Cisco Korea 김용호(yonghkim@cisco.com) Cisco ASA 5500 Configuration Guide - 기본 및 Firewall 기능 설정 (ASA 8.0(2), ASDM 6.0(2) 기준 (version 1.0) Cisco Korea 김용호(yonghkim@cisco.com)
목 차 기본 환경 설정 ASDM 접속하기 ASDM 마법사 기능 활용하기 “Firewall” 기본 Interface 설정하기 NAT/PAT 구성하기 방화벽 정책 설정하기 디바이스 관리
기본 환경 설정
CLI 기반의 초기 설정 모드 Pre-configure Firewall now through interactive prompts [yes]? Firewall Mode [Routed]: Routed Mode(Layer 3) 또는 Bridge(Transparent-Layer2) Mode 지정 Enable password [<use current password>]: cisco 패스워드 구성 Allow password recovery [yes]? 패스워드 복구 기능을 활성화 시킬 것인지 정의 Clock (UTC): Year [2005]: Month [Nov]: Day [2]: Time [01:14:54]: 17:48:00 System Clock 정의 Inside IP address: 192.168.1.1 Inside network mask: 255.255.255.0 Host name: ASA Inside IP Address 정의 및 Host 이름 정의 Use this configuration and write to flash? Yes Setup 모드에서 구성한 Config 저장 여부 초기 설치 시에는 Setup 모드 지정 후 Inside (Gigabit0/1) 를 통해 ASDM으로 바로 접속 가능
Management Interface 설정 Interface 이름 - Management0/0 용도 – Out Of Band 관리용, Failover Interface 통신용 Interface Interface 이름 – GigabitEthernet0/0 ~3 용도 – 내,외부,서버팜 구성, Failover 등 구성 가능 Console, Aux 용 Interface 용도 – console 접속 및 Aux를 통한 접속용 Management 용 Interface 설정하기 Interface Management0/0 no shutdown description Interface for Management nameif Mgmt-Interface management-only Management 용으로만 사용 할 경우 설정 ip address 1.1.1.1 255.255.255.0 Mgmt 용 IP Address 정의
Inside or Outside Interface 설정 외부 접속용 Interface(Outside) 정의 Interface GigabitEthernet0/0 no shutdown nameif outside Internet 접속용 Interface 정의 security-level 0 외부에서 들어오는 Interface 이므로 보안 등급이 가장 낮게 정의 “0” ip address 10.10.10.1 255.255.255.0 외부 접속용 IP Address 정의 내부 접속용 Interface(Inside) 정의 interface GigabitEthernet0/1 nameif inside 내부 Network을 위한 interface 정의 security-level 100 내부 Network 이므로 가장 높은 보안 등급 정의 “100” ip address 192.168.1.1 255.255.255.0 interface GigabitEthernet0/2 description interface for LAN nameif inside-2 내부 Network 가운데 다른 네트워크 추가 정의 가능 (보안 등급 0~100) ip address 20.20.20.1 255.255.255.0
ASA Firmware 및 ASDM Loading ASA Firmware Upload 하기 ASA# copy ftp://anonymous@192.168.1.10/asa802-k8.bin disk0: 기본적으로 장비에 이미 내장되어 있음 ASA 운영을 위한 ASDM Upload 하기 ASA# copy ftp://anonymous@192.168.1.10/asdm-602.bin disk0: 다중 Firmware 구성시 Boot 환경 설정 ASA(config)# boot system disk0:asa802-k8.bin ASA# sh bootvar Current BOOT variable = disk0:/asa802-k8.bin Disk0: 의 정보 확인 ASA# dir Directory of disk0:/ 2706 -rw- 1589 00:06:14 Oct 10 2005 old_running.cfg 2707 -rw- 1009 00:06:14 Oct 10 2005 admin.cfg 2709 -rw- 1318 15:17:08 Jul 25 2005 c-a.cfg 2711 -rw- 2167 00:30:14 Oct 16 2005 logo.gif 2712 -rw- 5437440 19:07:04 Nov 02 2005 asa802-k8.bin 4040 -rw- 5958324 19:08:22 Nov 02 2005 asdm-602.bin
