Erstellen Sie NAT-Regeln und Sicherheitsrichtlinien für Port 443/80 auf einem Cisco ASA 5510

Question 1

Da Sie zum ersten Mal mit einer Firewall arbeiten, erwähne ich zusätzliche Konfigurationen, die Ihnen beim Lernen/Debuggen der ASA-Konfiguration helfen werden.

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

Sie können Protokollierung hinzufügen, um Sie beim Debuggen zu unterstützen.

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

Der Syslog-Server sollte auf UDP-Port 514 auf Syslog-Meldungen von der Firewall warten. Diese sind hilfreich beim Debuggen von Problemen beim Experimentieren mit der Firewall vor dem Einsatz in der Produktion.

Dies ist eine äußerst unsichere Firewall-Konfiguration, da Telnet aktiviert ist und zwar von allen internen IPs aus. Außerdem wird alles zugelassen. Die Idee ist, Ihnen zu helfen, die NAT-Konfiguration zu testen, ohne sich um ACLs kümmern zu müssen.

Jetzt werden Verbindungen an Port 80 weitergeleitet, um die externe Schnittstelle von ASA zu einem Server zu nutzen

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

Ähnlich für 443 verwenden

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

Wenn Sie mit NAT vertraut sind, können Sie Innen-, Außen- und DMZ-Datenverkehr einrichten und eine restriktive ACL konfigurieren, um nur relevanten Datenverkehr zuzulassen.

Es gibt auch andere NAT/PAT-Typen, die Sie in ASA konfigurieren können.

Answer

Da Sie zum ersten Mal mit einer Firewall arbeiten, erwähne ich zusätzliche Konfigurationen, die Ihnen beim Lernen/Debuggen der ASA-Konfiguration helfen werden.

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

Sie können Protokollierung hinzufügen, um Sie beim Debuggen zu unterstützen.

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

Der Syslog-Server sollte auf UDP-Port 514 auf Syslog-Meldungen von der Firewall warten. Diese sind hilfreich beim Debuggen von Problemen beim Experimentieren mit der Firewall vor dem Einsatz in der Produktion.

Dies ist eine äußerst unsichere Firewall-Konfiguration, da Telnet aktiviert ist und zwar von allen internen IPs aus. Außerdem wird alles zugelassen. Die Idee ist, Ihnen zu helfen, die NAT-Konfiguration zu testen, ohne sich um ACLs kümmern zu müssen.

Jetzt werden Verbindungen an Port 80 weitergeleitet, um die externe Schnittstelle von ASA zu einem Server zu nutzen

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

Ähnlich für 443 verwenden

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

Wenn Sie mit NAT vertraut sind, können Sie Innen-, Außen- und DMZ-Datenverkehr einrichten und eine restriktive ACL konfigurieren, um nur relevanten Datenverkehr zuzulassen.

Es gibt auch andere NAT/PAT-Typen, die Sie in ASA konfigurieren können.

Question 2

Verwenden der Weboberfläche (ASDM):

1. Fügen Sie eine statische NAT-Regel hinzu. Gehen Sie zu Konfiguration -> NAT. Klicken Sie auf „Hinzufügen“ und dann auf „Statische NAT-Regel hinzufügen“. Geben Sie Ihre internen IP-Informationen unter „Realadresse“ und Ihre externen IP-Informationen unter „Statische Übersetzung“ ein. Aktivieren Sie „PAT aktivieren“ und geben Sie 80 (oder 443) ein.

2. Ändern Sie die Sicherheitsrichtlinie, um Datenverkehr zuzulassen. Gehen Sie zu Konfiguration -> Sicherheitsrichtlinie. Klicken Sie auf Hinzufügen und erstellen Sie eine Regel, die eingehenden Datenverkehr von der externen Schnittstelle (beliebige Quelle) an die interne IP-Adresse (unter Angabe des Ports) zulässt.

Answer

Verwenden der Weboberfläche (ASDM):

1. Fügen Sie eine statische NAT-Regel hinzu. Gehen Sie zu Konfiguration -> NAT. Klicken Sie auf „Hinzufügen“ und dann auf „Statische NAT-Regel hinzufügen“. Geben Sie Ihre internen IP-Informationen unter „Realadresse“ und Ihre externen IP-Informationen unter „Statische Übersetzung“ ein. Aktivieren Sie „PAT aktivieren“ und geben Sie 80 (oder 443) ein.

2. Ändern Sie die Sicherheitsrichtlinie, um Datenverkehr zuzulassen. Gehen Sie zu Konfiguration -> Sicherheitsrichtlinie. Klicken Sie auf Hinzufügen und erstellen Sie eine Regel, die eingehenden Datenverkehr von der externen Schnittstelle (beliebige Quelle) an die interne IP-Adresse (unter Angabe des Ports) zulässt.

Question 3

Es sieht so aus, als ob hierauf schon eine Weile keine Antwort mehr gegeben wurde, aber ich werde versuchen zu erklären, was wir auf unserem 5510 haben.

Erstens habe ich gehört, dass es Probleme gibt, wenn Sie nur eine externe/öffentliche IP-Adresse haben. Sie müssen einige zusätzliche Konfigurationen vornehmen und ich bin mir nicht sicher, was das ist. Ich gehe davon aus, dass Sie mindestens zwei haben und eine davon die externe IP der Firewall ist. Wir werden unten eine verfügbare verwenden.

Gehen Sie in ASDM zu „Konfiguration“ -> „Firewall“ -> „NAT-Regeln“

Klicken Sie auf Hinzufügen -> Statische NAT-Regel hinzufügen

Original -> Schnittstelle: innen
Original -> Quelle: [interne IP-Adresse]
Übersetzt -> Schnittstelle: außen
Übersetzt -> IP-Adresse verwenden: [unbenutzte öffentliche IP-Adresse]
Portadressübersetzung -> Portadressübersetzung aktivieren
Portadressübersetzung -> Protokoll: TCP
Portadressübersetzung -> Ursprünglicher Port: http
Portadressübersetzung -> Übersetzter Port: http

Klicken Sie auf „OK“. Sie können eine weitere Regel für https/443 hinzufügen, sobald Sie sicher sind, dass http/80 funktioniert.

Als Nächstes kommt ein Teil, der mich verwirrt hat, als ich mein 5510 zum ersten Mal bekam. Stellen Sie also sicher, dass Sie wissen, welche Dinge wohin gehören.

Gehen Sie zu Zugriffsregeln (ASDM -> Konfiguration -> Firewall -> Zugriffsregeln)

Hinzufügen -> Zugriffsregel hinzufügen

Schnittstelle: außen(nicht im Inneren)
Aktion: Erlauben
Quelle: beliebig
Ziel: [dieselbe öffentliche IP-Adresse wie oben](nicht die interne IP)
Dienst: tcp/http, tcp/https

OK klicken

Das sollte es sein. Ich glaube, die Idee ist, dass Sie den Sicherheitszugriff auf die externe/öffentliche IP zulassen und dann NAT die Übersetzung durchführt, wenn die Sicherheitsregel dies zulässt.

Answer