Kişiler

HTTP, SSH, TELNET ayarlarının kontrol edilmesi

Görev ayarlamaktı

sunucuların ve kullanıcıların çalışmasına izin vermek için yerel ağ işletmeler.

sunucular beyaz

(İnternet türü 62.xxx) adresleri ve çalışmaları

Kullanıcı verileri iletilir

Sunucuların iki ağ kartı vardır: biri yerel ağda, diğeri İnternet'te ve yerel ağ üzerinden kontrol ediliyor. Bu nedenle, yerel ağdan DMZ'ye erişim, gerekli olmadığı için yapılandırılmamıştır.

Örnek bir konfigürasyon aşağıda verilmiştir.

ASA Sürüm 8.2(1)

Alan adı. SSH için gerekli

alan adı strui.ru

Etkinleştirmek için parola.

şifreyi etkinleştir 4aeeoLOxxxxxxjMx şifreli

passwd k0a6sN9ExxxxxxxxzV şifreli

İnternete bakan arayüzün açıklaması

arayüz Ethernet0/0

tanım İnternet

güvenlik seviyesi 0

ip adresi 213.xxx.xxx.194 255.255.255.240

Yerel ağa bakan arayüzün açıklaması

arayüz Ethernet0/1

açıklama Yerel

güvenlik seviyesi 100

ip adresi 10.10.10.20 255.255.255.0

Sunucu ağına (DMZ) bakan arayüzün açıklaması

arayüz Ethernet0/2

güvenlik seviyesi 50

ip adresi 62.xxx.xxx.177 255.255.255.240

Bu arayüz devre dışı

arayüz Ethernet0/3

güvenlik seviyesi yok

Bu arayüz devre dışıdır (yerel ağa bağlı değildir). İçin kullanılır

ilk Cisco kurulumu

arayüz Yönetimi0/0

isim yönetimi

güvenlik seviyesi 100

ip adresi 192.168.1.1 255.255.255.0

ftp modu pasif

Bölgeyi ve saati ayarlayın. Günlükler için gereklidir.

saat zaman dilimi MSK/MDD 3

saat yaz saati MSK/MDD yinelenen son Paz Mart 2:00 son Paz Ekim 3:00

dns sunucu grubu DefaultDNS

Askerden arındırılmış bölgeye sunuculara erişimin listesi. gelen trafik.

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.180 eq www

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.180 eq ftp

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.180 eq ftp-veri

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.181 eq www

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.181 eq ftp

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.181 eq ftp-veri

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.178 eq etki alanı

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.179 eq smtp

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.179 eq pop3

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.179 eq imap4

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.184 eq 8081

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.184 eq www

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.185 eq www

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.186 eq ftp

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.186 eq ftp-veri

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.186 eq www

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.189 eq www

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.179 eq etki alanı

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.179 eq https

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.182 eq smtp

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.182 eq pop3

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.182 eq imap4

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.184 eq rtsp

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.187 eq www

erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.188 eq www

DMZ'den sunucular için erişim listesi. giden trafik.

erişim listesi acl_out_dmz genişletilmiş izin tcp herhangi biri

erişim listesi acl_out_dmz genişletilmiş izin udp herhangi biri

erişim listesi acl_out_dmz genişletilmiş izin icmp herhangi biri

erişim listesi acl_out_dmz genişletilmiş reddet tcp ana bilgisayarı 62.xxx.19.76 ana bilgisayar 213.xxx.36.194 eq 135

erişim listesi acl_out_dmz genişletilmiş reddet tcp ana bilgisayarı 87.xxx.95.11 ana bilgisayar 213.xxx.36.194 eq ftp

Yerel ağ kullanıcıları için erişim listesi.

Giden trafik için her şeye izin verilir.

erişim listesi acl_out_inside genişletilmiş izin tcp 10.10.10.0 255.255.255.0 herhangi

erişim listesi acl_out_inside genişletilmiş izin tcp 10.10.20.0 255.255.255.0 herhangi

erişim listesi acl_out_inside genişletilmiş izin tcp 10.10.40.0 255.255.255.0 herhangi

erişim listesi acl_out_inside genişletilmiş izin tcp 10.10.50.0 255.255.255.0 herhangi

erişim listesi acl_out_inside genişletilmiş izin tcp 10.10.110.0 255.255.255.0 herhangi

erişim listesi acl_out_inside genişletilmiş izin icmp 10.10.10.0 255.255.255.0 herhangi

erişim listesi acl_out_inside genişletilmiş izin icmp 10.10.110.0 255.255.255.0 herhangi

erişim listesi acl_out_inside genişletilmiş izin icmp 10.10.20.0 255.255.255.0 herhangi

erişim listesi acl_out_inside genişletilmiş izin icmp 10.10.50.0 255.255.255.0 herhangi

erişim listesi acl_out_inside genişletilmiş izin udp 10.10.10.0 255.255.255.0 herhangi

erişim listesi acl_out_inside genişletilmiş izin udp 10.10.20.0 255.255.255.0 herhangi

erişim listesi acl_out_inside genişletilmiş izin udp 10.10.110.0 255.255.255.0 herhangi

erişim listesi acl_out_inside genişletilmiş izin udp 10.10.50.0 255.255.255.0 herhangi

erişim listesi acl_out_inside genişletilmiş izin udp 10.10.40.0 255.255.255.0 herhangi