ASDM/ Telnet 접속을 위한 기본 설정 ASA(config)# http server enable Web Service Enable ASA(config)# http 192.168.0.0 255.255.0.0 inside 웹 서비스를 접속 할 수 있는 Network 정의 ASA(config)# asdm image disk0:/asdm-602.bin ASDM image가 있는 디스크 URL 정의 Telnet 접속을 위한 기본 구성 ASA(config)# telnet 0.0.0.0 0.0.0.0 inside Telnet 이 가능한 Network 정의 Inside Network 접속 유무 Check 를 위한 ICMP 허용 ASA(config)# icmp permit any inside Inside Interface Ping Test 허용
ASDM 접속하기
https를 통한 접속 1 https://ipaddress 를 통한 접속 2 SSL 보안 인증서 인증 단계 Yes 선택 3 설정된 입력한 ID, Password 입력
ASDM 6.0 Launcher Install Local PC에 ASDM 을 다운로드하여 여러대의 ASA 접속이나 다양한 환경에서 접속 용이하게 구성 권장 Java Applet 기반의 ASDM 동작 구현 ASDM Launcher 권고
Local PC에 ASDM Launcher 설치하기 Download ASDM Launcher and Start ADSM 선택시 설치 과정 진행 Local PC에 설치될 디렉토리 정의
Local PC에 ASDM Launcher 설치하기 Install 선택을 통한 설치 설치 과정 진행
ASDM Launcher 동작하기 접속 할 ASA 5500의 IP Address 입력과 사전 정의된 ID,Password 입력 인증서 설치 확인
ASDM Home Dashboard 1 3 4 7 2 5 8 6 9 메뉴 바 및 아이콘: 주요 메뉴 간단 이동 Dashboard Tab: 사용가능한 기능별 Dashboard 선택 가능 4 일반정보: 라이센스 및 버전정보 7 인터페이스상태 정보 2 Device List 여러대의 ASA를 관리할 경우 사용 오른쪽 마우스 클릭 후 Connect 선택 시 해당 ASA 로그인 및 설정 가능 로그인 했던 ASA는 향후 클릭만으로 연결 가능 ASA 대수 제한 없음 5 VPN터널: 실시간 터널수 8 트래픽 정보:실시간cps,bps 6 리소스: 실시간CPU및메모리사용율 9 시스템로그: 실시간 시스템 로그
ASDM 마법사 기능 활용하기 “Firewall”
Launch Startup Wizard 1 3 ASDM 방화벽 구성 마법사 기능 시작 2 4 필수설정 선택설정
Step 1 – Config 구성 시작 1 2 3 ASDM 방화벽 구성 마법사 기능 시작 초기화 구성을 통한 새로운 방화벽 구성하기 Management Interface의 IP 구성은 변경하지 않는 옵션 필수설정 선택설정
Step 2 – 기본 구성하기 1 ASA Host 이름과 도메인 이름 정의 Password 정의 2 필수설정 선택설정
Step 3 – Update Server 지정(Optional) Auto Update 서버란? Cisco의 보안 Device 통합 관리솔루션인 CS-Manager 의 한 구성요소로써, 디바이스의 펌웨어 이미지 및 Configuration 파일에 대한 백업 및 업데이트 기능을 제공 다수의 ASA 장비 등을 관리할 때 주로 사용되며 선택적 기능임 모든 정보는 CS-Manager 설정과 동일 해야 하며, Device Identity 의 경우 Unique 해야 한다. 1 자동업데이트 기능 활성화 선택 2 업데이트서버 URL 및 파일 경로 3 업데이트 서버 접속시 사용할 계정 정보 4 디바이스식별 방법 선택
Step 4 – Update Server 지정(Optional) Outside 인터페이스란? 외부 인터페이스 즉, 주로 인터넷회선등과 같이 외부회선을 연결하는 인터페이스 이며, 기본적으로 Security Level 은 “0” 으로 설정됨. Use the following IP… 고정 IP 사용 시 선택 Use DHCP 연결되는 회선이 케이블 등 Dynamic 하게 IP를 할당 받을 경우 선택 Obtain default route using DHCP는 디폴트 라우터 설정을 DHCP 서버로 부터 지정 받을 때 선택 PPPoE ADSL 등 인증을 통한 IP 할당이 필요한 회선 연결 시 선택 선택시 다음 스텝에서 접속에 필요한 계정 정보를 입력하는 단계가 추가 됨 Note:선택한 옵션에 따라 설정 단계의 개수가 변경되며 이번 Guide에서는 고정IP 사용 Case로 작성되었음 1 인터페이스 선택 및 보안레벨설정 2 IP Address 설정 방법 선택
