جهت مشاهده کانفیگ موجود بر روی PIX می توانید از کامند زیر در مد Privileged استفاده کنید:
#write term
جهت پاک کردن کانفیگ موجود بر روی PIX میتوانید از کامند زیر در مد Privileged استفاده کرده و سپس فایروال را reload کنید:
#write erase
جهت ذخیره کانفیگ بر روی PIX می توانید از کامند زیر در مد Privileged استفاده کنید:
#write mem
نحوه آدرس دهی به اینترفیس های PIX
فایروال های PIX حداقل دارای 2 پورت اترنت می باشند که یکی از این پورت ها به منظور ارتباط با شبکه داخلی و یا در اصطلاح inside می باشد و پورت دیگر برای ارتباط با دنیای خارج و در اصطلاح Outside می باشد.
در IOS ورژن 6.3 اینترفیس 0 به صورت پیش فرض برای Outside و اینترفیس 1 برای Inside در نظر گرفته شده است. اما در ورژن 7 به بالا پس از نامگذاری اینترفیس با دستور “nameif” ، Security Level بنا به Inside و Outside بودن به صورت خودکار تعیین می شود. اینترفیس inside دارای بالاترین Security Level با مقدار 100 و اینترفیس outside دارای پایین ترین Security Level با مقدار 0 میباشد. در صورت داشتن اینترفیس های بیشتر می توانید Security Levelهای مختلفی را در بازه ی 1 تا 99 به آن ها اختصاص دهید.
در این مثال آی پی مربوط به اینترفیس outside را 192.168.16.7 و آی پی مربوط به اینترفیس inside را 192.168.201.2 در نظر گرفته ایم. در واقعیت آی پی outside معمولا Public می باشد.
(WAN Interface Configuration (OS Version 6.3
Ip address outside 192.168.16.7 255.255.255.0 #
interface ethernet0 auto #
(LAN Interface Configuration (OS Version 6.3
ip address inside 192.168.201.2 255.255.255.0 #
interface ethernet1 auto #
(WAN Interface Configuration (OS Version 7
interface eth0/0 #
nameif outside #
duplex auto #
speed auto #
ip address 192.168.16.7 255.255.255.0 #
no sh #
(LAN Interface Configuration (OS Version 7
interface eth0/1 #
nameif inside #
duplex auto #
speed auto #
Ip address 192.168.201.2 255.255.255.0 #
no sh #
برای عبور ترافیک از Security Level بالا به سمت Security Level پایین نیاز به NAT و برای عبور ترافیگ به صورت برعکس نیاز به نوشتن ruleها و Access-List می باشد. اینترفیس هایی که دارای Security Level یکسان می باشند نمی توانند با یک دیگر ارتباط برقرار کنند.
فعال کردن Telnet و SSH بر روی PIX
برای فعال کردن Telnet بر روی PIX کافیست با استفاده از کامند enable password یک پسورد تعیین کرده و IP مربوط به کامپیوتری که قرار است Telnet بزند را به وسیله کامند زیر برای فایروال تعیین کنیم:
telnet 192.168.201.3 255.255.255.255 inside#
توجه داشته باشید که Telnet را فقط می توان بر روی اینترفیس Inside فعال کرد و برای اتصال به فایروال از طریق اینترفیس Outside می بایست SSH را بر روی PIX فعال کنیم. برای این منظور به وسیله ی کامند زیر برای SSH پسورد تعریف می کنیم و در مرحله بعد IP مربوط به کامپیوتری که قرار است SSH بزند را برای فایروال تعیین می کنیم.
Username در زمان اتصال از طریق SSH به فایروال، “pix” می باشد.
<passwd <password for ssh#
ssh 192.168.16.7 255.255.255.255 outside#
تنظیمات NAT در PIX
کاربران شبکه داخلی برای اتصال به خارج شبکه و اینترنت نیازمند Public IP می باشند. برای این منظور می توان از NAT استفاده کرده، به این صورت که کاربران دارای Private IP به هنگام اتصال به اینترنت، از یک Public IP استفاده می کنند. البته NAT انواع مختلفی دارد:
- Static NAT :در این مدل هر آی پی Private دقیقا به یک آی پی Public ترجمه و با در اصطلاح map می شود. از این روش می توان برای سرورهای داخل شبکه استفاده کرد که نیاز به دسترسی از بیرون از شبکه به آن ها وجود دارد. کامند استاتیک به شکل زیر می باشد:
Static (internal_if_name , external_if_name) Global_IP Local_IP netmask mask#
در این جا internal_if_name همان اینترفیس با Security_Level بالا می باشد که ترافیک به سمت آن می رود و external_if_name اینترفیس با Security_Level پایین می باشد که ترافیک از آن سمت می آید(برای مثال اینترفیس متصل به اینترنت). Local_IP نیز آی پی سرور می باشد. ب بیان ساده تر می توان کامند را به شکل زیر نوشت:
Static (High,Low) Low High#
e.g. #Static (dmz,outside) 192.168.16.10 172.16.1.10 netmask 255.255.255.0 0 0
در این مثال فرض کنید یک اینترفیس با نام dmz دارید و سرور شما پشت این اینترفیس قرار گرفته است. برای دادن دسترسی به این سرور از خارج از شبکه یا اینترنت از این کامند استفاده می کنیم. این کامند به این معنی می باشد که هر ارتباطی از خارج به سمت 192.168.16.10 را به سمت سرور با آی پی 172.16.1.10 بفرست.
یکی دیگر از موارد استفاده کامند استاتیک زمانی است که بخواهیم بدون استفاده از NAT و ترجمه ی آدرس ها از یک Security_Level بالا به سمت یک Security_Level پایین تر برویم. برای مثال فرض کنید بدون NAT می خواهیم از اینترفیس inside به سمت dmz برویم. در این مدل کامند تا حدودی متفاوت از حالت قبل می باشد.
Static (High , Low) High High#
e.g. #static (inside,dmz) 192.168.201.0 192.168.201.0 netmask 255.255.255.0 0 0
در این کامند می گوییم اگر شبکه 192.168.201.0 به سمت dmz آمد، بدون ترجمه و تغییر آی پی ارتباط بین دو اینترفیس برقرار شود.
- Dynamic NAT : یک آی پی می تواند به مجموعه ای از آی پی های Public ترجمه شود.
- OevrLoading : این مدل جز Dynamic NATها محسوب می شود، با این تفاوت که همه ی آی پی های Private به یک آی پی Public ترجمه می شوند. در این روش برای متمایز کردن آی پی های Private از یک دیگر، پورت را به همراه آی پی map کرده و در جدولی نگهداری می شود. در این جا نیز از همین روش برای NAT استفاده می کنیم و تمامی آی پی ها را به آی پی اینترفیس Outside ترجمه یا map می کنیم.
برای تنظیمات NAT میتوان یک Range خاص از شبکه و یا کل شبکه را NAT کرد.
(یک شبکه خاص) nat (inside) 1 192.168.201.0 255.255.255.0 0 0 #
(کل شبکه داخلی) nat (inside) 1 0.0.0.0 0.0.0.0 0 0 #
دو صفر آخر “0 0” در کامند به ترتیب نشان دهنده Maximum Connection و Embryonic Limits می باشد. 0 برای حداکثر تعداد connection به معنای تعداد نا محدود می باشد و برای Embryonic Limits به معنای 0 ارتباط “Half-Open” می باشد، که باعث جلوگیری از حملاتی با connectionهای نیمه باز می شود.
پس از تعیین شبکه ای که قرار است روی آن NAT صورت گیرد، می بایست آدرس آی پی Public را تعیین کنیم که معمولا همان ادرس اینترفیس Outside می باشد. برای این کار از کامند زیر استفاده می کنیم:
global (outside) 1 interface#
نکته ای که باید به آن توجه شود پارامتر 1 در هر دو کامند است که به NAT ID معروف می باشد. عددی که در این جا به کار برده می شود می بایست در هر دو کامند یکسان باشد، در غیر این صورت عملیات NAT صورت نمی گیرد.
