Настройка Cisco ASA 5520
Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз. Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений: 1. Сетевые
Техническая
|
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.
|
Заказать услугу
|
|
Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз. Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений: 1. Сетевые системы контроля доступа - межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):
2. Безопасность данных (Data Secreсy) - сетевые системы защиты данных, в том числе на уровне конечных устройств:
3. Контроль доступности данных:
Только сейчас - Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия - 2 месяца! Почта для вопросов и заявок - info@lincas.ru, sales@lincas.ru Горячая линия - Москва, Санкт-Петербург: +7 (499) 703-43-50, +7 (812) 309-84-39 |
Cisco ASA 5520-K8 - это устройство работающее на основе межсетевого экрана, которое предохраняет вашу открытую или закрытую локальную сеть от вирусных или гипер атак. Стоимость данного оборудования не высока, а вот услуги которые предоставляет это устройство очень качественные и полезные.
Особенностями данного устройства является возможность усиления сигнала по беспроводной сети, также имеет маленькие габариты и небольшие размеры, что позволяет поставить его практически в любом месте. Также имеет 4 интерфейса и поддерживает сто виртуальных сетей разнообразного типа.
Устройство со стандартным программным обеспечением поддерживает до 750 пользователей одновременно, но если установить дополнительное программное обеспечение, то можно будет увеличить количество пользователей. Также в функциях устройства присутствует мониторинг сетей и отслеживание подозрительных архив пакетов.
Технические характеристики
|
Физические показатели Cisco ASA 5520 |
|
|
Габариты устройства в системе СИ |
0.2×0.36×0.04 м |
|
Масса в килограммах |
9 килограмм |
|
Возможные типы фиксации или установки на различных поверхностях |
Форм-фактор: 1 RU, установка в 19" стойку |
|
Необходимое количество энергии для стабильной работы устройства |
Напряжение на входе не менее 100 и не более 240 Вольт, частота вальируется от 43 до 67 Герц Мощность на выходе из устройства составляет от 150 до 190 Ват |
|
Анализ внутренней и внешней памяти |
|
|
Внутренняя память устройства |
512 Мегобайт |
|
Наименьший объем флеш памяти поддерживаемой устройством |
64 Мегобайт |
|
Разнообразие интерфейсных портов |
|
|
Сетевые интерфейсы: |
• 4 x 10/100/1000 Gigabit Ethernet |
|
Количество слотов имеющих разные расширения |
один слот с расширением SSM |
|
Количество разъемов под флэш накопитель |
Всего один разъем |
|
Количество портов под USB версии 2.0: |
Два разъема |
|
Последовательные порты: |
Один разъем модели RJ-45 консольный порт, а также |
|
Особенности сети придостовляемый устройством |
|
|
Тип лицензии: |
Лицензия Data Encryption Standard (DES) |
|
Шифрование: |
Data Encryption Standard (DES) |
|
Пользователи/узлы: |
Любое количество пользователей |
|
Максимальная скорость пропускания по межсетевому экрану |
Максимальная скорость составляет 450 Мегабит в секунду |
|
Максимальная пропускная способность межсетевого экрана при использовании дополнительных программ или устройств |
225 Мегабит в секунду при использовании AIP SSM-10 |
|
Пропускная способность 3DES/AES VPN: |
До 225 Мбит/с |
|
Пользователи IPsec VPN: |
750 |
|
Пользователи SSL VPN: |
• Включено: 2 |
|
Количество возможных одновременных сессий |
Максимальное количество возможных сессий составляет 280 тысяч |
|
Количество возможных новых подключений в одну секунду |
Двенадцать тысяч |
|
Виртуальные интерфейсы (VLANs): |
150 штук |
|
Контекстная безопасность: |
2 к 20 |
|
Высокая доступность: |
• Не поддерживается |
|
Virtual Firewalls |
Двадцать |
Если изучить данную таблицу, то можно увидеть огромное количество полезной информации, а также некоторые правила пользования и безопасности устройства.
Первичная настройка
В данной части мы рассмотрим как настроить cisco asa серии 5520 без потусторонней помощи и дополнительных затрат.
Процесс установки проходит в несколько этапов:
- Подключение через последовательный порт.
- Настройка функций отвечающих за управление и доступа к ssh.
- Настройка доступа через ASDM
- Обновление системы и драйверов ASDM
- Настройка различных интерфейсов программы cisco для данной модели
- Настройка NAT на внешнюю сеть и ping
- Настройка NAT на сервер
- Тестирование устройства и комплектующих пакетов.
Если вы только приобрели устройство, то возникает вопрос как же его активировать и начать использовать. Сначала следует присоединиться через последовательный порт с помощью кабеля голубого цвета. Обычный пароль имеет стандартом такие параметры:
Этап первый #1
Bits per sec: 9600
Data bits: 8
Parity: none
Stop bits: 1
Flow control: none
Cisko asa 5520, так же как и свои предшественники имеет два режима пользовательский и привилегированный. Второй режим можно включить с помощью команды enable, которая имеет такой вид:
ciscoasa>
ciscoasa> enable
ciscoasa#
У новой программы пароль на привилегированный режим не установлен и поэтому стоит начать именно с пароля, который активируется с помощью команды, а устанавливается от так:
ciscoasa# configure terminal
ciscoasa(config)#
Все остальное вводиться в режиме конфигурации. Также прошу заметить что # вводить не надо она была поставлена с целью обращения вашего внимания.
Этап второй #2
После выполнение предыдущего этапа следует приступить к настройке интерфейса и доступа к ssh. Для всего этого советуется иметь отдельную сеть для управления. А программ имеет такой вид:
# создание пароля для привилегированного режима
enable password zzz
# настройка интерфейса управления
interface Management 0/0
nameif manage
security-level 100
ip address 192.168.1.100 255.255.255.0
no shutdown
exit
# настройка доступу по ssh
crypto key generate rsa modulus 1024
username username password yyy
passwd yyy
# задайте список адресов или сетей, с которых разрешено подключаться по ssh
# не стоит указывать лишнее
ssh 192.168.1.22 255.255.255.255
ssh 192.168.1.33 255.255.255.255
ssh version 2
# заодно можно увеличить timeout, по-умолчанию всего 5 минут
ssh timeout 15
aaa authentication ssh console LOCAL
После этого можно подключаться через ssh.
Этап третий #3
Кроме настройки через консоль можно также настроить и через ASDM. Управление через ASDM больше подходит для тех, кто больше любит управлять мышкой. Но стоит сразу выбрать вариант, который подходит вам больше.
# если вы не ещё ни настроили доступ по ssh, то выполните команду crypto key gen... из предыдущего пункта
# запуск сервера http
http server enable
# задайте список адресов или сетей, с которых разрешено подключаться
http 192.168.1.22 255.255.255.255 manage
http 192.168.1.33 255.255.255.255 manage
# просмотр списка файлов на Cisco ASA
dir
# если доступно несколько версий ASDM, то выберите более свежую
asdm image disk0:/asdm-742.bin
Для доступа к ADSM наберите в браузере https:// - 192.168.1.100
Переходим с пункту четыре #4
Проверить текущую версию ПО можно с помощью команды:
ciscoasa# show version
Cisco Adaptive Security Appliance Software Version 9.1(7)13
Device Manager Version 7.7(1)
Узнать о более новых версиях можно на официальном сайте, а вот скачать можно только если у вас есть действующая лицензия.
Чтобы сразу загрузить с установкой надо действовать в такой последовательности: Tools -> Upgrade Software from Local Computer
Загрузка файла с командной строки выполняется одной командой (на своём компьютере поднимите сервер tftp, для windows подойдёт Tftpd32):
# запуск команды copy в интерактивном режиме
copy tftp disk0:
Address or name of remote host []? 192.168.1.22
Source filename []? asa917-13-k8.bin
Destination filename [asa917-13-k8.bin]?
Accessing tftp:// - 192.168.1.22/asa917-13-k8.bin.........!!
Writing file disk0:/asa917-13-k8.bin...........!!
27703296 bytes copied in 3.60 secs
# проверьте, что файл на месте
dir
# выбор используемого образа системы и ASDM
asdm image disk0:/asdm-771.bin
boot system disk0:/asa917-13-k8.bin
# сохранить настройки
write memory
# перезагрузка с новой версией системы
reload
Процесс продолжается #5
Сеть бывает 3 типов:
- Внешняя.
- Выделенная.
- Локальная.
После выбора нужной нам сети распределяем значения security-level: outside — 0, dmz — 50, lan — 100. Причем сами цифры значения не имеют, главное — их отношения (больше, меньше). Но тут есть одна заминка - в программе присутствуют порты на оборудование, которые желательно сэкономить. Сделать это можно следующим образом:
interface GigabitEthernet0/0
mac-address 0050.56xx.xxxx
nameif outside
security-level 0
ip address 11.11.11.11 255.255.255.248
no shutdown
exit
interface GigabitEthernet0/1.20
vlan 20
nameif dmz
security-level 50
ip address 192.168.20.1 255.255.255.248
exit
interface GigabitEthernet0/1.10
vlan 10
nameif lan
security-level 100
ip address 192.168.10.1 255.255.255.0
exit
interface GigabitEthernet0/1
no shutdown
exit
# маршрут по умолчанию
route outside 0.0.0.0 0.0.0.0 11.11.11.10 1
dhcpd dns 8.8.8.8
Этап нормер #6
Доступ во внешнюю сеть разрешен согласно выставленным security-level, но чтобы всё заработало вы должны сделать NAT:
object network lan-subnet
subnet 192.168.10.0 255.255.255.0
nat (lan,outside) dynamic interface
exit
object network dmz-subnet
subnet 192.168.20.0 255.255.255.248
nat (dmz,outside) dynamic interface
exit
Готово, ваши пользователи и сервера получили доступ к Интернет. Если нужно разрешить использование icmp, то выполните следующее:
policy-map global_policy
class inspection_default
inspect icmp
exit
Устанавливаем NAT #7
Вариант 1. Этот вариант можно использовать если хотите проложить один порт, например, 80 до сервера в dmz:
object network server-www
host 192.168.20.2
nat (dmz,outside) static interface service tcp www www
exit
# трафик из сети outside в dmz противоречит настройкам security-level
# для его пропуска настройте правила ACL (Access Control List)
access-list outside_acl extended permit tcp any object server-www eq www
access-group outside_acl in interface outside
Вариант 2. Нужно пробросить два порта или больше. Просто добавив новое правило nat к уже существующему, вы немного измените им первое правило, поэтому нужно всё продублировать для каждого порта:
object network server-www
host 192.168.20.2
nat (dmz,outside) static interface service tcp www www
exit
object network server-8080
host 192.168.20.2
nat (dmz,outside) static interface service tcp 8080 8080
exit
access-list outside_acl extended permit tcp any object server-www eq www
access-list outside_acl extended permit tcp any object server-8080 eq 8080
access-group outside_acl in interface outside
Вариант 3. Пробрасываем все порты, на внутренний сервер (завернуть что-либо на второй сервер уже не получится):
object network server-ip
host 192.168.20.2
nat (dmz,outside) static interface
exit
# разрешайте только нужные порты
access-list outside_acl extended permit tcp any object server-ip eq www
access-list outside_acl extended permit tcp any object server-ip eq 8080
access-list outside_acl extended permit tcp any object server-ip eq ssh
access-list outside_acl extended permit tcp any object server-ip eq ftp
access-group outside_acl in interface outside
Заключительный момент #8
После выполнения всех пунктов можно протестировать систему и проверить свою работу. Но на этом не стоит останавливаться, ведь это только начало и нужно постоянно совершенствовать систему. Чтобы сохранить настройки надо ввести команду:
write memory
# сокращенно wm
Для начала работы выполненных настроек вполне достаточно... но только для начала. Вы не должны рассматривать данную подборку как руководство к действию или официальную инструкцию по установке, это только рекомендации с чего можно начать, своего рода «quick start guide». А что тогда дальше? А дальше все завит от вас и от того чего вы хотите.