Step 5 – 다른 인터페이스 설정하기 설정 별 상세 설명 1 1 2 3 2 3 다른 인터페이스 설정 내부 네트워크와 연결된 각각의 인터페이스 IP 및 상세 설정 Management 0/0 은 관리 목적의 인터페이스며 해당 인터페이스를 통한 타 인터페이스 간의 트래픽 연결은 불가함 same-security-traffic permit inter-interface 옵션 동일한 Security Level 을 가지는 두개이상의 인터페이스간 트래픽 허용 옵션 글로벌 옵션 즉 전체 인터페이스가 동일하게 적용됨 same-security-traffic permit intra-interface 옵션 한 개의 인터페이스에 연결된 서로 다른 다른 네트워크 간의 통신 허용 옵션 예를 들어 해당 인터페이스 하단에 추가의 L3 스위치 또는 라우터로 연결된 다른 네트워크가 있을 때 주로 사용됨 Note:각 인터페이스 별 편집(Edit) 기능은 앞의 단계에서 설명한 Outside Interface와 동일하며 주로 IP 설정 및 활성화 여부만 선택하면 됨 1 2 3 2 3 필수설정 선택설정
Step 6 – 다른 인터페이스 설정하기 Static Routing 이란? 1 3 2 특정 네트워크로 트래픽을 전달하기 위한 경로 설정임 기본 적으로 모든 네트워크에 대한 경로 설정인 Default Gateway 설정은 인터넷 등 외부와 연된 인터페이스에 좌측 보기와 같이 설정 함 나머지 인터페이스 들에 대해서는 선택 사항임 1 3 2 필수설정 선택설정
Step 7 – DHCP 서버 설정하기 DHCP 서버란? 내부 사용자들에게 동적으로 IP를 할당하기 위한 서버로, ASA 의 한 개 이상의 인터페이스가 DHCP 서버의 역할을 수행할 수 있음. 선택사항이며, 추후에도 설정 가능함 Enable auto-configuration from Interface ADSL 또는 케이블이 연결된 인터페이스를 선택하여, 해당 인터페이스를 통해 할당 방은 값들을 자동으로 설정할 경우 사용함 Note:마법사 상에서는 Inside Interface만 설정하도록 되어 있으며, 다른 인터페이스에서의 설정은 추후 Configuration> Device Setup>Interface에서 추가 설정이 기능함 필수설정 선택설정
Step 8 – 주소 변환(NAT/PAT) 설정하기 NAT(Network Address Translation)은 내부사용자의 사설 IP를 외부와의 통신이 가능한 공인 IP로의 조수 변환을 의미 Use Port Address Translation (PAT) 1:N Dynamic NAT 로 1개의 대표 IP가 사용하는 Service Port 을 대상으로 내부의 모든 사설 IP의 연결을 맵핑 하는 설정 특정 대표 IP를 지정하거나 Outside Interface의 IP를 그대로 사용하도록 선택 가능 Use Network Address Translation (NAT) 1:1 Dynamic NAT 로 1개의 공인 IP당 1개의 사설 IP를 동적으로 맵핑하는 설정 Note: 지정된 범위내의 IP 대역 맵핑이 모두 사용될 경우 해당 사설 IP의 연결이 소멸되기 전까지 추가 연결 불가 주소변환을 사용하지 않을 경우 선택 Note: 세가지 방법 중 한가지 필수 선택 1 1 2 2 3 3
Step 9 – 관리적 접근 방법 설정하기 관리적 접근 설정이란? 1 3 1 2 4 2 5 4 3 5 ASA의 설정 및 모니터링을 위한 접속 방법 설정이며, HTTPS, SSH는 암호화된 통신을, Telent은 암호화되지 않은 통신을 수행함 보안을 위해 HTTPS 또는 SSH로의 접속 설정이 권장되며, 접속을 허용하는 특정 관리자의 IP만을 등록하여 사용하기를 권장함 HTTPS 또는 ASDM Launcher 을 통한 접근 활성화 옵션 체크하지 않을 경우 HTTPS/ ASDM 접근이 불가능함 ASA의 Flash 메모리 상에 ASDM 의 Monitoring 메뉴 상에서 볼 수 있는 다양한 Resource 의 통계량 수집 및 표시 기능 활성화 옵션(e.g. CPU점유율, CPS, BPS 등) 1 3 1 2 4 2 5 4 3 5 필수설정 선택설정
Step 10 – 마법사 설정 확인 및 적용 1 마법사를 통해 설정한 내역 확인 2
기본 Interface 설정하기
Interface 설정 메뉴 화면 설명 2 3 1 물리적 Interface의 구성 정보 변경 기능 Feature 메뉴 Interface 선택 4 Same-Security-level 서로 다른 물리적 인터페이스가 동일한 보안 등급을 가지도록 구성할 경우 활성화
Management Interface 구성 예제 1 2 Interface 이름 정의 3 보안등급정의”0~100” 4 Mgmt전용여부선택 5 Interface활성화여부 6 해당 Interface의 IP Address 정의 물리적 인터페이스 속성 변경 가능 (Duplex, Speed)
Outside Interface 구성 예제 1 2 Interface 이름 정의 3 보안등급정의”0” 4 Mgmt전용여부선택 5 Interface활성화여부 6 해당 Interface의 IP Address 정의 물리적 인터페이스 속성 변경 가능 (Duplex, Speed)
Inside Interface 구성 예제 1 2 3 4 5 6 Interface 이름 정의 보안등급정의”100” Mgmt전용여부선택 5 Interface활성화여부 6 해당 Interface의 IP Address 정의 물리적 인터페이스 속성 변경 가능 (Duplex, Speed)
NAT/PAT 구성하기
