정보공유

CISCO ASA5505-BUN-K9 방화벽 설정

CheekyKite 2013. 6. 11.

CISCO ASA5505-BUN-K9 방화벽 설정

 - 목차 -

사전 용어설명

외관, 명칭

시리얼 터미널을 통한 접속방법 (초기화 및 관리)

터미널을 통한 초기화

초기설정

4-1 설정 값 정의 (테스트를 위한 임의 구성)

4-2. 초기화 후 최초설정

4-3. 현재 구성 확인 및 현재구성 저장, 전체 및 일부 초기화

4-4.라우팅 모드 지정

4-5. 장비 관리 암호 설정

4-6. 날짜 시간 설정

4-7. VLAN 인터페이스 설정

4-8. 암호 및 사용자(관리자) 설정 (ssh 로그인시 사용)

4-9. ssh 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 D class 전체)

4-10. 네트워크 연결상태 모니터링을 위해 ICMP 허용

4-11. Static Routes - 외부 접속시 사용할 게이트웨이 주소 설정 (내부망 D class 전체)

4-12.내부 네트워크가 인터넷에 연결될 수 있도록 동적 NAT 구성

4-13. DHCP 활성화 (최대 32개가능? , 10~41까지 dhcp 대역으로 설정)

4-14. 설정 사항 저장 (저장하지 않으면 장비 재부팅시 설정내용이 손실됨)

원격 관리

5-1 ssh를 통한 관리

5-2. ssh 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 전체)

5-3. ssh 클라이언트

5-4. ASDM을 통한 관리

5-5. ASDM 접속 활성화

5-5. ASDM 웹브라우저로 접속

5-6. telnet 을 통한 관리

5-7. telnet 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 전체)

5-8. 윈도우 7 용 텔넷 클라이언트

PAT (Port Redirection) 구성

현재구성 확인 명령

기타

연락처

10 참조문서 링크 모음


  1. 외관, 명칭

  • 제품 이미지

        

  • 구성품

  • 포트별 명칭

  1. 시리얼 터미널을 통한 접속방법 (초기화 및 관리)

  • 번들로 제공된 파란색 콘솔케이블 연결 (컴퓨터에 시리얼 포트 필요)
  • 시리얼 포트가 없는 경우 usb to 시리얼 젠더 사용

        

(XP용 터미널 프로그램을 윈도우 7에서 사용가능)

- 하이퍼 터미널 실행후 환경설정 - 비트/초 9600, 흐름제어 없음

        

        

  • 리눅스 (우분투) 에서 시리얼 접속

        - putty 사용  http://www.ubuntu.or.kr/viewtopic.php?p=51089

        - minicom 사용  http://blog.naver.com/PostView.nhn?blogId=moonysl&logNo=140155300494

                

  • 접속후 반응이 없으면 (화면에 아무것도 출력되지 않으면) 엔터 입력

연결이 원활하지 않으면 장비 재부팅 (전원 OFF -> ON) / 재부팅에 약 1분 소요

  • 장비 재부팅후 정상적으로 접속이 완료된 화면

        

        

  • 터미널 접속후 명령어 입력상태로 들어가기
  • Type help or '?' for a list of available commands.
  • >enable    //  또는 en
  • Password:     //  초기 암호 없음, enter
  • # config terminal    //  또는 #conf t

-> 이후 프롬프트가 # 에서 -> (config)# 으로 변경 됩니다.

  1. 터미널을 통한 초기화

  • 초기화 명령어 (모든 설정이 초기화 됩니다.)
  • # write erase
  • # reload

                        

  1. 초기설정

  • 4-1 설정 값 정의 (테스트를 위한 임의 구성)

        - 내부망 (inside)  ip : 10.10.10.x (게이트웨이 10.10.10.1)  255.255.255.0

        - 외부망 (outside) ip : 192.168.0.200 / 255.255.255.0

        - 관리 암호 : dasandata

        - 관리사용자명 : dasan / 암호 : 028719932

  • 4-2. 초기화 후 최초설정

        3번 항목의 명령어를 통해 초기화된 후 시리얼 터미널을 통해 접속한 화면

Pre-configure (사전 설정) 을 하는 경우 설정된 ip 주소로 접속하여 설정을 시작할 수 있지만

사전 설정 없이, 새로 구성하는 것이 좋습니다..

