тяжести не потребуется)

Чтобы наилучшим образом защитить активы своей сети, вы должны сначала идентифицировать их. Спланируйте структуру, в которой активы сгруппированы на основе бизнес-потребностей, потребностей приложений, уровней конфиденциальности и функций активов, и объединены в сети (или зоны). Не идите легким путем, и не ограничивайтесь только одной плоской сетью. То, что легко для вас, легко и для злоумышленников!

Все ваши серверы, предоставляющие веб-сервисы (т. е. сервер электронной почты, VPN), должны быть помещены в выделенную зону, ограничивающую входящий трафик из Интернета. Такую зону часто называют демилитаризованной зоной (DMZ). Кроме того, серверы, к которым нет прямого доступа из Интернета, следует разместить во внутренних серверных зонах. В эти зоны обычно помещают серверы баз данных, рабочие станции, любые устройства, используемые в точках продаж (POS), или устройства голосовой связи поверх IP (VoIP).

Если вы используете IP версии 4, то для всех ваших внутренних сетей нужно использовать внутренние IP-адреса. Функцию преобразования сетевых адресов (NAT) следует настроить таким образом, чтобы внутренние устройства могли при необходимости обмениваться данными через Интернет.

После разработки структуры зон сети и создания соответствующей схемы IP- адресов, можно перейти к созданию зон межсетевого экрана и их назначению основным и подчиненным интерфейсам межсетевого экрана. При создании сетевой инфраструктуры коммутаторы, поддерживающие виртуальные локальные сети (VLAN), должны использоваться для поддержания разделения между сетями на уровне 2.

Шаг 3. Настройте списки контроля доступа (это ваш праздник — приглашайте, кого хотите)

После создания сетевых зон и назначения их интерфейсам можно приступить к созданию правил межсетевого экрана, называемых списками контроля доступа (ACL). Эти списки устанавливают, для какого трафика требуется разрешение на вход и выход из каждой зоны. ACL определяют разрешенные взаимодействия между компонентами сети и блокируют все остальные связи. ACL применяются к каждому основному или подчиненному интерфейсу межсетевого экрана, и должны как можно более точно определять IP-адреса источников и/или адресатов, а также номера портов, когда это возможно. Чтобы отфильтровать неутвержденный трафик, в конце каждого ACL создайте правило «запретить все». Затем примените входящие и исходящие ACL к каждому интерфейсу. Если это возможно, запретите общий доступ к интерфейсам администрирования межсетевого экрана. Помните, что на этом этапе необходима максимальная детализация: следует не только проверить работоспособность используемых приложений, но и убедиться в том, что запрещено все, что не должно быть разрешено. Обязательно оцените способность межсетевого экрана управлять потоками уровня следующего поколения: может ли он блокировать трафик на основе веб-категорий? Можно ли включить функцию расширенного сканирования файлов? Реализован ли в нем определенный уровень функций предотвращения вторжений (IPS)? Вы заплатили за расширенные функции, поэтому не забудьте сделать следующие шаги.

Шаг 4. Настройте другие службы межсетевого экрана и ведение журнала (свою коллекцию отнюдь не виниловых пластинок)

При желании разрешите межсетевому экрану выполнять функции сервера протокола динамической настройки узлов сети (DHCP), сервера протокола сетевого времени (NTP), системы предотвращения вторжений (IPS) и т. д. Отключите все службы, которые вы не собираетесь использовать.

Для выполнения требований Стандарта безопасности данных индустрии платежных карт (PCI DSS) настройте на межсетевом экране отправку отчетов на свой сервер ведения журнала и убедитесь, что в них включено достаточно деталей для удовлетворения пп. 10.2–10.3 требований PCI DSS.

