UMGUM.COM (лучше) 

Базовая конфигурация Cisco PIX/ASA ( Базовая конфигурация Cisco PIX/ASA. )

25 марта 2010  (обновлено 31 января 2015)

OS: Cisco PIX/ASA IOS 6/7/8.

Задача: базовая конфигурация Cisco ASA в качестве подготовки для последующей индивидуальной настройки.

Подключаемся к устройству:

ASA> enable

Настраиваем подсистему времени (очень желательно проделать это в первую очередь, хотя бы для корректной генерации ключей доступа SSH):

!* Устанавливаем текущее время вручную в том случае, если NTP серверы недоступны
ASA# clock set 12:37:30 2 Feb 2010

ASA# configure terminal
!* Отключаем переход между зимним и летним временем
ASA(config)# no clock summer-time
!* Указываем на наши NTP серверы
ASA(config)# ntp server ip.ntp0.server prefer
ASA(config)# ntp server ip.ntp1.server

Для начала определим символические имена интерфейсов, в дальнейшем они будут использованы в списках управления доступом. Мы располагаем четырьмя физическими интерфейсами FastEthernet 10/100. Предположим, наша конфигурация будет содержать в себе подключение к двум провайдерам (основному и резервному), подключение DMZ и выход во внутреннюю сеть:


ASA(config)# interface Ethernet0/0
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# exit
ASA(config)# interface Ethernet0/1
ASA(config-if)# nameif backup
ASA(config-if)# security-level 1
ASA(config-if)# exit
ASA(config)# interface Ethernet0/2
ASA(config-if)# nameif dmz
ASA(config-if)# security-level 50
ASA(config-if)# exit
ASA(config)# interface Ethernet0/3
ASA(config-if)# nameif inside
ASA(config-if)# security-level 100
ASA(config-if)# exit

Настраиваем подсистему журналирования событий для отправки сведений на удалённый сервер Unix Syslog:

ASA(config)# logging facility 23
ASA(config)# logging trap errors
ASA(config)# logging host inside ip.syslog0.server
ASA(config)# logging host inside ip.syslog1.server
ASA(config)# logging enable

Настраиваем SNMP для сбора статистики с устройства:

!* Описываем базовые параметры (ключевое слово, уровень доступа, "лист доступа")
ASA(config)# snmp-server community password
ASA(config)# snmp-server host inside ip.snmp0.server community password
ASA(config)# snmp-server host inside ip.snmp1.server community password
ASA(config)# snmp-server enable
!* Описываем необязательные параметры
ASA(config)# no snmp-server location
ASA(config)# no snmp-server contact

Устанавливаем имя, доменное имя и параметры разрешения имён:

ASA(config)# hostname asa0
ASA(config)# domain-name domain.name
ASA(config)# dns domain-lookup inside
ASA(config)# dns name-server ip.ns0.server
ASA(config)# dns name-server ip.ns1.server

Генерируем RSA ключи для подключения к устройству по протоколу SSH и описываем параметры работы транспорта:

!* Проверяем, нет ли у нас уже ключей
ASA# show crypto key mypubkey rsa
!* Удаляем ненужные ключи
ASA(config)# crypto key zeroize rsa key.name
!* Генерируем RSA ключ (в процессе он будет именован как: <Default-RSA-Key>) общий для всех функций устройства
ASA(config)# crypto key generate rsa modulus 1024
!* Указываем применять только SSH второй версии
ASA(config)# ssh version 2

!* Определяем разрешения к подключению (нам совсем ни к чему непрекращающийся подбор пароля с внешнего подключения)
ASA(config)# ssh 192.168.0.0 255.255.0.0 inside
ASA(config)# ssh 192.168.0.0 255.255.0.0 management

Устанавливаем параметры аутентификации:

!* Указываем на то, что данные о пользователях нужно брать из локальной базы устройства
ASA(config)# aaa authentication ssh console LOCAL
!* Устанавливаем время отключения сессий
ASA(config)# ssh timeout 60
ASA(config)# console timeout 0
!* Устанавливаем пароль "cisco" доступа к устройству
ASA(config)# passwd ciscopasswd
!* Активируем проверку доступа к привилегированному уровню по паролю "cisco"
ASA(config)# enable password ciscoenable
!* Регистрируем пользователя "cisco" c паролем "cisco"
ASA(config)# username cisco password cisco privilege 15

Управление устройством с помощью встроенного Web интерфейса (ASDM) это, может быть, хорошо, но не для нас. Лишний сервис в редко обслуживаемой схеме - уязвимость, даже не потенциальная. Потому - отключаем сервис окончательно и бесповоротно:

ASA(config)# no http server enable
ASA(config)# no asdm image disk0:/asdm-508.bin
ASA(config)# no http 192.168.1.0 255.255.255.0 management
ASA(config)# no tftp-server

По умолчанию трафик невозможен между интерфейсами с одинаковыми уровнями безопасности. Воспользуйтесь командой same-security-traffic, чтобы это изменить, например, если вы не хотите использовать трансляцию адресов (NAT).

Если уже в работе устройства, вы изменили уровень безопасности интерфейса и не хотите ждать, пока существующие соединения закроются, используйте команду clear xlate, очищающую таблицу трансляций (translation table) Однако, в этом случае все существующие соединения будут сброшены.

ASA(config)# exit
ASA# copy running-config startup-config


Заметки и комментарии к публикации:


Оставьте свой комментарий ( выразите мнение относительно публикации, поделитесь дополнительными сведениями или укажите на ошибку )