ASA Tűzfal alapok

Alapvető működés

Beérkezik egy csomag:

  1. A tűzfal megvizsgálja, hogy a csomag tartozik-e egy már meglévő kapcsolathoz.
    • Ha igen, akkor továbbítja a csomagot a címzettnek.
    • Ha nem, akkor a következő lépéssel folytatja.
  2. A tűzfal döntést hoz a csomag továbbításáról:
    • Ha a csomagra van érvényes ACL (pl. a beérkező interfészen, bemeneti irányban), akkor az ACL-nek megfelelően jár el, továbbítja vagy eldobja a csomagot.
    • Ha nincs ACL, akkor az interfészek biztonsági szintje alapján hoz döntést. Ha a csomag nagyobb biztonsági szint felől kisebb biztonsági szint fel halad, akkor engedélyezett, minden más esetben tiltott.
  3. Ha a tűzfal engedélyezte a csomagot, meg is vizsgálja azt, és felvesz egy bejegyzést a kapcsolat táblájába. Így az ehhez tartozó visszatérő forgalom az 1. lépésben automatikusan engedélyezve lesz.

Interfész beállítása

interface GigabitEthernet0/0
  ip address 192.168.1.254 255.255.255.0
  nameif inside             ! Az interfész neve, később ezzel hivatkozunk rá
  security-level 100        ! Az interfész biztonsági szintje, magyarázat fentebb
  no shutdown

interface GigabitEthernet0/1
  ip address 10.0.0.254 255.255.255.0
  nameif outside
  security-level 0
  no shutdown

Az interfészek konfigurációja már elkészült, de ICMP forgalmat az alap beállítás szerint nem vizsgál az ASA, így az nem kerül be a kapcsolattáblába, ezért a visszatérő forgalom nem fog bejutni. Ehhez az ICMP-t fel kell venni a vizsgálandó protokollok közé:

policy-map global_policy
  class inspection_default
    inspect icmp

Access listek használata

Ha az alap security level mechanikán kívül is szeretnénk forgalmat engedélyezni, például egy belső szerver kívülről való eléréséhez, létre kell hozni egy access listet, és azt egy interfacehez rendelni.

Tegyük fel, hogy egy webszerver fut a 192.168.1.1 címen, amit kívülről, bármilyen címről el szeretnénk érni.

FONTOS: ASA-n ACL-ben nem fordított maszkot, hanem rendes maszkot kell megadni. Lásd a példán.

! ACL sor, ami engedélyezi a forgalmat
access-list WEBSRV extended permit tcp any host 192.168.1.1 eq 80

! Ugyanaz a sor, 'any' és 'host' makrók nélkül
access-list WEBSRV extended permit tcp 0.0.0.0 0.0.0.0 192.168.1.1 255.255.255.255 eq 80

! Az ACL alkalmazása a külső interfészre, bejövő csomagok esetén
access-group WEBSRV in interface outside

Így az outside interfész irányából érkező csomagok is elérik a szerveren futó HTTP szolgáltatást. (TCP/80-as portot)