여러 정보를 모아 직접 구성한
Cisco 방화벽 ASA 5505 기본 구성 메뉴얼 입니다.
아직 부족한 점이 많지만, 이 장비를 처음 접하는 분들에게
조금이나마 도움이 되었으면 합니다 :)
CISCO ASA5505-BUN-K9 방화벽 설정
- 목차 -
1 외관, 명칭
4 초기설정
4-3. 현재 구성 확인 및 현재구성 저장, 전체 및 일부 초기화
4-8. 암호 및 사용자(관리자) 설정 (ssh 로그인시 사용)
4-9. ssh 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 D class 전체)
4-10. 네트워크 연결상태 모니터링을 위해 ICMP 허용
4-11. Static Routes - 외부 접속시 사용할 게이트웨이 주소 설정 (내부망 D class 전체)
4-12.내부 네트워크가 인터넷에 연결될 수 있도록 동적 NAT 구성
4-13. DHCP 활성화 (최대 32개가능? , 10~41까지 dhcp 대역으로 설정)
4-14. 설정 사항 저장 (저장하지 않으면 장비 재부팅시 설정내용이 손실됨)
5 원격 관리
5-2. ssh 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 전체)
5-7. telnet 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 전체)
8 기타
9 연락처
10 참조문서 링크 모음
- 네트워크 클래스 (ip addres 체계) http://ko.wikipedia.org/wiki/네트워크_클래스
- VLAN - Virtual LAN http://blog.naver.com/twers/50118732131
- INSIDE - 통상 내부망을 지침
- OUTSIDE - 통상 외부망 (인터넷)을 지침
- ASDM - Adaptive Security Device Manager (웹기반 관리 인터페이스)
- NAT - Network Address Translation
- PAT - Port Address Translation
- Static NAT - 내부IP 주소 하나에 외부 IP주소 하나를 1:1로 할당하는 주소변환
- Dynamic NAT - 여러개의 내부 ip가 하나의 외부 ip로 변환 (IP공유)
- DHCP - Dynamic Host Configuration Protocol
- telnet - Telecommunication Network
- ssh - Secure Shell http://opentutorials.org/module/432/3738
- telnet과 ssh의 차이점 - http://blog.naver.com/PostView.nhn?blogId=gigar&logNo=60118173765
- 제품 이미지
- 구성품
- 포트별 명칭
- 번들로 제공된 파란색 콘솔케이블 연결 (컴퓨터에 시리얼 포트 필요)
- 시리얼 포트가 없는 경우 usb to 시리얼 젠더 사용
- 윈도우용 터미널 프로그램 [하이퍼터미널] 설치 - http://cappleblog.co.kr/298
(XP용 터미널 프로그램을 윈도우 7에서 사용가능)
- 하이퍼 터미널 실행후 환경설정 - 비트/초 9600, 흐름제어 없음
- putty 를 통해서 접속 가능 http://www.putty.org/
- 리눅스 (우분투) 에서 시리얼 접속
- putty 사용 http://www.ubuntu.or.kr/viewtopic.php?p=51089
- minicom 사용 http://blog.naver.com/PostView.nhn?blogId=moonysl&logNo=140155300494
- 접속후 반응이 없으면 (화면에 아무것도 출력되지 않으면) 엔터 입력
연결이 원활하지 않으면 장비 재부팅 (전원 OFF -> ON) / 재부팅에 약 1분 소요
- 장비 재부팅후 정상적으로 접속이 완료된 화면
- 터미널 접속후 명령어 입력상태로 들어가기
- Type help or '?' for a list of available commands.
- >enable // 또는 en
- Password: // 초기 암호 없음, enter
- # config terminal // 또는 #conf t
-> 이후 프롬프트가 # 에서 -> (config)# 으로 변경 됩니다.
- 초기화 명령어 (모든 설정이 초기화 됩니다.)
- # write erase
- # reload
4-1 설정 값 정의 (테스트를 위한 임의 구성)
- 내부망 (inside) ip : 10.10.10.x (게이트웨이 10.10.10.1) 255.255.255.0
- 외부망 (outside) ip : 192.168.0.200 / 255.255.255.0
- 관리 암호 : dasandata
- 관리사용자명 : dasan / 암호 : 028719932
4-2. 초기화 후 최초설정
3번 항목의 명령어를 통해 초기화된 후 시리얼 터미널을 통해 접속한 화면
Pre-configure (사전 설정) 을 하는 경우 설정된 ip 주소로 접속하여 설정을 시작할 수 있지만
사전 설정 없이, 새로 구성하는 것이 좋습니다..
