|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 |
cisco ASA - устройства безопасности (ASA 5500-X, ASA 5585-X) -------------------------------------------- поддерживается в: Динамической маршрутизации (RIP, OSPF, EIGRP); NAT; Фильтрация трафика (Access List); VPN (Site-to-Site, RA VPN). -------------------------------------------- Пароль по умолчанию пустой. Шифрование паролей включено по умолчанию Да и сам ASA уже немного настроен Включен dhcp-client на интерфейсе Включен dhcp-server для пользователей Назначены VLAN-ы, inside, outside Особенность в режиме конфигурирования можно использовать команды из привилегированного режима -------------------------------------------- security-level 0 - 100 Чем выше значение тем больше доверия Обычно 100 ставят на локальные интерфейсы, а 0 ставят на внешний интерфейс (интернет) Настраивается на интерфейсе -------------------------------------------- ebable - входим в привилегированный режим (пароль пустой) show version - смотрим информацию об оборудование show running config - показать конфигурацию configure terminal - входим в режим глобальной настройки enable password 123456 - задали пароль на enable ssh 192.168.1.0 255.255.255.0 inside - включили ssh для сети 192.168.1.0/24 aaa authentication ssh console LOCAL - включили использование локального хранилища паролей interface vlan 2 - - открыли настройку vlan 2 ip address 210.210.0.2 255.255.255.252 - добавили ip 210.210.0.2/30 exit - вышли из настройки interface vlan 2 route outside 0.0.0.0 0.0.0.0 210.210.0.1 - создали маршрут по умолчанию для ASA class-map inspection_default - создаем class-map (тип трафика) match default-inspection-traffic - определяем тип трафика exit - вышли из создания class-map inspection_default policy-map global_policy - создаем global_policy (определяем действие) class inspection_default - определяем действие inspect icmp - инспектируем протокол icmp ( ping и т.д.) exit - вышли из создания policy-map global_policy service-policy global_policy global - применили политику global_policy к инспектированию глобально end - вышли из глобального конфигурирования write mem - сохранили настройки -------------------------------------------- Добавим еще разрешение на http ebable - входим в привилегированный режим show running config - показать конфигурацию (смотрим правила) configure terminal - входим в режим глобальной настройки policy-map global_policy - создаем global_policy (определяем действие) class inspection_default - определяем действие inspect http end - вышли из policy-map global_policy и глобального конфигурирования write mem - сохранили настройки -------------------------------------------- ASA NAT ebable - входим в привилегированный режим show nat - показать работу nat show xlate - показать работу nat configure terminal - входим в режим глобальной настройки object network FOR-NAT - создаем объект FOR-NAT nat (inside,outside) dynamic interface end - вышли глобального конфигурирования write mem - сохранили настройки -------------------------------------------- |