img

Еще один пример настройки Cisco ASA

Многие люди, работающие в сферах, где утечка информации может нанести существенный ущерб компании или её репутации, беспокоились о безопасности хранения данных на компьютерах, различных носителях. Вскоре эта проблема была решена с появлением различных антивирусов, шифрований, пресекавших несанкционированный доступ к данным. Но как быть, если необходимо хранить данные в какой-то сети, скажем, из 5 компьютеров, но при этом, чтобы они имели выход в интернет? Для решения такой задачи были созданы межсетевые экраны.

Одним из фаворитов, среди производителей сетевого оборудования является компания cisco. Название пишется с маленькой буквы, так как при оформлении уже существовала компания CISCO, а владельцам не осталось ничего иного, как cisco. Интересно, что такое название компания получила от сокращенного названия города Сан-Франциско, в котором была образована. На логотипе изображена достопримечательность города – мост «Золотые ворота», которые некоторые люди ошибочно принимают за модулированный сигнал. Компания регулярно радует «сетевиков» своими новинками, что и сделало cisco популярными повсеместно.

Перейдем непосредственно к решению задачи по обеспечению безопасного хранения данных в локальной сети.

Сетевой экран позволяет блокировать нежелательный трафик из сети Интернет, посредством фильтрации проходящей через них информации. Условно экран (Firewall) может находиться на любом из уровней модели OSI (взаимодействия открытых систем), за исключением физического. Как и любое сетевое устройство, которое вводится в эксплуатацию, Firewall должен разграничить доступ к настройке фильтрации. Рассмотрим на примере 2 ПК, cisco ASA 5505 по пунктам:

Подключение консольного кабеля Cisco ASA
  1. Подключаем кабель через консольный порт (console), который отмечен голубым цветом вокруг. Второй конец подключаем к ПК, с которого будет производиться настройка.
  2. Есть 3 режима работы, многие ошибочно считают, что их всего 2.
    1. Общий
    2. Пользовательский
    3. Привилегированный
  3. Для настройки ASA 5005 нам необходим привилегированный режим. Чтобы перейти в него, нужно пройти предыдущие два. Вначале мы оказываемся в общем режиме. Чтобы перейти в пользовательский, вводим команду en или enable (разницы нет, это всего лишь сокращение).
    ciscoasa>
    ciscoasa> enable
    ciscoasa#
    
    Система известила нас о том, что произошел переход с пользовательский режим ответом ciscoasa#. #(решетка) означает тот самый пользовательский режим. Далее переходим в привилегированный режим командой conf t или configure terminal.
    ciscoasa# configure terminal
    ciscoasa(config)#
    
    С помощью ответа в виде ciscoasa(config)# firewall уведомил о переходе в максимально возможный режим с доступов ко всем настройкам.
  4. Чтобы ограничить доступ посторонних лиц к настройке, рекомендуется устанавливать пароль командой enable password XXX, где XXX – ваш пароль.
    ciscoasa(config)# enable password XXX
    
  5. Настроим интерфейсы cisco. Для этого в привилегированном режиме вводим следующие команды:
    • Interface GigabitEthernet 0/0 (входим в настройку интерфейса 0/0). Далее, при новой настройке указывается Interface GigabitEthernet 0/1 и т.д.
    • nameif XXX (XXX – имя интерфейса)
    • security-level 0 (если на этот порт будет поступать информация из Интернета) или security-level 100 (если информация будет находиться в локальной сети)
    • ip address 192.168.1.10 255.255.255.0 (присваиваем IP-адрес интерфейсу)
    • no shutdown (открываем порт для прохождения информации через него)
  6. Настроим статическую маршрутизацию командой:
    ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 83.230.23.69
    
    Главное – последний IP. Задается IP провайдера.
  7. Настроим доступ по HTTP:
    ciscoasa(config)# http server enable
    ciscoasa(config)# http 192.168.1.10 255.255.255. 0 inside
    ciscoasa(config)# aaa authentication http console LOCAL
    
    Включили HTTPS-сервер, присвоили его к нашему интерфейсу, назначили его работу через локальную сеть.
  8. Настроим доступ по SSH:
    hostname XXX
    domain-name yyy.ru
    crypto key generate rsa modulus 2048
    ssh 192.168.1.10 255.255.255.0 inside
    aaa authentication ssh console LOCAL
    
  9. Для того, чтобы можно было проверить соединение с помощью командой ping в командной строке, необходимо выключить ICMP протокол:
    fixup protocol icmo
    
  10. Если необходимо, чтобы все устройства локальной сети имели общий адрес в сети Интернет, вводим следующую команду:
    nat (inside,outside) after-auto source dynamic any interface
    

Таким образом на данном межсетевом экране можно настроить и остальные 4 ПК, которые нам необходимо было настроить.

Ссылка
скопирована
Получите бесплатные уроки на наших курсах
Все курсы
Сети
Скидка 25%
Основы сетевых технологий
Стань сетевиком с нуля за 2 месяца. Веселая и дружелюбная подача информации с эмуляцией реальных задач.
Получи бесплатный
вводный урок!
Пожалуйста, укажите корректный e-mail
отправили вводный урок на твой e-mail!
Получи все материалы в telegram и ускорь обучение!
img
Еще по теме:
img
В начале 2000-х, когда идея мессенджеров только формировалась, расширяемый протокол обмена сообщениями и информацией о присутств
img
Задержка в сети, или сетевая задержка, - это временная задержка при передаче запросов или данных от источника к адресату в сетев
img
Система доменных имен (DNS – Domain Name System) обеспечивает сетевую коммуникацию. DNS может показаться какой-то невидимой сило
img
Wi-Fi это технология, которая использует радиоволны для отправки и получения сигналов от находящихся поблизости устройств, чтобы
img
BGP (Border Gateway Protocol) - это протокол граничного шлюза, предназначенный для обмена информацией о маршрутизации и доступно
img
Когда читаете данную статью, браузер подключается к провайдеру (или ISP) а пакеты, отправленные с компьютера, находят путь до се
ЗИМНИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59