Cisco ASA 및 PIX 구성에 Firewall Builder 사용하기

Firewall Builder는 단일 애플리케이션에서 다양한 방화벽을 구성할 수 있도록 지원하는 방화벽 구성 및 관리 GUI입니다. 지원되는 방화벽에는 Linux iptables, BSD pf, Cisco ASA/PIX, Cisco 라우터 액세스 목록 등이 포함됩니다. 다운로드 가능한 바이너리 패키지 및 소스 코드를 포함한 지원되는 플랫폼의 전체 목록은 http://www.fwbuilder.org에서 확인할 수 있습니다.

이 튜토리얼은 Firewall Builder를 사용하여 지원되는 각 방화벽 플랫폼을 구성하는 기본 단계를 안내하는 일련의 기사 중 두 번째입니다. 이 튜토리얼에서는 Cisco ASA 방화벽에서 액세스 제어 목록(ACL)을 구성합니다.

아래 다이어그램은 Cisco ASA 5505를 기반으로 한 간단한 2 인터페이스 방화벽 구성을 보여주며, 방화벽은 개인 LAN 네트워크의 인터넷 게이트웨이 역할을 합니다.

Firewall Builder를 사용하여 방화벽에서 다음 기본 규칙을 액세스 목록으로 구현합니다.

내부 트래픽(10.0.0.0/24)을 방화벽을 통해 모든 인터넷 주소로 HTTP 및 HTTPS 프로토콜을 허용합니다.
이메일 서버(10.0.0.25)에서 방화벽을 통해 특정 IP 주소(198.51.100.25)로 SMTP 프로토콜을 허용합니다. 이 외부 서버는 외부 메일 릴레이 역할을 합니다.
외부 IP 주소(198.51.100.25)에서 내부 이메일 서버(10.0.0.25)로의 SMTP 수신을 허용합니다.
방화벽의 내부 인터페이스(Ethernet0/1)로 SSH 프로토콜을 위해 내부 트래픽(10.0.0.0/24)을 허용합니다.

Cisco ASA 및 PIX 액세스 목록은 모든 액세스 목록의 끝에 암묵적 거부가 있으므로, 명시적으로 허용하는 규칙을 설정하지 않은 모든 것은 거부됩니다.

또한 Firewall Builder를 사용하여 방화벽에서 NAT 구성을 구현합니다.

모든 내부 트래픽(10.0.0.0/24)을 방화벽을 통해 모든 인터넷 주소로 소스 NAT하여 소스 IP를 외부 인터페이스(Ethernet0/0)의 IP 주소로 변경합니다.
외부 IP 주소(198.51.100.25)에서 오는 트래픽을 대상으로 하는 SMTP 릴레이 서버로부터 TCP 목적지 포트 25(SMTP)로 외부 인터페이스에 도착하여 이를 내부 이메일 서버(10.0.0.25)로 전달합니다.

주의

이 방법에서는 ASA OS v8.3을 실행하는 ASA 5505를 사용합니다. NAT에 대한 명령 구문은 이전 버전의 ASA OS와 다를 수 있지만, Firewall Builder는 방화벽에 설정된 버전을 기반으로 올바른 구성 명령을 자동으로 생성하므로 걱정할 필요가 없습니다.

1단계: 네트워크 객체 생성

규칙에서 사용할 객체를 생성하는 것으로 시작하겠습니다. Firewall Builder에는 대부분의 표준 프로토콜을 포함한 수백 개의 미리 정의된 객체가 포함되어 있으므로, 위의 규칙을 구현하기 위해서는 네트워크에 특정한 객체만 생성하면 됩니다. 우리의 규칙에 따라 내부 10.0.0.0/24 네트워크, 내부 이메일 서버(10.0.0.25) 및 IP 주소가 198.51.100.25인 외부 SMTP 릴레이 서버에 대한 객체를 생성해야 합니다.

새 IP 네트워크 객체 생성

왼쪽 트리에서 우리의 내부 10.0.0.0/24 네트워크를 나타낼 객체를 생성하려면 “Objects”라는 레이블이 붙은 폴더를 두 번 클릭하여 확장합니다. “Networks”라는 폴더를 마우스 오른쪽 버튼으로 클릭하고 “New Network”를 선택합니다. 이렇게 하면 새로운 네트워크 객체가 생성됩니다. 화면 하단의 편집기 패널에서 이 객체의 속성을 수정할 수 있습니다.

객체 이름을 기능에 맞는 것으로 변경합니다. 이 예에서는 “Internal Network”라고 하여 로컬 LAN IP 주소를 나타냅니다. 주소는 10.0.0.0으로 설정하고 넷마스크는 255.255.255.0으로 설정합니다.

주의: 객체의 속성을 편집할 때 적용 또는 제출 버튼이 없습니다. 속성을 편집한 후 해당 필드를 벗어나면 변경 사항이 즉시 적용됩니다.

새 IP 주소 객체 생성

이 과정을 반복하여 규칙 #2에서 사용할 SMTP 릴레이 서버를 나타낼 객체를 생성합니다. 객체 트리로 이동하여 “Addresses” 폴더를 마우스 오른쪽 버튼으로 클릭하고 “New Address”를 선택합니다. 편집기 패널에서 객체의 이름을 “SMTP Relay”로 변경하고 IP 주소를 198.51.100.25로 설정합니다.

