Cisco ASA Firewall Configuration (Part-1)
ASA Firewall Interface Security Levels and Interface Configuration
ASA Firewall တြင္ security level ဆိုသည္မွာ Firewall ၏ interface မ်ားတြင္ သတ္မွတ္ေပးထားနိုင္သည့္ ယုံၾကည္စိတ္ခ်ရမႈ (trusted value) တန္ဖိုးမ်ားပင္ ျဖစ္သည္။ သတ္မွတ္ေပးနိုင္ေသာ တန္ဖိုးမွာ 0 မွ 100 အထိျဖစ္သည္။ Firewall ၏ interface တစ္ခုသည္ network တစ္ခုကိုခ်ိတ္ဆက္ထားရာတြင္ interface တြင္သတ္မွတ္ထားေသာ security level တန္ဖိုးျမင့္ေလေလ ၎ network ကိုပို၍ ယုံၾကည္စိတ္ခ်ရေသာ network တစ္ခုအျဖစ္သတ္မွတ္နိုင္ေလျဖစ္သည္။
ဥပမာ-
Internet ခ်ိတ္ထားေသာ ouside network security level = 0
Origanization ၏ private network / Inside network security level = 100
DMZ network security level = 50
ASA Firewall Default Traffic Flow
• ASA Firewall တြင္ default အေနျဖင့္ high-security-level မွလာေသာ packet တစ္ခုသည္ lower-security-level interface သို႔ packet forward ျပဳလုပ္ေပးနိုင္သည္။
• ထို႔အျပင္ ASA Firewall သည္ stateful packet filtering function ရေသာေၾကာင့္ forward ျပဳလုပ္လိုက္ေသာ packet တစ္ခု၏ state information ကို state table ထဲတြင္ သိမ္းထားေပးနိုင္သည္။
State information ဆိုသၫၼြာ
Source IP, Destination IP, Source Port, Destination Port, TCP Flag information စတာေတြျဖစ္နိုင္ပါသည္။
• ASA Firewall သည္ interface မွ ဝင္လာေသာ return-traffic ကို state table ျဖင့္စစ္ေဆး၍ allow ျပဳလုပ္ေပးမည္ျဖစ္သည္။
• ASA Firewall သည္ low-security-level အစျပဳ၍လာေသာ packet တစ္ခုသည္ high-security-level interface သို႔ သြားခြင့္မျပဳပါ။ Low-security-level မွ high-security-level သို႔ data ေပးပို႔ရန္အတြက္ ACL-Access Control List ျဖင့္ permit ျပဳလုပ္ေပးရမည္ျဖစ္သည္။
• ASA Firewall ၏ interface ကို configuration ျပဳလုပ္ရာတြင္ Firewall ၏ physical interface ကို logical interface name (example: inside, outside, DMZ, …… etc) တစ္ခုအျဖစ္သတ္မွတ္ေပးရမည္ ျဖစ္သည္။ ထိုကဲ့သို႔ သတ္မွတ္ရာတြင္ nameif command ကို အသုံးျပဳနိုင္မည္ျဖစ္သည္။
ASA Firewall Interface Security Level and Interface Configuration Sample
ASA1(config)# interface gigabitEthernet 0
ASA1(config-if)# no shutdown
ASA1(config-if)# ip address 200.1.1.1 255.255.255.192
ASA1(config-if)# nameif outside
ASA1(config-if)# security-level 0
ASA1(config-if)# exit
ASA1(config)#
ASA1(config)# interface gigabitEthernet 1
ASA1(config-if)# no shutdown
ASA1(config-if)# ip address 172.20.1.1 255.255.0.0
ASA1(config-if)# nameif inside
ASA1(config-if)# security-level 100
ASA1(config-if)# exit
ASA1(config)#
ASA1(config)# interface gigabitEthernet 3
ASA1(config-if)# no shutdown
ASA1(config-if)# ip address 10.1.1.1 255.255.255.0
ASA1(config-if)# nameif dmz
ASA1(config-if)# security-level 50
ASA1(config-if)# exit
ASA1(config)#
ASA Firewall Interface Security Levels and Interface Configuration