در انتها برای فعال کردن و ریست کردن IPهای map شده کامند زیر را می زنیم:
clear xlate#
کانفیگ Access-List
در حالت پیش فرض، شبکه با Security_Level بالا بدون وجود هیچ Access_List ی به شبکه با Security_Level پایین دسترسی دارد؛ یعنی شبکه inside بدون وجود هیچ ACL ی به راحتی می تواند به outside و dmz دسترسی داشته باشد و شبکه dmz می تواند تنها به outside دسترسی داشته باشد. با این حال می توان و می بایست دسترسی های outbound را با استفاده از ACL محدود کرد. دسترسی های outbound را می توان با استفاده از پورت و آی پی مبدا و مقصد محدود کرد.
برای مثال فرض کنید فقط دو آی پی 192.168.201.3 و 192.168.201.4 اجازه دسترسی به http را دارند و بقیه اجازه دسترسی به هیچ سرویسی از TCP را ندارند. برای کانفیگ به صورت زیر عمل می کنیم:
access-list ACL-Outbound permit host 192.168.201.3 any eq www#
access-list ACL-Outbound permit host 192.168.201.4 any eq www#
access-list ACL-Outbound deny tcp any any ew www#
سپس Access-list را به اینترفیس inside اعمال می کنیم:
#access-group ACL-Outbound in interface inside
توجه داشته باشید که Access_List(ACL) ها در PIX تنها در جهت ترافیک inbound اعمال می شود.
استفاده از Object Group در PIX
یکی از راه های کاهش تعداد خطوط کانفیگ شده برای Access-Listها استفاده از Object Group می باشد. علاوه بر این، با استفاده از این روش ACLها نظم بیشتری نیز پیدا می کنند. Object Group را می توان برای مواردی نظیر Hostهای آی پی، Rangeهای مختلف شبکه، پروتکل ها، پورت ها و سرویس های گوناگون تعریف کرد:
- Network-object
- Protocol-object
- Port-object
- Service-object
- Icmp-object
برای مثال فرض کنید می خواهید اجازه دسترسی به چندین پورت مختلف را برای چندین Host در شبکه تعریف کنید. بدون استفاده از Object Group مجبور خواهید بود برای تک تک Hostها به طور جداگانه اجازه دسترسی به هر پورت را بدهید. اما با استفاده از این روش تعداد خطوط ACL به یک خط کاهش میابد.
در صورتی که قصد استفاده از Object Group را دارید، می بایست عبارت “object-group” را در کانفیگ ACL به کار برید.
access-list 100 permit object-group protocols object-group remotes object-group locals object-group services#
در مثال پایین Object Group ی از FTP Serverها تعریف می کنیم و در انتها از آن در تعریف ACL استفاده می کنیم:
object-group network FTP_Servers #
network-object host 172.17.1.10 #
network-object host 172.17.1.14 #
network-object host 172.17.1.15 #
access-list 100 permit tcp any object-group FTP_Servers eq ftp #
برقراری ارتباط Site-to-Site VPN
یکی از راه های ارزان برای برقراری ارتباط بین شعب یک سازمان استفاده از tunnel های مجازی بر روی بستر اینترنت می باشد. فایروال PIX امکان برقراری ارتباط VPN سخت افزاری به صورت Site to Site و Remote Access را به کاربر می دهند. با استفاده از IPsec می توان به صورت Point-to-Point بین دو شعبه ارتباط VPN برقرار کرد. این ارتباط در طول مسیر از چندین روتر عبور می کند اما در ظاهر این گونه به نظر می رسد که یک لینک مستفیم بین دو دیوایس که در edge شعب قرار گرفته اند برقرار شده است.
امنیت اطلاعات مبادله شده یکی از مهم ترین موارد در یک ارتباط VPN می باشد چرا که این ارتباط بر روی بستر عمومی اینترنت بوده و امکان دسترسی افراد غیرمجاز به آن وجود دارد. تکنولوژی IPsec با فراهم آوردن ویژگی های زیر این امنیت را تضمین می کند:
Data Confidentiality
تکنولوژی IPsec تمامی داده های ارسالی را رمزنگاری می کند و این ضمانت را می کند که در صورت دسترسی افراد غیرمجاز به این داده ها امکان رمزگشایی وجود ندارد. IPsec برای رمزنگاری از الگوریتم های DES، 3DES و یا AES استفاده می کند. آن چه که این متد از رمزنگاری را متمایز می کند تولید Key جدید به ازای هر پکت و رمزنگاری متفاوت هر پکت با پکت قبلیست به گونه ای که در صورت رمزگشایی حتی یک پکت و پیدا کردن Key مورد استفاده در رمزنگاری آن، امکان رمزگشایی بقیه پکت ها وجود ندارد.
