Cisco ASA 보안 어플라이언스에서 8 개의 기본 명령 이해
Cisco Security Appliance를 구성하기 위해 문자 그대로 수천 개의 명령과 부배 명령이 있습니다. 기기에 대한 지식을 얻을 때 당신은 점점 더 많은 명령을 사용합니다. 그러나 처음에는 어플라이언스에서 기본 기능을 구성하는 데 필요한 몇 가지 명령이 있습니다. 기본 기능은 내부 호스트가 외부 호스트에 액세스 할 수 있도록 허용하지만 외부 호스트가 내부 호스트에 액세스 할 수 있도록 허용하는 것으로 정의됩니다. 또한, 적어도 하나의 내부 호스트에서 관리를 허용해야합니다. 다음은 8 가지 기본 명령입니다.
** 인터페이스 **
인터페이스 명령은 구성 될 하드웨어 인터페이스 또는 VLAN 인터페이스를 식별합니다. 인터페이스 구성 모드에 있으면 물리적 인터페이스를 스위치 포트에 할당하고 활성화하거나 (켜기) 또는 VLAN 인터페이스에 이름 및 보안 수준을 할당 할 수 있습니다.
** nameif **
Nameif 명령은 인터페이스에 이름을 제공하고 보안 수준을 할당합니다. 일반적인 이름은 외부, 내부 또는 DMZ에 있습니다.
** 보안 수준 **
보안 수준은 어플라이언스에서 트래픽 흐름을 제어하기 위해 사용됩니다. 트래픽은 보안 수준이 높은 인터페이스에서 보안 수준이 낮지 만 다른 방식으로는 인터페이스까지 흐르는 것이 허용됩니다. 액세스리스트는 트래픽이 보안 수준이 낮은 보안 수준에서 더 높은 보안 수준으로 유입되도록하는 데 사용해야합니다. 보안 수준의 범위는 0에서 100입니다. 외부 인터페이스의 기본 보안 수준은 0입니다. 내부 인터페이스의 경우 기본 보안 수준은 100입니다.
다음 샘플 구성에서 인터페이스 명령은 먼저 내부 및 외부 VLAN 인터페이스의 이름을 지정하는 데 사용됩니다. 그러면 DMZ 인터페이스의 이름이 지정되고 보안 레벨이 50에 할당됩니다.
ciscoasa (config)# 인터페이스 VLAN1
ciscoasa (config-if)# nameif 내부
정보 : “내부”의 보안 수준은 기본적으로 100으로 설정됩니다.
ciscoasa (config-if)# 인터페이스 VLAN2
ciscoasa (config-if)# nameif 외부
정보 : 기본적으로 “외부”에 대한 보안 수준.
ciscoasa (config-if) #interface vlan3
ciscoasa (config-if)# nameif dmz
Ciscoasa (Config-IF)# 보안 수준 50
** IP 주소 **
IP 주소 명령은 정적으로 또는 DHCP 클라이언트로 만들어 IP 주소를 VLAN 인터페이스에 할당합니다. 최신 버전의 보안 어플라이언스 소프트웨어를 사용하면 기본 서브넷 마스크를 명시 적으로 구성 할 필요가 없습니다. 비표준 마스크를 사용하는 경우 마스크를 명시 적으로 구성해야하지만 그렇지 않으면 필요하지 않습니다.
다음 샘플 구성에서 IP 주소는 내부 인터페이스 인 VLAN 1에 할당됩니다 정수기.
ciscoasa (config-if)# 인터페이스 VLAN 1
ciscoasa (config-if)# IP 주소 192.168.1.1
** 스위치 포트 액세스 **
ASA 5505 보안 어플라이언스의 스위치 포트 액세스 명령은 물리적 인터페이스를 논리 (VLAN) 인터페이스에 할당합니다. 다음 예에서 인터페이스 명령은 물리적 인터페이스를 식별하고 어플라이언스의 스위치 포트에 할당하고 “셧다운 없음”문을 사용하여 활성화 (켜기)를 사용하는 데 사용됩니다.
ciscoasa (config-if)# 인터페이스 이더넷 0/0
Ciscoasa (Config-IF)# Switchport Access VLAN 2
ciscoasa (config-if)# 종료 없음
ciscoasa (config-if)# 인터페이스 이더넷 0/1
ciscoasa (config-if)# 스위치 포트 액세스 VLAN 1
ciscoasa (config-if)# 종료 없음
** nat **
NAT 명령은 지정된 서브넷의 지정된 인터페이스에서 네트워크 주소 변환을 활성화합니다.
이 샘플에서 구성에서 NAT는 192.168.1.0/24 서브넷의 호스트의 내부 인터페이스에서 활성화됩니다. 숫자 “1”은 Nat I.D입니다. 글로벌 명령에 의해 글로벌 주소 또는 풀을 내부 주소와 연결하는 데 사용됩니다. (참고 : NAT 0은 지정된 주소 그룹이 번역되는 것을 방지하는 데 사용됩니다.)
ciscoasa (config)# Nat (내부) 1 192.168.1.0 255.255.255.0
** 글로벌 **
글로벌 명령은 NAT 명령과 함께 작동합니다. NAT’ED 호스트 (보통 호스트 내부)의 트래픽이 흐르아야하는 인터페이스 (보통 외부)를 식별합니다. 또한 Nat’ed 호스트가 외부 세계에 연결하는 데 사용할 글로벌 주소를 식별합니다.
다음 샘플에서 Nat I.D.와 관련된 호스트 1은 외부 인터페이스에서 글로벌 주소 12.3.4.5를 사용합니다.
ciscoasa (config)# 글로벌 (외부) 1 12.3.4.5
“Global”명령의 사용에 대한이 추가 예에서 인터페이스 문은 Nat I.D.와 관련된 방화벽을 알려줍니다. 1은 외부 인터페이스에서 DHCP가 할당 된 글로벌 주소를 사용합니다.
ciscoasa (config)# 글로벌 (외부) 1 인터페이스
**노선**
가장 기본적인 형태의 경로 명령은 트래픽에 대한 기본 경로를 일반적으로 ISP의 라우터에 할당합니다. 또한 액세스 목록과 함께 특정 유형의 트래픽을 특정 서브넷의 특정 호스트에게 보낼 수 있습니다.
이 샘플 구성에서 Route 명령은 12.3.4.6에서 ISP의 라우터에 대한 기본 경로를 구성하는 데 사용됩니다. ISP의 라우터 주소 이전의 두 개의 0은 0.0.0.0의 IP 주소와 0.0.0.0의 마스크입니다. 외부의 명령문은 트래픽이 기본 경로에 도달하기 위해 흐르는 인터페이스를 식별합니다.
ciscoasa (config-if)# 외부 경로 0 12.3.4.6
위의 명령은 매우 기본적인 방화벽을 생성하지만 솔직히 Cisco Pix 또는 ASA 보안 어플라이언스와 같은 정교한 장치를 사용하여 이러한 기본 방화벽 기능을 수행하는 것은 과잉입니다. 다른 명령으로는 방화벽, Telnet 또는 SSH를 식별하기위한 호스트 이름, 원격 관리, DHCPD 명령은 방화벽이 IP 주소를 내부 호스트에 할당 할 수 있도록하고 DMZ 웹 서버 또는 DMZ 메일 서버와 같은 내부 호스트가 인터넷 호스트에 액세스 할 수 있도록 허용 할 수 있도록합니다.