ASA умеет работать в двух режимах: routed (режим маршрутизатора, по умолчанию) и transparent (прозрачный межсетевой экран, когда ASAработает как бридж с фильтрацией). Мы познакомимся с работой в первом режиме и далее везде будем его подразумевать, если явно не указан иной режим. В режиме routed на каждом интерфейсе ASA настраивается ip адрес, маска, уровень безопасности (security- level), имя интерфейса, а также интерфейс надо принудительно «поднять», так как по умолчанию все интерфейсы находятся в состоянии «выключено администратором». Это характерно для модели 5. В этом случае, как правило, внутренний интерфейс с названием inside уже настроен как самый безопасный и поднят, на нем работает DHCP сервер, задан статический адрес из сети 1. DHCP и настроена трансляция адресов из сети за интерфейсом inside в адрес интерфейса outside.

Получается такой plug- n- play : )). Параметр используется качественно, а не количественно, т. По умолчанию трафик, идущий «наружу», т. Трафик же идущий «внутрь» по умолчанию запрещен.

1. Установка и настройка межсетевых экранов. Глава 3, «Установка Cisco ASA 5505», содержит описание подключения интерфейсных кабелей.
2. Пошаговый порядок действий по обновлению Cisco ASA 5506-X. Внедрение и настройка межсетевых экранов Cisco ASA.
3. Внутри сети имеется только два интерфейса и отсутствуют службы. Это делает сеть простой по конфигурации межсетевого экрана.
4. Межсетевые экраны Cisco ASA 5500 обеспечивают высокую степень безопасности. Модификации межсетевого экрана Cisco ASA 5505 .

Параметр «имя интерфейса» (nameif) в дальнейшем позволяет использовать в настройках не физическое наименование интерфейса, а его имя, которое можно выбрать «говорящим» (inside, outside, dmz, partner и т. По идее, как утверждает сама cisco, имя не зависит от регистра, (не case sensitive), однако на практике ряд команд требует соблюдения регистра, что довольно неудобно. Характерный пример: применение crypto map на интерфейс требует точного написания названия интерфейса. Название интерфейса продолжается нажатием кнопки TAB, т. В модели 5. 50. 5 реализован встроенный 8мипортовый L2/L3 коммутатор. IP адреса в модели 5.

Видео курс «Настройка межсетевых экранов Cisco ASA и PIX». Практическое Видео Руководство, Том I, v2.1 2013 - 2016. Настройка ASA . Руководство по установке оборудования Cisco ASA серии 5500. Установка и настройка межсетевых экранов;.

Сама топология представляет из себя зоны безопасности и правила взаимодействия между ними. Классической схемой считается присвоение разным интерфейсам разных уровней безопасности. Такой трафик можно сознательно разрешить, дав команду. Однако надо понимать, что между интерфейсами с одинаковым уровнем безопасности не возникает межсетевого экранирования, а только маршрутизация. Поэтому такой подход применяется для интерфейсов, относящихся к одной и той же логической зоне безопасноcти (например, 2 локальные сети пользователей, объединяемые при помощи ASA)Маршрутизация. Ну куда же без неё! Как у любого маршрутизатора (ASA тоже им является, т.

Маршрутизация пакетов между этими сетями производится автоматически. Те сети, которые ASA сама не знает, надо описать. Это можно сделать вручную, используя команду.

ASA сама не делает такого поиска (в отличие от обычного маршрутизатора cisco). Напоминаю, что в таблицу маршрутизации попадает только один маршрут в сеть назначения, в отличие от классическим маршрутизаторов, где может использоваться до 1. Это такое число от 0 до 2.

Например, статическим маршрутам по умолчанию сопоставлена AD 1, EIGRP – 9. OSPF – 1. 10, RIP – 1. Можно явно указать AD для запасного маршрута больше, чем AD основного. Автобус Вольво Инструкция Техническая. Например. route outside 0. Если физически упал интерфейс все очевидно – само получится, а если интерфейс поднят, а провайдер погиб?

Это очень распространенная ситуация, учитывая, что на ASA сплошной ethernet, который физически падает крайне редко. Для решения этой задачки используется технология SLA. Она весьма развита на классических маршрутизаторах, а на ASA с версии 7. Для этого создается такая «пинговалка» (sla monitor).

Надо создать «переключатель» (track) который будет отслеживать состояние «пинговалки». К слову, на самих маршрутизаторах такое несоответствие уже починили, а вот на ASA ещё нет. Настройка этих протоколов на ASA очень похожа на настройку маршрутизаторов cisco. Пока динамической маршрутизации касаться в этих публикациях не буду, хотя если дойдут руки и будет интерес – напишу отдельную главу. Удаленное управление. Понятно, что при нынешнем развитии сетей передачи данных было бы неразумно не внедрять удаленное управление межсетевыми экранами.

Поэтому ASA, как и большинство устройств cisco, предоставляет несколько способов удаленного управления. Самое простое и небезопасное – telnet. Чтобы предоставить доступ на ASA по телнету необходимо явно указать, с каких хостов и сетей и на каком интерфейсе разрешен доступ, а также необходимо задать пароль на телнет командой passwd. Однако, для обеспечения доступа по ssh кроме явного указания того, с каких хостов можно заходить для управления, необходимо также задать RSA ключи, необходимые для шифрования данных о пользователе. По умолчанию для подключения по ssh используется пользователь pix и пароль, задаваемый командой passwd (пароль на telnet). Задаем имя домена. Желательно задать недефолтовое имя хоста.

После этого можно сгенерировать ключи. Разрешаем ssh. ssh 1. Но можно дополнительно создать и недефолтовые ключевые пары.

Для этого надо указать явно имя ключевой пары. Для этого можно использовать стандартные команды cisco.

Также ASA предоставляет крайне популярный метод настройки с использованием веб- броузера. Этот метод называется ASDM (Adaptive Security Device Manager). Для доступа используется безопасный протокол https. Обеспечение доступа настраивается очень похоже на настройку ssh: необходимо выработать или убедиться в наличии дефолтовых RSA ключей и указать, откуда можно подключаться.

Включаем сам https сервер, по умолчанию часто включен. При включении. ! Разрешаем https. Если больше ничего не настраивать, то доступ будет обеспечен без указания пользователя. Если же был указан пароль на привилегированный режим. Если же используется ОС 8. Х, то ASDM нужен версии 6. Х и java версии 1.

К чести разработчиков и радости настройщиков, ASDM версии 6 работает не в пример лучше и быстрее версии 5. Х. Чья тут заслуга: java или cisco или обоих – не знаю. Возникает резонный вопрос: а если хочется использовать не дефолтовые правила доступа, а явно указывать, откуда брать пользователя? Для этого используются команды (console — ключевое слово). В нем настроено 2 интерфейса (в данном случае это gigabitethernet 0/0 и 0/1, однако на разных платформах это могут быть и другие физические интерфейсы), inside и outside, дефолтный маршрут, разрешен удаленный доступ по ssh и https ото всюду, при этом. Снаружи будут приходить только ответы по сессиям (tcp и udp), открытым изнутри, т. Как его разрешить поговорим в следующей части.

Списки доступа (продолжение следует).