Создание правил NAT и политик безопасности для порта 443/80 на Cisco ASA 5510

Question 1

Поскольку это ваш первый опыт работы с межсетевым экраном, я упоминаю дополнительную конфигурацию, которая поможет вам в изучении/отладке конфигурации ASA.

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

Вы можете добавить ведение журнала, чтобы облегчить отладку, используя

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

Сервер syslog должен прослушивать UDP-порт 514 на предмет сообщений syslog от брандмауэра. Они полезны при отладке проблем во время экспериментов с брандмауэром перед развертыванием в производстве.

Это чрезвычайно небезопасная конфигурация брандмауэра, так как включен telnet и это со всех внутренних IP. Также все разрешено. Идея в том, чтобы помочь вам протестировать конфигурацию NAT, не беспокоясь о ACL.

Теперь для перенаправления соединений на порт 80 для внешнего интерфейса ASA на какой-либо сервер используйте

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

Аналогично для 443 используйте

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

Как только вы освоитесь с NAT, перейдите к использованию внутренней, внешней и DMZ и настройте ограничительный ACL, чтобы разрешить только соответствующий трафик.

Существуют также другие типы NAT/PAT, которые можно настроить в ASA.

Answer

Поскольку это ваш первый опыт работы с межсетевым экраном, я упоминаю дополнительную конфигурацию, которая поможет вам в изучении/отладке конфигурации ASA.

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

Вы можете добавить ведение журнала, чтобы облегчить отладку, используя

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

Сервер syslog должен прослушивать UDP-порт 514 на предмет сообщений syslog от брандмауэра. Они полезны при отладке проблем во время экспериментов с брандмауэром перед развертыванием в производстве.

Это чрезвычайно небезопасная конфигурация брандмауэра, так как включен telnet и это со всех внутренних IP. Также все разрешено. Идея в том, чтобы помочь вам протестировать конфигурацию NAT, не беспокоясь о ACL.

Теперь для перенаправления соединений на порт 80 для внешнего интерфейса ASA на какой-либо сервер используйте

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

Аналогично для 443 используйте

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

Как только вы освоитесь с NAT, перейдите к использованию внутренней, внешней и DMZ и настройте ограничительный ACL, чтобы разрешить только соответствующий трафик.

Существуют также другие типы NAT/PAT, которые можно настроить в ASA.

Question 2

Использование веб-интерфейса (ASDM):

1. Добавьте статическое правило NAT. Перейдите в Конфигурация -> NAT. Нажмите Добавить, затем "Добавить правило статического NAT". Введите информацию о вашем внутреннем IP в поле Реальный адрес и информацию о вашем внешнем IP в поле Статическое преобразование. Отметьте галочкой "Включить PAT" и введите 80 (или 443).

2. Измените политику безопасности, чтобы разрешить трафик. Перейдите в Конфигурация -> Политика безопасности. Нажмите Добавить и создайте правило, разрешающее входящий трафик с внешнего интерфейса (источник любой) на внутренний IP-адрес (указав порт).

Answer

Использование веб-интерфейса (ASDM):

1. Добавьте статическое правило NAT. Перейдите в Конфигурация -> NAT. Нажмите Добавить, затем "Добавить правило статического NAT". Введите информацию о вашем внутреннем IP в поле Реальный адрес и информацию о вашем внешнем IP в поле Статическое преобразование. Отметьте галочкой "Включить PAT" и введите 80 (или 443).

2. Измените политику безопасности, чтобы разрешить трафик. Перейдите в Конфигурация -> Политика безопасности. Нажмите Добавить и создайте правило, разрешающее входящий трафик с внешнего интерфейса (источник любой) на внутренний IP-адрес (указав порт).

Question 3

Похоже, на этот вопрос давно не отвечали, но я попытаюсь объяснить, что у нас с 5510.

Во-первых, я слышал, что есть проблемы, которые возникают, если у вас только один внешний/публичный IP-адрес. Вам нужно сделать дополнительную настройку, и я не уверен, что это такое. Я предполагаю, что у вас есть по крайней мере два, и один из них — внешний IP-адрес брандмауэра. Мы будем использовать доступный ниже.

В ASDM перейдите в Конфигурация -> Брандмауэр -> Правила NAT.

Нажмите Добавить -> Добавить статическое правило NAT.

Оригинал -> Интерфейс: внутри
Оригинал -> Источник: [внутренний IP-адрес]
Перевод -> Интерфейс: внешний
Перевод -> Использовать IP-адрес: [неиспользуемый публичный IP-адрес]
Трансляция адресов портов -> Включить трансляцию адресов портов
Трансляция адреса порта -> Протокол: TCP
Перевод адреса порта -> Исходный порт: http
Перевод адреса порта -> Переведенный порт: http

Нажмите OK. Вы можете добавить еще одно правило для https/443, как только убедитесь, что http/80 работает.

Далее следует часть, которая заставила меня запутаться, когда я впервые получил свой 5510, поэтому убедитесь, что вы знаете, что и куда класть.

Перейдите в Правила доступа (ASDM -> Конфигурация -> Брандмауэр -> Правила доступа)

Добавить -> Добавить правило доступа

Интерфейс: внешний(не внутри)
Действие: Разрешить
Источник: любой
Место назначения: [тот же публичный IP-адрес, что и выше](не внутренний IP)
Служба: tcp/http, tcp/https

Нажмите ОК.

Это должно быть так. Я думаю, что идея в том, что вы разрешаете безопасный доступ к внешнему/публичному IP, а затем NAT выполняет преобразование, если это разрешено правилом безопасности.

Answer