Рубрики
Cisco

cisco ASA — Adaptive Security Appliance

cisco ASA - устройства безопасности (ASA 5500-X, ASA 5585-X)
--------------------------------------------
поддерживается в:
Динамической маршрутизации (RIP, OSPF, EIGRP);
NAT;
Фильтрация трафика (Access List);
VPN (Site-to-Site, RA VPN).
--------------------------------------------
Пароль по умолчанию пустой.
Шифрование паролей включено по умолчанию
Да и сам ASA уже немного настроен 
Включен dhcp-client на интерфейсе
Включен dhcp-server для пользователей
Назначены VLAN-ы, inside, outside
Особенность в режиме конфигурирования можно использовать команды из привилегированного режима 
--------------------------------------------
security-level 0 - 100
Чем выше значение тем больше доверия
Обычно 100 ставят на локальные интерфейсы, а 0 ставят на внешний интерфейс (интернет)
Настраивается на интерфейсе
--------------------------------------------
ebable - входим в привилегированный режим (пароль пустой)
show version - смотрим информацию об оборудование
show running config - показать конфигурацию
configure terminal - входим в режим глобальной настройки

enable password 123456 - задали пароль на enable
ssh 192.168.1.0 255.255.255.0 inside - включили ssh для сети 192.168.1.0/24

aaa authentication ssh console LOCAL - включили использование локального хранилища паролей

interface vlan 2 -  - открыли настройку vlan 2
ip address 210.210.0.2 255.255.255.252 - добавили ip 210.210.0.2/30
exit - вышли из настройки interface vlan 2 

route outside 0.0.0.0 0.0.0.0 210.210.0.1 - создали маршрут по умолчанию для ASA

class-map inspection_default - создаем class-map (тип трафика)
match default-inspection-traffic  - определяем тип трафика 
exit - вышли из создания class-map inspection_default 

policy-map global_policy - создаем global_policy (определяем действие)
class inspection_default - определяем действие
inspect icmp - инспектируем  протокол icmp ( ping и т.д.)
exit - вышли из создания policy-map global_policy

service-policy global_policy global - применили политику global_policy к инспектированию глобально

end - вышли из глобального конфигурирования
write mem - сохранили настройки
--------------------------------------------
Добавим еще разрешение на  http
ebable - входим в привилегированный режим 
show running config - показать конфигурацию (смотрим правила) 
configure terminal - входим в режим глобальной настройки

policy-map global_policy - создаем global_policy (определяем действие)
class inspection_default - определяем действие
inspect http
end - вышли из policy-map global_policy и глобального конфигурирования
write mem - сохранили настройки
--------------------------------------------
ASA NAT
ebable - входим в привилегированный режим 
show nat - показать работу nat
show xlate - показать работу nat
configure terminal - входим в режим глобальной настройки
object network FOR-NAT - создаем объект FOR-NAT
nat (inside,outside) dynamic interface
end - вышли глобального конфигурирования
write mem - сохранили настройки
--------------------------------------------