위의 단계를 반복하여 내부 이메일 서버(10.0.0.25)를 나타낼 새 주소 객체를 생성합니다. 완료되면 객체 트리의 주소 시스템 폴더에 두 개의 객체가 표시되어야 합니다.

2단계: 방화벽 정의

Cisco ASA를 나타낼 방화벽 객체를 생성하려면 Firewall Builder의 기본 창에서 “Create new firewall” 아이콘을 클릭합니다. 그러면 방화벽 객체를 생성하는 과정을 안내하는 마법사가 시작됩니다.

방화벽 객체의 이름을 입력합니다. 이 예에서는 asa-1을 사용합니다. 방화벽에서 실행 중인 소프트웨어 드롭다운 메뉴를 “Cisco ASA (PIX)”로 변경합니다.

마법사를 계속 진행하려면 Next > 버튼을 클릭합니다.

Firewall Builder에서 방화벽을 생성할 때 인터페이스를 수동으로 구성할지, SNMP가 라우터에서 활성화되어 있고 읽기 전용 또는 읽기-쓰기 커뮤니티 문자열에 접근할 수 있는 경우 SNMP 검색을 사용할지 선택할 수 있습니다. 이 예에서는 라우터 인터페이스를 수동으로 구성할 것입니다.

다음 단계로 계속 진행하려면 Next > 버튼을 클릭합니다.

Firewall Builder에서 생성하는 방화벽은 액세스 목록을 배포할 Cisco ASA 또는 PIX 방화벽과 일치해야 합니다. 즉, 생성 중인 방화벽 객체의 인터페이스 이름과 IP 주소는 ASA 또는 PIX에 구성된 것과 정확히 일치해야 합니다.

방화벽에 새 인터페이스를 추가하려면 녹색 아이콘을 클릭합니다. “show interface” 명령을 실행할 때 ASA 또는 PIX 명령줄에 표시된 대로 인터페이스 이름을 정확히 입력합니다. 이 예에서는 인터페이스가 Ethernet0/0에서 Ethernet0/7까지 있지만, 우리는 Ethernet0/0 및 Ethernet0/1 인터페이스만 사용할 것입니다.

인터페이스 이름을 Ethernet0/0으로 설정하고 레이블을 outside로 설정합니다. 주소 추가 버튼을 클릭하고 IP 주소를 192.0.2.1로 설정하고 넷마스크를 255.255.255.240으로 설정합니다.

방화벽에 또 다른 인터페이스를 추가하려면 녹색 아이콘을 클릭합니다. 마법사에 다음과 같이 두 번째 인터페이스와 일치하는 정보를 입력합니다:

Next > 버튼을 클릭합니다.

Firewall Builder는 인터페이스 레이블과 IP 주소를 기반으로 인터페이스의 보안 수준을 자동으로 설정합니다. 외부 인터페이스는 보안 수준 0으로 설정되고 내부 인터페이스는 보안 수준 100으로 설정됩니다.

방화벽 객체를 생성하려면 Finish 버튼을 클릭합니다.

ASA 또는 PIX를 나타내는 방화벽 객체를 생성한 후, 방화벽 객체는 왼쪽의 객체 트리에 표시됩니다. 액세스 목록 규칙이 구성되는 정책 객체는 기본 창에서 자동으로 열립니다.

Firewall Builder는 규칙을 올바르게 생성하기 위해 네트워크 토폴로지를 결정하기 위해 네트워크 존 개념을 사용합니다. 각 방화벽 인터페이스에는 설정해야 하는 해당 네트워크 존이 있습니다. 네트워크 존은 인터페이스로 들어오는 트래픽의 출처가 되는 IP 네트워크 집합을 나타냅니다.

예를 들어, 내부 네트워크에 10.0.0.0/8을 사용하는 경우 “inside” 인터페이스는 10.0.0.0/8을 나타내는 객체로 네트워크 존이 설정되어야 합니다. 네트워크 존은 네트워크 객체 또는 여러 네트워크 객체를 포함하는 그룹 객체가 될 수 있습니다. 내부 네트워크가 10.0.0.0/8과 172.16.0.0/16을 모두 사용하는 경우 그룹 객체를 생성하여 이 두 IP 네트워크에 대한 네트워크 객체를 포함하고 이 그룹 객체를 “inside” 인터페이스의 네트워크 존으로 사용할 수 있습니다.

“outside” 인터페이스의 경우 일반적으로 네트워크 존을 “Any”로 설정합니다. 이는 다른 인터페이스와 연결되지 않은 모든 IP 네트워크를 의미합니다. 방화벽의 인터페이스 객체를 두 번 클릭하고 드롭다운 목록에서 네트워크 존을 선택하여 네트워크 존을 설정합니다.

이 예에서는 Ethernet0/0 “outside” 인터페이스의 네트워크 존을 “Any”로 설정하고 Ethernet0/1 “inside” 인터페이스의 네트워크 존을 “net-10.0.0.0”으로 설정합니다.

주의: 위에서 사용된 네트워크 존은 이 예에만 해당합니다. 네트워크 환경에서 다른 IP 주소와 네트워크를 사용하는 경우 다른 네트워크 존 값을 선택해야 할 수 있습니다.

이제 ASA 방화벽이 구성할 준비가 되었으므로, 진행하기 전에 방금 생성한 새 방화벽 객체가 포함된 데이터 파일을 저장해야 합니다. 파일 -> 다른 이름으로 저장 메뉴 항목으로 이동하여 이 파일을 저장할 이름과 위치를 선택합니다.