Data Integrity
این ویژگی این اطمینان را می دهد که داده ی منتقل شده در طول مسیر دستکاری نشده است. برای این کار روترها در دو سر tunnel مقدار hash یا checksum را محاسبه می کنند، در صورتی که دو روتر به یک نتیجه یکسان برسند، داده بدون تغییر و دستکاری انتقال یافته است.
Authentication
این ویژگی به منظور احراز هویت دو سر Tunnel استفاده می شود.
Antireplay
IPsec از این ویژگی برای اطمینان از عدم تکراری بودن پکت های ارسالی استفاده می کند.
یکی از پروتکل های اصلی که IPsec برای رمزنگاری بین دو سایت از آن استفاده می کند IKE (Internet Key Exchange) می باشد. به طور خاص IPsec با استفاده از این پروتکل با تولید کلیدهای مختلف و به صورت متناوب به رمزنگاری اطلاعات مبادله شده می پردازد؛ اگرچه این کلید می تواند به صورت استاتیک و توسط خود Administrator تعیین شود.
ارتباط IPsec در دو مرحله ایجاد می شود؛ در مرحله اول ISAKMP Session ایجاد می شود که طی آن، دو سر ارتباط VPN به تبادل اطلاعات اولیه نظیر نوع پروتکل رمزنگاری، متد مورد استفاده برای Hash و یا Authentication می پردازند که تمامی این اطلاعات در دو سر ارتباط باید یکسان باشد. در این مرحله کلید مورد استفاده برای رمزنگاری اطلاعات نیز برای هر دو سر ارتباط یکسان می باشد. در مرحله بعد روی ISAKMP session ارتباط جدیدی ایجاد می شود که در واقع همان IPsec Tunnel می باشد و اطلاعات اصلی در حقیقت از روی این کانال ارتباطی مبادله می شود. در این session جدید کلید رمزنگاری برای هر جریان اطلاعاتی متفاوت از جریان اطلاعات قبلیست و همین موجب افزایش امنیت این بستر ارتباطی می شود.
در ادامه مراحل کانفیگ VPN میان دو PIX را بررسی می کنیم. در این مثال آی پی اینترفیس outside فایروال یک 192.168.16.7 و آی پی اینترفیس outside فایروال دو 172.22.16.12 میباشد. مرحله اول مربوط به تنظیمات IKE می باشد. توجه داشته باشید که در ابتدا می بایست قابلیت IKE را بر روی اینترفیس های outside در هر دو فایروال فعال کنید. برای این کار از کامند زیر استفاده می کنیم:
PIX1#isakmp enable outside
پس از آن به تعریف Policyهای IKE می پردازیم که در زمان negotiation و ایجاد Tunnel میان دو فایروال تبادل می شود. این موارد شامل نوع رمزنگاری مورد استفاده، الگوریتم Hash مورد استفاده و … می باشد:
PIX1#crypto isakmp policy 1
PIX1# authentication pre-share
PIX1# encryption des
PIX1#hash md5
PIX1# group 1
PIX1# lifetime 1000
سپس با استفاده از کامند “crypto isakmp key” به تعریف Preshared Key و آی پی دیوایس مقابل می پردازیم.
PIX1#crypto isakmp key kavatelecom address 172.22.16.12 netmask 255.255.255.255
پس آز آن به کانفیگ IPSec می پردازیم. ترافیکی که از IPSec عبور میکند را به وسیله ACL تعریف می کنیم:
PIX1# access-list 102 permit ip 192.168.201.0 255.255.255.0 192.168.101.0 255.255.255.0
در مرحله بعد اطلاعات تکمیلی برای برقراری Session میان دو فایروال را می دهیم:
PIX1#crypto IPSec transform-set Kava esp-des esp-md5-hmac
PIX1#crypto map CMAP 1 IPSec-iskamp
PIX1#crypto map CMAP 1 match address 102
PIX1#crypto map CMAP 1 set peer 172.22.16.12
PIX1#crypto map CMAP 1 set transform-set Kava
توجه داشته باشید که ترافیکی که قرار است از Tunnel IPSec عبور کند و با شبکه داخلی پشت فایروال دو (192.168.101.0/24) ارتباط برقرار کند، نباید NAT شود. برای این کار ابتدا ترافیک مورد نظر را به وسیله ACL تعریف کرده و سپس تعیین می کنیم که آن ترافیک خاص NAT نشود.
