Cisco ASA 5510의 포트 443/80에 대한 NAT 규칙 및 보안 정책 생성

Question 1

방화벽을 처음 사용하는 것이므로 ASA 구성에 대해 학습/디버깅하는 데 도움이 되는 추가 구성에 대해 언급하겠습니다.

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

다음을 사용하여 디버깅에 도움이 되는 로깅을 추가할 수 있습니다.

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

syslog 서버는 UDP 포트 514에서 방화벽의 syslog 메시지를 수신해야 합니다. 이는 프로덕션에 배포하기 전에 방화벽을 실험하는 동안 문제를 디버깅하는 데 도움이 됩니다.

텔넷이 활성화되어 있고 모든 내부 IP에서도 방화벽이 매우 안전하지 않은 구성입니다. 또한 모든 것이 허용되고 있습니다. ACL에 대해 걱정하지 않고 NAT 구성을 테스트하는 데 도움이 되는 아이디어입니다.

이제 ASA의 외부 인터페이스를 위해 포트 80에 대한 연결을 일부 서버 사용으로 전달합니다.

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

마찬가지로 443 사용에도

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

NAT에 익숙해지면 내부, 외부 및 DMZ를 선택하고 관련 트래픽만 허용하도록 제한적인 ACL을 구성하세요.

ASA에서 구성할 수 있는 다른 유형의 NAT/PAT도 있습니다.

Answer

방화벽을 처음 사용하는 것이므로 ASA 구성에 대해 학습/디버깅하는 데 도움이 되는 추가 구성에 대해 언급하겠습니다.

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

다음을 사용하여 디버깅에 도움이 되는 로깅을 추가할 수 있습니다.

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

syslog 서버는 UDP 포트 514에서 방화벽의 syslog 메시지를 수신해야 합니다. 이는 프로덕션에 배포하기 전에 방화벽을 실험하는 동안 문제를 디버깅하는 데 도움이 됩니다.

텔넷이 활성화되어 있고 모든 내부 IP에서도 방화벽이 매우 안전하지 않은 구성입니다. 또한 모든 것이 허용되고 있습니다. ACL에 대해 걱정하지 않고 NAT 구성을 테스트하는 데 도움이 되는 아이디어입니다.

이제 ASA의 외부 인터페이스를 위해 포트 80에 대한 연결을 일부 서버 사용으로 전달합니다.

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

마찬가지로 443 사용에도

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

NAT에 익숙해지면 내부, 외부 및 DMZ를 선택하고 관련 트래픽만 허용하도록 제한적인 ACL을 구성하세요.

ASA에서 구성할 수 있는 다른 유형의 NAT/PAT도 있습니다.

Question 2

웹 인터페이스(ASDM) 사용:

1. 고정 NAT 규칙을 추가합니다. 구성 -> NAT로 이동합니다. 추가를 클릭한 다음 "고정 NAT 규칙 추가"를 클릭합니다. Real Address에 내부 IP 정보를 입력하고, Static Translation에 외부 IP 정보를 입력하세요. "PAT 활성화"를 선택하고 80(또는 443)을 입력합니다.

2. 트래픽을 허용하도록 보안 정책을 수정합니다. 구성 -> 보안 정책으로 이동합니다. 추가를 클릭하고 외부 인터페이스(소스 임의)에서 내부 IP 주소(포트 지정)로 들어오는 트래픽을 허용하는 규칙을 만듭니다.

Answer

웹 인터페이스(ASDM) 사용:

1. 고정 NAT 규칙을 추가합니다. 구성 -> NAT로 이동합니다. 추가를 클릭한 다음 "고정 NAT 규칙 추가"를 클릭합니다. Real Address에 내부 IP 정보를 입력하고, Static Translation에 외부 IP 정보를 입력하세요. "PAT 활성화"를 선택하고 80(또는 443)을 입력합니다.

2. 트래픽을 허용하도록 보안 정책을 수정합니다. 구성 -> 보안 정책으로 이동합니다. 추가를 클릭하고 외부 인터페이스(소스 임의)에서 내부 IP 주소(포트 지정)로 들어오는 트래픽을 허용하는 규칙을 만듭니다.

Question 3

한동안 이에 대한 응답이 없는 것 같습니다. 하지만 5510에 대한 내용을 설명해 드리겠습니다.

첫째, 외부/공용 IP 주소가 하나만 있는 경우 문제가 발생한다고 들었습니다. 몇 가지 추가 구성을 수행해야 하는데 그것이 무엇인지 잘 모르겠습니다. 최소한 두 개가 있고 그 중 하나가 방화벽의 외부 IP라고 가정하겠습니다. 아래에서 사용 가능한 것을 사용하겠습니다.

ASDM에서 구성 -> 방화벽 -> NAT 규칙으로 이동합니다.

추가 -> 고정 NAT 규칙 추가를 클릭하세요.

원본 -> 인터페이스: 내부
원본 -> 원본 : [내부 IP 주소]
번역됨 -> 인터페이스: 외부
번역 -> IP 주소 사용 : [사용하지 않는 공인 IP 주소]
포트 주소 변환 -> 포트 주소 변환 활성화
포트 주소 변환 -> 프로토콜: TCP
포트 주소 변환 -> 원래 포트: http
포트 주소 변환 -> 변환된 포트: http

확인을 클릭하세요. http/80이 작동한다고 확신하면 https/443에 대한 다른 규칙을 추가할 수 있습니다.

다음은 제가 처음 5510을 구입했을 때 저를 헷갈리게 했던 부분이므로 어떤 것을 어디에 넣어야 할지 확실히 알아두세요.

액세스 규칙으로 이동합니다(ASDM -> 구성 -> 방화벽 -> 액세스 규칙).

추가 -> 접근 규칙 추가

인터페이스: 외부(내부는 아님)
조치: 허가
출처 : 모두
대상: [위와 동일한 공용 IP 주소](내부IP 아님)
서비스: tcp/http, tcp/https

확인을 클릭하세요

그게 다야. 외부/공용 IP에 대한 보안 액세스를 허용한 다음 보안 규칙이 허용하는 경우 NAT가 변환을 수행한다는 아이디어가 있다고 생각합니다.

Answer