為 Cisco ASA 5510 上的連接埠 443/80 建立 NAT 規則和安全性原則

Question 1

由於這是您第一次使用防火牆，我提到額外的配置，這將幫助您學習/調試 ASA 配置

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

您可以新增日誌記錄以協助您進行偵錯

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

系統日誌伺服器應在 UDP 連接埠 514 上偵聽來自防火牆的系統日誌訊息。這些有助於在部署到生產之前試驗防火牆時調試問題。

這是極度不安全的防火牆配置，因為 telnet 已啟用，而且所有內部 IP 都已啟用。一切都被允許。這個想法是幫助您測試 NAT 配置，而不必擔心 ACL。

現在將連線轉送至 ASA 外部介面的連接埠 80 供某些伺服器使用

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

同樣適用於 443 使用

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

一旦您熟悉了 NAT，您可以選擇內部、外部和 DMZ，並設定限制性 ACL 以僅允許相關流量。

您也可以在 ASA 中設定其他類型的 NAT/PAT。

Answer

由於這是您第一次使用防火牆，我提到額外的配置，這將幫助您學習/調試 ASA 配置

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

您可以新增日誌記錄以協助您進行偵錯

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

系統日誌伺服器應在 UDP 連接埠 514 上偵聽來自防火牆的系統日誌訊息。這些有助於在部署到生產之前試驗防火牆時調試問題。

這是極度不安全的防火牆配置，因為 telnet 已啟用，而且所有內部 IP 都已啟用。一切都被允許。這個想法是幫助您測試 NAT 配置，而不必擔心 ACL。

現在將連線轉送至 ASA 外部介面的連接埠 80 供某些伺服器使用

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

同樣適用於 443 使用

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

一旦您熟悉了 NAT，您可以選擇內部、外部和 DMZ，並設定限制性 ACL 以僅允許相關流量。

您也可以在 ASA 中設定其他類型的 NAT/PAT。

Question 2

使用 Web 介面 (ASDM)：

1. 新增靜態 NAT 規則。 轉至配置 -> NAT。按一下“新增”，然後按一下“新增靜態 NAT 規則”。在「真實位址」下輸入您的內部 IP 訊息，在「靜態轉換」下輸入您的外部 IP 資訊。勾選“啟用 PAT”並輸入 80（或 443）。

2. 修改安全性策略以允許流量。 前往配置 -> 安全性原則。按一下「新增」並建立一條規則，允許從外部介面（來源任意）到內部 IP 位址（指定連接埠）的傳入流量。

Answer

使用 Web 介面 (ASDM)：

1. 新增靜態 NAT 規則。 轉至配置 -> NAT。按一下“新增”，然後按一下“新增靜態 NAT 規則”。在「真實位址」下輸入您的內部 IP 訊息，在「靜態轉換」下輸入您的外部 IP 資訊。勾選“啟用 PAT”並輸入 80（或 443）。

2. 修改安全性策略以允許流量。 前往配置 -> 安全性原則。按一下「新增」並建立一條規則，允許從外部介面（來源任意）到內部 IP 位址（指定連接埠）的傳入流量。

Question 3

看起來這個問題已經有一段時間沒有得到回應了，但我會嘗試解釋一下 5510 上的內容。

首先，我聽說如果您只有一個外部/公用 IP 位址，就會出現問題。你必須做一些額外的配置，我不確定那是什麼。我假設您至少有兩個，其中之一是防火牆的外部 IP。我們將使用下面一個可用的。

在 ASDM 中，前往設定 -> 防火牆 -> NAT 規則

點選新增 -> 新增靜態 NAT 規則

原始->介面：內部
原文 -> 來源：[內部 IP 位址]
翻譯 -> 介面：外部
已翻譯 -> 使用 IP 位址：[未使用的公用 IP 位址]
連接埠位址轉換 -> 啟用連接埠位址轉換
連接埠位址轉換 -> 協定：TCP
連接埠位址轉換 -> 原始連接埠：http
連接埠位址轉換 -> 轉換後的連接埠：http

按一下“確定”。一旦確定 http/80 正常運作，您就可以為 https/443 新增另一個規則。

接下來是我第一次拿到 5510 時讓我感到困惑的部分，所以請確保您知道哪些東西應該放在哪裡。

前往存取規則（ASDM -> 設定 -> 防火牆 -> 存取規則）

新增->新增存取規則

介面：外部（不在裡面）
行動：許可
來源：任意
目的地：[與上面相同的公共IP位址]（不是內部IP）
服務：tcp/http、tcp/https

按一下“確定”

應該是這樣。我相信這個想法是您允許對外部/公共 IP 進行安全訪問，然後 NAT 在安全規則允許的情況下進行轉換。

Answer