(n 입력후 enter 또는 ctrl+z 로 눌러 건너뛸수 있음)
- Pre-configure Firewall now through interactive prompts [yes]? //enter
- Firewall Mode [Routed]: //enter // Routed 모드로 지정ob
- Enable password [<use current password>]: // 암호를 지정하지 않을 경우 아무것도 입력하지 말고 enter
- Allow password recovery [yes]?
- Clock (UTC): // 날짜, 시간설정
- Year [2013]:
- Month [Jun]:
- Day [4]:
- Time [10:42:55]: 19:50:00
- Inside IP address: 10.10.10.1 // 내부 ip 주소 설정
- Inside network mask: 255.255.255.0
- Host name:
- Domain name:
- Use this configuration and write to flash? //yes
4-3. 현재 구성 확인 및 현재구성 저장, 전체 및 일부 초기화
- # show configuration 또는 #show startup-config // 저장된 (처음 실행된) 구성 표시
- # show running-config // 현재 실행되고 있는 구성 표시
- # show running-config host // 현재 실행되고 있는 일부 설정값 표시
- # write // 현재 구성 저장
- # clear configure all // 저장되지 않은 구성 전체 초기화
- # clear configure host // 일부 설정만 초기화
- # copy startup-config running-config // 저장된 (초기 부팅시 사용된) 구성으로 복원
- 예을 들어 저장하지 않고 (write) clear configure all을 실행하면 전체 값이 초기화되고
저장하지 않고 재부팅 하는 경우 설정된 구성이 모두 이전에 저장되었던 상태로 복원됨.
ciscoasa(config)# hostname dasan // host name을 dasan으로 변경
dasan(config)# show configuration // 또는 # show startup-config
프롬프트는 dasan으로 변경되었으나 저장된 정보는 cisco임
: Saved
: Written by enable_15 at 12:42:09.669 UTC Mon Jun 10 2013
!
ASA Version 8.2(5)
!
hostname ciscoasa
dasan(config)# write // 메모리에 쓰기 작업 실행
Building configuration...
Cryptochecksum: 79a78ed6 ff7428b1 f4920cf0 bf91fb9e
2038 bytes copied in 1.700 secs (2038 bytes/sec)
[OK]
dasan(config)# show configuration // 실제 저장된 정보 변경되었는지 확인
: Saved
: Written by enable_15 at 12:46:37.779 UTC Mon Jun 10 2013
!
ASA Version 8.2(5)
!
hostname dasan
dasan(config)# clear configure all // 모든 구성 초기화
ciscoasa(config)# show configuration // 또는 # show startup-config
프롬프트는 초기화 되었지만, 저장된 정보는 dasan으로 표기됨
: Saved
: Written by enable_15 at 12:46:37.779 UTC Mon Jun 10 2013
!
ASA Version 8.2(5)
!
hostname dasan
ciscoasa(config)# reload // 검증을 위해 재부팅
System config has been modified. Save? [Y]es/[N]o: // 변경된 정보 저장하지 않음 -> n입력후 enter
Proceed with reload? [confirm]
dasan> en
Password:
dasan# config t
dasan(config)# // 저장하지 않은 경우 재부팅 후에도 기존에 저장된 설정(host -> dasan)이 복원됩니다.
4-4.라우팅 모드 지정
http://blog.naver.com/PostView.nhn?blogId=bestrouting&logNo=50094136714
- # show firewall // 현재 모드 확인
- # no firewall transparent // Router 모드로 설정 (기본값)
4-5. 장비 관리 암호 설정
- # enable password dasandata // dasandata 로 지정
- # enable password dasandata8719932 encrypted // encrypted 옵션을 추가하면 길이 ,형식 제약
- # enable password // 공백으로 비우면 암호 해제
4-6. 날짜 시간 설정
clock zone date {day month | month day} year hh:mm {day month | month day} year hh:mm [offset]
- # clock timezone KST 9 // 타임존 설정
- # clock set 23:22:00 10 jun 2013 // 2013년 6월 10일 23시 22분 으로 설정
- # ntp server 141.223.182.106 // NTP 설정 http://time.ewha.or.kr/domestic.html
4-7. VLAN 인터페이스 설정
- # interface vlan2 // vlan2 인터페이스 설정
- # security-level 0 // 보안레벨 설정
- # nameif outside // 인터페이스 이름 정의
- # ip address 192.168.0.200 255.255.255.0 // 인터페이스 ip 설정
- # interface ethernet 0/0 // ethernet 0번포트를
- # switchport access vlan 2 // vlan2 에 할당
- # no shutdown
- # interface vlan1 // vlan1 인터페이스 설정
- # security-level 100 // 보안레벨 설정
- # nameif inside // 인터페이스 이름 정의
- # ip address 10.10.10.1 255.255.255.0 // 인터페이스 ip 설정
- # interface ethernet 0/1 // ethernet 1번포트를
- # switchport access vlan 1 // vlan1 에 할당
- # no shutdown
- # interface ethernet 0/2 // 2번포트를
- # switchport access vlan 1 // vlan1 에 할당
- # no shutdown
- # interface ethernet 0/3
- # switchport access vlan 1
- # no shutdown
- # interface ethernet 0/4
- # switchport access vlan 1
- # no shutdown
- # interface ethernet 0/5
- # switchport access vlan 1
- # no shutdown
- # interface ethernet 0/6
- # switchport access vlan 1
- # no shutdown
- # interface ethernet 0/7
- # switchport access vlan 1
- # no shutdown // ethernet 7번포트 까지 vlan1에 할당
4-8. 암호 및 사용자(관리자) 설정 (ssh 로그인시 사용)
- # username user_here password password_here encrypted privilege 15
// encrypted privilege 15 보안강화옵션
4-9. ssh 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 D class 전체)
- # aaa authentication ssh console LOCAL // 로컬사용자가 ssh 로그인 가능하도록 허용
- # ssh 10.10.10.0 255.255.255.0 inside
- # ssh timeout [분 1~60] // 입력이 없을때 접속 자동으로 끊어지는 시간 설정
*4-9. 이후 부터는 ssh를 통해 원격지에서 로그인하여 설정 가능
4-10. 네트워크 연결상태 모니터링을 위해 ICMP 허용
- # object-group icmp-type DefaultICMP
- # description Default ICMP Types permitted
- # icmp-object echo-reply
- # icmp-object unreachable
- # icmp-object time-exceeded
- # access-list acl_outside extended permit icmp any any object-group DefaultICMP
- # access-group acl_outside in interface outside
4-11. Static Routes - 외부 접속시 사용할 게이트웨이 주소 설정 (내부망 D class 전체)
ex) route if_name dest_ip mask gateway_ip [distance]
- # route outside 0 0 192.168.0.1
4-12.내부 네트워크가 인터넷에 연결될 수 있도록 동적 NAT 구성
Inside Interface의10.10.10.x Network이 외부네트워크(Outside)로갈때,
outside interface 를 사용한다. (IP Address 192.168.0.200)
4-13. DHCP 활성화 (최대 32개가능? , 10~41까지 dhcp 대역으로 설정)
- # dhcpd address 10.10.10.19-10.10.10.41 inside
- # dhcpd dns 8.8.8.8 8.8.4.4 // google 1,2차 DNS 입니다.
- # dhcpd enable inside
4-14. 설정 사항 저장 (저장하지 않으면 장비 재부팅시 설정내용이 손실됨)
- #write memory 또는 #write, #wr
5-1 ssh를 통한 관리
- 원격지에서 ssh 클라이언트를 통한 방화벽 관리
5-2. ssh 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 전체)
- # aaa authentication ssh console LOCAL // 로컬사용자가 ssh 로그인 가능하도록 허용
- # ssh 10.10.10.0 255.255.255.0 inside
- # ssh timeout [분 1~60] // 입력이 없을때 접속 자동으로 끊어지는 시간 설정
5-3. ssh 클라이언트
- http://www.putty.org/ (리눅스, 윈도우 공용)
5-4. ASDM을 통한 관리
- 웹브라우저를 통해 방화벽 관리 (익스플로러)
5-5. ASDM 접속 활성화
- # dir (ASDM 파일명 확인, asdm-645.bin 와 비슷한 형식)
- # http server enable // web 서버 활성화
- # http 10.10.10.0 255.255.255.0 inside // 접속 가능한 ip대역 지정 (내부망 전체)
- # asdm image disk0:/asdm-645.bin <- dir로 확인한 ASDM 이미지 파일명 입력 // asdm 이미지 연결
5-5. ASDM 웹브라우저로 접속
- https://10.10.10.1 // https://로 접속 해야 함
5-6. telnet 을 통한 관리
- 원격지에서 방화벽 관리를 용이하게 하기 위해 (윈도우)
5-7. telnet 접속 활성화 및 접속가능한 ip 대역 지정 (내부망 전체)
- # telnet 0.0.0.0 0.0.0.0 inside
5-8. 윈도우 7 용 텔넷 클라이언트
- 윈도우 클라이언트 활성화 http://shinb.tistory.com/111
- tenlet을 통해 장비에 접속
- 외부 인터페이스 (192.168.0.200) ftp 로 접근하면 10.10.10.19 의 ftp로 연결
- # static (inside,outside) tcp interface ftp 10.10.10.19 ftp netmask 255.255.255.255
- # access-list acl_outside permit tcp any interface outside eq ftp
- # access-group acl_outside in interface outside
- # show access-list
- access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
- alert-interval 300
- # access-list acl_outside permit tcp any interface outside eq $
- # show access-list
- access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
- alert-interval 300
- access-list acl_outside; 1 elements; name hash: 0xdcd74233
- access-list acl_outside line 1 extended permit tcp any interface outside eq ftp (hitcnt=0) 0x62470edd
- #
- VLAN 정보 확인
- #show vlan
- Dynamic NAT 환경설정 확인
- #nat show dynamic
- PAT 설정확인
- #nat show pat
- 설정 지우기 (no 를 앞에 붙입니다.)