NAT 란?(1) NAT(Network Address Translation)은 내부사용자의 사설 IP를 외부와의 통신이 가능한 공인 IP로의 주소 변환을 의미 Port Address Translation (PAT) 1:N Dynamic NAT 로 1개의 대표 IP가 사용하는 Service Port 을 대상으로 내부의 모든 사설 IP의 연결을 맵핑 하는 설정 특정 대표 IP를 지정하거나 Outside Interface의 IP를 그대로 사용하도록 선택 가능 Note: 한 개의 대표 IP 당 PAT가 가능한 개수는 약 1024-~ 65535 즉, 약 65000 개 정도까지만 가능함, 따라서 사용되는 Connection 수가 65000개가 넘을 경우 해당 내부 IP 대역에 대한 대표 IP를 한 개 이상으로 설정하여야 함 1: 1 Dynamic Network Address Translation (NAT) 1:1 Dynamic NAT 로 1개의 공인 IP당 1개의 사설 IP를 동적으로 맵핑하는 설정 Note: 지정된 범위내의 IP 대역 맵핑이 모두 사용될 경우 해당 사설 IP의 연결이 소멸되기 전까지 추가 연결 불가 1:1 Static Network Address Translation 공인 IP 하나에 사설 IP 하나씩 고정적으로 맵핑하는 설정 주로 외부에 공개 가능한 내부 서버 또는 서비스에 대해 사용 NAT 제외 설정(NAT Exemption Rule) 내부 IP가 외부로의 라우팅이 가능한 IP이면서, 공개가 가능한 IP인 경우 주소변환을 사용하지 않고 내부 IP 그대로 사용할 때 설정 Note: Default 설정상 ASA 8.0 에서는 no nat-control 설정 즉, 모든 내부 IP에 대해서 마치 NAT 제외 설정을 한 것처럼 내부 IP 그대로 사용되도록 설정되어 있음, 이 경우, 특정 대역에 대해서 NAT 설정할 경우에만 NAT가 동작함
NAT 란?(2) Port Redirection 설정 예를 들자면, 외부에서 내부로 공개된 IP TCP8080 으로 접속하는 트래픽을 모두 내부 IP TCP 80 포트로 리다이렉션 주로 Well Known Port 에 대한 보안 목적 또는 서비스포트 중복 시 사용됨
1:1 Dynmic NAT 및 NAT 제외 설정 하기 1:1 Dynamic NAT + 공인 IP 구성 환경 Cisco ASA 5500 192.168.1.x 대역은 10.10.10.64 ~ 127로 변환 192.168.1.10 inside 192.168.1.1 outside 20.20.20.10 dmz 10.10.10.1 20.20.20.1 10.10.10.10 20.20.20.x 대역은 내부 IP 그대로 사용 1:1 Dynamic NAT 192.168.1.x 의 내부 IP Address 대역은 10.10.10.65 ~ 127 대역의 공인 IP Address를 사용하여 외부 네트워크에 접속 NAT 제외 설정(NAT Exempt Rule) : NAT를 사용하지 않은 공인 IP 구성 20.20.20.x 의 내부 공인 IP address 대역은 NAT를 사용하지 않고 외부와 접속. NOTE: 여기서 사용되는 공인 IP의 정의는 외부로부터 라우팅이 가능한 IP를 의미함
1:1 Dynmic NAT 및 NAT 제외 설정 1:Dynamic NAT 설정-메뉴 선택 4 3 새로운 NAT구성을 위해 Add Dynamic NAT Rule 메뉴 선택 NAT Rules 선택 Configuration Firewall 2
1:1 Dynmic NAT 및 NAT 제외 설정 1:Dynamic NAT 설정-변환대상 IP 지정(1) 변환할 192.168.1.x 네트워크가 속한 인터페이스 선택 5 6 변환할 192.168.1.x 을 찾기 위해 브라우징
1:1 Dynmic NAT 및 NAT 제외 설정 1:Dynamic NAT 설정-변환대상 IP 지정(2) 7 변환할 신규 호스트 또는 네트워크 주소 추가 8 변환할 기존 호스트 또는 네트워크 주소 찾기 9 변환할 선택된 호스트 또는 네트워크 주소 10 변환할 선택된 호스트 또는 네트워크주소 선택 필수설정 선택설정
1:1 Dynmic NAT 및 NAT 제외 설정 1:Dynamic NAT 설정-맵핑될 IP 지정 12 맵핑될 공인 IP 대역(IP Pool) 추가 11 맵핑될 공인 IP 대역(IP Pool) 관리 메뉴 선택 13 맵핑될 IP 대역이 속한 인터페이스 선택 14 맵핑에 사용될 식별번호(NAT ID) 입력 15 맵핑에 사용될 IP 대역 입력 17 16 맵핑에 사용될 IP 선택 후 OK 클릭 맵핑에 사용될 IP 대역 추가 Note : 맵핑에 사용가능한 IP는 해당 인터페이스에 직접 연결된 네트워크 주소 상위 L3 또는 라우터에서 해당 인터페이스의 IP로 라우팅이 설정된 호스트 또는 네트워크 주소 15
1:1 Dynmic NAT 및 NAT 제외 설정 1:Dynamic NAT 설정-추가된 사항 확인 18 추가된 사항 확인
1:1 Dynmic NAT 및 NAT 제외 설정 NAT 제외 설정(NAT Exempt Rule)-메뉴 선택 4 3 17 추가된 사항 확인 NAT 제외 구성을 위해 Add NAT Exempt Rule 메뉴 선택 NAT Rules 선택 Configuration Firewall 2
1:1 Dynmic NAT 및 NAT 제외 설정 NAT 제외 설정(NAT Exempt Rule)-제외대상 IP 지정(1) 5 NAT 제외 설정 선택 6 NAT가 제외될 호스트 또는 네트워크가 소속된 인터페이스 선택 7 NAT가 제외될 호스트 또는 네트워크 주소 브라우징
