Ќас знает голосовой помощник јлисајлиса это умеет

ћерион Ќетворкс

4 минуты чтени€

ћногие люди, работающие в сферах, где утечка информации может нанести существенный ущерб компании или еЄ репутации, беспокоились о безопасности хранени€ данных на компьютерах, различных носител€х. ¬скоре эта проблема была решена с по€влением различных антивирусов, шифрований, пресекавших несанкционированный доступ к данным. Ќо как быть, если необходимо хранить данные в какой-то сети, скажем, из 5 компьютеров, но при этом, чтобы они имели выход в интернет? ƒл€ решени€ такой задачи были созданы межсетевые экраны.

ќдним из фаворитов, среди производителей сетевого оборудовани€ €вл€етс€ компани€ cisco. Ќазвание пишетс€ с маленькой буквы, так как при оформлении уже существовала компани€ CISCO, а владельцам не осталось ничего иного, как cisco. »нтересно, что такое название компани€ получила от сокращенного названи€ города —ан-‘ранциско, в котором была образована. Ќа логотипе изображена достопримечательность города Ц мост Ђ«олотые воротаї, которые некоторые люди ошибочно принимают за модулированный сигнал.  омпани€ регул€рно радует Ђсетевиковї своими новинками, что и сделало cisco попул€рными повсеместно.

ѕерейдем непосредственно к решению задачи по обеспечению безопасного хранени€ данных в локальной сети.

—етевой экран позвол€ет блокировать нежелательный трафик из сети »нтернет, посредством фильтрации проход€щей через них информации. ”словно экран (Firewall) может находитьс€ на любом из уровней модели OSI (взаимодействи€ открытых систем), за исключением физического.  ак и любое сетевое устройство, которое вводитс€ в эксплуатацию, Firewall должен разграничить доступ к настройке фильтрации. –ассмотрим на примере 2 ѕ , cisco ASA 5505 по пунктам:

ѕодключение консольного кабел€ Cisco ASA
  1. ѕодключаем кабель через консольный порт (console), который отмечен голубым цветом вокруг. ¬торой конец подключаем к ѕ , с которого будет производитьс€ настройка.
  2. ≈сть 3 режима работы, многие ошибочно считают, что их всего 2.
    1. ќбщий
    2. ѕользовательский
    3. ѕривилегированный
  3. ƒл€ настройки ASA 5005 нам необходим привилегированный режим. „тобы перейти в него, нужно пройти предыдущие два. ¬начале мы оказываемс€ в общем режиме. „тобы перейти в пользовательский, вводим команду en или enable (разницы нет, это всего лишь сокращение).
    ciscoasa>
    ciscoasa> enable
    ciscoasa#
    
    —истема известила нас о том, что произошел переход с пользовательский режим ответом ciscoasa#. #(решетка) означает тот самый пользовательский режим. ƒалее переходим в привилегированный режим командой conf t или configure terminal.
    ciscoasa# configure terminal
    ciscoasa(config)#
    
    — помощью ответа в виде ciscoasa(config)# firewall уведомил о переходе в максимально возможный режим с доступов ко всем настройкам.
  4. „тобы ограничить доступ посторонних лиц к настройке, рекомендуетс€ устанавливать пароль командой enable password XXX, где XXX Ц ваш пароль.
    ciscoasa(config)# enable password XXX
    
  5. Ќастроим интерфейсы cisco. ƒл€ этого в привилегированном режиме вводим следующие команды:
    • Interface GigabitEthernet 0/0 (входим в настройку интерфейса 0/0). ƒалее, при новой настройке указываетс€ Interface GigabitEthernet 0/1 и т.д.
    • nameif XXX (XXX Ц им€ интерфейса)
    • security-level 0 (если на этот порт будет поступать информаци€ из »нтернета) или security-level 100 (если информаци€ будет находитьс€ в локальной сети)
    • ip address 192.168.1.10 255.255.255.0 (присваиваем IP-адрес интерфейсу)
    • no shutdown (открываем порт дл€ прохождени€ информации через него)
  6. Ќастроим статическую маршрутизацию командой:
    ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 83.230.23.69
    
    √лавное Ц последний IP. «адаетс€ IP провайдера.
  7. Ќастроим доступ по HTTP:
    ciscoasa(config)# http server enable
    ciscoasa(config)# http 192.168.1.10 255.255.255. 0 inside
    ciscoasa(config)# aaa authentication http console LOCAL
    
    ¬ключили HTTPS-сервер, присвоили его к нашему интерфейсу, назначили его работу через локальную сеть.
  8. Ќастроим доступ по SSH:
    hostname XXX
    domain-name yyy.ru
    crypto key generate rsa modulus 2048
    ssh 192.168.1.10 255.255.255.0 inside
    aaa authentication ssh console LOCAL
    
  9. ƒл€ того, чтобы можно было проверить соединение с помощью командой ping в командной строке, необходимо выключить ICMP протокол:
    fixup protocol icmo
    
  10. ≈сли необходимо, чтобы все устройства локальной сети имели общий адрес в сети »нтернет, вводим следующую команду:
    nat (inside,outside) after-auto source dynamic any interface
    

“аким образом на данном межсетевом экране можно настроить и остальные 4 ѕ , которые нам необходимо было настроить.


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: