17 一月 2013

Cisco PIX/ASA防火牆最新功能及技術(上)

Cisco PIX/ASA 整合性防火牆的最新功能及技術(上) 文◎奇科電腦資深網路技術顧問 – Ben 哥

 

technum_02前言

有鑒於許多讀者紛紛來信與Ben哥討論防火牆的相關設定,並希望能夠針對近兩年防火牆的兩大新興功能:虛擬防火牆 (Virtual Firewall) 以及通透式防火牆 (Transparent or Layer 2 Firewall) ,多做一點介紹以及設定上的解說,是以Ben哥特別在本期介紹一些業界上相當有用的功能,提供給各位工程師及資訊主管們,對於防火牆的另一種認識。

再者,前一期網管人大幅報導資訊安全UTM方面的觀念,而防火牆也是其中重要的一塊領域,因此,Ben哥打算先從防火牆進行討論,爾後再以Cisco ASA 5500系列產品為基礎,詳細的介紹UTM的整體觀念。

由於篇幅的關係,本次的防火牆的技術專題將會有上、中、下三篇,所求的也就是務必讓各位讀者能夠有一個完整的概念而不是片斷的介紹而已;因此,在上篇中,Ben哥會先以單一防火牆(傳統式)的方式為例,簡單地介紹防火牆的設定。

本技術文件實驗所需的設備清單如下:
  1. Cisco PIX防火牆或是ASA (Adaptive Security Appliance) 網路安全整合防禦設備。

Cisco-security-firewall-ips-asa5500-series

本技術文件實驗所需的軟體及核心清單如下:
  1. Cisco PIX或是ASA 5500系列,韌體版本7.21,管理軟體 ASDM 5.21。
  2. Cisco 3524 交換器。
本技術文件讀者所需基本知識如下:
  1. VLAN協定802.1Q。
  2. 路由以及防火牆的基礎知識。
  3. Cisco IOS 基礎操作技術。

technum_02初始化 (Initialized) Cisco的PIX/ASA防火牆

在講解初始化PIX/ASA設定之前,先跟各位簡單介紹一下業界上防火牆的變遷:在以往網路安全的業界中,PIX是首屈一指的防火牆,不論是在功能面上亦或是在性能上,均勝出Cisco友商一籌,但是,PIX的設定方式大部分還是以CLI (Command Line Interface,文字介面) 為主;近幾年,由於資訊安全觀念的提升及普及,各企業或是政府機關均需要佈署能及時反應並有效防禦的網路安全設備,因此,簡單且容易操作的操控介面漸漸成為業界發展的的趨勢。

Cisco Systems, Inc.的執行長John Chambers早在幾年前就深知市場趨勢,因此帶領Cisco積極提昇Cisco設備的操作介面,其中一個重要的指標就是要能提供簡單而且容易了解的圖形操作介面 (GUI,Graphic User Interface) ;雖然Ben哥一般都是使用CLI的介面操作系統或是設備,但是在本實驗中將會以圖形介面為主,一步一步的帶著各位讀者了解Cisco PIX/ASA的操作設定,以便讓大家都能夠無痛上手,輕鬆的設定高階資安設備。

首先,當我們拿到一台全新的PIX/ASA防火牆,就如同一般Cisco IOS路由器一樣,需利用視窗上的超級終端機或是Linux中的minicom,透過PC序列埠 (Serial Port) 連接到PIX/ASA做初始化的設定,以下就是我們一個步驟一個步驟的設定圖解。

Cisco-pix-asa-first-time-boot

上圖是我們剛剛開啟 (Power On) PIX/ASA所會出現的畫面,它會要求我們是否要先設定,初始化此防火牆。初始化防火牆的目的,在於建立起管理的基本設定,以下的圖示顯示了設定的內容。

Cisco-pix-asa-first-time-boot-questionnaire

初始化防火牆時會有幾個問題必須回答,在這裡,Ben哥逐一解釋一下各個問題的內容,每項問題中的如果有方括號的話,其內的值就是預設值。

初始化的問題 解釋
Firewall Mode [Routed]: PIX/ASA根據OSI七層會有兩種運作模式,一種是路由 (Routed) 模式,而另一種則是通透式 (Transparent) 模式。
Enable password []: 輸入enable模式的密碼,在此為了方便實驗,暫時不設定密碼。
Allow password recovery [yes]: 當忘記密碼時,是否可以遵照密碼修復程序,重新設定密碼。
Clock (UTC):等問題 設定PIX的時間。
Inside IP address: 設定PIX內部介面 (Inside Interface)的IP定址,通常是 Ethernet 0/1。
Inside network mask: 設定PIX內部介面 (Inside Interface)IP的子網路遮罩。
Host name: 設定此主機名稱。
Domain name: 設定此主機的網域名稱。
IP address of host running Device Manager: PIX/ASA有其專用的圖型管理介面,名為ASDM (Adaptive Security Device Manager) ,這個設定限制了只有此IP位址才能連接到PIX/ASA的ADSM。

Cisco-pix-asa-first-time-boot-prompt

接下來,PIX就會問『Use this configuration and write to flash?』,如果回答『yes』的話就會將剛剛所輸入的資料寫入flash,如果回答『no』的話,就會重複問以上的問題,再作一次剛剛的設定。

接下來,各位讀者就可以使用瀏覽器連結到ADSM的管理IP位址,注意:請務必使用SSL的連線方式。在這個實驗中,ASDM的IP位址為192.168.1.2,因此,在瀏覽器網址的部份就可以輸入『https://192.168.1.2』,然後就會出現以下的管理畫面。

Cisco-pix-asa-asdm

管理介面有兩種方式可以連接,一是安裝ASDM用戶端程式,另一種則是使用ASDM 的JAVA applet;在此,我們選擇第二種方式來啟動圖形的管理介面,因此,只要點選『Run ASDM Applet』即可,另外,因為我們剛剛並沒有輸入登入密碼,如果遇到認證視窗時,點選登入即可。

Cisco-pix-asa-asdm-home-dashboard

由ASDM的資訊顯示面板 (Dashboard) 中的『Device Information』,各位讀者可以清楚的了解目前防火牆的模式,『Firewall Mode』顯示了目前防火牆是處於路由 (Routed) 或是通透 (Transparent) 的模式,『Context Mode』則顯示了目前防火牆是處於單機 (Single) 或是 虛擬 (Multiple) 的模式。以目前所顯示的狀態看來,這個PIX是處於單機路由模式。

各位也可以經由『System Resources Status』面版的圖形顯示中,了解到系統CPU以及記憶體的使用狀況;經由『Interface Status』面版的顯示,得知每個介面的設定值以及啟動狀況;經由『Traffic Status』面版的圖形顯示,了解到TCP、UDP資料流的情形,以及進入、出去的資料流量;在下方的『Latest ASDM Syslog Messages』的文字顯示中,可得知syslog所輸出的系統即時 (Real-time) 訊息。

首先,Ben哥先以單機路由模式,先讓內部IP 位址192.168.1.1的電腦能夠順利連線到Internet,在此,有兩件事情必須先做。第一、設定外部介面(Outside Interface)IP位址,第二、設定NAT。

Cisco-pix-asa-asdm-configuration

各位可以點選主選單上的『Configuration』進入設定畫面,選擇左邊選單的『Interface』即可對於各個介面做設定,通常對PIX來說,Ethernet0習慣上會設定為連接外部網路的介面,在PIX/ASA中,則定義其名為outside,因此,各位可以先反白你們要設定的介面,在點選右邊的『Edit』進入介面的設定畫面。

Cisco-pix-asa-asdm-configuration-edit-interface

進入介面設定後,請各位勾選『Enable Interface』來啟動此介面,並命名『Interface Name』為outside。在這邊,我們要順帶介紹一下Cisco PIX/ASA中的一個設定上的專有名詞,叫做『Security Level』,其設定值為0到100間的任一整數,數字越小代表由其連接的網路所進來封包資料,越不可靠、越危險,安全性(security)越低。因此,通常我們會設定連接到Internet的介面的『Security Level』設為0,而連接內部或是可靠網路介面的『Security Level』設為100,DMZ的『Security Level』則設為0到100中間的任一值;不同『Security Level』之間的資料流量有其規定,從『Security Level』大傳到『Security Level』小的資料不會被阻擋,從『Security Level』小傳到『Security Level』大的資料則會被阻擋,如過要讓其資料可以通過的話,則需要額外下達防火牆規則來檢驗,通過檢驗才可通過;接下來,各位可以設定介面的IP位址取得的方式,在大部分的情況下,都是設定靜態IP位址,在此Ben哥使用DHCP的方式讓其自動取得IP位址;設定完成後,就可以點擊『OK』離開視窗,並點選『Apply』使剛剛的設定生效。

接下來就要做NAT的設定,點選左方的『NAT』就會進入下圖的設定視窗。

Cisco-pix-asa-asdm-configuration-NAT

在這個視窗中,提供了所有NAT/PAT的功能及設定,為了讓內部網路的私有(Private) IP位址能夠順利的與外界溝通,必須加設一條能讓內部網路出去的封包資料能夠被NAT的規則,所以各位可以點選左上角的『Add』選項,並選擇『Add Dynamic NAT rule』來新增一條規則。

Cisco-pix-asa-asdm-add-dynamic-NAT-rule

在這裡我們選定了須要被轉換的IP位址,並且指定了outside為Dynamic Translation的介面,接下來點選『Add』產生下列視窗。

Cisco-pix-asa-asdm-add-global-address-pool

選擇『Port Address Translation (PAT) using IP Address of the interface』並點選『Add >>』加入Address Pool,然後點選『OK』。

cisoc-pix-asa-asdm-dynamic-NAT-rule

於是就會在Dynamic Translation中出現一條新的動態轉換規則名稱為outside且Pool ID為1,最後一步,請點選『NAT Options』按鍵出現以下圖示。

Cisco-pix-asa-asdm-NAT-options

請勾選『DNS Rewrite』中『Translate the DNS replies that match the translation rule』的勾選方框,再點選『OK』即可跳出視窗,Apply所有新增的規則即可出現以下視窗。

Cisco-pix-asa-asdm-NAT-rules

設定完成後,各位可以發現視窗下方會出現一個簡單的圖示,清楚地表示此條規則的作用,讓使用者能夠圖型簡單的標示,了解此規則的內容;在這裡需特別注意一下,PIX/ASA的預設值是不讓ICMP的封包進入高『Security Level』的網路,因此,使用ping是沒有反應的,但其它的通訊協定則沒有這個問題。

最新版的ASDM提供了一個相當重要的功能稱為『Packet Tracer』(封包尋跡),讓使用者可以事先檢視封包流經防火牆的過程,如果封包過不了防火牆,『Packet Tracer』會顯示出封包是在哪裡被丟棄或是被如何處理,這裡Ben哥就用內部網路ping外部網路的資料流作為實驗的範例。

Cisco-pix-asa-asdm-packet-tracer

Ben哥在此選擇了outside介面以及ICMP通訊協定,來源IP為外部的一個合法IP位址,目的地為內部網路的IP位址,經過封包循跡 (Packet Tracer) 的結果,發現封包被丟棄,這證明了外部要進入內部的ICMP封包會被成功的擋下來。

如果我們想讓ICMP的封包能夠通過PIX/ASA,可以下達一條允許由outside介面來的ICMP封包,進入inside介面的規則,各位可以點選右方的『Security Policy』進入以下視窗。

Cisco-pix-asa-asdm-security-policy

PIX/ASA已經有三條預設的『Security Policy』 (安全政策,如果您是Linux的使用者,這些規則就是Netfilter中各位使用指令iptables所下達的規則) ,這三條規則讓剛剛安裝PIX/ASA的使用者能有高度的安全性。

為了順利讓外部網路的ICMP封包通過PIX/ASA到內部網路,我們必須作以下的設定。首先點選『Add』新增加一條規則,規則中則規定凡是從outside介面進來的ICMP所有類型的封包,不限定封包來源或是封包的目的地IP位址,皆可進入到內部網路。

Cisco-pix-asa-asdm-add-access-rule

點選『OK』後再『Apply』新的設定即可以讓ICMP封包順利的進到內部網路。

Cisco-pix-asa-asdm-configuration-done

本來ping不到內部的IP位址,可以由下圖的顯示看出下達Security Policy之後,ping就可以通了。    

technum_03結論

這一期Ben哥簡單的介紹了PIX/ASA的原理、操控介面和基礎的設定方式,奠定往後各位在中、下篇對於防火牆的了解;Ben哥將會在下一期與各位講解『虛擬防火牆』以及『通透式防火牆』,說明『如何設定以及部署的要點及注意事項』,請各位耐心等待。為了與更多讀者有實際的交流和討論,幫讀者們解決問題,Ben哥將在8/3~8/7台北電腦應用展時,在奇科電腦的參展攤位(A407)現場,與各位讀者見面和回答問題。此外Ben哥在8/14(一)晚上、8/26(六)下午及9/6(三)晚上,共三天,在奇科電腦舉行一個技術文件研討會,與各位讀者面對面聊天討論相關技術;由於當天名額有限,有興趣的讀者可以事先撥打奇科電腦的客服專線(02-27116373),預約參加。如有任何設定上或是技術上的任何問題,歡迎隨時與Ben哥聯繫討論。


feebackbtn