(n 입력후 enter  또는  ctrl+z 로 눌러 건너뛸수 있음)

  • Pre-configure Firewall now through interactive prompts [yes]? //enter
  • Firewall Mode [Routed]: //enter    // Routed 모드로 지정
  • Enable password [<use current password>]: // 암호를 지정하지 않을 경우 아무것도 입력하지 말고 enter
  • Allow password recovery [yes]?
  • Clock (UTC):                          // 날짜, 시간설정
  •   Year [2013]:
  •   Month [Jun]:
  •   Day [4]:
  •   Time [10:42:55]: 19:50:00
  • Inside IP address: 10.10.10.1      // 내부 ip 주소 설정
  • Inside network mask: 255.255.255.0
  • Host name:
  • Domain name:
  • Use this configuration and write to flash? //yes

  • 4-3. 현재 구성 확인 및 현재구성 저장, 전체 및 일부 초기화

  • # show configuration 또는 #show startup-config   // 저장된 (처음 실행된) 구성 표시
  • # show running-config  // 현재 실행되고 있는 구성 표시
  • # show running-config host // 현재 실행되고 있는 일부 설정값 표시

  • # write // 현재 구성 저장  

  • # clear configure all        // 저장되지 않은 구성 전체 초기화
  • # clear configure host         // 일부 설정만 초기화
  • # copy startup-config running-config  // 저장된 (초기 부팅시 사용된) 구성으로 복원

  • 예을 들어 저장하지 않고 (write) clear configure all을 실행하면 전체 값이 초기화되고

저장하지 않고 재부팅 하는 경우 설정된 구성이 모두 이전에 저장되었던 상태로 복원됨.

ciscoasa(config)# hostname dasan  // host name을 dasan으로 변경

dasan(config)# show configuration  // 또는 # show startup-config  

프롬프트는 dasan으로 변경되었으나 저장된 정보는 cisco임

: Saved

: Written by enable_15 at 12:42:09.669 UTC Mon Jun 10 2013

!

ASA Version 8.2(5)

!

hostname ciscoasa

dasan(config)# write               // 메모리에 쓰기 작업 실행

Building configuration...

Cryptochecksum: 79a78ed6 ff7428b1 f4920cf0 bf91fb9e

2038 bytes copied in 1.700 secs (2038 bytes/sec)

[OK]

dasan(config)# show configuration  // 실제 저장된 정보 변경되었는지 확인

: Saved

: Written by enable_15 at 12:46:37.779 UTC Mon Jun 10 2013

!

ASA Version 8.2(5)

!

hostname dasan

dasan(config)# clear configure all  // 모든 구성 초기화

ciscoasa(config)# show configuration  // 또는 # show startup-config  

프롬프트는 초기화 되었지만, 저장된 정보는 dasan으로 표기됨

: Saved

: Written by enable_15 at 12:46:37.779 UTC Mon Jun 10 2013

!

ASA Version 8.2(5)

!

hostname dasan

ciscoasa(config)# reload    // 검증을 위해 재부팅

System config has been modified. Save? [Y]es/[N]o: //  변경된 정보 저장하지 않음 -> n입력후 enter

Proceed with reload? [confirm]

dasan> en

Password:

dasan# config t

dasan(config)#    // 저장하지 않은 경우 재부팅 후에도 기존에 저장된 설정(host -> dasan)이 복원됩니다.

  • 4-4.라우팅 모드 지정

http://blog.naver.com/PostView.nhn?blogId=bestrouting&logNo=50094136714

  • # show firewall            // 현재 모드 확인
  • # no firewall transparent   // Router 모드로 설정 (기본값)

  • 4-5. 장비 관리 암호 설정

  • # enable password dasandata   // dasandata 로 지정
  • # enable password dasandata8719932 encrypted  // encrypted 옵션을 추가하면 길이 ,형식 제약 
  • # enable password         // 공백으로 비우면 암호 해제

  • 4-6. 날짜 시간 설정

clock zone date {day month | month day} year hh:mm {day month | month day} year hh:mm [offset]

  • # clock timezone KST 9    // 타임존 설정
  • # clock set 23:22:00 10 jun 2013        //  2013년 6월 10일 23시 22분 으로 설정
  • # ntp server 141.223.182.106  // NTP 설정  http://time.ewha.or.kr/domestic.html

  • 4-7. VLAN 인터페이스 설정

  • # interface vlan2             // vlan2 인터페이스 설정             
  • # security-level 0            // 보안레벨 설정                  
  • # nameif outside           // 인터페이스 이름 정의               
  • # ip address 192.168.0.200 255.255.255.0   // 인터페이스 ip 설정
  • # interface ethernet 0/0         // ethernet  0번포트를                           
  • # switchport access vlan 2    // vlan2 에 할당                             
  • # no shutdown                            
  •                      
  • # interface vlan1            // vlan1 인터페이스 설정                       
  • # security-level 100        // 보안레벨 설정                             
  • # nameif inside             // 인터페이스 이름 정의                
  • # ip address 10.10.10.1 255.255.255.0      // 인터페이스 ip 설정                                                
  •                              
  • # interface ethernet 0/1          // ethernet  1번포트를                             
  • # switchport access vlan 1      // vlan1 에 할당                                
  • # no shutdown
  • # interface ethernet 0/2            // 2번포트를                        
  • # switchport access vlan 1        // vlan1 에 할당                           
  • # no shutdown
  • # interface ethernet 0/3                            
  • # switchport access vlan 1                                
  • # no shutdown
  • # interface ethernet 0/4                                    
  • # switchport access vlan 1                                
  • # no shutdown
  • # interface ethernet 0/5                                    
  • # switchport access vlan 1                                
  • # no shutdown
  • # interface ethernet 0/6                                    
  • # switchport access vlan 1                                
  • # no shutdown
  • # interface ethernet 0/7                                    
  • # switchport access vlan 1                                
  • # no shutdown                        // ethernet 7번포트 까지 vlan1에 할당

  • 4-8. 암호 및 사용자(관리자) 설정 (ssh 로그인시 사용)

  • # username user_here password password_here  encrypted privilege 15

// encrypted privilege 15 보안강화옵션

  • 4-9. ssh 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 D class 전체)

  • # aaa authentication ssh console LOCAL  // 로컬사용자가 ssh 로그인 가능하도록 허용
  • # ssh 10.10.10.0 255.255.255.0 inside
  • # ssh timeout [분 1~60]   // 입력이 없을때 접속 자동으로 끊어지는 시간 설정


*4-9. 이후 부터는 ssh를 통해 원격지에서 로그인하여 설정 가능

  • 4-10. 네트워크 연결상태 모니터링을 위해 ICMP 허용

  • # object-group icmp-type DefaultICMP
  • # description Default ICMP Types permitted
  • # icmp-object echo-reply
  • # icmp-object unreachable
  • # icmp-object time-exceeded
  • access-list acl_outside extended permit icmp any any object-group DefaultICMP
  • # access-group acl_outside in interface outside

  • 4-11. Static Routes - 외부 접속시 사용할 게이트웨이 주소 설정 (내부망 D class 전체)

ex) route if_name dest_ip mask gateway_ip [distance]

  • # route outside 0 0 192.168.0.1

  • 4-12.내부 네트워크가 인터넷에 연결될 수 있도록 동적 NAT 구성

Inside Interface의10.10.10.x Network이 외부네트워크(Outside)로갈때,

outside interface 를 사용한다. (IP Address 192.168.0.200)

  • # global (outside) 1 interface
  • # nat (inside) 1 10.10.10.0 255.255.255.0

  • 4-13. DHCP 활성화 (최대 32개가능? , 10~41까지 dhcp 대역으로 설정)

  • # dhcpd address 10.10.10.19-10.10.10.41  inside
  • # dhcpd dns 8.8.8.8 8.8.4.4             // google 1,2차 DNS 입니다.
  • # dhcpd enable inside

  • 4-14. 설정 사항 저장 (저장하지 않으면 장비 재부팅시 설정내용이 손실됨)

  • #write memory 또는 #write,  #wr

  1. 원격 관리

  • 5-1 ssh를 통한 관리

  • 원격지에서 ssh 클라이언트를 통한 방화벽 관리
  • 5-2. ssh 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 전체)

  • # aaa authentication ssh console LOCAL  // 로컬사용자가 ssh 로그인 가능하도록 허용
  • # ssh 10.10.10.0 255.255.255.0 inside
  • # ssh timeout [분 1~60]   // 입력이 없을때 접속 자동으로 끊어지는 시간 설정
  • 5-3. ssh 클라이언트

  • 5-4. ASDM을 통한 관리

  • 웹브라우저를 통해 방화벽 관리 (익스플로러)
  • 5-5. ASDM 접속 활성화

  • # dir (ASDM 파일명 확인, asdm-645.bin 와 비슷한 형식)
  • # http server enable                                   // web 서버 활성화
  • # http 10.10.10.0 255.255.255.0 inside                 // 접속 가능한 ip대역 지정 (내부망 전체)
  • # asdm image disk0:/asdm-645.bin <- dir로 확인한 ASDM 이미지 파일명 입력 // asdm 이미지 연결
  • 5-5. ASDM 웹브라우저로 접속

  • https://10.10.10.1      // https://로 접속 해야 함

  • 5-6. telnet 을 통한 관리

  • 원격지에서 방화벽 관리를 용이하게 하기 위해 (윈도우)
  • 5-7. telnet 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 전체)

  • # telnet 0.0.0.0 0.0.0.0 inside  
  • 5-8. 윈도우 7 용 텔넷 클라이언트

  1. PAT (Port Redirection) 구성

  • 외부 인터페이스 (192.168.0.200) ftp 로 접근하면 10.10.10.19 의 ftp로 연결
  • # static (inside,outside) tcp interface ftp 10.10.10.19 ftp netmask 255.255.255.255
  • # access-list acl_outside permit tcp any interface outside eq ftp
  • # access-group acl_outside in interface outside

  • # show access-list
  • access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
  • alert-interval 300
  • # access-list acl_outside permit tcp any interface outside eq $
  • # show access-list
  • access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
  • alert-interval 300
  • access-list acl_outside; 1 elements; name hash: 0xdcd74233
  • access-list acl_outside line 1 extended permit tcp any interface outside eq ftp (hitcnt=0) 0x62470edd
  • #

  1. 현재구성 확인 명령

  • VLAN 정보 확인
  • #show vlan

  • Dynamic NAT 환경설정 확인
  • #nat show dynamic

  • PAT 설정확인
  • #nat show pat

  • 설정 지우기 (no 를 앞에 붙입니다.)
  • #no <지워야할 설정 명령어>

ex) #no http server enable

  • 사용자 삭제
  • # no username name_user_to_delete(삭제할 사용자명)

  • vlan mac address 확인
  • # show interface vlan 1
  • Interface Vlan1 "inside", is up, line protocol is up
  •   Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec
  •         MAC address  xxxx.xxxx.xxxx, MTU 1500
  •         IP address 10.10.10.1, subnet mask 255.255.255.0
  •   Traffic Statistics for "inside":
  •         225262 packets input, 17941107 bytes
  •         81819 packets output, 52581621 bytes
  •         142335 packets dropped
  •       1 minute input rate 2 pkts/sec,  166 bytes/sec
  •       1 minute output rate 1 pkts/sec,  87 bytes/sec
  •       1 minute drop rate, 0 pkts/sec
  •       5 minute input rate 2 pkts/sec,  291 bytes/sec
  •       5 minute output rate 1 pkts/sec,  195 bytes/sec
  •       5 minute drop rate, 0 pkts/sec
  • #
  • # show interface vlan 2
  • Interface Vlan2 "outside", is up, line protocol is up
  •   Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec
  •         MAC address xxxx.xxxx.xxxx, MTU 1500
  •         IP address 192.168.0.200, subnet mask 255.255.255.0
  •   Traffic Statistics for "outside":
  •         145142 packets input, 58033410 bytes
  •         111845 packets output, 26528585 bytes
  •         28460 packets dropped
  •       1 minute input rate 2 pkts/sec,  284 bytes/sec
  •       1 minute output rate 1 pkts/sec,  121 bytes/sec
  •       1 minute drop rate, 1 pkts/sec
  •       5 minute input rate 3 pkts/sec,  301 bytes/sec
  •       5 minute output rate 1 pkts/sec,  188 bytes/sec
  •       5 minute drop rate, 0 pkts/sec
  • #

  • ethernet interface mac address 확인
  • # show interface ethernet 0/0
  • Interface Ethernet0/0 "", is up, line protocol is up
  •   Hardware is 88E6095, BW 100 Mbps, DLY 100 usec
  •         Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
  •         Input flow control is unsupported, output flow control is unsupported
  •         Available but not configured via nameif
  •         MAC address xxxx.xxxx.xxxx, MTU not set
  •         IP address unassigned
  •         200088 packets input, 68454189 bytes, 0 no buffer
  •         Received 54808 broadcasts, 0 runts, 0 giants
  •         0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
  •         0 pause input, 0 resume input
  •         0 L2 decode drops
  •         53354 switch ingress policy drops
  •         112614 packets output, 28847792 bytes, 0 underruns
  •         0 pause output, 0 resume output
  •         0 output errors, 0 collisions, 0 interface resets
  •         0 late collisions, 0 deferred
  •         0 rate limit drops
  •         0 switch egress policy drops
  •         0 input reset drops, 0 output reset drops
  • #
  1. 기타

  • 싱글, 멀티 모드 (Context)

http://blog.naver.com/PostView.nhn?blogId=bestrouting&logNo=50094141407&parentCategoryNo=&categoryNo=&viewDate=&isShowPopularPosts=false&from=postView

*ASA 5510 모델 부터 지원 됩니다.

  1. 연락처

  1. 참조문서 링크 모음

Cisco Security Appliance Command Line Configuration Guide

http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/conf_gd.html

Cisco ASA 5500 Configuration Guide Document  https://www.google.co.kr/search?q=Cisco+ASA+5500+Configuration+Guide+Document&num=50&newwindow=1&safe=off&nfpr=1&source=lnt&tbs=lr:lang_1ko&lr=lang_ko&sa=X&ei=1i2tUZrLDKqciAeFr4HACg&ved=0CBgQpwUoAQ&biw=1381&bih=1008

[네트워크,네트워크공부,네트워크자격증,,CCNA,CCNP] ASA/PIX 연습

http://blog.daum.net/hackerblog/4856634

Howto: configure a Cisco ASA 5505

http://atc.go0se.com/?p=747

댓글