Cisco ASA 5510 のポート 443/80 の NAT ルールとセキュリティポリシーを作成する

Question 1

ファイアウォールを初めて使用するので、ASA設定の学習/デバッグに役立つ追加の設定について説明します。

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

デバッグに役立つログを追加できます。

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

syslog サーバーは、ファイアウォールからの syslog メッセージを UDP ポート 514 でリッスンする必要があります。これは、実稼働環境に展開する前にファイアウォールを試しながら問題をデバッグするのに役立ちます。

これは、Telnet が有効になっており、すべての内部 IP からアクセスできるため、ファイアウォールの非常に安全でない構成です。また、すべてが許可されています。目的は、ACL を気にせずに NAT 構成をテストできるようにすることです。

ASAの外部インターフェースのポート80への接続を何らかのサーバーに転送する

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

443も同様に

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

NAT に慣れたら、内部、外部、DMZ を設定し、関連するトラフィックのみを許可するように制限的な ACL を構成します。

ASA で設定できる他のタイプの NAT/PAT もあります。

Answer

ファイアウォールを初めて使用するので、ASA設定の学習/デバッグに役立つ追加の設定について説明します。

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

デバッグに役立つログを追加できます。

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

syslog サーバーは、ファイアウォールからの syslog メッセージを UDP ポート 514 でリッスンする必要があります。これは、実稼働環境に展開する前にファイアウォールを試しながら問題をデバッグするのに役立ちます。

これは、Telnet が有効になっており、すべての内部 IP からアクセスできるため、ファイアウォールの非常に安全でない構成です。また、すべてが許可されています。目的は、ACL を気にせずに NAT 構成をテストできるようにすることです。

ASAの外部インターフェースのポート80への接続を何らかのサーバーに転送する

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

443も同様に

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

NAT に慣れたら、内部、外部、DMZ を設定し、関連するトラフィックのみを許可するように制限的な ACL を構成します。

ASA で設定できる他のタイプの NAT/PAT もあります。

Question 2

Web インターフェイス (ASDM) の使用:

1. 静的 NAT ルールを追加します。 「構成」->「NAT」に移動します。「追加」をクリックし、「静的 NAT ルールの追加」をクリックします。「実アドレス」の下に内部 IP 情報を入力し、「静的変換」の下に外部 IP 情報を入力します。「PAT を有効にする」にチェックを入れ、80 (または 443) を入力します。

2. トラフィックを許可するようにセキュリティポリシーを変更します。 [設定] -> [セキュリティポリシー] に移動します。[追加] をクリックし、外部インターフェイス (ソース any) から内部 IP アドレス (ポートを指定) への着信トラフィックを許可するルールを作成します。

Answer

Web インターフェイス (ASDM) の使用:

1. 静的 NAT ルールを追加します。 「構成」->「NAT」に移動します。「追加」をクリックし、「静的 NAT ルールの追加」をクリックします。「実アドレス」の下に内部 IP 情報を入力し、「静的変換」の下に外部 IP 情報を入力します。「PAT を有効にする」にチェックを入れ、80 (または 443) を入力します。

2. トラフィックを許可するようにセキュリティポリシーを変更します。 [設定] -> [セキュリティポリシー] に移動します。[追加] をクリックし、外部インターフェイス (ソース any) から内部 IP アドレス (ポートを指定) への着信トラフィックを許可するルールを作成します。

Question 3

しばらく返信がないようですが、5510 に何があるのか説明してみたいと思います。

まず、外部/パブリック IP アドレスが 1 つしかない場合に問題が発生することがあると聞きました。追加の設定を行う必要がありますが、それが何なのかはわかりません。少なくとも 2 つあり、そのうちの 1 つがファイアウォールの外部 IP であると仮定します。以下では、使用可能な IP アドレスを使用します。

ASDMで、設定 -> ファイアウォール -> NATルールに移動します。

[追加] -> [静的NATルールの追加] をクリックします。

オリジナル -> インターフェース: 内部
オリジナル -> ソース: [内部 IP アドレス]
翻訳済み -> インターフェース: 外部
翻訳済み -> IP アドレスの使用: [未使用のパブリック IP アドレス]
ポートアドレス変換 -> ポートアドレス変換を有効にする
ポートアドレス変換 -> プロトコル: TCP
ポートアドレス変換 -> 元のポート: http
ポートアドレス変換 -> 変換されたポート: http

[OK] をクリックします。http/80 が動作していることを確認したら、https/443 の別のルールを追加できます。

次は、私が初めて 5510 を入手したときに混乱した部分です。どこに何を配置するかを必ず把握しておいてください。

アクセスルールに移動します（ASDM -> 設定 -> ファイアウォール -> アクセスルール）

追加 -> アクセスルールの追加

インターフェース: 外部（内部ではありません）
アクション: 許可
出典: 任意
宛先: [上記と同じパブリック IP アドレス](内部 IP ではありません)
サービス: tcp/http、tcp/https

OKをクリック

これで完了です。外部/パブリック IP へのセキュリティアクセスを許可し、セキュリティルールが許可する場合は NAT が変換を実行するという考えだと思います。

Answer