1:1 Dynmic NAT 및 NAT 제외 설정 NAT 제외 설정(NAT Exempt Rule)- 제외대상 IP 지정(2) 8 NAT가 제외될 신규 네트워크 주소 오브젝트 추가 선택
1:1 Dynmic NAT 및 NAT 제외 설정 NAT 제외 설정(NAT Exempt Rule)- 제외대상 IP 지정(3) 9 NAT가 제외될 신규 네트워크 주소 오브젝트 명 입력 11 NAT가 제외될 신규 네트워크 주소 입력 10 NAT가 제외될 신규 네트워크 주소 입력
1:1 Dynmic NAT 및 NAT 제외 설정 NAT 제외 설정(NAT Exempt Rule)- 제외대상 IP 지정(4) 12 추가한 NAT가 제외될 네트워크 오브젝트 선택 13 추가한 NAT가 제외될 네트워크 오브젝트 입력
1:1 Dynmic NAT 및 NAT 제외 설정 NAT 제외 설정(NAT Exempt Rule)- 제외 트래픽방향 설정 14 모든 목적지에 대한 트래픽 NAT제외 설정 15 dmz 인터페이스 기준 Outbound 트래픽에 대한 NAT 제외 설정
1:1 Dynmic NAT 및 NAT 제외 설정 NAT 제외 설정(NAT Exempt Rule)- 추가된 설정확인 16 추가된 설정 확인
1:1 Dynamic NAT 및 NAT 제외 설정 CLI 를 통한 구성 방법 CLI 기반의 1:1 Dynamic NAT 및 NAT 제외 설정 예제 Inside Interface의 192.168.1.x Network이 외부 네트워크(Outside)로 갈 때, 10.10.10.65 ~ 10.10.10.126 대역의 IP Address 를 사용하여 구성. global (outside) 1 10.10.10.65-10.10.10.126 netmask 255.255.255.192 nat (inside) 1 192.168.1.0 255.255.255.0 dmz Interface의 20.20.20.x Network 이 외부 네트워크(Outside)로 갈 때, 자신의 IP address를 그대로 사용하여 구성. access-list dmz_nat0_outbound line 1 remark No-NAT for Inside-2 to Outside ACL에 대한 Description 정의 access-list dmz_nat0_outbound line 2 extended permit ip 20.20.20.0 255.255.255.0 any ACL에 대한 정책 정의 nat (inside-2) 0 access-list inside-2_nat0_outbound NAT (xxx) 0 의 의미는 No-NAT. 이미 ACL에서 정의된 대역을 선언 Translation Table Monitoring ASA# sh xlate 1 in use, 1 most used Global 10.10.10.65 Local 192.168.1.10 192.168.1.10 IP Address가 10.10.10.65 로 Translation 되고 있는 상황 모니터링.
192.168.1.x 대역은 outside Interface IP를 사용 PAT 및 1:1 Static NAT 구성하기 PAT + 1:1 Static NAT 구성 환경 Cisco ASA 5500 192.168.1.x 대역은 outside Interface IP를 사용 192.168.1.x/24 inside 192.168.1.1 outside 192.168.1.10 10.10.10.1 10.10.10.254 192.168.1.10은 고정된 공인 IP 10.10.10.10을 사용 Port Address Translation(PAT) 192.168.1.x 의 내부 IP Address 대역은 대표IP로 Outside Interface 의 IP Address를 사용하여 외부 네트워크에 접속 1:1 Static NAT : 내부 특정 서버 IP에 대해 고정된 공인 IP 맵핑 192.168.1.10 내부 사설 IP address 을 고정된 외부 공인 IP 10.10.10.10 을 사용화여 외부와 연결 NOTE: 여기서 사용되는 공인 IP의 정의는 외부로부터 라우팅이 가능한 IP를 의미함
PAT 및 1:1 Static NAT 구성하기 PAT 설정-메뉴 선택 4 3 새로운 NAT구성을 위해 Add Dynamic NAT Rule 메뉴 선택 NAT Rules 선택 Configuration Firewall 2
PAT 및 1:1 Static NAT 구성하기 PAT 설정-변환대상 IP 지정(1) 변환할 192.168.1.x 네트워크가 속한 인터페이스 선택 5 6 변환할 192.168.1.x 을 찾기 위해 브라우징
PAT 및 1:1 Static NAT 구성하기 PAT 설정-변환대상 IP 지정(2) 7 변환할 신규 호스트 또는 네트워크 주소 추가 8 변환할 기존 호스트 또는 네트워크 주소 찾기 9 변환할 선택된 호스트 또는 네트워크 주소 10 변환할 선택된 호스트 또는 네트워크주소 선택 필수설정 선택설정