Шаг 5. Проверьте конфигурацию межсетевого экрана (не беспокойтесь, это несложный тест)

Во-первых, убедитесь, что ваш межсетевой экран блокирует трафик, который должен быть заблокирован в соответствии со списками контроля доступа. Также необходимо выполнить сканирование на наличие уязвимостей и тестирование на возможность проникновения. Обязательно сохраняйте резервную копию конфигурации межсетевого экрана на случай каких-либо сбоев. После завершения всех проверок ваш межсетевой экран будет готов к работе. ОБЯЗАТЕЛЬНО ПРОВЕРЬТЕ процедуру восстановления конфигурации. Перед внесением каких-либо изменений задокументируйте и протестируйте процедуру восстановления.

Шаг 6. Управление межсетевым экраном (если не поддерживать огонь, он погаснет)

После настройки и запуска межсетевого экрана необходимо поддерживать его работу в оптимальном режиме. Обязательно обновляйте микропрограммное обеспечение, проверяйте журналы, проводите сканирование уязвимостей и пересматривайте правила конфигурации каждые шесть месяцев.

Дальнейшие шаги

Итак, вы это сделали! Если вы зашли так далеко, то теперь являетесь экспертом по псевдосетевой безопасности. Если вы хотите получить дополнительные рекомендации или настроить другие устройства, посетите наше сообщество поддержки малого бизнеса. Там вы найдете ответы на распространенные вопросы и пообщаетесь с людьми, которые работают в похожих компаниях и сталкиваются с аналогичными ИТ-проблемами.

Cisco ASA является аппаратным межсетевым экраном с инспектированием сессий с сохранением состояния (stateful inspection). ASA умеет работать в двух режимах: routed (режим маршрутизатора, по умолчанию) и transparent (прозрачный межсетевой экран, когда ASAработает как бридж с фильтрацией). Мы познакомимся с работой в первом режиме и далее везде будем его подразумевать, если явно не указан иной режим.

В режиме routed на каждом интерфейсе ASA настраивается ip адрес, маска, уровень безопасности (security-level), имя интерфейса, а также интерфейс надо принудительно «поднять», так как по умолчанию все интерфейсы находятся в состоянии «выключено администратором». (Исключения бывают: иногда АСАшки приходят уже преднастроенными. Это характерно для модели 5505. В этом случае, как правило, внутренний интерфейс с названием inside уже настроен как самый безопасный и поднят, на нем работает DHCP сервер, задан статический адрес из сети 192.168.1.0/24, внешний интерфейс с названием outside тоже поднят и сам получает адрес по DHCP и настроена трансляция адресов из сети за интерфейсом inside в адрес интерфейса outside. Получается такой plug-n-play :))


Параметр «уровень безопасности» (security level) – это число от 0 до 100, которое позволяет сравнить 2 интерфейса и определить, кто из них более «безопасен». Параметр используется качественно, а не количественно, т.е. важно только отношение «больше-меньше». По умолчанию трафик, идущий «наружу», т.е. с интерфейса с большим уровнем безопасности на интерфейс с меньшим уровнем безопасности, пропускается, сессия запоминается и обратно пропускаются только ответы по этим сессиям. Трафик же идущий «внутрь» по умолчанию запрещен.

Параметр «имя интерфейса» (nameif) в дальнейшем позволяет использовать в настройках не физическое наименование интерфейса, а его имя, которое можно выбрать «говорящим» (inside, outside, dmz, partner и т.д.). По идее, как утверждает сама cisco, имя не зависит от регистра, (не case sensitive), однако на практике ряд команд требует соблюдения регистра, что довольно неудобно. Характерный пример: применение crypto map на интерфейс требует точного написания названия интерфейса. Название интерфейса продолжается нажатием кнопки TAB, т.е. можно набрать начало названия и табулятором продолжить его до конца, если набранное начало однозначно идентифицирует интерфейс.

Такая настройка интерфейсов характерна для всех моделей ASA, кроме ASA 5505. В модели 5505 реализован встроенный 8мипортовый L2/L3 коммутатор. IP адреса в модели 5505 задаются на логических интерфейсах


Сами же физические интерфейсы L2 сопоставляются VLANам.


Таким образом, межсетевое экранирование возникает между логическими interface vlan.
Как правило, уровень безопасности интерфейсов подбирается таким образом, чтобы максимально соответствовать логической топологии сети. Сама топология представляет из себя зоны безопасности и правила взаимодействия между ними. Классической схемой считается присвоение разным интерфейсам разных уровней безопасности.
Никто не запрещает сделать уровень безопасности на разных интерфейсах одинаковым, однако по умолчанию обмен трафиком между такими интерфейсами запрещен. Такой трафик можно сознательно разрешить, дав команду


Однако надо понимать, что между интерфейсами с одинаковым уровнем безопасности не возникает межсетевого экранирования, а только маршрутизация. Поэтому такой подход применяется для интерфейсов, относящихся к одной и той же логической зоне безопасноcти (например, 2 локальные сети пользователей, объединяемые при помощи ASA)

Маршрутизация

Ну куда же без неё! Как у любого маршрутизатора (ASA тоже им является, т.к. использует таблицу маршрутизации для передачи пакетов) сети, настроенные на интерфейсах, автоматически попадают в таблицу маршрутизации с пометкой «Присоединенные» (connected), правда при условии, что сам интерфейс находится в состоянии «up». Маршрутизация пакетов между этими сетями производится автоматически.
Те сети, которые ASA сама не знает, надо описать. Это можно сделать вручную, используя команду


Указывается тот интерфейс, за которым надо искать next-hop, т.к. ASA сама не делает такого поиска (в отличие от обычного маршрутизатора cisco). Напоминаю, что в таблицу маршрутизации попадает только один маршрут в сеть назначения, в отличие от классическим маршрутизаторов, где может использоваться до 16 параллельных путей.
Маршрут по умолчанию задается таким же образом


Если ASA не имеет записи в таблице маршрутизации о сети назначения пакета, она пакет отбрасывает.

Если возникает задача сделать запасной статический маршрут, который будет работать только при пропадании основного, то это решается указанием так называемой Административной дистанции маршрута. Это такое число от 0 до 255, которое указывает, насколько хорош метод выбора маршрута. Например, статическим маршрутам по умолчанию сопоставлена AD 1, EIGRP – 90, OSPF – 110, RIP – 120. Можно явно указать AD для запасного маршрута больше, чем AD основного. Например:


Но в этой ситуации есть один важный вопрос: как заставить «пропасть» основной маршрут? Если физически упал интерфейс все очевидно – само получится, а если интерфейс поднят, а провайдер погиб? Это очень распространенная ситуация, учитывая, что на ASA сплошной ethernet, который физически падает крайне редко.

Для решения этой задачки используется технология SLA. Она весьма развита на классических маршрутизаторах, а на ASA с версии 7.2 внедрили только самый простой механизм: доступность некоторого хоста по протоколу icmp. Для этого создается такая «пинговалка» (sla monitor)


Далее, её необходимо запустить, указав время начала (есть возможность запустить «сейчас») и окончания работы (можно задать работу до бесконечности)


Но и это ещё не все. Надо создать «переключатель» (track) который будет отслеживать состояние «пинговалки».


Не спрашивайте, почему привязка пинговалки производится ключевым словом rtr – это ошметки несогласованности настроек на маршрутизаторах cisco. К слову, на самих маршрутизаторах такое несоответствие уже починили, а вот на ASA ещё нет.
И вот теперь все готово, чтобы применить эту конструкцию к статической маршрутизации


Теперь, пока пингуемый хост доступен, track будет в поднятом (чуть не написал в «приподнятом» :)) состоянии и основной маршрут будет в таблице маршрутизации, но как только связь пропадет, через заданное количество потерянных пакетов (по умолчанию пакеты посылаются раз в 10 секунд и ждем пропадания трех пакетов) track будет переведен в состояние down и основной маршрут пропадет из таблицы маршрутизации, а пакеты будут отправляться по запасному пути.

Приведу пример конфига двух дефолтных маршрутов через разных провайдеров с проверкой доступности основного провайдера:


Динамическая маршрутизация на ASA возможна по протоколам RIPv1,2, OSPF, EIGRP. Настройка этих протоколов на ASA очень похожа на настройку маршрутизаторов cisco. Пока динамической маршрутизации касаться в этих публикациях не буду, хотя если дойдут руки и будет интерес – напишу отдельную главу.

Удаленное управление

Понятно, что при нынешнем развитии сетей передачи данных было бы неразумно не внедрять удаленное управление межсетевыми экранами. Поэтому ASA, как и большинство устройств cisco, предоставляет несколько способов удаленного управления.
Самое простое и небезопасное – telnet. Чтобы предоставить доступ на ASA по телнету необходимо явно указать, с каких хостов и сетей и на каком интерфейсе разрешен доступ, а также необходимо задать пароль на телнет командой passwd:


В целях безопасности работа по телнету на самом небезопасном (с наименьшим уровнем безопасности в рамках данной ASA) интерфейсе заблокирована и обеспечить работу на этом интерфейсе по телнету можно только в том случае, если он приходит через IPSec туннель.
Более безопасный доступ к командной строке обеспечивается протоколом ssh. Однако, для обеспечения доступа по ssh кроме явного указания того, с каких хостов можно заходить для управления, необходимо также задать RSA ключи, необходимые для шифрования данных о пользователе. По умолчанию для подключения по ssh используется пользователь pix и пароль, задаваемый командой passwd (пароль на telnet).


Как правило, на ASA начиная с версии 7.2 имя домена уже задано (domain.invalid) и дефолтные ключи сгенерированы, однако как минимум это надо проверить


Наличие хотя бы каких то ключей RSA уже позволяет работать по ssh. Но можно дополнительно создать и недефолтовые ключевые пары. Для этого надо указать явно имя ключевой пары


Чтобы удалить ключевую пару (или все пары) используется команда


Совет: после любых действий с ключевыми парами (создание, удаление) обязательно сохраняйтесь. Для этого можно использовать стандартные команды cisco


или короткий вариант последней команды


Если больше ничего не настраивать, то доступ будет обеспечен без указания пользователя. Если же был указан пароль на привилегированный режим


то при подключении надо в качестве пароля указывать именно его, не указывая пользователя.
Надо проверить, что во флеше ASA лежит файл ASDM, соответствующий используемой ОС.


При работе с ASDM используется java и верно следующее: если вы используете ОС версии 7.Х, то ASDM нужен версии 5.Х и java 1.5. Если же используется ОС 8.Х, то ASDM нужен версии 6.Х и java версии 1.6. К чести разработчиков и радости настройщиков, ASDM версии 6 работает не в пример лучше и быстрее версии 5.Х. Чья тут заслуга: java или cisco или обоих – не знаю.

Возникает резонный вопрос: а если хочется использовать не дефолтовые правила доступа, а явно указывать, откуда брать пользователя? Для этого используются команды (console — ключевое слово)


Если используется только локальная база данных пользователей, то в правиле аутентификации можно указывать только LOCAL (проверьте, что хотя бы один пользователь создан, иначе можно себе заблокировать доступ), а если требуется использовать внешние базы, доступные по протоколам TACACS+, RADIUS или LDAP, то такие сервера надо предварительно настроить


Локальная база пользователей задается командой


Доступ по ASDM возможен только от имени пользователя с уровнем привилегий 15 (максимальный, означает, что пользователю можно все настраивать)
Также локальным пользователям можно задать ряд атрибутов, используя команду


Используя такие настройки вы разрешите пакетам ходить из непосредственно присоединенной сети за интерфейсом inside наружу. Снаружи будут приходить только ответы по сессиям (tcp и udp), открытым изнутри, т.к. напомню по умолчанию трафик идущий «внутрь» весь запрещен. Как его разрешить поговорим в следующей части.

Итак, вам достался в наследство межсетевой экран Cisco ASA. Руки чешутся подключить, настроить и заставить выполнять своё предназначение. С какой стороны к нему подойти и с чего начать?
При написании данной статьи использовался межсетевой экран Cisco ASA 5520 с версией системы 9.1 и чистой (стандартной) конфигурацией.

Настройка Cisco ASA с нуля:
1. Подключение через COM-порт
2. Настройка интерфейса управления и доступа по ssh
3. Настройка доступа через ASDM
4. Обновление системы и ASDM
5. Настройка интерфейсов
6. Настройка NAT во внешнюю сеть и ping
7. Настройка NAT снаружи во внутреннюю сеть до сервера
8. Тестирование прохождения пакетов

1. Подключение через COM-порт

2. Настройка интерфейса управления и доступа по ssh

Cisco ASA имеет специальный интерфейс для управления. Рекомендуется иметь отдельную сеть для управления и контроля всего оборудования и серверов, недоступную для простых пользователей.

Теперь можете подключиться к ASA по сети через ssh, можно использовать putty или linux-консоль:

3. Настройка доступа через ASDM

Кроме настройки Cisco ASA через консоль, имеется альтернативный вариант: Cisco Adaptive Security Device Manager (ASDM). Функционал ASDM дублирует возможности CLI и сделан больше для тех кто кликает мышкой. Некоторые операции легче выполнять в ASDM, но для большинства настроек удобнее, нагляднее и проще использовать именно CLI. Рассмотрите оба варианта, выберите наиболее подходящий под ваши задачи.

4. Обновление системы и ASDM

Посмотреть текущие версии ПО можете так:

5. Настройка интерфейсов

Для образца возьмём самую распространённую схему сети:

  1. внешняя сеть с белым ip (outside);
  2. выделенная сеть с серверами (dmz): 192.168.20.0/29;
  3. локальная сеть с пользователями (lan): 192.168.10.0/24;

6. Настройка NAT во внешнюю сеть и ping

Доступ во внешнюю сеть разрешен согласно выставленным security-level, но чтобы всё заработало вы должны сделать NAT:

Готово, ваши пользователи и сервера получили доступ к Интернет. Если нужно разрешить использование icmp, то выполните следующее:

7. Настройка NAT снаружи во внутреннюю сеть до сервера

Вариант 1. Нужно пробросить один порт, например, 80 до сервера в dmz:

Вариант 2. Нужно пробросить два порта или больше. Просто добавив новое правило nat к уже существующему, вы перепишете им первое правило, поэтому нужно всё продублировать для каждого порта:

Вариант 3. Пробрасываем все порты, на внутренний сервер (завернуть что-либо на второй сервер уже не получится):

8. Тестирование прохождения пакетов

Генерируем пакет из внешней сети на внешний интерфейс для www-сервера в dmz:

  1. организации вашей сети (сейчас и в перспективе) и месте Cisco ASA в ней;
  2. детальном изучении документации, статей, обзоров: какие из поддерживаемых технологий можно задействовать;
  3. специфика вашей организации: какие уровни безопасности и доступности сервисов необходимы;
  4. и т.п.

29 thoughts on “ Cisco ASA: первичная настройка ”

Спасибо! Пригодилось.
А подскажите, как настроить NAT с нескольких внешних IP из одной подсети на внутренние ресурсы?
Например:
172.16.13.72 (outside) 192.168.154.0/24 (lan1) сервисы для внешних клиентов
172.16.13.73 (outside) 192.168.200.0/24 (lan2) доступ в интернет для пользователей

Чтобы не тратить Ваше время на распросы, нарисуйте схемку от руки, укажите интерфейсы, сети и что хотите получить.

Спасибо за отклик!
Разобрался.
Вот пример:
nat (outside,lan) source dynamic any interface destination static WAN_IP_75 LAN_WIN7

Здравствуйте. Меня зовут Сергей. Работаю учителем в школе и по совместительству инженером. У нас в новой школе поставили новое оборудование. Не могли бы Вы помочь советом, как его настроить. Бьюсь уже который день.
Изначально было: ADSL модем ASUS N-10 c роутером и вифи + несколько хабов, неуправляемых коммутаторов и точек доступа. Сеть была не очень большой и он все тянул. Т.е. он работал в режиме PPPoe и раздавал по dhcp адреса всем. Вроде как роутер он хороший, но я побаиваюсь, что нагрузка на него довольна большая.
Сейчас пока что: ASUS (pppoe, dhcp) 192.168.1.10-> Edge Swith 48 750w (.17)-> неуправляемые коммутаторы, точки доступа (.20, .30, .50) и 2 блока ip камер (.2 и .3). Камеры подключены к Edge с POE (.101 — .126) и к нему же компьютеры (.11 — .99). Все это он бедный один тянет и все в одной подсети.
Есть в наличии Cisco asa 5520. Я читал по форумам, что было бы лучше модем использовать в бридже с cisco, а он уже был бы dhcp для компьютеров и хотелось бы загнать в отдельный vlan камеры. Т.е. сделать бы adsl(bridge) ->cisco -> Edge -> и там уже vlan для компов и vlan для камер. Но знаний не очень хватает к моему сожалению, по этому и обращаюсь за помощью.
Сам я уже спаял консольный провод, нашел старый комп с com портом =). Настроил на g0/0 WAN, пробовал подключить модем в бридж через asdm (вроде работал), на g0/1 lan с DHCP, m0/0 — для подключения ASDM, ssh (долго бился, чтоб оно заработало на win 7 =)) ). Можете подсказать, как организовать отдельные vlan-ы для камер и компьютеров. Уже голова кипит.
Извините за столько много букв =) Надеюсь на Вашу помощь или совет. Заранее спасибо!

Добрый день! ASA 5520 в школе с небольшой сетью это конечно перебор. Тем более что в школе задач для него придумать сложно (но можно).
Для настройки VLAN нужно создать подинтерфейс:
interface GigabitEthernet0/1.10
vlan 10
nameif lan
security-level 100
ip address 192.168.10.1 255.255.255.0
exit

Добрый день.
Подскажите , пожалуйста. Есть ASA 5510 за ней расположен сервер и определенный ресурс который общается с внешним миром по определенному порту. Никак не могу настроить проброс порта с внешнего мира на этот порт.
по схеме:
internet (все адреса port 40098)-Asa5510-сервер (192.168.1.21 port 198)

Версия Асы
Cisco Adaptive Security Appliance Software Version 8.4(4)1
Device Manager Version 6.4(9)

Ну, если по пункту 7 все варианты не работают, то вопрос: а что конкретно делаете? В статье используется версия 9.1

Добрый день!Спасибо за статью очень информативно и познавательно.Подскажите пожалуйста,что делать в ситуаций когда есть ASA 5512 раздающая сеть 192.168.1.0/24 и есть микротик раздающий сеть 10.0.0.0/8 .Физика общая : ASA соединенна с catalyst 2960 в который воткнут мироктик имеющий ip адрес 192.168.1.27.Нужно,чтобы из сети 192.168.1.0/24 иметь доступ ко всему оборудованию в сеть 10.0.0.0/8.На ASA прописал static route 10.0.0.0 255.0.0.0 192.168.1.27 после чего ping с asa на любое устройство сети 10.0.0.0/8 начало пинговаться,но если я с любого рабочего места пытаются сети 192.168.1.0/24 пинги не проходят. Я понимаю ,что затык где то в правилах firewall или nat на ASA, но из-за малоопытности не понимаю какие именно правила прохождения трафика нужны.На Микротике никаких запрещающих правил нет из сети 10.0.0.0/8 спокойно имею доступ к любому оборудованию в сети 192.168.1.0/24. Заранее спасибо.

Если вопрос еще актуален, то набросайте рисунок сети с указанием портов оборудования и ip, а также список правил FW

Читайте также: