Глава 9.

Внедрение многофункционального устройства защиты Cisco

Adaptive Security Appliance

Более двух десятилетий решения в виде межсетевых экранов развивались и совершенствовались

в соответствии с растущими требованиями, касающимися безопасности. В настоящее время
существует множество разновидностей межсетевых экранов, среди которых: межсетевые экраны
с фильтрацией пакетов, с сохранением состояния, шлюз прикладного уровня, прокси,
с преобразованием адресов, на основе хостов, прозрачные и гибридные межсетевые экраны. При
разработке современных сетей необходимо тщательно продумать включение одного или нескольких
межсетевых экранов, чтобы обеспечить защиту соответствующих ресурсов. Компания Cisco
предлагает два решения с функциями межсетевого экрана: маршрутизатор ISR с функциями
межсетевого экрана и многофункциональное устройство защиты (Adaptive Security Appliance, ASA).
Устройства Cisco ASA серии 5500 являются основным компонентом архитектуры сетей без границ
Cisco Secure Borderless Network. Устройства Cisco ASA серии 5500 обеспечивают организациям
безопасное и высокопроизводительное подключение к сети, а также защиту критически важных
ресурсов благодаря интегрированию следующих компонентов:
• Проверенная технология для межсетевого экрана
• Комплексная высокопроизводительная система предотвращения вторжений (IPS) с функцией
глобальной корреляции Cisco и с гарантией полного охвата
• Высокопроизводительные сети VPN и всегда работающий удаленный доступ
• Функция аварийного переключения для обеспечения отказоустойчивости
В настоящей главе приводятся начальные сведения о платформе ASA.

9.1 Знакомство с ASA

9.1.1 Решения ASA

9.1.1.1 Модели межсетевых экранов ASA

Решение в виде маршрутизатора IOS с функциями межсетевого экрана подходит для развертывания
в небольших филиалах компаний и для администраторов, имеющих опыт работы с Cisco IOS. Однако
возможности решения IOS с функциями межсетевого экрана, как правило, не соответствуют
потребностям крупных компаний.
Семейство продуктов Cisco ASA с сервисами FirePOWER обеспечивает предоставление
специализированных сервисов в одном устройстве. Указанные выше устройства обладают
функциями межсетевого экрана нового поколения (NGFW) и гарантируют интегрированную защиту
от угроз на всем протяжении атаки. Они объединяют в себе межсетевой экран ASA и решение
Sourcefire, образуя единое устройство с защитой от угроз и усовершенствованного вредоносного ПО.
Существует несколько моделей ASA, предназначенных для удовлетворения потребностей различных
организаций. Диапазон функциональных возможностей устройств Cisco ASA соответствует
диапазону предъявляемых требований и величине сетей. Выбор конкретной модели ASA
определяется потребностями организации, такими как максимальная производительность,
максимальное количество подключений в секунду и финансовые ресурсы.
На следующих рисунках представлены упомянутые выше модели и показатели их
производительности при работе в режиме с инспекцией состояний.
•На рис. 1 показаны
модели для
небольших и
домашних офисов
(small office and
home office, SOHO),
а также для
небольших
компаний.

•На рис. 2 приводятся модели, предназначенные для интернет-периметра компаний

от среднего до крупного масштаба.

•На рис. 3 показаны модели, предназначенные для крупных компаний и центров обработки
данных.

Все перечисленные модели обладают расширенными функциями межсетевого экрана с сохранением

состояний и поддерживают работу с сетями VPN. Основное отличие между моделями состоит
в величине максимальной пропускной способности, на которую рассчитана каждая модель, а также
в количестве и типах интерфейсов.
Решения Cisco также поддерживают виртуализацию вычислительной инфраструктуры, используя
увеличенную доступность ресурсов на современных серверах с архитектурой x86. Благодаря
многофункциональному виртуальному устройству защиты Cisco (ASAv) возможности устройств ASA
стали доступны в виртуальной среде.

Как показано на рис. 4, серверный гипервизор позволяет создать виртуальный коммутатор

с поддержкой виртуальных машин (ВМ) разных типов. Cisco ASAv функционирует как виртуальная
машина, используя для обработки трафика интерфейс сервера.
ASAv, как и аппаратные устройства Cisco ASA, поддерживает работу в сетях VPN между двумя
пунктами (site-to-site), VPN для удаленного доступа и в бесклиентских VPN.
Примечание. ASAv не поддерживает кластеризацию и режим нескольких контекстов.
Для более полного соответствия потребностям заказчиков решение Cisco ASAv представлено тремя
моделями:
•Cisco ASAv5 - Для этого устройства необходимо до 2 ГБ памяти, а обеспечиваемая
пропускная способность составляет до 100 Мбит/с.
•Cisco ASAv10 - Для этого устройства необходимо до 2 ГБ памяти и его пропускная
способность составляет до 1 Гбит/с.
•Cisco ASAv30 - Для этого устройства необходимо до 8 ГБ памяти, а обеспечиваемая
пропускная способность составляет до 2 Гбит/с.
Примечание. Основное внимание в данной главе будет уделено устройству ASA 5505, которое
предназначено для небольших компаний и филиалов, а также для организации работы удаленных
сотрудников в корпоративном сегменте.

9.1.1.2 Устройства межсетевых экранов Cisco ASA нового поколения

Программный образ для ASA включает в себя межсетевой экран, VPN-концентратор и
функциональные возможности для предотвращения вторжений. Ранее подобные функции были
доступны в виде трех отдельных устройств, каждое из которых было представлено отдельным
программным и аппаратным обеспечением.
 9.1.1.3 Расширенная функциональность межсетевого экрана ASA
Межсетевой экран ASA обладает четырьмя расширенными функциональными возможностями:
• Виртуализация ASA - Один экземпляр ASA можно разделить на несколько виртуальных
устройств, как это продемонстрировано на рис. 1.

Каждое виртуальное
устройство
называется
контекстом
безопасности.
Каждый контекст
является
независимым
устройством
с собственной
политикой
безопасности,
интерфейсами и администраторами. Иметь несколько контекстов – это все равно что иметь
несколько отдельных устройств. В режимах нескольких контекстов поддерживаются многие
функции, включая таблицы маршрутизации, возможности межсетевого экрана, систему IPS и
средства управления. Но некоторые функции не поддерживаются, например VPN-сети и
протоколы динамической маршрутизации.
• Высокая доступность с отказоустойчивостью - Как показано на рис. 2,

два идентичных
устройства ASA можно
объединить
в конфигурацию
с активной/пассивной
отказоустойчивостью
для обеспечения
аппаратного
резервирования. Обе
платформы должны
быть идентичными
по программному
обеспечению, лицензированию и интерфейсам, включая сервисные модули безопасности
(Security Services Module, SSM). В данном примере ASA-1 выступает в качестве
главного/активного устройства, обрабатывающего трафик, и для исходящего трафика на PC-1
используется маршрут, включающий ASA-1. ASA-1 и ASA-2 отслеживают состояния друг друга
 посредством локального отказоустойчивого подключения. Если ASA-1 выходит из строя,
незамедлительно включается ASA-2 и начинает выполнять функции главного устройства.
• Межсетевой экран с идентификацией пользователя - ASA опционально предоставляет
возможности детализированного контроля доступа на основе ассоциации IP-адресов
с информацией из учетной записи Active Directory в ОС Windows.

Например, на рис. 3, когда клиент пытается получить доступ к ресурсам сервера, ему
необходимо сначала пройти аутентификацию с помощью служб Microsoft Active Directory,
выполняющих функции межсетевого экрана и основанных на идентификации пользователя.
Эти службы расширяют возможности механизмов контроля доступа и политики безопасности,
обеспечивая доступ пользователям или группам, указанным в качестве источника трафика
вместо IP-адресов. Политики безопасности, основанные на идентификации пользователей,
можно совмещать без каких бы то ни было ограничений с традиционными правилами
на основе IP-адресов.
• Сервисы контроля и сдерживания распространения угроз - Все модели ASA
поддерживают основные функции системы IPS. Однако расширенные функции IPS могут
предоставляться только при условии интегрирования специализированных аппаратных
модулей с архитектурой ASA. Возможности IPS становятся доступными при использовании
модулей расширенного инспектирования и предотвращения вторжений (Advanced Inspection
and Prevention, AIP). Средства противодействия вредоносному ПО обеспечиваются при
интеграции модуля защиты и контроля контента (Content Security and Control, CSC).

Сервисный модуль расширенного

инспектирования и
предотвращения вторжений Cisco
(Advanced Inspection and
Prevention Security Services
Module, AIP-SSM) и сервисная
карта расширенного
инспектирования и
предотвращения вторжений Cisco
(Advanced Inspection and Prevention Security Services Card, AIP-SSC), показанные на рис. 4,
 обеспечивают защиту от десятков тысяч известных эксплойтов. Также они предоставляют
защиту и от неизвестных версий эксплойтов, благодаря применению специальных механизмов
обнаружения из состава IPS, а также сигнатур, количество которых исчисляется тысячами.
Благодаря сервисам Cisco для IPS предоставляются регулярные обновления сигнатур, которые
формируются международной командой специалистов по безопасности, работающей
в круглосуточном режиме с целью обеспечения защиты от самых новых угроз.
Примечание. Четыре расширенных функциональных возможности, отмеченные выше, выходят
за рамки данного курса и поэтому не рассматриваются в дальнейшем. Для ознакомления
с техническими характеристиками каждой модели ASA щелкните здесь.

9.1.1.4 Обзор межсетевых экранов в дизайне сети

Говоря о сетях, подключенных к межсетевому экрану, необходимо прояснить значение нескольких
общих терминов:
• Внешняя сеть - Сеть/зона, которая находится за пределами защиты межсетевого экрана
• Внутренняя сеть - Сеть/зона, которая защищена и находится за межсетевым экраном
• DMZ - Демилитаризованная зона, которая разрешает пользователям из внутренних и внешних
сетей доступ к защищенным сетевым ресурсам
Межсетевые экраны защищают внутренние сети от несанкционированного доступа пользователей
из внешней сети. Они также защищают пользователей из внутренней сети от действий других
пользователей этой внутренней сети. Например, с помощью создания зон администратор может
отделить сеть, в которой размещены серверы учета, от прочих сетей организации.
На рис. 1 показано взаимодействие таких зон для разрешенного трафика:
• Передача трафика, исходящего из внутренней сети и идущего во внешнюю сеть, разрешается.
• Передача трафика, исходящего из внутренней сети и идущего в сеть DMZ, разрешается.
• Передача трафика, исходящего из внешней сети и идущего в сеть DMZ, разрешается
выборочно.
На рис. 2 показано взаимодействие зон для запрещенного трафика:
• Передача трафика, исходящего из внешней сети и идущего во внутреннюю сеть, запрещается.
• Передача трафика, исходящего из сети DMZ и идущего во внутреннюю сеть, запрещается.

На устройствах Cisco ISR функции межсетевого экрана реализуются либо в виде зонального
межсетевого экрана (Zone-Based Policy Firewall, ZPF), либо в виде применявшейся ранее функции
контроля доступа с учетом контекста (context-based access control, CBAC). ASA предоставляет те же
самые функциональные возможности, только настройка существенно отличается от настойки
зонального межсетевого экрана ZPF на маршрутизаторе IOS.
ASA является специализированным устройством с функциями межсетевого экрана. По умолчанию
интерфейс, указанный в качестве внутреннего, рассматривается как доверенная сеть, а интерфейс,
указанный в качестве внешнего, – как недоверенный.
Каждому интерфейсу соответствует определенный уровень безопасности. Эти уровни безопасности
позволяют ASA применять различные политики безопасности. Например, пользователи
из внутренних сетей могут получать доступ к внешним сетям на основании определенных адресов,
при запросе аутентификации или авторизации или же при координировании с сервером,
выполняющим фильтрацию по URL-адресам.
Примечание. Уровни безопасности иногда называют уровнями доверия. В этом курсе будет
использоваться термин уровни безопасности.
Сетевые ресурсы, такие как веб- или FTP-сервер, которые могут понадобиться пользователям
из внешних сетей, могут находиться в зоне DMZ. Межсетевой экран предоставляет ограниченный
доступ в зону DMZ, защищая внутреннюю сеть от внешних пользователей.

9.1.1.5 Режимы работы межсетевых экранов ASA

У устройств ASA имеется два режима функционирования межсетевого экрана:
• Маршрутизируемый режим - Два или больше интерфейсов отделяют сети 3-го уровня,
например домены. На рис. 1 устройство ASA выступает в качестве транзитного
маршрутизатора сети и может выполнять преобразование сетевых адресов (NAT) между
подключенными сетями.
 В маршрутизируемом режиме поддерживается несколько
интерфейсов. Каждый интерфейс находится в отдельной
подсети, и для него требуется назначение IP-адреса из этой
подсети. ASA применяет политику безопасности к потокам
трафика при прохождении ими межсетевого экрана.
• Прозрачный режим - Часто обозначается как «помеха
в канале» или «невидимый межсетевой экран», так как ASA
работает как устройство 2-го уровня и не рассматривается
в качестве транзитного маршрутизатора.

На рис. 2
устройству ASA
назначен только
IP-адрес из локальной сети для выполнения
функций управления. Этот режим удобно
использовать для упрощения сетевой
конфигурации или когда нельзя изменить IP-
адресацию. Однако у этого режима имеются
недостатки, и к ним относится отсутствие
поддержки протоколов динамической
маршрутизации, сетей VPN, а также функций QoS или DHCP Relay.
Примечание. Основное внимание в данной главе уделяется маршрутизируемому режиму.

9.1.1.6 Требования к лицензированию ASA

Лицензия определяет функциональные возможности, активируемые на конкретном устройстве ASA.
Большинство устройств ASA поставляется с предустановленной базовой лицензией Base или
с лицензией Security Plus. Например, модель Cisco ASA 5505 поставляется с базовой лицензией,
которая допускает обновление до лицензии Security Plus. Лицензия Security Plus, приобретаемая при
обновлении, позволяет расширить возможности Cisco ASA 5505 и повысить количество
поддерживаемых подключений, а также увеличить число обслуживаемых пользователей IPsec VPN
до 25. При этом добавляется полная поддержка зоны DMZ и интеграция в коммутируемые сети
посредством транкинга VLAN. Более того, лицензия Security Plus обеспечивает поддержку
избыточных подключений к провайдерам услуг Интернета и служб высокой доступности в активном
и резервном режимах без сохранения состояний. Данная функция гарантирует бесперебойную
работу компании.
На рис. 1 представлены положения базовой лицензии Base, а на рис. 2 – положения лицензии
Security Plus.
Еще больше расширить функциональные возможности ASA можно, приобретая дополнительные
лицензии или временные лицензии. Например, администратор может установить временную
лицензию сроком на один год для фильтра трафика ботнетов. Другим примером может служить
ситуация, когда устройству ASA приходится обслуживать SSL VPN-подключения от пользователей,
количество которых резко возрастает в ограниченный период времени. В таком случае
целесообразно приобрести дополнительную лицензию AnyConnect Premium.
Объединив эти дополнительные лицензии с предварительно установленными лицензиями, можно
получить постоянную лицензию. После этого постоянная лицензия вводится в действие установкой
ключа постоянной активации с помощью команды activation-key . Один ключ постоянной активации
охватывает сразу все лицензированные
функции. Ключ активации продукта
можно приобрести у полномочного
представителя компании Cisco.
Примечание. Допускается установка
только одного ключа с постоянной
лицензией. После установки этот ключ
называется рабочей лицензией.
Чтобы проверить лицензионную
информацию на устройстве ASA,
необходимо использовать команду show
version , как показано на рис. 3, или
команду show activation-key .

Для получения дополнительной

информации о лицензиях нажмите здесь.

9.1.2 Базовая конфигурация ASA

9.1.2.1 Обзор ASA 5505

Cisco ASA 5505 является полнофункциональным устройством, способным обеспечить безопасность
в небольших компаниях и филиалах, а также в корпоративных инфраструктурах, предназначенных
для организации работы удаленных сотрудников. Это устройство предоставляет клиентам
возможность использовать высокопроизводительный межсетевой экран, подключения SSL VPN и
IPsec VPN, а также широкий набор сетевых сервисов в виде модульного аппаратного решения
с автоматическим конфигурированием (plug-and-play).
На рис. 1 показана передняя панель устройства ASA 5505.

На рис. 2 показана задняя панель устройства Cisco ASA 5505.

По умолчанию объем памяти DRAM в модели Cisco ASA 5505 равняется 256 МБ (возможно
увеличение до 512 МБ), а объем внутренней флеш-памяти по умолчанию составляет 128 МБ.
В отказоустойчивой конфигурации (конфигурация с резервированием) оба устройства должны быть
представлены идентичными моделями с одинаковым аппаратным обеспечением, количеством и
типом интерфейсов, а также объемом оперативной памяти.
 9.1.2.2 Уровни безопасности ASA
ASA назначает уровни безопасности, чтобы различать внутренние и внешние сети. Уровни
безопасности определяют уровни доверия интерфейсов. Чем выше уровень безопасности, тем
надежнее интерфейс. Диапазон уровней безопасности – от 0 (недоверенный) до 100 (самый
доверенный). Каждому рабочему интерфейсу необходимо присвоить название и значение уровня
безопасности в пределах от 0 (низший) до 100 (высший).

Как показано
на рис. 1, уровень 100
необходимо назначать
самой защищенной
сети, например
внутренней. Уровень 0
можно назначить
внешней сети, которая
подключена
к Интернету. Зоне
DMZ и другим сетям
можно назначать
промежуточные
значения уровня
безопасности в диапазоне от 0 до 100. Когда трафик распространяется от интерфейса с большим
уровнем безопасности к интерфейсу с меньшим уровнем безопасности, он считается исходящим.
Напротив, трафик, который распространяется от интерфейса с меньшим уровнем безопасности
к интерфейсу с большим уровнем безопасности, считается входящим.
Уровни безопасности позволяют контролировать много разных аспектов сетевого трафика, как
показано на рис. 2. По умолчанию передача исходящего трафика разрешается, и он при этом
подвергается инспектированию. Возвратный трафик разрешается после инспектирования пакетов
с сохранением состояний. Например, пользователи из внутренней сети, подключенной
к внутреннему интерфейсу, могут беспрепятственно получать доступ к ресурсам в зоне DMZ. Также
они могут инициировать подключения к Интернету без ограничений и без необходимости применять
дополнительную политику безопасности или выполнять дополнительные команды. Однако трафик ,
поступающий в зону DMZ или во внутреннюю сеть из внешней сети, по умолчанию отклоняется.
Возвратный трафик, сформированный изначально во внутренней сети и возвращающийся через
внешний интерфейс, разрешается. Для любых исключений из такого режима работы по умолчанию
необходимо сконфигурировать список ACL, чтобы явным образом разрешить распространение
трафика от интерфейса с более низким уровнем безопасности к интерфейсу с более высоким
уровнем безопасности, например из внешней сети к внутренней.

9.1.2.3 Сценарии развертывания ASA 5505

ASA 5505 обычно используется как граничное защитное устройство. Оно обеспечивает в небольших
компаниях подключение к устройствам поставщиков услуг Интернета, таким как DSL-модем или
кабельный модем, при организации доступа к этой сети. Это устройство можно развернуть для
реализации внутренних подключений и защиты нескольких рабочих станций, сетевых принтеров и
IP-телефонов.
В небольшой компании типичное развертывание
включает в себя внутреннюю сеть (VLAN 1) с уровнем
безопасности, равным 100, и внешнюю сеть (VLAN 2)
с уровнем безопасности 0, как показано на рис. 1.
Порты 6 и 7 на коммутаторе стандарта Fast Ethernet
поддерживают технологию PoE. Их можно назначить
сети VLAN 1 и использовать для подключения IP-

телефонов.
Как показано на рис. 2, в небольшой компании
устройство ASA 5505 можно развернуть с двумя
защищенными сетевыми сегментами. Одним
сегментом является внутренняя сеть (VLAN 1),
которая реализует подключение рабочих станций
и IP-телефонов. Другим сегментом сети является
зона DMZ (VLAN 3), которая используется для организации подключения веб-сервера компании.
Внешний интерфейс (VLAN 2) используется для подключения к сети Интернет.

При развертывании в крупной

компании, как показано на рис. 3,
ASA 5505 может использоваться
удаленными и надомными
сотрудниками для доступа
к централизованной инфраструктуре
с помощью технологии VPN.

9.2 Конфигурация межсетевого экрана ASA

9.2.1 Решения ASA

9.2.1.1 Базовые настройки ASA

Интерфейс командной строки (CLI) ASA представляет собой проприетарную операционную систему,
которая по стилю и внешнему виду похожа на операционную систему IOS маршрутизатора.
Например, в интерфейсе ASA CLI приглашение для ввода команды такое же, как и в Cisco IOS
на маршрутизаторе, что показано на рис. 1.

Кроме того, как и в IOS CLI, в интерфейсе ASA CLI допускается следующее:
• Использование сокращенных обозначений команд и ключевых параметров
• Использование клавиши TAB для завершения частично введенной команды
• Использование после команды вспомогательного ключа (?) для просмотра дополнительной
информации о синтаксисе
Однако в интерфейсе ASA CLI имеются и команды, отличающиеся от команд маршрутизатора.

В таблице на рис. 2 приводятся отличия между наиболее часто используемыми командами IOS
маршрутизатора и командами ASA, а на рис. 3 указаны некоторые уникальные возможности ASA.

Примечание. Все модели ASA допускают конфигурирование и управление либо посредством

интерфейса командной строки (CLI), либо с помощью менеджера многофункциональных устройств
защиты (Adaptive Security Device Manager, ASDM). Основное внимание в данной главе уделяется
интерфейсу командной строки CLI устройства ASA. Приложение ASDM обсуждается в другой главе
настоящего курса.

9.2.1.2 Конфигурация ASA по умолчанию

ASA 5505 поставляется с конфигурацией по умолчанию, которая в большинстве случаев подходит
для развертывания в небольших и домашних офисах.
Примечание. Для восстановления конфигурации по умолчанию на устройстве ASA можно
использовать команду из режима глобальной конфигурации configure factory-default .
В конфигурации по умолчанию предусмотрено две предварительно настроенных сети VLAN:
• VLAN 1 - Для внутренней сети
• VLAN 2 - Для внешней сети
Особенности конфигурации по умолчанию частично показаны на этом рисунке. Указанные настройки
можно изменять:
• Вручную с помощью интерфейса командной строки (CLI)
• С помощью интерактивного мастера инициализации настройки в режиме интерфейса
командной строки (CLI)
• С помощью мастера запуска ASDM

9.2.1.3 Интерактивный мастер инициализации настройки ASA

В ASA имеется интерактивный мастер инициализации настройки, который облегчает процесс
первоначальной конфигурации устройства. Этот мастер позволяет администратору выполнить
настройку базовых параметров, предлагая интерактивные запросы.
Этот мастер отображается после того, как на ASA стираются все настройки и выполняется
перезагрузка устройства с помощью команд привилегированного режима write erase и reload .
После перезагрузки ASA отображается приглашение мастера: «Выполнить предварительную
настройку межсетевого экрана с помощью интерактивных запросов прямо сейчас [да]?
<Enter>» Чтобы отменить эту процедуру и перейти в консольный пользовательский режим EXEC
по умолчанию, введите no , как показано на рис. 1. В противном случае введите yes или просто
нажмите Enter , чтобы подтвердить значение по умолчанию [да]. Это приведет к запуску мастера
настройки, и ASA предложит администратору выполнить конфигурирование параметров
по умолчанию в интерактивном режиме.

Примечание. На устройстве безопасности значения по умолчанию выделяются скобками ([ ]) и

отображаются до того, как пользователю предлагается либо согласиться с ними, либо их изменить.
Чтобы подтвердить значение по умолчанию, достаточно нажать Enter.
Пример интерактивного конфигурирования приводится на рис. 2. После выполнения интерактивного
этапа работы мастера на устройстве безопасности отображается сводная информация о новой
конфигурации, и пользователю предлагается сохранить или отклонить указанные настройки . При
выборе ответа yes конфигурация сохраняется во флеш-памяти, и отображается командная строка для
настроенного хоста. При выборе ответа no происходит перезапуск мастера инициализации
настройки с самого начала, при этом используются новые, указанные ранее пользователем значения
по умолчанию. Это позволяет администратору исправить неправильно настроенные параметры .
Хотя этот мастер позволяет выполнить конфигурацию базовых параметров, большинство
администраторов предпочитает настраивать устройство вручную с помощью интерфейса командной
строки (CLI).
 9.2.2 Настройка сервисов и параметров управления

9.2.2.1 Вход в режим глобальной конфигурации

Если конфигурация ASA была стерта, устройство перезагружено, а пользователь не применял мастер
интерактивной настройки, отображается командная строка следующего вида: ciscoasa> .
Чтобы перейти в привилегированный режим, в пользовательском режиме необходимо выполнить
команду enable . Изначально в ASA не задан пароль, поэтому при появлении соответствующего
запроса следует оставить поле «пароль привилегированного доступа» пустым и нажать Enter.
Дату и время в ASA необходимо установить либо вручную, либо посредством протокола сетевого
времени (NTP). Чтобы задать значения для даты и времени, выполните команду привилегированного
режима clock set .
Примечание. Работа с протоколом NTP будет рассмотрена в этой главе чуть позже.
Перейти в режим глобальной конфигурации можно выполнив команду configure
terminal в привилегированном режиме. При первом входе в режим глобальной конфигурации
отображается сообщение с запросом о включении интеллектуальной функции дистанционного
уведомления (Smart Call Home). Эта функция предоставляет возможность выполнения проактивной
диагностики и получения в реальном времени уведомлений на отдельных устройствах Cisco, что
обеспечивает более высокий уровень доступности сетевой инфраструктуры и повышение
эффективности работы. Чтобы воспользоваться этой функцией, необходима регистрация
пользователя на сайте cisco.com, а само устройство ASA должно быть зарегистрировано в рамках
договора об обслуживании Cisco SMARTnet.
Для получения дополнительных сведений об интеллектуальной функции дистанционного уведомления
(Smart Call Home) щелкните здесь.
На этом рисунке демонстрируется вход в привилегированный режим и в режим глобальной
конфигурации.
 9.2.2.2 Конфигурирование базовых настроек
На ASA необходимо сконфигурировать базовые настройки управления. На рис. 1 показаны команды,
позволяющие решить эту задачу.

На рис. 2 показано выполнение базовой конфигурации на ASA 5505.

Как и в IOS CLI, официальное уведомление отображается с помощью команды banner motd . Однако
результат этой команды отличается от результата в версии IOS. Чтобы настроить в баннере
использование нескольких строк, необходимо выполнить команду banner motd несколько раз.
Чтобы удалить строку (строки), нужно использовать соответствующую команду для настройки
уведомления no banner motd .
Пароль привилегированного режима автоматически шифруется с помощью алгоритма MD5. Однако
более надежное шифрование можно получить с помощью алгоритма AES. Для этого необходимо
настроить парольную фразу и активировать шифрование AES.
На рис. 3 приводится пример конфигурации с шифрованием всех пользовательских паролей.

Парольную фразу можно изменить с помощью команды key config-key password-encryption .

Проверить, включено ли шифрование паролей, позволяет команда show password encryption .
Для конфигурирования базовых настроек ASA 5505 рекомендуется использовать средство проверки
синтаксиса, показанное на рис. 4.
 9.2.2.3 Конфигурирование логических интерфейсов VLAN
Процедура настройки интерфейсов на ASA модели 5505 отличается от подобной процедуры
на других моделях серии 5500. На других моделях ASA физическому порту можно непосредственно
назначить IP-адрес третьего уровня так же, как и на маршрутизаторе Cisco. На ASA 5505 все восемь
интегрированных портов коммутатора – это порты 2-го уровня. Поэтому на ASA 5505 необходимо
настроить два типа интерфейсов:
• Логические интерфейсы VLAN - При настройке этих интерфейсов используются данные для
3-го уровня, включая название, величину, характеризующую уровень безопасности, и IP-
адрес.
• Физические порты коммутатора - Это порты коммутатора, соответствующие 2-му уровню,
которые назначаются логическим интерфейсам VLAN.
На ASA 5505 параметры 3-го уровня настраиваются на логических интерфейсах VLAN, которые
называются виртуальными интерфейсами коммутатора (switch virtual interface, SVI). Для SVI требуется
указать название, уровень безопасности интерфейса и IP-адрес. После этого порты коммутатора 2-го
уровня присваиваются определенному интерфейсу VLAN. Обмен данными между портами
коммутатора, соответствующими одному и тому же интерфейсу VLAN, может осуществляться
с помощью аппаратной коммутации. Но когда порт коммутатора на интерфейсе VLAN 1 будет
обмениваться данными с портом коммутатора на интерфейсе VLAN 2, ASA будет применять политику
безопасности к трафику и маршрутам на участке между этими двумя интерфейсами VLAN.
Присваивание логических интерфейсов VLAN выполняется с помощью команд, перечисленных
в таблице на рис. 1.

На ASA 5505 с базовой лицензией не допускается создание более двух полнофункциональных

интерфейсов VLAN. Однако можно создать третий «ограниченный» интерфейс VLAN, если сначала
сконфигурировать его с помощью команды no forward interface vlan . Данная команда
предотвращает взаимодействие этого интерфейса с другим интерфейсом VLAN. Поэтому когда
настраиваются внутренние и внешние интерфейсы VLAN, команду no forward interface
vlan number необходимо выполнить до выполнения команды nameif на третьем интерфейсе.
Аргумент number является идентификатором того интерфейса VLAN, с которым создаваемый
интерфейс не может обмениваться трафиком. Для реализации полной функциональности в подобной
ситуации требуется наличие лицензии Security Plus.
IP-адрес интерфейса можно сконфигурировать одним из следующих способов:
• Вручную - Используется, как правило, для назначения интерфейсу IP-адреса и маски подсети.
• DHCP - Используется, когда интерфейс подключается к вышестоящему устройству с сервисами
DHCP. В таком случае интерфейс может выступать в качестве DHCP-клиента и получать свой
IP-адрес, а также другие данные, обеспечивающие работу DHCP, непосредственно
с вышестоящего устройства.
• PPPoE - Используется, когда интерфейс подключается к вышестоящему устройству DSL,
обеспечивающему соединение точка-точка с помощью сервисов Ethernet. Тогда этот
интерфейс может выступать в качестве PPPoE-клиента и получать свой IP-адрес
от вышестоящего устройства PPPoE DSL.
В таблице на рис. 2 перечислены команды, позволяющие настроить IP-адрес для какого-либо
интерфейса.
На рис. 3 приводится пример конфигурации. Обратите внимание, как значения уровней
безопасности по умолчанию назначаются для inside (внутреннего) интерфейса и outside
(внешних) интерфейсов. Таким образом, выполнение команды security-level необходимо, только
если администратору требуется изменить эти значения. Для любых других интерфейсов присвоение
уровня безопасности является обязательным.

9.2.2.4 Ассоциация портов уровня 2 с VLAN

По умолчанию все порты коммутатора 2-го уровня ассоциируются с VLAN 1. Поэтому чтобы
изменить способ ассоциации, принятый по умолчанию для сетей VLAN, необходимо настроить порты
2-го уровня с помощью команды конфигурирования интерфейса switchport access vlan vlan-id . Сам
порт при этом необходимо активировать с помощью команды конфигурирования интерфейса no
shutdown .
Примечание. Данные о текущей конфигурации отображаются только при выполнении
команды switchport access vlan и касаются тех интерфейсов, которые ассоциированы с VLAN,
отличающейся от VLAN 1, задаваемой по умолчанию. Интерфейсы в сети VLAN 1 по умолчанию не
отображают команду switchport access vlan 1 .
На рис. 1 приводится пример конфигурации порта 2-го уровня на ASA 5505.

Для проверки настроек VLAN необходимо использовать команду show switch vlan , как показано
на рис. 2.

Отобразить состояние всех интерфейсов ASA позволяет выполнение команд show

interface или show interface ip brief , как показано на рис. 3.

Информацию об интерфейсах VLAN 3-го уровня можно посмотреть с помощью команды show ip
address , как показано на рис. 4.

Для настройки внутренних и внешних интерфейсов ASA 5505 рекомендуется использовать средство
проверки синтаксиса, показанное на рис. 5.
 9.2.2.5 Конфигурирование статической маршрутизации по умолчанию
Если устройство ASA настроено в качестве DHCP-клиента, оно может получить и применить
к настройкам маршрут по умолчанию от вышестоящего устройства. В иных случаях статический
маршрут по умолчанию необходимо сконфигурировать с помощью команды route interface-
name 0.0.0.0 0.0.0.0 next-hop-ip-address . Проверить маршрут позволяет команда show route .

В примере на рис. 1 демонстрируется настройка и проверка статического маршрута по умолчанию.

Для настройки на ASA 5505 статического маршрута по умолчанию рекомендуется использовать
средство проверки синтаксиса, показанное на рис. 2.
 9.2.2.6 Конфигурирование сервисов удаленного доступа
Для реализации удаленного управления ASA 5505 посредством интерфейса командной строки (CLI)
необходимо использовать сервисы Telnet или SSH. Чтобы активировать сервис Telnet, необходимо
использовать команды, перечисленные на рис. 1.

Примечание. Команда aaa authentication telnet console LOCAL обладает большим приоритетом,
нежели команда password , и после ее выполнения аутентификация доступа по Telnet
осуществляется в соответствии с локальной базой данных.

В примере на рис. 2 показано активирование доступа по Telnet на устройстве ASA 5505. В данном
примере доступ к ASA разрешается только для внутреннего хоста с IP-адресом 192.168.1.3. ASA
завершает сеанс Telnet в случае его бездействия в течении трех минут.
Обмен данными, включая и пароли, по Telnet идет в виде простого текста. Трафик, передаваемый
по SSH-туннелю, шифруется, и это обеспечивает защиту от перехвата паролей, а также других
критически важных команд конфигурирования. Поэтому с точки зрения соблюдения безопасности,
для удаленного доступа необходимо всегда использовать протокол SSH. Чтобы активировать доступ
по SSH, необходимо использовать команды, перечисленные на рис. 3. Проверить настройку SSH
можно, выполнив команду show ssh .

В примере на рис. 4 демонстрируется включение доступа по SSH на ASA 5505. В данном примере
аутентификация AAA осуществляется по локальной базе данных, и при генерировании ключа
шифрования RSA используется 2048 бит. Доступ к ASA по протоколу SSH версии 2 предоставляется
двум внутренним хостам и одному внешнему хосту.
Для настройки удаленного доступа к ASA 5505 с использованием локальной базы данных
рекомендуется использовать средство проверки синтаксиса, показанное на рис. 5.

9.2.2.7 Конфигурирование сервисов протокола сетевого времени (Network

Time Protocol, NTP)
Включение сервисов сетевого протокола точного времени (Network Time Protocol, NTP) на ASA
позволяет получать значения даты и времени с NTP-сервера. Чтобы обеспечить возможность работы
по протоколу NTP, необходимо использовать команды режима глобальной конфигурации,
перечисленные на рис. 1.

Проверить настройку NTP можно, выполнив команды show ntp status и show ntp associations .
В примере на рис. 2 показано включение протокола NTP с аутентификацией на устройстве ASA 5505.
Для включения протокола NTP и настройки аутентификации на ASA 5505 рекомендуется
использовать средство проверки синтаксиса, показанное на рис. 3.

9.2.2.8 Конфигурирование сервисов DHCP

Устройство ASA можно сконфигурировать в качестве DHCP-сервера, предоставляющего хостам IP-
адреса и другую информацию, относящуюся к работе по протоколу DHCP. Чтобы настроить ASA
в качестве DHCP-сервера с предоставлением хостам соответствующих DHCP-сервисов, необходимо
использовать команды, перечисленные на рис. 1.
В примере на рис. 2 показано включение DHCP-сервиса для внутренних клиентов на ASA 5505.

Примечание. На ASA 5505 с базовой лицензией возможно предоставление данных о настройке IP-
адресов не более чем 32 DHCP-клиентам. Однако в рамках базовой лицензии, которая рассчитана
на 10 пользователей, не более чем 10 внутренним IP-адресам разрешается одновременно обмениваться
данными с внешним интерфейсом или другими сетями VLAN. Для лицензии, рассчитанной
на 50 пользователей, допускается не более 128 клиентов. Для неограниченной лицензии допускается
до 256 клиентов, что аналогично всем другим моделям ASA.
Примечание. Если внешний интерфейс ASA был сконфигурирован в качестве DHCP-клиента,
выполнение команды режима глобальной конфигурации dhcpd auto_config outside позволяет передать
полученные параметры DHCP внутренним DHCP-клиентам.
Для проверки настроек DHCP можно использовать следующие команды:
• show dhcpd state - Позволяет отобразить информацию о текущем состоянии DHCP для
внутренних и внешних интерфейсов.
• show dhcpd binding - Позволяет отобразить текущие привязки DHCP для внутренних
пользователей.
• show dhcpd statistics - Позволяет отобразить текущие данные о работе и состоянии DHCP.
Чтобы удалить привязки DHCP или информационные данные, можно использовать команду clear
dhcpd binding или clear dhcpd statistics .
Для включения работы DHCP-сервисов на ASA 5505 рекомендуется использовать средство проверки
синтаксиса, как показано на рис. 3.
 9.2.3 Настройка сервисов и параметров управления

9.2.3.1 Знакомство с объектами и группами объектов

В ASA имеется поддержка объектов и групп объектов, как показано в результате команды на этом
рисунке.
Объекты создаются и
используются ASA вместо
внутриканальных IP-
адресов в любой
конфигурации. При
определении объекта
можно использовать
конкретный IP-адрес,
целую подсеть, диапазон
адресов, протокол, какой-либо порт или диапазон портов. После этого объект можно многократно
использовать в нескольких конфигурациях.
Преимущество такого подхода выражается в том, что в случае изменения объекта это автоматически
отражается во всех правилах, в которых данный объект применяется. Таким образом, объекты
облегчают ведение конфигураций.
Объекты можно включать или исключать из одной или нескольких групп объектов, следя
за отсутствием дублирования, но их можно использовать повторно, по мере необходимости. Такие
объекты можно использовать при преобразовании сетевых адресов (NAT), в списках доступа и
группах объектов. В частности, сетевые объекты являются важнейшим элементом при настройке
преобразования сетевых адресов NAT.
Допускается конфигурирование объектов двух типов:
• Сетевой объект - Содержит единственный IP-адрес и маску подсети. Сетевые объекты могут
быть трех типов: хост, подсеть или диапазон. Сетевой объект можно настроить с помощью
команды object network .
• Сервисный объект - Содержит протокол и, возможно, порт источника и/или получателя.
Сервисный объект можно настроить с помощью команды object service .
Примечание. Сетевой объект необходимо обязательно использовать для настройки NAT
в программном образе ASA версии 8.3 или выше.

9.2.3.2 Конфигурирование сетевых объектов

Для создания сетевого объекта необходимо использовать команду режима глобальной
конфигурации object network object-name . После этого вид строки приглашения изменится
на режим конфигурации сетевого объекта.
В названии сетевого объекта может содержаться только один IP-адрес и соответствующая маска.
Поэтому в сетевом объекте может присутствовать только одно выражение. При вводе второй пары
данных, состоящей из IP-адреса и маски, произойдет замена существующей конфигурации.

Сетевые объекты можно определять с помощью одного из трех методов, перечисленных на рис. 1.
Чтобы удалить конкретный сетевой объект, необходимо использовать отрицательную форму любой
из трех указанных команд с ключом no . Удалить сразу все сетевые объекты позволяет команда clear
config object network .
Примечание. Эта команда удаляет все сетевые объекты.
На рис. 2 приводится
пример конфигурации
сетевого объекта.
Проверить правильность
настройки можно,
выполнив команду show
running-config object .
 9.2.3.3 Конфигурирование сервисных объектов
Для создания сервисного объекта необходимо выполнить команду режима глобальной
конфигурации object
service object-name .
После этого вид
строки приглашения
изменится на режим
конфигурации
сервисного объекта.
В сервисном объекте
могут содержаться
данные о протоколе,
например ICMP,
ICMPv6, TCP или
UDP, а также
о соответствующем
порте (или диапазоне
портов).
На рис. 1 показаны
параметры,
доступные для
сервисного объекта.
На рис. 2 представлен обзор параметров обычных сервисных объектов. Дополнительные ключевые
слова используются для задания портов источника и получателя: либо вместе, либо одного из них.

При настройке портов для определенного протокола можно использовать такие операторы,
как eq (равно), neq (не равно), lt (меньше), gt (больше) и range(диапазон). Если явно не указан ни
один из этих операторов, то по умолчанию подразумевается использование оператора eq.
Чтобы удалить какой-либо сервисный объект, необходимо использовать отрицательную форму
соответствующей команды с ключом no . Удаление сразу всех сервисных объектов возможно
с помощью команды clear config object service .
 На рис. 3 показан
пример конфигурации
сервисного объекта.
Название сервисного
объекта может быть
связано только с одним протоколом и портом (или портами). Если для существующего сервисного
объекта выполнено конфигурирование с другим протоколом и портом, то данные новой
конфигурации заменяют значения для протокола и порта из существующей конфигурации.
Проверить правильность настройки можно, выполнив команду show running-config object service .

9.2.3.4 Группы объектов

Объекты можно группировать, образуя группы объектов. При группировании похожих объектов
образующуюся группу можно использовать в записях контроля доступа (access control entry, ACE)
вместо того, чтобы создавать правила ACE для каждого из объектов по отдельности.
ASA поддерживает группы объектов различного типа, как показано на данном рисунке.

Примечание. Можно создавать также группы объектов в соответствии с каким-либо протоколом.

Однако это не рекомендуется делать, вместо этого следует использовать группу сервисных объектов.
К группам объектов применимы следующие рекомендации и ограничения:
• Объектам и группам объектов выделяется одно и то же пространство имен.
 • У групп объектов должны быть уникальные названия.
• Для группы объектов не допускается удаление ее самой или удаление всех ее элементов, если
она используется в какой-либо команде.
• ASA не поддерживает работу с группами вложенных объектов, соответствующих протоколу
IPv6.

9.2.3.5 Конфигурирование обычных групп объектов

Для настройки группы сетевых объектов необходимо использовать команду режима глобальной
конфигурации object-group network grp-name . После выполнения этой команды можно добавить
сетевой объект к сетевой группе с помощью команд network-object и group-object .
Примечание. Группу сетевых объектов нельзя применять для реализации преобразования сетевых
адресов NAT. В таком случае нужно использовать сетевой объект.
На рис. 1 приводится пример конфигурации группы сетевых объектов.

Для настройки группы ICMP-объектов следует использовать команду режима глобальной

конфигурации object-group icmp-type grp-name . После выполнения этой команды можно добавить
ICMP-объект к ICMP-группе с помощью команд icmp-object и group-object .
На рис. 2 показан пример конфигурации группы ICMP-объектов.

Для настройки группы сервисных объектов необходимо использовать команду режима глобальной
конфигурации object-group service grp-name . Группа сервисных объектов может определяться как
комбинация TCP-сервисов, UDP-сервисов, сервисов ICMP-типа, а также любого протокола. После
выполнения команды object-group service сервисные объекты можно добавить к сервисной группе
с помощью команд service-object и group-object .
Чтобы настроить группу сервисных объектов для протоколов TCP, UDP или TCP и UDP, необходимо
указать соответствующий параметр в команде режима глобальной конфигурации object-group
service grp-name [tcp | udp | tcp-udp]. Если параметр tcp, udpили tcp-udp указывается
дополнительно в командной строке, сервис определяет для группы сервисных объектов стандартные
параметры портов TCP/UDP, такие как «eq smtp» и «range 2000 2010». После выполнения этой
команды можно добавить объекты-порты к сервисной группе с помощью команд port-
object и group-object .
На рис. 3 показан пример конфигурации группы сервисных объектов.

Удаление всех групп объектов из конфигурации возможно при выполнении команды режима
глобальной конфигурации clear configure object-group .
Проверить настройку групп объектов позволяет команда show running-config object-group .
Практические примеры групп объектов будут предоставлены при конфигурировании ACL и NAT.
ASA не поддерживает работу с группами вложенных объектов, соответствующих протоколу IPv6.
 9.2.4 Списки ACL

9.2.4.1 ACL-списки ASA

Cisco ASA 5505 обладает базовыми возможностями по фильтрации трафика с помощью списков
ACL. Контроль сетевого доступа с помощью списков ACL реализуется в виде запрета
на определенный входящий или исходящий трафик.
Между ACL-списками ASA и IOS существует много общего. Например, в обоих случаях списки
состоят из записей ACE, которые обрабатываются последовательно сверху вниз, и в конце каждого
из списков явным образом указано правило deny any . В дополнение к этому в обоих случаях
применяется только один список ACL на интерфейс, на протокол, на направление.
ACL-списки ASA отличаются от ACL-списков IOS тем, что в них используется маска подсети
(например, 255.255.255.0) вместо маски шаблона (например, 0.0.0.255). Кроме того, большинство
ACL-списков ASA являются именованными, а не нумерованными.

На рис. 1 указаны сходства ACL-списков ASA и ACL-списков IOS, а на рис. 2 приводятся различия
между ними.

9.2.4.2 Типы фильтрации ACL-списков ASA

Списки ACL на устройстве обеспечения безопасности могут использоваться не только для
фильтрации пакетов, проходящих через устройство, но также и для фильтрации пакетов,
предназначенных для данного устройства.
• Фильтрация проходящего трафика - Трафик, проходящий через устройство безопасности
от одного интерфейса к другому интерфейсу. Конфигурирование выполняется в два этапа.
На первом этапе настраивается список ACL. На втором этапе этот список ACL применяется
к какому-либо интерфейсу.
 • Фильтрация трафика to-the-box - Фильтрация трафика to-the-box также называется правилом
управления доступом и распространяется на трафик, который терминируется на ASA. Этот тип
фильтрации был впервые реализован в версии 8.0 и применяется к трафику,
направляющемуся на плоскость управления устройства ASA. Такая фильтрация выполняется
за один шаг, но для нее требуется дополнительный набор правил, реализующих управление
доступом.
Устройства ASA отличаются от аналогичных маршрутизаторов наличием у интерфейсов уровней
безопасности. По умолчанию уровни безопасности позволяют применять контроль доступа без
настройки списка ACL. Так, передача трафика с более безопасных интерфейсов, например с уровнем
безопасности 100, разрешается на менее безопасные интерфейсы, например с уровнем безопасности
0. Трафик от менее безопасных интерфейсов к более безопасным интерфейсам блокируется.
Например, хост из внутренней сети с уровнем безопасности 100 может получить доступ к внешнему
интерфейсу с уровнем безопасности 0, как показано на рис. 1.

Однако хост с внешнего интерфейса с уровнем безопасности 0 не может получить доступ

к внутреннему интерфейсу с уровнем безопасности 100, как показано на рис. 2.
При необходимости список ACL следует явным образом сконфигурировать так, чтобы разрешить
распространение трафика с более низкого уровня безопасности к более высокому уровню
безопасности.
Чтобы обеспечить связь между интерфейсами с одинаковым уровнем безопасности, необходимо
выполнить команду режима глобальной конфигурации same-security-traffic permit inter-interface .
Чтобы трафик поступал на интерфейс и с него же выходил, например зашифрованный трафик может
входить на какой-либо интерфейс, а затем уже в незашифрованном виде маршрутизироваться
на выход этого же интерфейса, можно использовать команду режима глобальной
конфигурации same-security-traffic permit intra-interface .

9.2.4.3 Типы ACL-списков ASA

В ASA реализована поддержка списков доступа пяти типов:
• Расширенный список контроля доступа - Это самый распространенный тип списка ACL.
В нем содержится одна или несколько записей ACE, позволяющая указать адреса источника и
назначения, а также данные, касающиеся протокола, портов (для TCP или UDP) или типа
ICMP (для ICMP).
• Стандартный список контроля доступа Стандартные списки ACL на ASA используются
только для определения IP-адресов назначения, в отличие от стандартных списков ACL для
IOS, которые определяют хост/сеть источника. Обычно они используются только для
маршрутов OSPF и могут применяться в карте маршрутов для перераспределения OSPF.
Стандартные списки контроля доступа нельзя применять к интерфейсам для контроля трафика.
• Список контроля доступа EtherType - Список ACL типа EtherType можно настроить, только
если устройство обеспечения безопасности работает в прозрачном режиме.
• Список контроля доступа Webtype - Используется в конфигурации, поддерживающей
фильтрацию соединений SSL VPN без клиента.
• Список контроля доступа IPv6 - Используется для определения трафика IPv6, который
должен блокироваться или пересылаться на интерфейсах маршрутизатора.
На рисунках с 1 по 3 представлены примеры списков ACL следующих типов: расширенный,
стандартный и IPv6.

Чтобы отобразить синтаксис всех поддерживаемых списков ACL на платформе ASA, необходимо
использовать команду привилегированного режима help access-list .
Примечание. Основное внимание в данной главе уделяется расширенным спискам ACL.

9.2.4.4 Конфигурирование ACL-списков

Информация о параметрах синтаксиса для настройки ACL-списков на ASA является достаточно
объемной, учитывая количество поддерживаемых параметров, как показано в частичном результате
команды help access-list на рис. 1. Эти параметры не только предоставляют администратору полный
контроль над тем, что следует инспектировать, но и весь спектр возможностей для ведения журнала,
что позволяет анализировать трафик в последующем.
Существует большое количество параметров, которые можно использовать со списками ACL. Однако
в большинстве случаев подойдет более сокращенная версия синтаксиса, показанная на рис. 2.

У ACL-списков для IOS и ASA имеется много сходных элементов, но некоторые параметры на ASA
отличаются. В таблице на рис. 3 описываются элементы ACL-списка ASA.
Примечание. Весь синтаксис для списка ACL в данной главе не рассматривается.
 9.2.4.5 Применение ACL-списков
После выполнения настройки списка ACL его необходимо применить к какому-либо интерфейсу
во входящем или исходящем направлении.
На рис. 1 приводится описание синтаксиса и параметров команды access-group , предназначенной
для применения списка ACL к какому-либо интерфейсу.

Проверить правильность настройки списков ACL можно с помощью команд show access-list и show
running-config access-list .
Удалить сконфигурированный список ACL позволяет команда clear configure access-list id .
На рисунках 2–5 приводится четыре примера конфигурации ACL-списков для ASA с краткими
пояснениями.

9.2.4.6 ACL-списки и группы объектов

Рассмотрим пример топологии на рис. 1 для случая, когда двум удаленным доверенным хостам –
PC1 и PC2 –
необходимо
предоставить доступ
к двум внутренним
серверам с веб-
сервисами и
электронной почтой.
Весь остальной трафик,
проходящий через ASA, должен быть отклонен, а информацию о нем необходимо зарегистрировать
в журнале событий.

Для списка ACL, показанного на рис. 2, потребуется создать две записи ACE, соответствующие
каждому ПК и выполняющие необходимые задачи. Явное указание правила deny any позволяет
отклонить любые пакеты, которые не соответствуют веб-сервисам и сервису электронной почты, и
регистрировать в журнале необходимую информацию. Как показано в данном примере, списки ACL
необходимо всегда сопровождать подробными комментариями с помощью команды remark .
Для проверки синтаксиса ACL-списка необходимо использовать команды show running-config
access-list и show access-list , как показано на рис. 3.

9.2.4.7 Примеры ACL-списков, использующих группы объектов

Группирование объектов является способом объединения сходных элементов, позволяющим
уменьшить количество записей ACE. При группировании похожих объектов образующуюся группу
можно использовать в списках ACL вместо того, чтобы создавать правила ACE для каждого
из объектов по отдельности. Без группирования объектов, конфигурации устройств безопасности
могли бы содержать тысячи записей ACE, что затрудняло бы процесс управления.
На рис. 1 показан сокращенный синтаксис ACL-списка, предназначенный для использования
с группами объектов в примере, который приводится на этой странице.

При создании записей ACE на устройстве безопасности действует правило множителя. Например,
если двум внешним хостам требуется доступ к двум внутренним серверам с работающими HTTP- и
SMTP-сервисами, на ASA необходимо наличие восьми записей ACE на основе хостов. Расчет ведется
в соответствии со следующей формулой:
Количество записей ACE = (2 внешних хоста) x (2 внутренних сервера) x (2 сервиса) = 8
Группирование позволяет объединить сетевые объекты в одну группу, а внешние хосты в другую
группу. На устройстве безопасности также можно объединить оба TCP-сервиса в одну группу
сервисных объектов.

Рассмотрим, например, образец топологии, приведенный на рис. 2. В примере расширенного ACL-

списка с предыдущей страницы для этой топологии требовалось девять записей ACE для списка ACL,
восемь разрешающих записей ACE и запись ACE с неявным отклонением. Создание следующих
объектов позволяет упростить ситуацию с наличием фактически вложенных друг в друга списков ACL
до одной записи ACE. Например, создадим следующие группы объектов:
• Группа сетевых объектов с названием NET-HOSTS - Определяет два внешних хоста.
• Группа сетевых объектов с названием SERVERS - Определяет серверы с веб-сервисами и
сервисом электронной почты.
• Группа сервисных объектов HTTP-SMTP - Определяет протоколы SMTP и HTTP.
На рис. 3 показана конфигурация, выполняющая те же функции, что и расширенный ACL-список
на предыдущей странице, в котором используются группы объектов.
На рис. 4 показана итоговая конфигурация ACL в текущей конфигурации.

После настройки групп объектов эти группы можно использовать в любом ACL-списке и даже
в нескольких ACL-списках. Одна запись ACE позволяет разрешить доверенным хостам направлять
запросы об определенных сервисах к группе внутренних сервисов.
Хотя процедура конфигурирования групп объектов может казаться трудоемкой, ее преимущество
состоит в том, что эти объекты можно повторно использовать в других командах ASA и в эти группы
удобно вносить изменения. Например, если необходимо добавить новый внутренний почтовый
сервер, все, что для этого требуется, – это отредактировать группу объектов Internal-Servers
(внутренние серверы).
Примечание. Группы объектов могут быть вложенными в другие группы объектов.
На рис. 5 показано средство проверки синтаксиса для конфигурации ACL-списка с группами объектов
на ASA с помощью интерфейса командной строки (CLI).