PAT 및 1:1 Static NAT 구성하기 PAT 설정-맵핑될 IP 지정 12 맵핑될 공인 IP 대역(IP Pool) 추가 11 맵핑될 공인 IP 대역(IP Pool) 관리 메뉴 선택 13 맵핑될 IP 대역이 속한 인터페이스 선택 14 맵핑에 사용될 식별번호(NAT ID) 입력 16 17 맵핑에 사용될 IP 추가 맵핑에 사용될 IP 선택 후 OK 클릭 15 맵핑에 사용될 대표IP를 Outside Interface의 IP로 지정 Note : 맵핑에 사용가능한 IP는 해당 인터페이스에 직접 연결된 네트워크 주소 또는 상위 L3 또는 라우터에서 해당 인터페이스의 IP로 라우팅이 설정된 호스트 또는 네트워크 주소 Outside Interface외의 공인 IP 추가 설정시 “Port Address Translation(PAT)에 사용될 공인 IP를 입력하여 추가할 수 있음 15
PAT 및 1:1 Static NAT 구성하기 PAT 설정-추가된 사항 확인 18 추가된 사항 확인
PAT 및 1:1 Static NAT 구성하기 1:1 Static NAT 설정 - 메뉴 선택 4 3 NAT 제외 구성을 위해 Add Static NAT Rule 메뉴 선택 NAT Rules 선택 Configuration Firewall 2
PAT 및 1:1 Static NAT 구성하기 1:1 Static NAT 설정-맵핑될 IP 지정 5 내부 IP가 소속된 Interface 설정 6 NAT 대상 내부 호스트 IP 설정(Network Based 로도 가능함) 7 맵핑될 외부 IP 가 소속된 Interface 설정 8 맵핑될 외부 IP 입력
PAT 및 1:1 Static NAT 구성하기 1:1 Static NAT 설정- 추가된 설정확인 9 추가된 설정 확인
PAT 및 1:1 Static NAT 구성하기 CLI 를 통한 구성 방법 CLI 기반의 PAT 및 1:1 Static NAT 설정 예제 Inside Interface의 192.168.1.x Network이 외부 네트워크(Outside)로 갈 때, Outside Interface의 IP Address 를 사용하여 구성. global (outside) 1 interface nat (inside) 1 192.168.1.0 255.255.255.0 Inside Interface의 192.168.1.10 호스트가 외부 네트워크(Outside)로 갈 때, 외부 공인 IP 10.10.10.10 IP address를 사용하여 구성. static (inside,outside) 10.10.10.10 192.168.1.10 Translation Table Monitoring ASA# sh xlate 1 in use, 1 most used Global 10.10.10.10 Local 192.168.1.10 192.168.1.10 IP Address가 10.10.10.10 로 Translation 되고 있는 상황 모니터링.
Port Redirection 구성하기 Port Rediection Port Redirection 환경 설정 Cisco ASA 5500 192.168.1.x 대역 모두 outside Interface IP를 사용 192.168.1.x/24 inside 192.168.1.1 outside 192.168.1.10 10.10.10.1 10.10.10.254 192.168.1.10 tcp 80 으로 Port Redirection 외부에서 10.10.10.1 tcp 8080 접속시도시 Port Rediection 외부에서 방화벽 Outside IP 또는 특정 공인 IP 및 특정 Destination Port 에 대한 접속시도시, 내부 특정 호스트의 서비스 포트로 Redirection 예를 들어 외부에서 10.10.10.1 tcp 8000 접속시 ASA는 내부 호스트 192.168.1.10 tcp 80으로 서비스 포트 리다이렉션을 실시 NOTE: 여기서 사용되는 공인 IP의 정의는 외부로부터 라우팅이 가능한 IP를 의미함
Port Redirection 설정 - 메뉴 선택 1 4 3 NAT 제외 구성을 위해 Add Static NAT Rule 메뉴 선택 NAT Rules 선택 Configuration Firewall 2
Port Redirection 설정-맵핑될 IP 및 Service Port 설정 5 내부 IP가 소속된 Interface 설정 6 NAT 대상 내부 호스트 IP 설정(Network Based 로도 가능함) 7 맵핑될 외부 IP 가 소속된 Interface 설정 8 외부IP로 Outside Interface의 IP를 사용 9 Redirection 할 서비스 포트 지정 Origianl Port : 내부 호스트의 Service Port Traslated Port: 외부에 공개할 Service Port
Port Redirection 설정-추가된 설정 확인 10 추가된 설정 확인
Port Redirection 설정-CLI 설정 CLI 기반의 Port Rediection 설정 예제 Inside Interface의 192.168.1.x Network이 외부 네트워크(Outside)로 갈 때, Outside Interface의 IP Address 를 사용하여 구성. global (outside) 1 interface nat (inside) 1 192.168.1.0 255.255.255.0 외부에서 Outside Interface IP IP 10.10.10.1 TCP 8080 에 접속을 시도할 때 내부 호스 IP 192.168.1.10 TCP 80 으로 Redirection static (inside,outside) tcp 10.10.10.1 8080 192.168.1.10 80
방화벽 정책 설정하기
방화벽 정책 설정하기 Firewall Main Menu 5 방화벽정책에 사용되는 IP, Service Port, Time Range 오브젝트 창 2 다양한 Filtering 에 의한 방화벽 정책 Searching 기능 1 Firewall 기능상의 Sub 기능 메뉴 3 Configuration Firewall Access Rule 현재 적용되어 있는 보안정책 모니터링,추가,수정,삭제 가능 Interface 별로 설정된 정책 분류 4 Diagram: 선택된 방화벽 정책이 적용되는 인터페이스 및 트래픽의 방향성 표시
방화벽 정책 설정하기 새로운 정책 추가하기 설정 별 상세 설명 1 Interface: 정책이 적용될 인터페이스 지정 1 2 방화벽 정책 설정하기 새로운 정책 추가하기 설정 별 상세 설명 1 Interface: 정책이 적용될 인터페이스 지정 Action: 해당 정책에 의한 트래픽 허용 또는 차단 선택 Source: 출발지 주소 Destinaiton: 목적지 주소 Service: 목적지 주소의 대상 서비스 포트 Description: 정책 설명, 한글 사용안됨 Enable Logging: 해당 정책에 매칭 되는 트래픽 발생시 로그 발생유무 및 레벨 설정, 기본 설정은 Informational Level 이나, 일반적인 Logging 설정은 Warning Level 임, Syslog ID 는 106023 임 Enable Rule: 해당 정책의 활성화 여부 Traffic Direction: 정책이 적용되는 Interface입장에서의 트래픽 유입 방향, 일반적으로 In 으로 설정 Source Service: 출발지 주소에서 Initiate 되는 포트 설정 Logging Interval: 해당 정책에 대한 로깅 간격 설정, 기본 300초당 1번씩 Summary 된 Hit Count로 로그 발생 Time Range: 해당 정책이 활성화되는 시간대 설정 아이콘을 눌러 해당 오브젝트의 선택, 추가, 편집이 가능함 2 1 2 3 4 3 4 5 5 6 6 7 7 8 9 8 10 9 11 10 11 12 12 필수설정 선택설정
방화벽 정책 설정하기 호스트/네트워크 오브젝트 추가하기 방화벽 정책 설정하기 호스트/네트워크 오브젝트 추가하기 1 신규 호스트 또는 네트워크 주소 추가 2 기존 호스트 또는 네트워크 주소 찾기 3 선택된 호스트 또는 네트워크 주소 4 선택된 호스트 또는 네트워크주소 입력 필수설정 선택설정
방화벽 정책 설정하기 호스트/네트워크 오브젝트 추가하기 방화벽 정책 설정하기 호스트/네트워크 오브젝트 추가하기 1 신규 서비스 포트 오브젝트 또는 오브젝트 그룹 추가 2 기존 포트 오브젝트 또는 오브젝트 그룹 추가 3 선택된 포트 오브젝트 1 생성할 수 있는 서비스 포트 그룹 종류 4 선택된 포트 오브젝트 입력 필수설정 선택설정
방화벽 정책 설정하기 타임 오브젝트 생성하기- 기본설정 방화벽 정책 설정하기 타임 오브젝트 생성하기- 기본설정 2 1 3 4 설정 별 상세 설명 신규 타임 오브젝트 생성 및 기존 오브젝트 편집 및 삭제 Time Range Name: 신규 타임 오브젝트 이름 Start Time, End Time: 해당 타임 오브젝트가 활성화될 기간 설정 Recuuring Time Ranges: 해당 타임 오브젝트의 반복 및 순환될 범위 추가 1 2 3 4
방화벽 정책 설정하기 타임 오브젝트 생성하기- 반복 순환 주기 설정 방화벽 정책 설정하기 타임 오브젝트 생성하기- 반복 순환 주기 설정 설정 별 상세 설명 1 주중 특정 일별 반복 순환 주기 설정 Days of the week : 주중 활성화될 기간 또는 특정 요일 설정 Day Start Time, End Time: 활성화될 특정 시간대 설정 주중 특정 시간 범위 반복 순환 주기 1 2 2
ASA 5500 디바이스 관리
디바이스 관리 관리적 접속 설정하기 ASDM/HTTPS: ASDM 활성화 설정 및 접속 허용 사용자 IP 관리 디바이스 관리 관리적 접속 설정하기 설정 별 설명 ASDM/HTTPS: ASDM 활성화 설정 및 접속 허용 사용자 IP 관리 Command Line(CLI): Telnet 또는 SSH 을 이용한 ASA 접속 설정 및 접속 허용 사용자 IP 관리 File Access: SCP를 이용한 ASA 내의 File 억세스 설정 및 ASA 파일 시스템 설정 관리 ICMP: ASA의 Interface IP에 대한 ICMP 메시지별 응답 여부 설정 Management Interface: 관리 전용 Interface에 대한 설정 SNMP: SNMP 커뮤니티 및 Trap 설정 Management Access Rules: 관리적 접근 허용을 위한 Access-List 설정
디바이스 관리 System Image 및 설정파일 관리 설정 별 설명 Activation Key: 장비에 대한 라이센싱 키 입력 및 관리, 기능별 추가 라이센스 입력 Auto Update: CiscoWorks AutoUpdate Server 연동 설정, 설정파일 백업 및 시스템 이미지 자동 업데이트 설정 Boot Imange/Configuration: 리부팅시 기본적으로 Loading 할 시스템 이미지 위치 및 Startup-Config 저장 위치 설정
디바이스 관리 Failover 설정 및 VPN 로드밸런싱 설정 설정 별 설명 HA/Scalability Wizard: 이중화를 위한 Failover 설정 및 원격접속용 VPN 로드밸런싱 설정 마법사 Failover : 이중화를 위한 Active/Standby 또는 Active/Active Failover 구성 상세 설정 VPN Load Valancing: 원격 접속용 VPN 로드밸런싱을 위한 Master, Slave등 클러스터링 설정
디바이스 관리 로깅 설정 설정 별 설명 Logging Setup: System Message(Syslog) 설정 활성화 및 ASA 장비 내의 Buffer 및 ASDM 상에서의 로깅 설정 E-Mail Setup: 특정 로그 발생시 등록된 수신자에게 E-Mail 자동 발송하기 위한 설정 Event Lists: 특정 Syslog 에 대한 Event Filtering List 작성, 특정 클래스와 등급별 또는 System Message ID 별로 필터링 작성 가능 Logging Filters: 로깅 방법 별(SNMP Trap, Email, Internal Buffer, Console, Telnet 또는 SSH 세션, ASDM, Syslog Server) 시스템 메시지 레벨 및 필터링 적용 Rate Limit: 특정 로깅 레벨 또는 시스템 메시지별 로깅 발생 빈도수 조정 Syslog Server: ASA에서 발생되는 System Message 을 저장할 서버 IP 지정 Syslog Setup: Syslog Server에 Log를 보낼 때 저장될 Facility 지정 SMTP: Email Setup에서 지정한 이벤트를 메일로 보낼 때 사용할 메일 서버 설정
디바이스 관리 사용자 및 인증방법 설정 설정 별 설명 AAA Server Group: 인증 서버 그룹 설정, 한 개의 그룹당 16개의 인증서버 지정 가능, 총 16개의 서버 그룹 까지 만들 수 있음 Authentication Prompt: 인증 시도 또는 인증 성공시 사용자에게 Display 될 메시지 설정 AAA Access: Console, Telnet, SSH, ASDM 같은 관리접 접근시 인증한 사용자의 권한에 따른 ASA 명령어 사용 권한 설정 Dynamic Access Policy: VPN 및 Auth-Proxy 기능 사용시 인증 사용자별로 동적인 접근 정책 할당 설정 User Accounts: Local 인증시 사용될 사용자 ID 및 Role 설정
디바이스 관리 기타 설정 설정 별 설명 Certificaiton Management: 사용자 및 VPN 로드밸런시 사용될 인증서 생성 및 관리 기능 DHCP DHCP Relay: 내부 DHCP 서버로의 DHCP 요청에 대한 Real 기능 설정 DHCP Server: ASA 자체 DHCP 서버 설정, IP Pool 및 DNS, WINS 등 DHCP요청에 대한 설정 DNS: ASA가 사용할 DNS 서버 설정 및 DHCP 사용시 DNS 기능 설정 Advanced: 고정 ARP 설정, HTTP 리다이렉션, QoS를 위한 PQ설정, WCCP 설정등을 포함함 1 2 3 4
디바이스 관리 CLI 기반 구성(1) CLI 기반의 Device Administration Device Host 이름 지정과 Domain name 지정 hostname ASA-1 domain-name cisco.com password 지정 enable password cisco Enable Password 지정 passwd cisco encrypted Telnet Password 지정 Username 속성 정의 username cisco password cisco encrypted privilege 2 유저이름과 패스워드 권한 등급 지정 clear config username cisco 특정 유저 삭제 console Time Out 시간 정의 console timeout 30 ASDM/HTTP 접속 권한 정의 http 1.1.1.0 255.255.255.0 Mgmt-Interface http 192.168.1.11 255.255.255.255 inside Telnet 접속 권한 정의 telnet 0.0.0.0 0.0.0.0 outside telnet 1.1.1.0 255.255.255.0 Mgmt-Interface telnet 0.0.0.0 0.0.0.0 inside
디바이스 관리 CLI 기반 구성(2) CLI 기반의 Device Administration SMTP Server 지정 SNMP 속성 지정 snmp-server host inside 192.168.1.10 community public version 2c ICMP 허용 여부 지정 icmp permit 0.0.0.0 0.0.0.0 outside icmp permit 0.0.0.0 0.0.0.0 inside clock time 지정 clock timezone KST 9 0 clock set 18:22:58 NOV 9 2005 NTP 서버 정의 ntp server 192.168.3.1 source inside boot image 장소 정의 boot system disk0:/asa802-k8.bin