Cisco ASA configurare interfacce in modalità routed

Un firewall ASA può essere configurato in due modalità diverse: bridged e routed. Le interfacce in modalità bridged appartengono ad un unico bridge, non hanno indirizzo IP e fanno riferimento alla configurazione del firewall in modo trasparente. In questa modalità il firewall non è visibile a livello 3 ed esegue le operazioni all’interno di una subnet. Non ci occuperemo di questa modalità.

In modalità routed ad ogni interfaccia o subinterfaccia è associato un indirizzo IP; il firewall si comporta in sostanza come un router sofisticato, cha aggiunge alle capacità di routing una tecnologia in grado di ispezionare e filtrare i pacchetti in transito velocemente ed efficacemente.

Livelli di sicurezza.

Uno degli elementi che differenzia un router da un firewall è il concetto di livello di sicurezza associato ad un’interfaccia. Un firewall ha un concetto implicito di quali siano le reti “più sicure” rispetto a quelle potenzialmente “non amichevoli”. La differenziazione è associata a volte ai colori (vedi IPcop, ad esempio con interfacce rosse e verdi) e in questo caso ad un valore numerico da 0 (la sicurezza più bassa) a 100 (sicurezza più elevata). Al concetto di sicurezza di interfaccia è associato un permesso implicito di traffico: una connessione può essere avviata da un’interfaccia a livello più alto verso una a livello più basso (ad esempio un host che apre una sessione verso internet), ma non può accadere il contrario. Questo comportamento, che è quello di default, può essere modificato mediante ACL (Access lists).

Alle interfacce viene normalmente assegnato un nome. A un’interfaccia che ha nome “inside” viene automaticamente assegnato livelo di sicurezza 100.

Supponiamo di avere una semplice configurazione di base in cui definiamo un’interfaccia outside, una inside, ed una dmz. Per la dmz abbiamo deciso di configurare un port-channel..

La nostra configurazione potrebbe dunque essere:

interface GigabitEthernet1/1
nameif outside
security-level 0
ip address 192.168.20.1 255.255.255.0
!
interface GigabitEthernet1/2
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet1/3
channel-group 1 mode active
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/4
channel-group 1 mode active
no nameif
no security-level
no ip address
!
!
i
interface Port-channel1
lacp max-bundle 4
port-channel min-bundle 2
port-channel load-balance src-dst-port
nameif dmz
security-level 90
ip address 192.168.80.1 255.255.255.0

Per rendere immediatamente efficace un cambiamento di livello di sicurezza (senza aspettare che le connessioni vadano in timeout) si usa il comando clear local-host

 

admin
Author: admin

bio

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. Usiamo i cookies per ragioni tecniche. Teniamo in alta considerazione la tua privacy.

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi