ASA 5510について少し
ASAインターフェイスを設定する基本原則は、セキュリティレベルを0〜100に割り当てることです。
0は、セキュリティで保護されていないネットワーク(通常は外部ネットワーク)に配置されます。
100は、保護する必要がある内部ネットワークに配置されます。
パケットがsecurity-level = 0のインターフェイスからsecurity-level = 100のインターフェイスに渡されるようにするには、access-listに許可ルールを作成する必要があります 。 これは、セキュリティモジュールへのsshアクセスのためだけでなく、簿記のためにNATを介してクライアントバンクに「内部」ポートに転送するときに必要になります。
asa 5510には独自のtelnetクライアントがなく、これは非常に悲しいことです。 しかし、方法があります。
要するに、ASA-SSM-CSC-10モジュールではお気に入りのLinuxであるため、モジュールのルートコンソールを取得する必要があり、そこからtelnetになります。
デフォルトのログインパスワードは、 Cisco ASA-SSM-CSC-10モジュールにあります。
- モジュールでルートアカウントをアクティブにします
- NATのTCPポート、たとえば5555をモジュールのsshポートでラップします(この例では、モジュールのIP 192.168.1.1とssh 22ポートがあります)
- アクセスリストでTCPポート5555を許可する
- 外部からssh経由でポート5555に接続されています。そして、モジュールのbashコンソールに到達します。
- 次の大事なtelnetチーム
セキュリティモジュールへの接続:
asa5510# conf t asa5510(config)# session 1
これはセットアップウィザードの外観で、すべてが直感的です。 ルートアカウントをアクティブにし、IPモジュール(192.168.1.1/24)とデフォルトルート192.168.1.254を登録する必要があります。
asa5510(config)# session 1 Opening command session with slot 1. Connected to slot 1. Escape character sequence is 'CTRL-^X'. login: cisco Password: Trend Micro InterScan for Cisco CSC SSM Setup Main Menu --------------------------------------------------------------------- 1. Network Settings 2. Date/Time Settings 3. Product Information 4. Service Status 5. Password Management 6. Restore Factory Default Settings 7. Troubleshooting Tools 8. Reset Management Port Access Control List 9. Ping 10. Exit ... Enter a number from [1-10]:
モジュールを操作するためのいくつかのより便利なコマンド:
asa5510# show module asa5510(config)# hw-module module 1 ? exec mode commands/options: password-reset Reset the CLI password on the module recover Configure recovery of this module reload Reload the module reset Reset the module shutdown Shut down the module
次に、tcpポート5555のアクセスリストにルールを追加し、モジュールへのsshアクセスのためにPAT(NAT)を登録する必要があります。 この仕事はあなたにお任せします(以下も同様の例です)。
ASAインターフェイスの設定
外部インターフェース:
asa5510# conf t asa5510(config)# interface Ethernet0/0 asa5510(config-if)# security-level 0 asa5510(config-if)# nameif outside asa5510(config-if)# ip address 1.1.1.1 255.255.255.0
内部Wi-Fi VLAN 110:
asa5510# conf t asa5510(config)# Ethernet0/1.110 asa5510(config-if)# security-level 100 asa5510(config-if)# nameif wi-fi asa5510(config-if)# ip address 192.168.2.254 255.255.255.0
アカウンティングネットワークVLAN 120:
asa5510# conf t asa5510(config)# Ethernet0/1.120 asa5510(config-if)# security-level 100 asa5510(config-if)# nameif byx asa5510(config-if)# ip address 192.168.3.254 255.255.255.0
スイッチおよびWi-Fi Vlan 999を管理するための管理インターフェイス:
asa5510# conf t asa5510(config)# Ethernet0/1.999 asa5510(config-if)# security-level 100 asa5510(config-if)# nameif mng asa5510(config-if)# ip address 172.16.0.254 255.255.255.0
ssmモジュールを見ているインターフェース:
asa5510# conf t asa5510(config)# Ethernet0/3 asa5510(config-if)# security-level 100 asa5510(config-if)# nameif antivirus asa5510(config-if)# ip address 192.168.1.254 255.255.255.0
デフォルトルートの設定:
asa5510# conf t asa5510(config)# route outside 0.0.0.0 0.0.0.0 1.1.1.2 1
DNSセットアップ:
asa5510(config)# dhcpd dns 8.8.8.8 178.151.44.131
NATセットアップ:
asa5510# conf t asa5510(config)# nat-control asa5510(config)# global (outside) 100 interface asa5510(config)# nat (wi-fi) 100 192.168.2.0 255.255.255.0 asa5510(config)# nat (byx) 100 192.168.3.0 255.255.255.0 asa5510(config)# nat (antivirus) 100 192.168.1.1 255.255.255.255
ここで、100はNATグループで、グループの総数は2147483647です。リアルタイムで1000を超える「サブスクライバー」がいる場合、65536の接続のみが1つのグループに配置されることを忘れないでください。
アクセスリストの設定:
asa5510(config)# access-list outside_access_in extended permit tcp any any eq ssh asa5510(config)# access-list outside_access_in extended permit tcp any any eq 5555 asa5510(config)# access-list outside_access_in extended permit tcp any any eq https asa5510(config)# access-list outside_access_in extended permit tcp any any eq 8443 asa5510(config)# access-list outside_access_in extended permit tcp any any eq bgp asa5510(config)# access-list outside_access_in extended permit tcp any any eq pptp asa5510(config)# access-list outside_access_in extended permit tcp any any eq 7521 asa5510(config)# access-list outside_access_in extended permit tcp host 159.224.XX any eq 3006 asa5510(config)# access-list outside_access_in extended deny tcp any any eq 3006 log
外部インターフェイスにaccsess-listをハングアップします。
asa5510(config)# access-group outside_access_in in interface outside
セキュリティモジュールで確認のためにwwwとメールをラップします。
asa5510(config)# access-list csc-acl remark Exclude CSC module traffic from being scanned asa5510(config)# access-list csc-acl extended permit tcp any any eq www asa5510(config)# access-list csc-acl remark Scan Web & Mail traffic asa5510(config)# class-map csc-class asa5510(config-cmap)# match access-list csc-acl
デフォルトでポート8443を使用して、セキュリティモジュールへのWebインターフェイスを介したアクセス用にPATを設定します。
asa5510(config)# static (antivirus,outside) tcp interface 8443 192.168.1.1 8443 netmask 255.255.255.255
その後、ブラウザhttps:// external ip:8443を介して外部からモジュールにアクセスできます。
最後に、クライアントバンクに対応します。
次の2つのケースがあります。
1)クライアントバンクはvpn接続経由で機能します。
2)クライアントバンクは特定のtcpポートで動作します。この例ではポート7521です。
最初のケースでは、pptpプロトコルの検査ポリシーを使用します。 非常に便利で必要なもの。 これは、Linux上のiptablesのinsmod ip_nat_pptpモジュールに似ています 。
asa5510(config)# policy-map global_policy asa5510(config-pmap)# class inspection_default asa5510(config-pmap-c)# inspect pptp
その結果、このポリシーを適用した後、asaはvpn接続を「world」に渡します。
次に、マシンの経理担当者にtcpポート7521を透過的に転送する2番目のケース。
PATをセットアップします。
static (byx,outside) tcp interface 7521 192.168.3.5 7521 netmask 255.255.255.255
アカウンティング用のDHCPサーバーをセットアップする
asa5510(config)# dhcpd address 192.168.3.1-192.168.3.253 byx asa5510(config)# dhcpd enable byx
Wi-Fi用のDHCPサーバーをセットアップします。
asa5510(config)# dhcpd address 192.168.2.1-192.168.2.253 wi-fi asa5510(config)# dhcpd enable wi-fi
保存する
asa5510(config)#wr
終わり
ご清聴ありがとうございました! はっきりと描いてほしい。