Использование Firewall Builder для настройки Cisco ASA и PIX

Автор: Mike Horn
http://www.fwbuilder.org

Firewall Builder — это графический интерфейс для конфигурации и управления брандмауэрами, который поддерживает настройку широкого спектра брандмауэров из одного приложения. Поддерживаемые брандмауэры включают Linux iptables, BSD pf, Cisco ASA/PIX, списки доступа маршрутизаторов Cisco и многие другие. Полный список поддерживаемых платформ вместе с загружаемыми бинарными пакетами и исходным кодом можно найти на http://www.fwbuilder.org.

Этот учебник является вторым в серии статей, которые описывают основные шаги использования Firewall Builder для настройки каждой из поддерживаемых платформ брандмауэра. В этом учебнике мы настроим списки контроля доступа (ACL) на брандмауэре Cisco ASA.

Диаграмма ниже показывает простую конфигурацию брандмауэра с 2 интерфейсами на основе Cisco ASA 5505, где брандмауэр выступает в качестве шлюза в Интернет для частной локальной сети.

Мы будем использовать Firewall Builder для реализации следующих основных правил в качестве списков доступа на брандмауэре.

Разрешить внутренний трафик (10.0.0.0/24) через брандмауэр на любой адрес в Интернете для протоколов HTTP и HTTPS.
Разрешить внутренний трафик от почтового сервера (10.0.0.25) через брандмауэр на конкретный IP-адрес (198.51.100.25) для протокола SMTP. Этот внешний сервер выступает в качестве внешнего почтового реле.
Разрешить входящий SMTP от внешнего IP-адреса (198.51.100.25) на внутренний почтовый сервер (10.0.0.25).
Разрешить внутренний трафик (10.0.0.0/24) на внутренний интерфейс брандмауэра (Ethernet0/1) для протокола SSH.

Обратите внимание, что списки доступа Cisco ASA и PIX имеют неявный запрет всех в конце каждого списка доступа, поэтому все, что мы не настроим явно для разрешения, будет запрещено.

Мы также будем использовать Firewall Builder для реализации конфигурации NAT на брандмауэре.

Исходящий NAT для всего внутреннего трафика (10.0.0.0/24) через брандмауэр, направленного на любой адрес в Интернете, изменяя исходный IP на IP-адрес внешнего интерфейса (Ethernet0/0).
Целевой NAT для трафика от внешнего IP-адреса (198.51.100.25), внешнего SMTP реле-сервера, приходящего на внешний интерфейс с TCP-целевым портом 25 (SMTP) и перенаправление этого на внутренний почтовый сервер (10.0.0.25).

ЗАМЕТКА

В этом руководстве мы используем ASA 5505 с ASA OS v8.3. Некоторые синтаксисы команд, особенно для nat, отличаются для более ранних версий ASA OS, но вам не нужно беспокоиться об этом, так как Firewall Builder автоматически генерирует правильные команды конфигурации на основе версии, установленной для брандмауэра.

Шаг 1: Создание сетевых объектов

Мы начнем с создания объектов, которые будут использоваться в правилах. Firewall Builder включает сотни предопределенных объектов, включая большинство стандартных протоколов, поэтому для реализации вышеуказанных правил нам нужно будет создать только объекты, специфичные для нашей сети. Для наших правил это означает, что нам нужно создать объекты для внутренней сети 10.0.0.0/24, для внутреннего почтового сервера (10.0.0.25) и для внешнего SMTP реле-сервера с IP-адресом 198.51.100.25.

Создание нового IP сетевого объекта

Чтобы создать объект, который будет представлять нашу внутреннюю сеть 10.0.0.0/24, дважды щелкните по папке с названием Objects, чтобы развернуть ее. Щелкните правой кнопкой мыши на папке под названием Networks и выберите “New Network”. Это создаст новый сетевой объект. В нижней части вашего экрана, называемой Панель редактора, вы можете изменить свойства этого объекта.

Измените имя объекта на что-то, что соответствует функции, в этом примере мы назовем его “Внутняя сеть”, чтобы обозначить локальные IP-адреса LAN. Адрес установлен на 10.0.0.0, а маска подсети — 255.255.255.0.

ЗАМЕТКА: При редактировании атрибутов объекта нет кнопки Применить или Отправить. Как только вы редактируете атрибут, как только вы покинете поле, которое редактировали, изменение вступит в силу немедленно.

Создание нового объекта IP-адреса

Повторите этот процесс, чтобы создать объект, который будет представлять SMTP Relay сервер, который будет использоваться в правиле #2. Перейдите к дереву объектов и щелкните правой кнопкой мыши на папке Addresses и выберите New Address. В Панели редактора измените имя объекта на “SMTP Relay” и установите IP-адрес на 198.51.100.25.

Повторите шаги выше, чтобы создать новый объект Address для представления внутреннего почтового сервера (10.0.0.25). После завершения вы должны увидеть два объекта в системной папке Addresses в дереве объектов.

Шаг 2: Определение брандмауэра

Чтобы создать объект брандмауэра, представляющий ваш Cisco ASA, нажмите на иконку “Создать новый брандмауэр“ на главном окне Firewall Builder. Это запустит мастер, который проведет вас через создание вашего объекта брандмауэра.

Введите имя для объекта брандмауэра, в этом примере мы будем использовать asa-1. Измените выпадающее меню для программного обеспечения, работающего на брандмауэре, на “Cisco ASA (PIX)”.

Нажмите кнопку Далее >, чтобы продолжить мастер.

При создании брандмауэра в Firewall Builder у вас есть выбор: настраивать интерфейсы вручную или использовать SNMP-обнаружение, если у вас включен SNMP на вашем маршрутизаторе и у вас есть доступ к строке сообщества только для чтения или чтения и записи. В этом примере мы будем настраивать интерфейсы маршрутизатора вручную.

Нажмите кнопку Далее >, чтобы продолжить к следующему шагу.

Брандмауэр, который вы создаете в Firewall Builder, должен соответствовать брандмауэру Cisco ASA или PIX, на котором вы хотите развернуть списки доступа. Это означает, что имена интерфейсов и IP-адреса в объекте брандмауэра, который вы создаете, должны точно совпадать с тем, что настроено на ASA или PIX.

Нажмите зеленую иконку, чтобы добавить новый интерфейс к брандмауэру. Введите имя интерфейса точно так, как оно отображается в командной строке ASA или PIX, когда вы выполняете команду “show interface”. В нашем примере интерфейсы — это Ethernet0/0 до Ethernet0/7, но мы будем использовать только интерфейсы Ethernet0/0 и Ethernet0/1.

Установите имя интерфейса как Ethernet0/0 и установите метку на outside. Нажмите кнопку Добавить адрес и установите IP-адрес на 192.0.2.1 с маской подсети 255.255.255.240.

Нажмите зеленую иконку, чтобы добавить другой интерфейс к брандмауэру. Введите информацию в мастер, чтобы соответствовать второму интерфейсу следующим образом:

Нажмите кнопку Далее >.

Firewall Builder автоматически установит уровень безопасности интерфейса на основе метки интерфейса и IP-адреса. Внешний интерфейс установлен на уровень безопасности 0, а внутренний интерфейс установлен на уровень безопасности 100.

Нажмите кнопку Завершить, чтобы создать объект брандмауэра.

После создания объекта брандмауэра, представляющего ASA или PIX, объект брандмауэра будет отображаться в дереве объектов слева. Объект Политики, в котором настраиваются правила списков доступа, автоматически открывается в главном окне.

Firewall Builder использует концепцию Сетевых зон для определения топологии сети, чтобы правильно создавать правила. Каждый интерфейс брандмауэра имеет соответствующую Сетевую зону, которая должна быть установлена. Сетевая зона представляет собой набор IP-сетей, которые будут источником входящего трафика на интерфейс.

Например, если вы используете 10.0.0.0/8 для вашей внутренней сети, интерфейс “inside” должен иметь свою Сетевую зону, установленную на объект, представляющий 10.0.0.0/8. Сетевые зоны могут быть сетевым объектом или группой объектов, которая включает несколько сетевых объектов. Примером, когда вы будете использовать объект Группы, является случай, если ваша внутренняя сеть использует как 10.0.0.0/8, так и 172.16.0.0/16. В этом случае вы создадите объект Группы, который включает сетевые объекты для обеих этих IP-сетей и используете этот объект Группы в качестве Сетевой зоны для вашего интерфейса “inside”.

Для интерфейса “outside” вы обычно устанавливаете его Сетевую зону на “Any”, что означает все IP-сети, которые не связаны с другими интерфейсами. Установите Сетевую зону, дважды щелкнув по объекту интерфейса брандмауэра и выбрав Сетевую зону из выпадающего списка.

В этом примере мы установим Сетевую зону для интерфейса Ethernet0/0 “outside” на “Any”, а Сетевую зону для интерфейса Ethernet0/1 “inside” на “net-10.0.0.0”, как показано ниже.

ЗАМЕТКА: Сетевые зоны, использованные выше, специально для этого примера. Если у вас есть другие IP-адреса и сети, используемые в вашей сетевой среде, вам может потребоваться выбрать другие значения Сетевой зоны.

Теперь, когда брандмауэр ASA готов к настройке, прежде чем продолжить, мы должны сохранить наш файл данных, который содержит новый объект брандмауэра, который мы только что создали. Сделайте это, перейдя в меню Файл -> Сохранить как. Выберите имя и место для сохранения этого файла.