PIX1#access-list NoNAT permit ip 192.168.201.0 255.255.255.0 192.168.101.0 255.255.255.0
PIX1#nat (inside) 0 access-list NoNAT
در مرحله آخر Crypto MAP را به اینترفیس outside اعمال می کنیم و به فایروال اجازه می دهیم تا ترافیک مربوط به IPSec را از خود عبور دهد:
PIX1#crypto map CMAP interface outside
PIX1# sysopt connection permit-VPN
تمامی این کانفیگ ها را با تغییر IPهای مربوطه برای PIX شماره دو نیز وارد می کنیم و بدین ترتیب IPSec VPN بین دو فایروال برقرار می شود.
برقراری ارتباط Remote Access VPN
امروزه به دلایل مشکلات موجود در جا به جایی و صرفه جویی در زمان، بسیاری از کارکنان در سازمان ها به صورت Remote کار کرده و از طریق VPN به شبکه ی سازمانی خود متصل می شوند. این ارتباط یک بستر امن بر روی اینترنت را برای کارکنان به وجور می آورد. در ادامه با استفاده از نرم افزار Cisco VPN Client و فایروال به توضیح تنظیمات لازم برای برقراری این ارتباط می پردازیم:
در این مثال کاربر با آی پی 192.168.16.80 که در پشت اینترفیس outside فایروال قرار دارد به فایروال وصل می شود. همانند مثال های قبل IP اینترفیس outside 192.168.16.7 و IP اینترفیس inside 192.168.201.2 می باشد.
در ابتدا می بایست به وسیله access-list ترافیک پشت فایروال را مشخص کنیم. علاوه بر این برای Remote User هایی که به فایروال متصل می شوند یک Range آی پی جداگانه تعریف می کنیم که به هنگام اتصال به فایروال این آی پی به آنها assign می شود.
access-list 105 extended permit ip 192.168.201.0 255.255.255.0 192.168.100.0 255.255.255.0 #
ip local pool VPNPOOL 192.168.100.1-192.168.100.254 #
سپس با استفاده از access-list تعیین میکنیم که ترافیک منتقل شده بر روی بستر VPN ، NAT نشود:
access-list 106 extended permit ip 192.168.201.0 255.255.255.0 192.168.100.0 255.255.255.0 #
nat (inside) 0 access-list 106 #
در این نوع از ارتباط VPN با توجه به نامشخص بودن مکان کاربر و ثابت نبودن آن، می بایست crypto map را به صورت dynamic تعریف کرده و سپس آن را به یک crypto map استاتیک assign کنیم تا بتواند بر روی اینترفیس outside اعمال شود. پیش از تعریف crypto map میبایست transform-set تعیین گردد:
crypto ipsec transform-set T-SET esp-aes-256 esp-sha-hmac #
crypto dynamic-map MAP2 10 set transform-set T-SET #
crypto map MAP1 10 ipsec-isakmp dynamic MAP2 #
crypto map MAP1 interface outside #
پس از آن امکان برقراری VPN و قابلیت IKE را بر روی اینترفیس outside فعال کنید. برای این کار از کامند زیر استفاده می کنیم و سپس به تعریف Policyهای IKE می پردازیم که در زمان negotiation و ایجاد VPN تبادل می شود. این موارد شامل نوع رمزنگاری مورد استفاده، الگوریتم Hash مورد استفاده و … می باشد:
sysopt connection permit-vpn #
crypto isakmp enable outside #
crypto isakmp identity address #
crypto isakmp policy 10 #
authentication pre-share #
encryption aes-256 #
hash sha #
group 2 #
lifetime 86400 #
در مرحله ی بعد برای VPN Connection یک vpngroup بر روی فایروال تعریف کرده و تنظیمات لازم را انجام می دهیم:
vpngroup VPN-Marketing address-pool VPNPOOL #
vpngroup VPN-Marketing split-tunnel 105 #
vpngroup VPN-Marketing password cisco #
پس از اعمال تنظیمات لازم بر روی فایروال نرم افزار VPN Client را اجرا می کنیم و بر روی گزینه New کلیک می کنیم.