Günlük kaydı kurulumu

günlüğe kaydetme zaman damgası

günlüğe kaydetme tuzak bildirimleri

günlük asdm bilgilendirme

10.10.10.4 içinde ana bilgisayar günlüğü

1500 dışında mtu

mtu yönetimi 1500

icmp ulaşılamaz hız sınırı 1 patlama boyutu 1

asdm geçmişi etkinleştirme yok

arp zaman aşımı 14400

küresel ayar

genel (dış) 1 arayüz

Yerel ağ için NAT kurulumu

nat (iç) 1 0.0.0.0 0.0.0.0

Sunucular için statik ayarlama

nat (dmz) 0 0.0.0.0 0.0.0.0

statik (dmz,dış) 62.xxx.xxx.180 62.xxx.xxx.180 ağ maskesi 255.255.255.255

statik (dmz,dış) 62.xxx.xxx.181 62.xxx.xxx.181 ağ maskesi 255.255.255.255

statik (dmz,dış) 62.xxx.xxx.178 62.xxx.xxx.178 ağ maskesi 255.255.255.255

statik (dmz,dış) 62.xxx.xxx.179 62.xxx.xxx.179 ağ maskesi 255.255.255.255

statik (dmz,dış) 62.xxx.xxx.184 62.xxx.xxx.184 ağ maskesi 255.255.255.255

statik (dmz,dış) 62.xxx.xxx.185 62.xxx.xxx.185 ağ maskesi 255.255.255.255

statik (dmz,dış) 62.xxx.xxx.186 62.xxx.xxx.186 ağ maskesi 255.255.255.255

statik (dmz,dış) 62.xxx.xxx.189 62.xxx.xxx.189 ağ maskesi 255.255.255.255

statik (dmz,dış) 62.xxx.xxx.187 62.xxx.xxx.187 ağ maskesi 255.255.255.255

statik (dmz,dış) 62.xxx.xxx.188 62.xxx.xxx.188 ağ maskesi 255.255.255.255

Erişim listesini erişim grubu aracılığıyla arabirimlere bağlarız.

dış arayüzde erişim grubu acl_in_dmz

içindeki arayüzde erişim grubu acl_out_inside

dmz arayüzünde erişim grubu acl_out_dmz

Arayüzler için yönlendirmeyi kaydederiz.

dış rota 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1

iç rota 10.10.20.0 255.255.255.0 10.10.10.10 1

iç rota 10.10.40.0 255.255.255.0 10.10.10.10 1

iç rota 10.10.50.0 255.255.255.0 10.10.10.10 1

iç rota 10.10.110.0 255.255.255.0 10.10.10.10 1

zaman aşımı xlate 3:00:00

zaman aşımı bağlantısı 1:00:00 yarı kapalı 0:10:00 udp 0:02:00 icmp 0:00:02

zaman aşımı sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

zaman aşımı yudum 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-bağlantıyı kesme 0:02:00

zaman aşımı sip-provisional-media 0:02:00 uauth 0:05:00 mutlak

zaman aşımı tcp-proxy-reassembly 0:01:00

dinamik erişim ilkesi kaydı DfltAccessPolicy

Yerel ağdan WEB yüzü üzerinden çalışmaya izin veriyoruz.

http sunucusu etkinleştir

http 10.10.10.0 255.255.255.0 içeride

snmp-sunucu konumu yok

snmp-sunucu teması yok

snmp-server tuzakları etkinleştir snmp kimlik doğrulama bağlantısı linkdown coldstart

kripto ipsec güvenlik ilişkisi yaşam boyu saniye 28800

kripto ipsec güvenlik ilişkisi yaşam boyu kilobayt 4608000

Telnet ve ssh'nin yerel ağ üzerinde çalışmasına izin veriyoruz.

telnet 10.10.10.0 255.255.255.0 içeride

telnet zaman aşımı 5

ssh 10.10.10.0 255.255.255.0 içeride

ssh 10.10.10.71 255.255.255.255 içeride

konsol zaman aşımı 0

dhcpd adresi 192.168.1.2-192.168.1.254 yönetimi

tehdit algılama temel tehdit

tehdit algılama istatistikleri erişim listesi

tehdit algılama istatistikleri yok tcp-intercept

WEB namlu için zaman sunucusu ve kullanıcı.

