思科 ASA 5505 配置
我瀏覽了很多關於 Cisco ASA5505 的文章並上網。我正在尋找一些直接的分步說明來完成以下任務。
我知道如何讓它在內部和外部界面上執行,這太棒了!
我需要逐步完成以下任務
- 配置防火牆。將有兩台伺服器連接到內部介面:一台是 Web 伺服器,因此埠 80、25 等……另一台是 DC,因此需要打開所有標準埠。我們還需要為使用非標準埠的兩台機器打開 RDP。我覺得如果我看到一個像 80 埠這樣的例子,我可以複製它。是否有任何其他我應該注意的配置來保護實際的防火牆,或者它是否開箱即用地設置得很好?
- 從我們的主要辦公室和我的異地實驗室設置對設備的訪問。我還可以在內部介面上將 RDP 連接到 DC,然後再連接,如果這樣更安全的話。
這是我目前的狀態。現在它只是設置在我的工作機器上進行一些測試。所以外部介面只是去辦公室網路。
命令的結果:“顯示執行配置”
: Saved : ASA Version 8.2(1) ! hostname superasa domain-name somedomainname enable password /****** encrypted passwd ******************** encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 192.168.2.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 192.168.1.9 255.255.255.252 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive clock timezone EST -5 clock summer-time EDT recurring dns domain-lookup inside dns domain-lookup outside dns server-group DefaultDNS name-server 192.168.1.120 domain-name somedomain pager lines 24 logging asdm informational mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 192.168.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 inside http 192.168.2.0 255.255.255.0 inside http 192.168.2.4 255.255.255.255 inside http 192.168.1.108 255.255.255.255 outside http internetip 255.255.255.255 outside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd dns 192.168.1.120 208.67.222.222 dhcpd domain somedomain dhcpd auto_config outside ! dhcpd address 192.168.2.2-192.168.2.33 inside dhcpd dns 192.168.1.120 interface inside dhcpd auto_config outside interface inside dhcpd enable inside ! dhcpd dns 192.168.1.120 interface outside dhcpd domain supernova interface outside ! dhcprelay timeout 60 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn ! ! prompt hostname context Cryptochecksum:abunchofnumbersgohere : end
我使用 ASDM 和“公共伺服器”完成瞭如何在任何地方都沒有在網上提到這一點,這超出了我的範圍。通過配置這一設置,它會配置所有必要的防火牆規則!它簡單明了。
我能夠用這一節完成我所有的問題。
這是一個螢幕截圖。
在您的第一點上,防火牆部分已經設置好了。您為介面發出的那些“安全級別”命令會處理這些問題。較高級別能夠與較低級別進行通信,但較低級別需要訪問較高級別的資源。要授予訪問權限,請創建訪問列表並使用 access-group 命令將其分配給介面。由於您也在進行 NAT,因此您需要創建一些靜態映射,以便防火牆知道將流量發送到哪裡。我已將 DC 排除在我的指示之外,因為您不需要向 DC 公開任何內容(這樣做是一個安全問題)。如果您有需要進行身份驗證的遠端辦公室,請設置站點到站點 VPN。這是它的樣子:
access-list outside_access_in extended permit tcp any host 192.168.1.153 eq 80
access-list outside_access_in extended permit tcp any host 192.168.1.153 eq 25
access-group outside_access_in in interface outside
static (inside,outside) 192.168.1.153 192.168.2.5 netmask 255.255。 255.255
或者,您可以使用 PAT 而不是為伺服器分配自己的外部 IP 地址。如果可能的話,我建議不要這樣做,因為更多的命令來配置和保持電子郵件伺服器在自己的 IP 地址上可以幫助您不被列入黑名單。如果你想這樣做,這就是你要做的(注意在這個配置中你必須為每個埠創建一個靜態映射):
訪問列表 outside_access_in 擴展允許 tcp 任何主機
$$ external ip address of firewall $$eq 80
訪問列表 outside_access_in 擴展允許 tcp 任何主機$$ external ip address of firewall $$eq 25
access-group outside_access_in 在介面外部
靜態(內部,外部)tcp 介面 80$$ internal ip address of server $$80 網路遮罩 255.255.255.255
靜態(內部,外部)tcp 介面 25$$ internal ip address of server $$25 網路遮罩 255.255.255.255
為了啟用訪問,您只需告訴 ssh 在哪裡偵聽、如何進行身份驗證(本地數據庫最容易設置)並生成密鑰:
SSH
$$ ip address of main office $$255.255.255.255 外部
ssh$$ ip address of remote lab network $$ $$ subnet mask of remote lab network $$外部
ssh$$ subnet of internal network $$ $$ subnet mask of internal network $$內部
使用者名 companyadmin 密碼$$ create a good password $$特權 15
aaa 身份驗證 ssh 控制臺本地
加密密鑰生成 rsa
編輯
您無法在 ASA 上執行您正在尋找的故障轉移類型。它可以對 ISP 進行故障轉移,但不能對主機進行故障轉移。您可能想要查看的是 Windows 上的網路負載均衡器或專用的硬體負載均衡器。
第一段程式碼與站點到站點 VPN 無關。對困惑感到抱歉。它用於轉發具有專用 IP(也稱為靜態 NAT)的埠,而不是與防火牆共享的 IP 地址。當它是一個共享 IP 時,它被稱為埠地址轉換 (PAT),因為埠號和類型決定了它被轉發到哪個主機。當您有一個專用 IP 地址時,它稱為靜態 NAT。您已經在使用 NAT,您可以將 PAT 或靜態 NAT 與 NAT 結合使用。