پس از آن تنظیمات را save می کنیم و بر روی Connection جدید ایجاد شده کلیک کرده و گزینه Connect را انتخاب می کنیم. برای user/pass نیز از user/passی که با کامند زیر set کرده ایم استفاده می کنیم:
username cisco password cisco123 privilege 15 #
در صورت برقراری ارتباط VPN همانند شکل زیر، علامت قفل زرد در کنار Connection نمایان می شود.
با استفاده از Command های زیر در فایروال می توان Status ارتباط VPN را مشاهده کرد:
sh crypto ipsec sa#
interface: outside
Crypto map tag: MAP2, seq num: 10, local addr: 192.168.16.7
(local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0
(remote ident (addr/mask/prot/port): (192.168.100.1/255.255.255.255/0/0
current_peer: 192.168.16.80, username: cisco
dynamic allocated peer ip: 192.168.100.1
sh crypto isakmp sa#
Active SA: 1
(Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey
Total IKE SA: 1
1 IKE Peer: 192.168.16.80
Type : user Role : responder
Rekey : no State : AM_ACTIVEcr
نحوه اتصال به PIX از طریق نرم افزار (ASDM(Adaptive Security Device Management
علاوه بر اتصال از طریق کابل کنسول و کانقیگ PIX از طریق Command ، می توان با استفاده از نرم افزار ASDM که مخصوص دیوایس های امنیتی سیسکو می باشد نیز به کانفیگ PIX پرداخت. این نرم افزار به کاربر اجازه می دهد تا از طریق یک رابط کاربری گرافیکی به تنظیم فایروال بپردازد، با این حال باید توجه داشت که این نرم افزار برای تمامی مدل ها موجود نیست و علاوه بر آن تمامی تنظیمات را نمی توان به وسیله آن انجام داد و نسبت به CLI و کامند از محدودیت برخوردار می باشد. برای استفاده از این برنامه می بایست نسخه ASDM سازگار با IOS موجود بر روی PIX را دانلود کرده و فایل آن را به فلش فایروال انتقال دهیم. در اینجا با توجه به اینکه IOS ورژن 7.2 می باشد، ورژن ASDM دانلود شده نیز 5.2 می باشد. با راه اندازی یک TFTP Server ساده مانند tftpd32 می توان فایل image مربوط به ASDM را به فایروال انتقال داد. برای این کار از دستور “copy tftp flash” استفاده می کنیم و فایل را بر روی فلش PIX کپی می کنیم. پس از آن باید آدرس فایل را به وسیله ی کامند زیر برای PIX را مشخص کنیم.
asdm image flash:asdm502.bin#
پس از اجرای کامند #write memory زده و از این طریق ASDM بر روی فایروال نصب می شود.
برای دسترسی به فایروال از طریق ASDM لازم است تا تنظیماتی که در ادامه آمده بر روی فایروال صورت گیرد.
http server enable#
در این کامند زیر با تعیین یک IP مشخص می توان تنها به یک کامپیوتر اجازه دسترسی به فایروال را داد.
http 192.168.201.3 255.255.255.255 inside#
در غیر این صورت به روش زیر می توان به همه اجازه دسترسی داد.
http 0.0.0.0 0.0.0.0 inside#
پس از انجام تنظیمات لازم می توان از طریق یک Browser و IP اینترفیس inside به فایروال وصل شد:
https://192.168.201.2/admin
در ابتدای ورود از شما Username/Pass می خواهد که می توانید از user/passی که قبلا به صورت زیر بر روی PIX تعریف کرده اید استفاده کنید.
username cisco password cisco123 privilege 15 #
پس از لاگین صفحه ی زیر نمایش داده می شود. در این قسمت می توانید با کلیک بر روی “Install ASDM Launcher and Run ASDM” برنامه ASDM را بر روی PC نصب کرده و از آن پس با اجرای برنامه ASDM بر روی کامپیوتر به فایروال متصل شوید.
