假设您有一个使用 ASA 防火墙的现有网络。网络可以正常工作,但您不确定其他任何事情。防火墙可能配置完全不正确,据您所知,“外部”实际上是内部,“内部”实际上是外部。
我的问题是:使用哪些命令可以评估现有的 ASA 防火墙设置?仅通过 CLI 访问,我如何确定:
- 有哪些接口可用
- 接口名称
- 接口所附带的安全级别
- 附加到接口的访问列表,包括规则和方向
我知道如何设置这些东西(,,interface和/ ),但我不知道如何在现有系统下弄清楚它们。nameifsecurity-levelaccess-listaccess-group
与此相关,还有什么需要我担心检查的,以确保网络没有完全开放?
谢谢!
答案1
进入命令行后,执行“show run”。然后查找接口部分。以下是示例:
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address (outside ip address) 255.255.255.0
ospf cost 10
!
interface GigabitEthernet0/1
speed 1000
duplex full
nameif inside
security-level 100
ip address (inside ip address) 255.255.240.0
ospf cost 10
!
interface GigabitEthernet0/2
shutdown
no nameif
security-level 100
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
nameif management
security-level 100
ip address (mgmt ip address) 255.255.255.0
ospf cost 10
management-only
它会告诉您端口、名称、安全级别和 IP 地址。
访问列表有点棘手,因为访问列表可能只有两三个,也可能有数百个。同样,“show run”将为您提供完整的配置,您必须通读它。
NAT 看起来如下:
nat (内部) 0 访问列表 inside_nat0_outbound
这就是从内到外。
静态通常设置为将特定的内部服务器 NAT 为外部 IP 地址,如下所示:
静态(内部,外部)(公共 IP 地址)(内部 IP 地址)网络掩码 255.255.255.255
最后,访问列表允许外部公共互联网进入指定的 IP 或端口。
希望这可以帮助!
答案2
上述所有问题的答案都可以用一个命令来概括:show running-config。这将输出当前配置文件,其中包括接口、其名称和地址、安全级别、ACL 和路由。这应该会为您提供开始对设备进行清点所需的所有信息。
实际上,如果您对 ASA 没有太多经验,我还建议您粗略地看一下 ASDM;当您在命令行配置中看到一些对系统行为进行广泛更改的命令(NAT 控制、相同安全级别的流量)时,它们不一定是直观的。