ntp sunucusu 10.10.10.3 kaynak içeride

kullanıcı adı yönetici şifresi trAp5eVxxxxxxnv şifreli ayrıcalık 15

sınıf haritası inceleme_default

varsayılan denetim trafiğini eşleştir

ilke haritası türü dns ön ayarını incele_dns_map

mesaj uzunluğu maksimum 512

politika haritası global_policy

sınıf incelemesi_varsayılan

dns preset_dns_map'i inceleyin

h323 h225'i inceleyin

h323 ras'ı inceleyin

hizmet politikası global_policy global

istemi ana bilgisayar adı bağlamı

Kriptokontrol toplamı:58da28923df5a5f8d5192125f9b1796f

Bu yazımızda Cisco ASA 5500 güvenlik duvarlarından (ASA 5510, ASA 5520, ASA 5540 ve ASA 5550) daha modern ASA 5500-X'e (5512-X, 5515-X, 5525-X, 5545- nasıl geçiş yapılır) anlatacağız. X , 5555-X), hangi ön hazırlığa ihtiyaç duyulacağı, nelere dikkat edilmesi gerektiği.

İşte geçiş için bu iki hattın cihazları arasında yaklaşık bir yazışma.

Göç için hazırlanıyor

Geçişin hızlı ve sorunsuz gerçekleşmesi için dikkatli bir şekilde hazırlanmanız gerekir - donanım ve yazılım gereksinimlerinin karşılanıp karşılanmadığını kontrol edin.

Aşağıdakileri kontrol ediyoruz:

  • tüm yeni cihazlar için lisansların mevcudiyeti - önceki lisanslar, bağlı oldukları için aktarılamaz. seri numaraları belirli cihazlar, bu nedenle yeni lisanslar satın almanız ve bunları yeni donanımda kullanmanız gerekecektir.
  • versiyon yazılım 5500-X serisi için ASA en az 8.6 olmalıdır, bu cihazlarda eski sürümleri kullanamazsınız. Yalnızca daha eski bir sürümünüz varsa, daha yeni sürümü cisco.com'dan indirin

Cisco 500 serisinden geçişe hazırlanmak için aşağıdaki adımlara ihtiyacınız olacak:

  • Cisco Güvenlik Yöneticisini güncelleyin
  • tüm 5500 serisi ekipmanların yazılımını 8.4.2 sürümüne yükseltin. ASA 8.3 yazılımında sizin için çalışıyorsa, hemen gerekli sürüme güncellemeniz yeterlidir, ancak daha eski bir sürüm kullanıyorsanız, bunu tek adımda değil, örneğin 7.4'ten 7.4'e kadar birkaç işlemde yapmanızı öneririz. 8.0, ardından 8.2'ye ve 8.4'e. V8.3'te.

Alternatif olarak, web tabanlı NAT geçiş aracını kullanabilir, bunun için TAC veya müşteri desteği ile iletişime geçebilirsiniz. Bu araç, yerel bilgisayardan işlenmek üzere mevcut bir konfigürasyonu göndermenize, ardından dönüştürmeler gerçekleştirmenize ve son olarak kullanıcıya basitçe kopyalanıp bir dosyaya kaydedilebilen güncellenmiş bir konfigürasyon sağlar. Bu aracı kullanmadan önce, lütfen sınırlarını dikkatlice okuyun.

  • Bir şeyler ters giderse ve yapılandırmanın geri yüklenmesi gerektiğinde yapılandırmayı yedeklediğinizden ve kaydettiğinizden emin olun. CLI komutu ile yapılır. kopyalamak veya ASDM yöneticisini kullanarak
  • kullanıyorsanız, yapılandırmasını da yedeklemeniz gerekir (CLI veya IDM/IME aracılığıyla)
  • konfigürasyon yedeklemeleri yaparken, önceki platformdan sertifikaları ve kripto anahtarlarını dışa aktarmayı unutmayın.

5500 serisinden ASA 5500-X cihazlarının donanım mimarisindeki farklılıklar

Doğal olarak, yeni cihazların mimarisi biraz farklı. Görsel olarak, aşağıdaki farklılıkları fark edebilirsiniz:

  • SSM yok
  • ASA ve IPS hizmetleri (varsa) aynı port üzerinden fiziksel olarak yönetilir
  • G / Ç bağlantı noktalarının daha yüksek yoğunluğu, yalnızca Gigabit bağlantı noktaları kullanılır

Bu farklılıklar nedeniyle, 5500 serisi yapılandırma dosyasındaki birkaç şeyi manuel olarak değiştirmeniz gerekecektir.Ayrıntılar için aşağıya bakın.