پس از اجرای برنامه صفحه ای که در پایین آمده، نمایش داده می شود. در قسمت Device IP Address آی پی مربوط به اینترفیس inside را وارد کرده و برای Username و Password را مانند مرحله قبل وارد کرده و سپس OK کنید.
در صفحه ی Warning ظاهر شده Yes را انتخاب کنید.
پس از انجام این مراحل صفحه اصلی ASDM به صورت زیر باز می شود.
همان طور که مشاهده می شود صفحه اصلی دارای سه Toolbar اصلی می باشد:
Home : گزارشی کلی از اطلاعات فایروال، وضعیت پورت ها، ترافیک و استفاده از منابع سیستم
Configuration : تنظیمات و کانفیگ مربوط به فایروال
Monitoring : جهت مانیتور کردن ترافیک شبکه
یکی از ساده ترین راه ها برای کانفیگ اولیه فایروال استفاده از Startup Wizard می باشد که در ادرس زیر قرار دارد:
Main Menu>>Wizards>>Startup Wizard
در این قسمت شما می توانید همه تنظیمات را Reset Factory کرده و از ابتدا به کانفیگ بپردازید و یا این که به اصلاح و تغییرات کانفیگ موجود بپردازید. باید توجه داشت که در این روش و کلا با استفاده از ASDM نمی توان تمامی کانفیگ ها را انجام داد و برای برخی از موارد حتما نیاز به استفاده از کامند می باشد.
علاوه بر این شما می توانید با استفاده از گزینه ی Properties در پنل سمت چپ Configuration نیز Startup Wizard را اجرا کنید و تنظیمات اولیه فایروال را تغییر دهید.
همان طور که مشاهده می کنید در این پنل می توانید به طور خاص به کانفیگ بخش های مختلف بپردازید:
اولین گزینه یعنی Interfaces مربوط به تنظیمات و IP برای اینترفیس های فایروال می باشد.
گزینه بعد Security Policy برای تعریف مواردی نظیر Access-List به کار می رود.
برای تعریف Access-List به تب Access Rules رفته و بر روی گزینه Add کلیک کنید. در پنجره باز شده به راحتی می توانید rule مورد نظر خود را به همراه اینترفیسی که قرار است بر روی آن اعمال شود تعیین کنید.
در قسمت بعد می توان با تعریف NAT ارتباط شبکه با Security-Level بالاتر به Security-Level پایین تر را برقرار کرد:
در قسمت VPN نیز می توانید Site-to-Site VPN ، Remote Access VPN ، IPSec Tunnel و … را تعریف کنید.
در قسمت بعد با استفاده از گزینه ی Routing می توان Routeهای Static و Dynamic تعریف کرد:
و در نهایت با استفاده از گزینه Global Objects می توان به تعریف Object-Group های مختلف پرداخت:
در بالای صفحه و در بخش Tools نیز ابزار مهم دیگری نیز وجود دارد.
گزینه اول در این منو Command Line Interface می باشد که در این جا می توان درست مانند دسترسی از طریق کنسول به وسیله کامند (Single Line یا Multiple Line) کانفیگ کرد و سپس کانفیگ را به سمت فایروال ارسال کرد.
گزینه ی دیگری که می توان به آن اشاره کرد Ping می باشد که برای تست Connectivity مورد استفاده قرار می گیرد.
گزینه ی File Management در این منو، برای مدیریت فایل بر روی فلش فایروال و انتقال فایل از tftp به flash و برعکس مورد استفاده قرار می گیرد.
برای مثال برای انتقال IOS از روی فلش فایروال بر روی کامپیوتر با آی پی 192.168.201.3 یک TFTP Serverساده مانند tftpd32 را بر روی PC راه اندازی کرده و مطابق شکل زیر عمل می کنیم:
با استفاده از گزینه System Reload در ابزار نیز می توانید فایروال را با زمان بندی و یا بدون آن reload کنید.
دیدگاه های این مطلب
هیچ نظری ارسال نشده است.