9.2.5 Сервисы NAT на ASA

9.2.5.1 Обзор ASA NAT

Как и маршрутизаторы IOS, ASA поддерживает преобразование сетевых адресов (NAT). NAT обычно
используется для преобразования IP-адресов из частной сети в публичные IP-адреса.
NAT можно развернуть с помощью одного из методов, описанных на рис. 1.
На рис. 2 демонстрируется порядок работы внутреннего NAT и внешнего NAT.

В частности, ASA поддерживает следующие наиболее распространенные типы NAT:

• Динамическое преобразование NAT – Преобразование по схеме «многие со многими».
Обычно для внутреннего пула частных адресов требуются публичные адреса из другого пула.
• Динамическое преобразование PAT – Преобразование по схеме «многие к одному». Этот
вариант называется также перегрузкой NAT. Обычно внутренний пул частных адресов
работает через один внешний интерфейс или внешний адрес.
• Статическое преобразование NAT – Преобразование по схеме «один к одному». Обычно
внешний адрес сопоставляется внутреннему серверу.
• NAT на основе политики - Данный тип NAT основывается на наборе правил. Эти правила
определяют, что преобразование выполняется только для конкретных адресов источника,
сопоставленных с конкретными адресами назначения и/или конкретными портами.
Три перечисленных выше типа NAT обозначаются как NAT сетевых объектов , так как для их
настройки требуется сконфигурировать сетевые объекты.
Примечание. Другим вариантом NAT на ASA является «двойной NAT». При двойном NAT адреса
источника и назначения определяются в одном правиле (командаnat ). Двойной NAT используется
при конфигурировании сетей удаленного доступа VPN с технологиями IPsec и SSL. Особенности
двойного NAT выходят за рамки данной главы и дальше не рассматриваются.

9.2.5.2 Конфигурирование динамического NAT

Чтобы настроить динамический NAT с сетевыми объектами, требуется наличие двух сетевых
объектов:
• Сетевой объект, определяющий пул общедоступных IP-адресов для преобразования
внутренних адресов. Этот объект определяется с помощью команд сетевых
объектов range или subnet .
• Второй сетевой объект определяет внутренние преобразуемые адреса и выполняет привязку
двух этих объектов друг к другу. Этот объект определяется с помощью команд сетевых
объектов range или subnet . Два указанных сетевых объекта сопоставляются друг с другом
посредством команды для сетевых объектов nat (real-ifc, mapped-ifc) dynamic mapped-obj .
Например, на рис. 1 приведен образец топологии NAT, который будет использоваться для настройки
динамического NAT, динамического PAT и статического NAT.

В данном примере динамического NAT хостам из внутренней сети 192.168.1.0/27 будут

автоматически назначаться общедоступные IP-адреса в диапазоне от 209.165.200.240
до 209.165.200.248.

На рис. 2 приводится пример конфигурации динамического NAT, позволяющего выполнить такую

задачу. Сетевой объект PUBLIC определяет публичные IP-адреса, в которые будет выполняться
преобразование, а объект DYNAMIC-NAT определяет внутренние адреса, которые будут
преобразованы.

На рис. 3 показана конфигурация, разрешающая прохождение возвратного ICMP-трафика

от внешних хостов.
После успешной отправки эхо-запроса с внутреннего хоста на внешний хост для проверки
правильности преобразования сетевого адреса необходимо использовать команду show xlate , как
показано на рис. 4. Дополнительную информацию можно получить с помощью команд show
nat и show nat detail .

Показанное на рис. 5 средство проверки синтаксиса рекомендуется использовать для

конфигурирования динамического NAT на ASA с помощью интерфейса командной строки (CLI).
 9.2.5.3 Конфигурирование динамического РAT
Реализация изменений в конфигурации называется динамическим PAT. Такая ситуация возникает,
когда настроен фактический внешний IP-адрес и он используется в режиме перегрузки вместо IP-
адреса интерфейса ASA.
При работе в режиме перегрузки внешнего интерфейса требуется наличие только одного сетевого
объекта. Чтобы обеспечить привязку внутренних хостов к внешнему адресу, необходимо
использовать команду nat (real-ifc,mapped-ifc) dynamic interface . На рис. 1 показана конфигурация

динамического PAT для того же самого образца топологии. После успешной отправки эхо-запроса
с внутреннего хоста на внешний хост для проверки правильности преобразования сетевого адреса
необходимо использовать команду show xlate .
На рис. 2 показано получившееся преобразование.

9.2.5.4 Конфигурирование статического NAT

При реализации статического NAT внутренний адрес сопоставляется с внешним адресом. Например,
статический NAT можно использовать, когда доступ к серверу должен осуществляться из внешней
сети.
Настроить статический NAT позволяет использование команды для сетевых объектов nat (real-
ifc,mapped-ifc) static mapped-inline-host-ip .

На рис. 1 показан образец топологии NAT, который будет использоваться в качестве базового при
конфигурировании интерфейса DMZ и статического NAT.

На рис. 2 показано конфигурирование интерфейса DMZ на ASA 5505.

На рис. 3 показана конфигурация для реализации статического NAT. В данном примере внешние
хосты могут получать доступ к внутреннему серверу с IP-адресом 192.168.2.3 посредством внешнего
IP-адреса 209.165.200.227.
Для осуществления такого преобразования требуется наличие списка ACL.
Чтобы проверить правильность преобразования, необходимо использовать команды show
xlate и show nat detail . Для проверки NAT может потребоваться выполнить команду clear nat
counters .
Показанное на рис. 5 средство проверки синтаксиса рекомендуется использовать для
конфигурирования DMZ ASA и статического NAT c помощью интерфейса командной строки (CLI).
 9.2.6 AAA

9.2.6.1 Обзор ААА

Средство для аутентификации, авторизации и учета (AAA) предоставляет дополнительный уровень
защиты и контроля за пользователями. Только пользователям, выполнившим аутентификацию и
авторизацию с помощью AAA, разрешается подключаться к сети с помощью ASA.
Аутентификация может применяться отдельно или вместе с авторизацией и учетом. Для авторизации
пользователь должен предварительно пройти аутентификацию. Учет можно использовать отдельно
или вместе с аутентификацией или авторизацией.
Концепция, реализованная в AAA,
аналогична использованию
кредитной карты, как показано
на рисунке. Управление доступом
при аутентификации
осуществляется путем запроса
действительных персональных
данных пользователя, которые
обычно представляют собой имя
пользователя и пароль. ASA
позволяет выполнить
аутентификацию всех подключений
с административными функциями,
включая использование сервисов
Telnet и SSH, консоли, ASDM по протоколу HTTPS и привилегированного режима.
Контроль доступа с помощью авторизации осуществляется для каждого пользователя после
прохождения им процедуры аутентификации. Авторизация определяет, какие команды и службы
доступны каждому пользователю, прошедшему аутентификацию. При отсутствии авторизации
аутентификация обеспечивает одинаковый доступ к службам для всех прошедших аутентификацию
пользователей. ASA позволяет выполнить авторизацию управляющих команд, сетевого доступа и
доступа через сеть VPN.
С помощью процедуры учета выполняется отслеживание проходящего через ASA трафика, это
позволяет администраторам регистрировать данные о работе пользователей. Учетная информация
включает в себя время начала и завершения сеанса работы, имя пользователя, количество байт,
переданных через ASA в течение сеанса, использованные сервисы и продолжительность каждого
сеанса.

9.2.6.2 Локальная база данных и серверы

Cisco ASA позволяет выполнять аутентификацию с помощью локальной пользовательской базы
данных или внешнего сервера, или с использованием сразу двух этих компонентов.
В локальной системе AAA для аутентификации используется локальная база данных. При таком
варианте имена пользователей и пароли хранятся локально на самом устройстве ASA, и
аутентификация пользователей производится в соответствии с локальной базой данных. Локальная
система AAA идеально подходит для небольших сетей, где не требуется наличие
специализированного сервера AAA.
Примечание. Устройства ASA, в отличие от ISR, не поддерживают локальную аутентификацию без
использования AAA.
Создать локальную учетную запись пользователя можно, выполнив
команду username name password password [privilege priv-level]. Для удаления пользователя
из локальной базы данных необходимо использовать команду clear config username [name].
Просмотреть все учетные записи пользователей позволяет выполнение команды show running-
config username .
Серверная аутентификация AAA обладает значительно большей масштабируемостью по сравнению
с локальной аутентификацией AAA. При серверной аутентификации AAA используется внешняя база
данных, расположенная на сервере, доступ к которому осуществляется по протоколу RADIUS или
TACACS+. Серверный вариант AAA больше подходит для случаев, когда имеется несколько сетевых
устройств.
Для конфигурирования сервера TACACS+ или RADIUS следует использовать команды,
перечисленные на рис. 1.
В примере на рис. 2 показано конфигурирование сервера AAA TACACS+ на устройстве ASA 5505.
Удалить все настройки серверов AAA позволяет использование команды clear config aaa-server .
Выполнить просмотр всех пользовательских учетных записей можно с помощью команды show
running-config aaa-server .

9.2.6.3 Конфигурирование ААА

Чтобы выполнить аутентификацию пользователей, обращающихся к интерфейсу командной строки
(CLI) ASA через консоль, при подключении по протоколам SSH, HTTPS (ASDM) или Telnet, или же
чтобы выполнить аутентификацию пользователей при их входе в привилегированный режим
с помощью команды enable , необходимо использовать в режиме глобальной конфигурации
команду aaa authentication console .
Синтаксис этой команды выглядит следующим образом: aaa
authentication { serial | enable | telnet | ssh | http } console { LOCAL | server-group [ LOCAL ]}.
Удалить все параметры
AAA можно с помощью
команды clear config
aaa . Выполнить
просмотр всех
пользовательских
учетных записей можно
с помощью
команды show running-
config username .
На рис. 1 приводится
пример конфигурации
AAA, которая
впоследствии
проверяется на соответствие правилам синтаксиса и работоспособность.
Показанное на рис. 2 средство проверки синтаксиса рекомендуется использовать для
конфигурирования ААА на ASA с помощью интерфейса командной строки (CLI).
 9.2.7 Сервисные политики на ASA

9.2.7.1 Обзор MPF

В конфигурации для модульной системы политик (MPF) определяются наборы правил,
предназначенные для применения к трафику, который передается через ASA, функций межсетевого
экрана, например таких, как инспектирование трафика и QoS. MPF позволяет осуществить более
тонкую классификацию потоков трафика, чтобы применять к ним различные политики
с расширенными возможностями. MPF используется вместе с аппаратными модулями для
осуществления более тонкой детализации при перенаправлении трафика от ASA к модулям, где
реализован подход Cisco MPF. MPF можно использовать для инспектирования трафика
на прикладном уровне, применяя классификацию на уровнях с 5-го по 7-й. С помощью MPF можно
также осуществить ограничение скорости и обеспечить работу технологии QoS.

Как указано на рисунке, в Cisco MPF используется три объекта конфигурации для определения
модульной, объектно-ориентированной и иерархической политик.
Хотя синтаксис MPF напоминает синтаксис ISR IOS Cisco Modular QoS CLI (MQC) или Cisco Common
Classification Policy Language (C3PL), в конфигурации используются другие параметры. На платформе
ASA предоставляется больше настраиваемых действий по сравнению с маршрутизаторами ISR, где
используется межсетевой экран ZPF из Cisco IOS. ASA поддерживает инспектирование на уровнях
с 5-го по 7-й с помощью широкого набора критериев, которые можно использовать в качестве
параметров для определенных приложений. Например, используя возможности ASA MPF для
проверки на соответствие определенным URL-адресам по протоколу HTTP и методам отправки
запросов, можно запретить пользователям посещать конкретные сайты в конкретное время или
загружать музыкальные (MP3) и видеофайлы по протоколам HTTP/FTP или HTTPS/SFTP.
Для настройки MPF на ASA необходимо выполнить четыре шага:
Шаг 1. (Необязательный) Необходимо сконфигурировать расширенные списки ACL для более
детальной классификации трафика, который может использоваться в карте классов (class maps).
Например, списки ACL можно использовать при проверке на соответствие для TCP-трафика, UDP-
трафика, HTTP-трафика или всего трафика, отправляемого на определенный сервер.
Шаг 2. Необходимо сконфигурировать карту классов (class map) для идентификации трафика.
Шаг 3. Выполнить конфигурацию карты политик для применения действий к указанным картам
классов.
Шаг 4. Выполнить настройку сервисной политики, чтобы привязать карту политик к интерфейсу.

9.2.7.2 Конфигурирование карт классов (class maps)

Конфигурация карт классов выполнена для определения трафика 3-го и 4-го уровня. Чтобы создать
карту классов и перейти в режим конфигурирования карты классов, необходимо использовать
команду режима глобальной конфигурации class-map class-map-name . Названия типа class-default и
любые другие названия, которые начинаются со строки символов _internal или _default, являются
зарезервированными. Название карты классов должно быть уникальным и может содержать не
более 40 символов. Название должно носить описательный характер.
Примечание. Один из вариантов команды class-map используется для управления трафиком, который
предназначен непосредственно для устройства ASA. В таком случае необходимо использовать
команду class-map type management class-map-name .
Находясь в режиме конфигурирования карты классов, необходимо настроить описание, поясняющее
предназначение карты вызовов, с помощью команды description .
Далее необходимо идентифицировать трафик, в отношении которого выполняется проверка
на соответствие, что реализуется с помощью команды match any (проверяется весь трафик)
или match access-list access-list-name , в этом случае проверяется трафик, определенный
в расширенном списке контроля доступа.
Примечание. Если явным образом не указывается иное, то в карту классов включается только одна
команда match .

В примере на этом рисунке приводится возможный вариант настройки карты классов.

В ASA автоматически задается карта классов 3-го и 4-го уровня, используемая по умолчанию,
которая определяется в конфигурации с помощью команды class-map inspection_default. В этой
карте классов отслеживаемый трафик определяется командой match default-inspection-traffic ,
вследствие которой для портов по умолчанию выполняется полное инспектирование. Использование
этой карты классов в карте политик гарантирует применение надлежащего инспектирования
к каждому пакету в соответствии с портом назначения трафика. Например, когда UDP-трафик,
предназначенный для порта 69, попадает на ASA, к нему применяется инспектирование
по протоколу TFTP. Только в случае, подобном рассматриваемому, для одной и той же карты
классов можно настроить выполнение нескольких инспекций. Как правило, на ASA не используются
номера портов для определения применяемого инспектирования. Это обеспечивает гибкие
возможности в отношении применения инспектирования к нестандартным портам.
Отобразить информацию о конфигурации карты классов позволяет команда show running-config
class-map .
Удалить все карты классов можно в режиме глобальной конфигурации с помощью команды clear
configure class-map .

9.2.7.3 Определение и активирование политики

Карты политик используются для того, чтобы связать карты классов с действиями. Выполнение
команды режима глобальной конфигурации policy-map policy-map-name позволяет применить
действия к трафику на 3-м и 4-м уровнях. Название карты политик должно быть уникальным и может
содержать не более 40 символов. Название должно носить описательный характер.
В режиме конфигурации карты политик, перейти в который можно с помощью команды config-pmap,
необходимо использовать следующие команды:
• description - Позволяет добавить текстовое описание.
• class class-map-name - Позволяет указать определенную карту классов, которая
предназначена для выполнения действий.
Максимальное количество карт политик равняется 64. В одной карте политик может быть несколько
карт классов 3-го и 4-го уровня, а каждой карте классов может быть назначено несколько действий
одного или многих функциональных типов.
Примечание. Данная конфигурация включает в себя карту политик по умолчанию для 3-го и 4-го
уровней, которая применяется ASA в глобальной политике по умолчанию. Она
называется global_policy и выполняет инспектирование трафика по умолчанию. Допускается
наличие только одной глобальной политики. Поэтому чтобы изменить глобальную политику, ее
следует либо отредактировать, либо заменить.
В режиме конфигурации карты политик доступны следующие наиболее используемые команды:
• set connection - Позволяет задавать значения параметров для подключений.
• inspect - Позволяет назначать серверы для инспектирования протоколов.
• police - Позволяет устанавливать ограничение скорости передачи для трафика в данном
классе.
Действия применяются к трафику либо в одном, либо в обоих направлениях, в зависимости
от функции.
Отобразить информацию о конфигурации карты политик позволяет команда show running-config
policy-map .
Чтобы удалить все карты политик, необходимо выполнить в режиме глобальной конфигурации
команду clear configure policy-map .
Конфигурирование сервисной политики
Для активации карты политик сразу на всех интерфейсах или на отдельном интерфейсе следует
использовать команду режима глобальной конфигурации service-policy , позволяющую
задействовать набор из нескольких политик на каком-либо интерфейсе. Эта команда имеет
следующий синтаксис:
service-policy policy-map-name [ global | interface intf ]

В примере на рис. 1 выполняется конфигурирование карты политик и соответствующей сервисной

политики.
При реализации модульной системы политик следует использовать средство проверки синтаксиса ,
представленное на рис. 2.
 9.2.7.4 Политика ASA по умолчанию
В конфигурацию ASA по умолчанию входит глобальная политика, которая применяется как при
инспектировании всего трафика приложений по умолчанию, так и при инспектировании трафика
на глобальном уровне. В других случаях сервисная политика может применяться к интерфейсу или
глобально. Результат на этом рисунке показывает конфигурацию сервисной политики по умолчанию.
Сервисные политики для интерфейса обладают большим приоритетом по сравнению с глобальной
сервисной политикой для определенной функции. Например, если имеется глобальная политика
с инспекциями и политика для интерфейса с инспекциями, тогда к этому интерфейсу применяется
только соответствующая политика интерфейса.
Чтобы изменить глобальную политику, администратору необходимо либо отредактировать политику
по умолчанию, либо отключить политику по умолчанию и применить новую политику.
Отобразить информацию о конфигурации сервисной политики позволят команда show service-
policy или show running-config service-policy .
Чтобы удалить все сервисные политики, необходимо выполнить в режиме глобальной конфигурации
команду clear configure service-policy . С помощью команды clear service-policy можно очистить
статистические данные о сервисной политике.