G/Ç bağlantı noktası yapılandırmasını düzenleme

Tüm ASA 5500 temsilcilerinin Gigabit bağlantı noktaları vardır, yapılandırmaları zaten kayıtlıdır ve hiçbir şeyin değiştirilmesi gerekmez. İstisna, böyle bir bağlantı noktasının bulunmadığı SecPlus lisansı olmayan ASA 5510'dur. Bu nedenle, yapılandırmayı 5510'dan aktarırsak, yeni cihazın Gigabit bağlantı noktalarına sahip olduğunu yansıtmak için tüm arabirim ve alt arabirim adlarını değiştirmemiz gerekecek.

İşte bunun nasıl yapıldığına dair bir örnek (5510'dan 5515-X'e gidiyor).

ASA 5510 Yapılandırması

! fiziksel arayüz

arayüz Ethernet0/1

isim yok

güvenlik seviyesi yok

ip adresi yok

kapanma yok

! E0/1 arayüzünde (iki mantıksal ağ) Alt Arayüzler Oluşturma

arayüz Ethernet0/1.120

vlan 1222

nameif fw-out

güvenlik seviyesi 50

ASA 5515-X yeniden yapılandırması

! fiziksel arayüz

arayüz GigabitEthernet0/1

isim yok

güvenlik seviyesi yok

ip adresi yok

kapanma yok

! G0/1 arabiriminde (iki mantıksal ağ) Alt Arabirimler Oluşturma

arayüz GigabitEthernet0/1.1201

vlan 1222

nameif fw-out

güvenlik seviyesi 50

ip adresi 172.16.61.1 255.255.255.0

Yönetim Bağlantı Noktası Yapılandırma Değişiklikleri

ASA 5500-X platformundaki önemli bir fark, IPS ve güvenlik duvarı servislerinin ortak bir yönetim portuna sahip olması ancak bunun başka bir amaç için kullanılamamasıdır. Lütfen geçişten sonra veri bağlantı noktası olarak veya yüksek erişilebilirliğe sahip bir yapılandırma öğesi olarak kullanmanın mümkün olmayacağını unutmayın (5500 serisinde mümkündü). Bunu önceki platformda yaptıysanız, geçiş yaparken bu yönetim bağlantı noktasının yapılandırma ayarlarını G0 / 3'ten yüksek numaralı Gigabit veri bağlantı noktalarından birine aktardığınızdan emin olun. Aşağıda, ASA 5520'den ASA 5525-X'e geçiş örneği kullanılarak bunun nasıl yapıldığı gösterilmektedir.

ASA 5520 Yapılandırması

arayüz Yönetimi0/0

isim yok

güvenlik seviyesi yok

ip adresi yok

sadece yönetim yok

kapatma yok!

! M0/0 arabirimindeki alt arabirimler

arayüz Yönetimi0/0.120

vlan 1222

nameif fw-out

güvenlik seviyesi 50

ip adresi 172.16.61.1 255.255.255.0

ASA 5515-X Yapılandırması

! Özel Yönetim Arayüzü

arayüz Yönetimi0/0

isim yok

güvenlik seviyesi yok

ip adresi yok

sadece yönetim

kapanma yok

! Yönetim Arayüzü GigabitEthernet0/3'e Taşındı

arayüz GigabitEthernet0/3

isim yok

güvenlik seviyesi yok

ip adresi yok

kapanma yok

! G0/3 arayüzündeki alt arayüzler

arayüz GigabitEthernet0/3.1201

vlan 1222

nameif fw-out

güvenlik seviyesi 50

ip adresi 172.16.61.1 255.255.255.0

Cisco ASA 5500, GigabitEthernet0/3 arayüzüne sahip değildir, bu nedenle daha sonraki bir sürüme yükseltme yaparken konfigürasyonlar birbiriyle çakışmamalıdır.

Benzer şekilde, yük devretme yapılandırması için daha önce yönetim arabirimini kullandıysanız, onu yeni, kullanılmamış bir 5500-X arabirimine geçirin.

ASA ve IPS hizmetleri nasıl doğru şekilde taşınır? Burada birkaç seçenek vardır, çünkü yukarıda bahsedildiği gibi, 5500-X'teki IPS hizmetleri ve güvenlik duvarı, daha önce farklı olanları kullanırken artık bir ortak yönetim bağlantı noktasına sahiptir. , bunları dikkatlice incelemenizi ve uygun olanı seçmenizi öneririz.