- #no <지워야할 설정 명령어>
ex) #no http server enable
- 사용자 삭제
- # no username name_user_to_delete(삭제할 사용자명)
- vlan mac address 확인
- # show interface vlan 1
- Interface Vlan1 "inside", is up, line protocol is up
- Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec
- MAC address xxxx.xxxx.xxxx, MTU 1500
- IP address 10.10.10.1, subnet mask 255.255.255.0
- Traffic Statistics for "inside":
- 225262 packets input, 17941107 bytes
- 81819 packets output, 52581621 bytes
- 142335 packets dropped
- 1 minute input rate 2 pkts/sec, 166 bytes/sec
- 1 minute output rate 1 pkts/sec, 87 bytes/sec
- 1 minute drop rate, 0 pkts/sec
- 5 minute input rate 2 pkts/sec, 291 bytes/sec
- 5 minute output rate 1 pkts/sec, 195 bytes/sec
- 5 minute drop rate, 0 pkts/sec
- #
- # show interface vlan 2
- Interface Vlan2 "outside", is up, line protocol is up
- Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec
- MAC address xxxx.xxxx.xxxx, MTU 1500
- IP address 192.168.0.200, subnet mask 255.255.255.0
- Traffic Statistics for "outside":
- 145142 packets input, 58033410 bytes
- 111845 packets output, 26528585 bytes
- 28460 packets dropped
- 1 minute input rate 2 pkts/sec, 284 bytes/sec
- 1 minute output rate 1 pkts/sec, 121 bytes/sec
- 1 minute drop rate, 1 pkts/sec
- 5 minute input rate 3 pkts/sec, 301 bytes/sec
- 5 minute output rate 1 pkts/sec, 188 bytes/sec
- 5 minute drop rate, 0 pkts/sec
- #
- ethernet interface mac address 확인
- # show interface ethernet 0/0
- Interface Ethernet0/0 "", is up, line protocol is up
- Hardware is 88E6095, BW 100 Mbps, DLY 100 usec
- Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
- Input flow control is unsupported, output flow control is unsupported
- Available but not configured via nameif
- MAC address xxxx.xxxx.xxxx, MTU not set
- IP address unassigned
- 200088 packets input, 68454189 bytes, 0 no buffer
- Received 54808 broadcasts, 0 runts, 0 giants
- 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
- 0 pause input, 0 resume input
- 0 L2 decode drops
- 53354 switch ingress policy drops
- 112614 packets output, 28847792 bytes, 0 underruns
- 0 pause output, 0 resume output
- 0 output errors, 0 collisions, 0 interface resets
- 0 late collisions, 0 deferred
- 0 rate limit drops
- 0 switch egress policy drops
- 0 input reset drops, 0 output reset drops
- #
- 싱글, 멀티 모드 (Context)
http://blog.naver.com/PostView.nhn?blogId=bestrouting&logNo=50094141407&parentCategoryNo=&categoryNo=&viewDate=&isShowPopularPosts=false&from=postView
*ASA 5510 모델 부터 지원 됩니다.
- 다산데이타 TEL: 02-871-9932 / e-mail: MAIL@DASANDATA.CO.KR
Cisco Security Appliance Command Line Configuration Guide
http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/conf_gd.html
Cisco ASA 5500 Configuration Guide Document https://www.google.co.kr/search?q=Cisco+ASA+5500+Configuration+Guide+Document&num=50&newwindow=1&safe=off&nfpr=1&source=lnt&tbs=lr:lang_1ko&lr=lang_ko&sa=X&ei=1i2tUZrLDKqciAeFr4HACg&ved=0CBgQpwUoAQ&biw=1381&bih=1008
[네트워크,네트워크공부,네트워크자격증,,CCNA,CCNP] ASA/PIX 연습
http://blog.daum.net/hackerblog/4856634
Howto: configure a Cisco ASA 5505
*기타.
- 초기 firmware에서는, ASDM 을 통한 설정시에는 interface가 2개를 넘지 못합니다 (license에러, bug임) 보내주신 9.5.2에서는 8개 모두 설정 가능합니다
- Windows 10 에서는 JAVA 8 사용시 ASDM에서 configuration load fail이 빈번히 일어나고 firepower 설정 메뉴가 정상적으로 나오지 않아 license등록이 안됩니다.
Java 7으로 해결하였습니다.