Академический Документы
Профессиональный Документы
Культура Документы
Firewall
Guia Prtico
2014
v1.0
Renato Pesca
1 Sumrio
2
Topologia ............................................................................................. 3
Sincronismos Utilizados...................................................................... 15
Objetos .............................................................................................. 16
7.1 Network Objects/Groups ............................................................. 16
7.2 Service Objects/Groups................................................................ 17
NAT .................................................................................................... 19
8.1 Tipos de NAT ................................................................................ 21
8.2 Verificao de NAT na CLI ............................................................ 22
8.3 Estado das Conexes ................................................................... 22
ACL ..................................................................................................... 23
9.1 Global Access Lists ....................................................................... 25
10
11
Features .......................................................................................... 28
12
12.1
Backup ...................................................................................... 28
12.2
Restore ..................................................................................... 31
13
Troubleshooting .............................................................................. 35
2 Topologia
Figura 1: Topologia
3 Preparao do Appliance
Nesta seo adicionamos o mnimo de configurao necessria para
acesso remoto.
Conectando via console, temos acesso global ao equipamento:
Caso seja necessrio adicionar mais usurios, isso pode ser feito em
Configuration >> Device Management >> Users/AAA >> User Accounts,
conforme figuras 7 e 8.
Atente-se de que um usurio s ter permisso para login via SSH caso
seja marcada a opo correspondente.
Acessveis no caminho Device Setup >> Routing >> Static Routes. Caso seja
necessrio adicionar uma rota, proceda com a tarefa em Device Setup >>
Routing >> Static Routes >> Add.
Figura 16: Sada do comando "show running-config" executado a partir da interface grfica
4 Licena do Appliance
Acessvel atravs de Device Management >> Licensing >> Activation Key.
Figura 24: Criao de um grupo de servios de rede. Observe que voc pode adicionar vrios protocolos ao grupo
recm-criado (Members in Group)
8 NAT
As regras de NAT podem ser visualizadas em Configuration >> Firewall >>
NAT Rules.
Com base na topologia apresentada, ser criado um NAT para cada IP VIP,
redirecionando todo o trfego (ou parte dele) para um IP na rede abaixo
(rede LAN).
9 ACL
Acrnimo de Access Control List ou Lista de Controle de Acessos.
Representam efetivamente as regras de firewall do Cisco ASA.
Tambm constitui um objeto composto por outros objetos, como
informado na seo 5.
As ACLs podem ser visualizadas em Configuration >> Firewall >> Access
Rules.
A verificao de ACL em conjunto com a rotina de log do ASDM
extremamente til durante um troubleshooting.
10 Public Servers
O conceito de Public Server define o acesso externo a hosts internos
usando um IP da interface externa (outside).
No deixa de ser um recurso de NAT embutido no Cisco ASA para facilitar
a vida do administrador.
Para acessar o recurso dirija-se a Configuration >> Public Servers.
11 Features
O Cisco ASA possui tambm as seguintes capacidades:
Proxy Transparente
Bridge
Tratamento de trfego com QoS
Inspection de pacotes, liberando o pacote ou no de acordo com a
checagem correlata.
12 Backup e Restore
12.1 Backup
Figura 37: Backup personalizado, onde seleciona-se somente o que se quer guardar
12.2 Restore
Figura 43: Seleo de backup a ser restaurado para o appliance (extenso zip)
Figura 45: Aviso de restaurao sobre o que pode acontecer com as configuraes vigentes
13 Troubleshooting
O CLI, logging, traceroute e Packet Tracer so boas ferramentas de
anlise.
O Packet Tracer faz anlise de uma origem para um destino e vice-versa,
descrevendo todo o trajeto do pacote e a influncia de cada regra sobre
ele.
Quando o pacote liberado o indicador exibido na cor verde, caso
contrrio, na cor vermelha.
Lembre-se de que uma regra de NAT pode modificar a origem e/ou
destino de um pacote de modo que ele no seja aceito em alguma etapa
do curso que percorrido, o que pode ser detectado facilmente com a
ferramenta Packet Tracer.
A ferramenta de logging acessvel em Monitoring >> Logging >> View,
onde o filtro desejado pode ser configurado.
Ping e traceroute so ferramentas comuns na maioria dos sistemas unix
like, acessveis em Tools >> Ping e Tools >> Traceroute, respectivamente.