Bir IPS Yapılandırmasını Taşıma

Doğrudan IPS yapılandırma dosyasını manuel olarak aktarırken, yukarıda açıklanan tüm gerekli hazırlıkları tamamladıysanız hiçbir şeyi değiştirmeniz gerekmez. Her ihtimale karşı, yönetim bağlantı noktasının doğru yapılandırıldığını iki kez kontrol edin.

IPS'nin iki aşamada etkinleştirildiğini unutmayın, bunun için yalnızca ASA cihazı için değil, aynı zamanda IPS hizmetinin kendisi için de bir lisansa ihtiyacınız olacak.

Sonuçlar

Gördüğünüz gibi, ASA 5500 serisi cihazlardan ASA 5500-X'e geçiş birkaç aşamada gerçekleştiriliyor, bazıları otomatik, bazıları ise manuel olarak yapılması gerekecek.

Geçişten sonra yeni ekipmanın doğru çalışması ve kendisine verilen işlevleri yerine getirmesi için ana adımları, hangi sırayla yapacağınızı ve nelere dikkat etmeniz gerektiğini açıklamaya çalıştık.

Bu bölümde ROMMON'da çalışmaya bakacağız.
ROMMON ile çalışmak daha çok acil bir iştir.
Tipik kazalar, bozuk veya yanlışlıkla silinmiş bir işletim sistemi görüntüsü veya parolayı unuttukları zamandır.

Bu durumu simüle etmek istiyorsak, OS dosyasını siler ve ayrıca yapılandırmayı sıfırlarız:

fabrika varsayılanını yapılandır

Konsol tarafından ASA'ya bağlıyız.
ROMMON moduna giriyoruz - zamanlayıcı sırasında Esc tuşuna basın.

! rommon: arayüz ethernet0/0 adresi 10.0.0.1 sunucu 10.0.0.2 dosyası asa842-k8.bin tftpdnld

Bu durumda, ASA, işletim sistemini doğrudan tftp'den başlatacak ve cihaz üzerinde zaten "normal" modda kontrol sahibi olacağız.

Bu modda önyükleme yaptıktan sonra etkinleştirme parolası boş olacaktır (enter tuşuna basın)

Şemaya uygun olarak daha fazla ayar yapacağız:

Bu nedenle, şemaya göre dahili arayüzü yapılandıracağız:

arayüz gigabitethernet 2 güvenlik seviyesi 100 nameif ip adresi içinde 192.168.2.253 255.255.255.0 kapatma yok

Burada arayüzde aşağıdaki parametreleri ayarlıyoruz:
güvenlik seviyesi 100- Bu arayüz dahili olduğu için en yüksek güvenlik seviyesine ayarladık, yani. en çok ona güveniyoruz
isim içeride- Arayüz için bir isim tanımlandı. Bu önemli bir parametredir, çünkü bu ad daha sonraki ayarlarda sıklıkla kullanılacaktır.

IP adresi kontrolü:
Arayüzlerde IP adresleme ayarlarını kontrol edebilirsiniz:

çalışan yapılandırma ipini göster

Veya ping:

Bu arada, konsol hakkında biraz:
Boş bir yapılandırma ile parola etkinleştirme boş - sadece enter tuşuna basın.

Komut yönlendiricisinde bilindiği gibi göstermek sadece girilebilir ayrıcalıklı mod. eğer biz içindeysek yapılandırma modu o zaman komut verilmelidir göster.
ASA durumunda, show komutu herhangi bir modda çalışacaktır.
Komut yürütmeyi durdur (örn. çalışan yapılandırmayı göster) butonu ile yapılabilir" q".

OS Görüntüsü

önyükleme sistemi flaşı:/asa914-5-k8.bin

Bu komut olmadan, mevcut ilk görüntü yüklenecektir. işletim sistemi.

Önyüklenecek görüntünün kontrol edilmesi:

azarlıyoruz

ASDM Resmi

Böylece, dahili arayüzün doğru yapılandırıldığından ve ping'in de geçtiğinden emin olduk.
Artık dahili ağa tam olarak yapılandırılmış bir bağlantımız var ve artık yönetme yeteneğini yapılandırabiliriz. Üstesinden gelmek bizim ASA'mız.

ASA yönetimi birkaç şekilde yapılabilir:

  • SSH- SSH protokolü üzerinden komut satırı üzerinden yönetim.
  • ASDM- Grafiksel kullanıcı arayüzü.

GNS3 ile çalıştığımız özel durumda, birbirimizle ve GNS3 ile uyumlu kullanıyoruz:
ASA Sürüm 8.4(2)
ASDM Sürüm 6.4(3)

ASDM'nin çalışması için dosyasını da flash'a kopyalayacağız:

asdm görüntü flaşı:/asdm-643.bin

ASDM çalışma görüntüsünü kontrol etme:

Özetlemek gerekirse, ASA'nın düzgün çalışması için flash üzerinde iki dosya olması gerekir:

  • işletim sistemi- örneğin asa914-5-k8.bin, bir işletim sistemi dosyası. Sistemi başlatmak için gerekli
  • ASDM- örneğin asdm-643.bin, ASDM yönetici panelinin çalışması için gerekli dosya.

Diğer ayarlar

Ana bilgisayar adını girin:

Etkinleştirme parolasını ayarla

mysecretpassword parolasını etkinleştir

SSH ve HTTP yöntemleri için bir yönetici kullanıcı oluşturuyoruz ve yerel veritabanı üzerinden kimlik doğrulamayı etkinleştiriyoruz.

kullanıcı adı asaadmin parola adminparola ayrıcalığı 15 aaa kimlik doğrulama ssh konsolu YEREL aaa kimlik doğrulama http konsolu YEREL

Bu arada burada telnet için aaa eklemedik. Bu durumda telnet için birincil parola şu komutla belirlenir:

SSH'nin çalışması için gereken RSA anahtarını oluşturuyoruz:

kripto anahtarı rsa modülü 1024 üretir

ASDM'nin çalışması için https desteğini etkinleştirin:

http sunucusu http 192.168.2.0 255.255.255.0 ssh içinde etkinleştir 192.168.2.0 255.255.255.0 içeride

Burada ilk komut sunucuyu açar ve ikincisi kime izin verileceğini belirler.

Bildiğiniz gibi HTTPS'nin çalışması için bir sertifika gerekiyor. Bu durumda, ASA kullanacak . Bu, her yeniden başlatmada sertifikanın yeniden oluşturulacağı anlamına gelir.

Genel olarak, ASA için 3 tür sertifika yapılandırabiliriz:

  • Kendinden İmzalı Geçici Sertifika- ASA her başlatıldığında oluşturulan kendi sertifikası
  • Kendinden İmzalı Kalıcı Sertifika- bir kez oluşturulan kendi sertifikası
  • PKI'den Gerçek Sertifika- bir üçüncü taraf Sertifika Yetkilisi tarafından oluşturulan bir sertifika

Buna daha sonra döneceğiz.

Kolaylık olması için, SSH için zaman aşımını artıralım:

HTTP, SSH, TELNET ayarlarının kontrol edilmesi

koşu-yapılandırmayı göster aaa çalışan-yapılandırmayı göster http çalıştıran-yapılandırmayı göster ssh çalıştıran-yapılandırma telnetini göster

ASA Sürüm 8.2(1)
!
!Cisco adı
ana bilgisayar adı asa
!Alan adı. SSH için gerekli
alan adı strui.ru
!Etkinleştirmek için parola.
şifreyi etkinleştir 4aeeoLOxxxxxxjMx şifreli
passwd k0a6sN9ExxxxxxxxzV şifreli
isimler
! İnternete bakan arayüzün açıklaması.
arayüz Ethernet0/0
tanım İnternet
dışarıdaysa isim
güvenlik seviyesi 0
ip adresi 213.xxx.xxx.194 255.255.255.240
! Yerel ağa bakan arayüzün açıklaması.
arayüz Ethernet0/1
açıklama Yerel
isim içeride
güvenlik seviyesi 100
ip adresi 10.10.10.20 255.255.255.0
!
! Sunucu ağına (DMZ) bakan arayüzün açıklaması
arayüz Ethernet0/2
açıklama DMZ
isim dmz
güvenlik seviyesi 50
ip adresi 62.xxx.xxx.177 255.255.255.240
!Bu arayüz devre dışı
arayüz Ethernet0/3
kapat
isim yok
güvenlik seviyesi yok
ip adresi yok
!Bu arayüz devre dışıdır (yerel ağa bağlı değildir). İçin kullanılır
!ilk kurulum Cisco
arayüz Yönetimi0/0
isim yönetimi
güvenlik seviyesi 100
ip adresi 192.168.1.1 255.255.255.0
sadece yönetim
!
ftp modu pasif
! Bölgeyi ve saati ayarlayın. Günlükler için gereklidir.
saat zaman dilimi MSK/MDD 3
saat yaz saati MSK/MDD yinelenen son Paz Mart 2:00 son Paz Ekim 3:00
dns sunucu grubu DefaultDNS
! Askerden arındırılmış bölgeye sunuculara erişimin listesi. gelen trafik.
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.180 eq www
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.180 eq ftp
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.180 eq ftp-veri
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.181 eq www
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.181 eq ftp
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.181 eq ftp-veri
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.178 eq etki alanı
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.179 eq smtp
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.179 eq pop3
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.179 eq imap4
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.184 eq 8081
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.184 eq www
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.185 eq www
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.186 eq ftp
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.186 eq ftp-veri
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.186 eq www
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.189 eq www
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.179 eq etki alanı
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.179 eq https
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.182 eq smtp
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.182 eq pop3
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.182 eq imap4
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.184 eq rtsp
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.187 eq www
erişim listesi acl_in_dmz genişletilmiş izin tcp herhangi bir ana bilgisayar 62.xxx.xxx.188 eq www
! DMZ'den sunucular için erişim listesi. giden trafik.
erişim listesi acl_out_dmz genişletilmiş izin tcp herhangi biri
erişim listesi acl_out_dmz genişletilmiş izin udp herhangi biri
erişim listesi acl_out_dmz genişletilmiş izin icmp herhangi biri
erişim listesi acl_out_dmz genişletilmiş reddet tcp ana bilgisayarı 62.xxx.19.76 ana bilgisayar 213.xxx.36.194 eq 135
erişim listesi acl_out_dmz genişletilmiş reddet tcp ana bilgisayarı 87.xxx.95.11 ana bilgisayar 213.xxx.36.194 eq ftp
!LAN kullanıcıları için erişim listesi.
! Giden trafik için her şeye izin verilir.
erişim listesi acl_out_inside genişletilmiş izin tcp 10.10.10.0 255.255.255.0 herhangi
erişim listesi acl_out_inside genişletilmiş izin tcp 10.10.20.0 255.255.255.0 herhangi
erişim listesi acl_out_inside genişletilmiş izin tcp 10.10.40.0 255.255.255.0 herhangi
erişim listesi acl_out_inside genişletilmiş izin tcp 10.10.50.0 255.255.255.0 herhangi
erişim listesi acl_out_inside genişletilmiş izin tcp 10.10.110.0 255.255.255.0 herhangi
erişim listesi acl_out_inside genişletilmiş izin icmp 10.10.10.0 255.255.255.0 herhangi
erişim listesi acl_out_inside genişletilmiş izin icmp 10.10.110.0 255.255.255.0 herhangi
erişim listesi acl_out_inside genişletilmiş izin icmp 10.10.20.0 255.255.255.0 herhangi
erişim listesi acl_out_inside genişletilmiş izin icmp 10.10.50.0 255.255.255.0 herhangi
erişim listesi acl_out_inside genişletilmiş izin udp 10.10.10.0 255.255.255.0 herhangi
erişim listesi acl_out_inside genişletilmiş izin udp 10.10.20.0 255.255.255.0 herhangi
erişim listesi acl_out_inside genişletilmiş izin udp 10.10.110.0 255.255.255.0 herhangi
erişim listesi acl_out_inside genişletilmiş izin udp 10.10.50.0 255.255.255.0 herhangi
erişim listesi acl_out_inside genişletilmiş izin udp 10.10.40.0 255.255.255.0 herhangi

! Günlük kaydı kurulumu
günlüğe kaydetmeyi etkinleştir
günlüğe kaydetme zaman damgası
günlüğe kaydetme tuzak bildirimleri
günlük asdm bilgilendirme
10.10.10.4 içinde ana bilgisayar günlüğü
1500 dışında mtu
1500 içinde mtu
mtu dmz 1500
mtu yönetimi 1500

yük devretme yok
icmp ulaşılamaz hız sınırı 1 patlama boyutu 1
asdm geçmişi etkinleştirme yok
arp zaman aşımı 14400

