为 Cisco ASA 5510 上的端口 443/80 创建 NAT 规则和安全策略

Question 1

由于这是你第一次使用防火墙，我提到了额外的配置，这将有助于你学习/调试 ASA 配置

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

您可以添加日志记录以帮助您使用

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

系统日志服务器应在 UDP 端口 514 上侦听来自防火墙的系统日志消息。在部署到生产环境之前，这些有助于在试验防火墙时调试问题。

这是极其不安全的防火墙配置，因为启用了 telnet，而且是来自所有内部 IP。此外，所有内容都被允许。这个想法是为了帮助您测试 NAT 配置，而不必担心 ACL。

现在将 ASA 外部接口的 80 端口连接转发到某些服务器使用

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

443 类似使用

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

一旦您熟悉了 NAT，就可以拥有内部、外部和 DMZ，并配置限制性 ACL 以仅允许相关流量。

您还可以在 ASA 中配置其他类型的 NAT / PAT。

Answer

由于这是你第一次使用防火墙，我提到了额外的配置，这将有助于你学习/调试 ASA 配置

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

您可以添加日志记录以帮助您使用

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

系统日志服务器应在 UDP 端口 514 上侦听来自防火墙的系统日志消息。在部署到生产环境之前，这些有助于在试验防火墙时调试问题。

这是极其不安全的防火墙配置，因为启用了 telnet，而且是来自所有内部 IP。此外，所有内容都被允许。这个想法是为了帮助您测试 NAT 配置，而不必担心 ACL。

现在将 ASA 外部接口的 80 端口连接转发到某些服务器使用

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

443 类似使用

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

一旦您熟悉了 NAT，就可以拥有内部、外部和 DMZ，并配置限制性 ACL 以仅允许相关流量。

您还可以在 ASA 中配置其他类型的 NAT / PAT。

Question 2

使用 Web 界面 (ASDM)：

1.添加静态 NAT 规则。 转到配置 -> NAT。单击添加，然后单击“添加静态 NAT 规则”。在真实地址下输入您的内部 IP 信息，在静态转换下输入您的外部 IP 信息。勾选“启用 PAT”并输入 80（或 443）。

2. 修改安全策略以允许流量。 进入配置 -> 安全策略。单击添加并创建一条规则，允许从外部接口（任意源）到内部 IP 地址（指定端口）的传入流量。

Answer

使用 Web 界面 (ASDM)：

1.添加静态 NAT 规则。 转到配置 -> NAT。单击添加，然后单击“添加静态 NAT 规则”。在真实地址下输入您的内部 IP 信息，在静态转换下输入您的外部 IP 信息。勾选“启用 PAT”并输入 80（或 443）。

2. 修改安全策略以允许流量。 进入配置 -> 安全策略。单击添加并创建一条规则，允许从外部接口（任意源）到内部 IP 地址（指定端口）的传入流量。

Question 3

看起来这个问题已经有一段时间没有得到回复了，但我会尽力解释一下我们的 5510 上有什么。

首先，我听说如果你只有一个外部/公共 IP 地址，就会出现问题。你必须做一些额外的配置，但我不确定那是什么。我假设你至少有两个，其中一个是防火墙的外部 IP。我们将在下面使用一个可用的 IP。

在 ASDM 中，转到配置 -> 防火墙 -> NAT 规则

单击添加 -> 添加静态 NAT 规则

原装 -> 接口：内部
原始 -> 来源：[内部 IP 地址]
翻译 -> 接口：外部
翻译 -> 使用 IP 地址：[未使用的公共 IP 地址]
端口地址转换 -> 启用端口地址转换
端口地址转换 -> 协议：TCP
端口地址转换 -> 原始端口：http
端口地址转换 -> 转换后的端口：http

单击确定。一旦您确定 http/80 正常运行，您就可以为 https/443 添加另一条规则。

接下来是我第一次拿到 5510 时感到困惑的部分，所以请确保您知道把什么东西放在哪里。

转至访问规则（ASDM -> 配置 -> 防火墙 -> 访问规则）

添加 -> 添加访问规则

接口：外部（不在里面）
行动：许可
来源：any
目的地：[与上述相同的公网 IP 地址]（不是内部 IP）
服务：tcp/http、tcp/https

单击“确定”

就是这样。我相信这个想法是，您允许安全访问外部/公共 IP，然后如果安全规则允许，NAT 会进行转换。

Answer