! küresel ayar
genel (dış) 1 arayüz
! Yerel ağ için NAT kurulumu
nat (iç) 1 0.0.0.0 0.0.0.0
! Sunucular için statik ayarlama
nat (dmz) 0 0.0.0.0 0.0.0.0
statik (dmz,dış) 62.xxx.xxx.180 62.xxx.xxx.180 ağ maskesi 255.255.255.255
statik (dmz,dış) 62.xxx.xxx.181 62.xxx.xxx.181 ağ maskesi 255.255.255.255
statik (dmz,dış) 62.xxx.xxx.178 62.xxx.xxx.178 ağ maskesi 255.255.255.255
statik (dmz,dış) 62.xxx.xxx.179 62.xxx.xxx.179 ağ maskesi 255.255.255.255
statik (dmz,dış) 62.xxx.xxx.184 62.xxx.xxx.184 ağ maskesi 255.255.255.255
statik (dmz,dış) 62.xxx.xxx.185 62.xxx.xxx.185 ağ maskesi 255.255.255.255
statik (dmz,dış) 62.xxx.xxx.186 62.xxx.xxx.186 ağ maskesi 255.255.255.255
statik (dmz,dış) 62.xxx.xxx.189 62.xxx.xxx.189 ağ maskesi 255.255.255.255
statik (dmz,dış) 62.xxx.xxx.187 62.xxx.xxx.187 ağ maskesi 255.255.255.255
statik (dmz,dış) 62.xxx.xxx.188 62.xxx.xxx.188 ağ maskesi 255.255.255.255
! Erişim listesini erişim grubu aracılığıyla arabirimlere bağlarız.
dış arayüzde erişim grubu acl_in_dmz
içindeki arayüzde erişim grubu acl_out_inside
dmz arayüzünde erişim grubu acl_out_dmz
! Arayüzler için yönlendirmeyi kaydederiz.
dış rota 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
iç rota 10.10.20.0 255.255.255.0 10.10.10.10 1
iç rota 10.10.40.0 255.255.255.0 10.10.10.10 1
iç rota 10.10.50.0 255.255.255.0 10.10.10.10 1
iç rota 10.10.110.0 255.255.255.0 10.10.10.10 1
zaman aşımı xlate 3:00:00
zaman aşımı bağlantısı 1:00:00 yarı kapalı 0:10:00 udp 0:02:00 icmp 0:00:02
zaman aşımı sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
zaman aşımı yudum 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-bağlantıyı kesme 0:02:00
zaman aşımı sip-provisional-media 0:02:00 uauth 0:05:00 mutlak
zaman aşımı tcp-proxy-reassembly 0:01:00
dinamik erişim ilkesi kaydı DfltAccessPolicy
! Yerel ağdan WEB yüzü üzerinden çalışmaya izin veriyoruz.
http sunucusu etkinleştir
http 10.10.10.0 255.255.255.0 içeride
snmp-sunucu konumu yok
snmp-sunucu teması yok
snmp-server tuzakları etkinleştir snmp kimlik doğrulama bağlantısı linkdown coldstart
kripto ipsec güvenlik ilişkisi yaşam boyu saniye 28800
kripto ipsec güvenlik ilişkisi yaşam boyu kilobayt 4608000
! Telnet ve ssh'nin yerel ağ üzerinde çalışmasına izin veriyoruz.
telnet 10.10.10.0 255.255.255.0 içeride
telnet zaman aşımı 5
ssh 10.10.10.0 255.255.255.0 içeride
ssh 10.10.10.71 255.255.255.255 içeride
ssh zaman aşımı 30
konsol zaman aşımı 0
dhcpd adresi 192.168.1.2-192.168.1.254 yönetimi
!
tehdit algılama temel tehdit
tehdit algılama istatistikleri erişim listesi
tehdit algılama istatistikleri yok tcp-intercept
! WEB namlu için zaman sunucusu ve kullanıcı.
ntp sunucusu 10.10.10.3 kaynak içeride
webvpn
kullanıcı adı yönetici şifresi trAp5eVxxxxxxnv şifreli ayrıcalık 15
!
sınıf haritası inceleme_default
varsayılan denetim trafiğini eşleştir
!
!
ilke haritası türü dns ön ayarını incele_dns_map
parametreler
mesaj uzunluğu maksimum 512
politika haritası global_policy
sınıf incelemesi_varsayılan
dns preset_dns_map'i inceleyin
ftp'yi incele
h323 h225'i inceleyin
h323 ras'ı inceleyin
rsh'yi kontrol et
rtsp'yi kontrol et
esmtp'yi incele
sqlnet'i inceleyin
sıska incelemek
sunrpc'yi incelemek
xdmcp'yi inceleyin
yudumu kontrol et
netbios'u inceleyin
tftp'yi kontrol et
!
hizmet politikası global_policy global
istemi ana bilgisayar adı bağlamı
Kriptokontrol toplamı:
: son

Program yanıt vermiyor: program donarsa ne yapmalı?

Program yanıt vermiyor: program donarsa ne yapmalı?

Akıllı telefon Sony Xperia Z2'ye genel bakış

Akıllı telefon Sony Xperia Z2'ye genel bakış

Örnek raporların indirildiği Excel'de veri analizi

Örnek raporların indirildiği Excel'de veri analizi

"Tuzaklar" veya "kurulum sırasında sorun yaşamamak için bilmeniz gerekenler"

photoshop eğitimi

photoshop eğitimi

Uydu TV ve ekipmanları hakkında bilmeniz gereken her şey

Uydu TV ve ekipmanları hakkında bilmeniz gereken her şey

İşletim sistemini başlatırken sorun giderme

İşletim sistemini başlatırken sorun giderme

ASUS yönlendiricilerde yönetici parolasını sıfırlama ve kurtarma

ASUS yönlendiricilerde yönetici parolasını sıfırlama ve kurtarma

Bir alan adı için nasıl ödeme yapılır?

Bir alan adı için nasıl ödeme yapılır?