ASA Firewall တြင္ security level ဆိုသည္မွာ Firewall ၏ interface မ်ားတြင္ သတ္မွတ္ေပးထားနိုင္သည့္ ယုံၾကည္စိတ္ခ်ရမႈ (trusted value) တန္ဖိုးမ်ားပင္ ျဖစ္သည္။ သတ္မွတ္ေပးနိုင္ေသာ တန္ဖိုးမွာ 0 မွ 100 အထိျဖစ္သည္။ Firewall ၏ interface တစ္ခုသည္ network တစ္ခုကိုခ်ိတ္ဆက္ထားရာတြင္ interface တြင္သတ္မွတ္ထားေသာ security level တန္ဖိုးျမင့္ေလေလ ၎ network ကိုပို၍ ယုံၾကည္စိတ္ခ်ရေသာ network တစ္ခုအျဖစ္သတ္မွတ္နိုင္ေလျဖစ္သည္။
ဥပမာ-
Internet ခ်ိတ္ထားေသာ ouside network security level = 0
Origanization ၏ private network / Inside network security level = 100
DMZ network security level = 50
ASA Firewall Default Traffic Flow
• ASA Firewall တြင္ default အေနျဖင့္ high-security-level မွလာေသာ packet တစ္ခုသည္ lower-security-level interface သို႔ packet forward ျပဳလုပ္ေပးနိုင္သည္။
• ထို႔အျပင္ ASA Firewall သည္ stateful packet filtering function ရေသာေၾကာင့္ forward ျပဳလုပ္လိုက္ေသာ packet တစ္ခု၏ state information ကို state table ထဲတြင္ သိမ္းထားေပးနိုင္သည္။
State information ဆိုသၫၼြာ
Source IP, Destination IP, Source Port, Destination Port, TCP Flag information စတာေတြျဖစ္နိုင္ပါသည္။
• ASA Firewall သည္ interface မွ ဝင္လာေသာ return-traffic ကို state table ျဖင့္စစ္ေဆး၍ allow ျပဳလုပ္ေပးမည္ျဖစ္သည္။
• ASA Firewall သည္ low-security-level အစျပဳ၍လာေသာ packet တစ္ခုသည္ high-security-level interface သို႔ သြားခြင့္မျပဳပါ။ Low-security-level မွ high-security-level သို႔ data ေပးပို႔ရန္အတြက္ ACL-Access Control List ျဖင့္ permit ျပဳလုပ္ေပးရမည္ျဖစ္သည္။
• ASA Firewall ၏ interface ကို configuration ျပဳလုပ္ရာတြင္ Firewall ၏ physical interface ကို logical interface name (example: inside, outside, DMZ, …… etc) တစ္ခုအျဖစ္သတ္မွတ္ေပးရမည္ ျဖစ္သည္။ ထိုကဲ့သို႔ သတ္မွတ္ရာတြင္ nameif command ကို အသုံးျပဳနိုင္မည္ျဖစ္သည္။
ASA Firewall Interface Security Level and Interface Configuration Sample
ASA1(config)# interface gigabitEthernet 0
ASA1(config-if)# no shutdown
ASA1(config-if)# ip address 200.1.1.1 255.255.255.192
ASA1(config-if)# nameif outside
ASA1(config-if)# security-level 0
ASA1(config-if)# exit
ASA1(config)#
ASA1(config)# interface gigabitEthernet 1
ASA1(config-if)# no shutdown
ASA1(config-if)# ip address 172.20.1.1 255.255.0.0
ASA1(config-if)# nameif inside
ASA1(config-if)# security-level 100
ASA1(config-if)# exit
ASA1(config)#
ASA1(config)# interface gigabitEthernet 3
ASA1(config-if)# no shutdown
ASA1(config-if)# ip address 10.1.1.1 255.255.255.0
ASA1(config-if)# nameif dmz
ASA1(config-if)# security-level 50
ASA1(config-if)# exit
ASA1(config)#
Best Regards,
Aung Cho HtweUnicode Version:
Cisco ASA Firewall Configuration (Part-1)
ASA Firewall Interface Security Levels and Interface Configuration
ASA Firewall တွင် security level ဆိုသည်မှာ Firewall ၏ interface များတွင် သတ်မှတ်ပေးထားနိုင်သည့် ယုံကြည်စိတ်ချရမှု (trusted value) တန်ဖိုးများပင် ဖြစ်သည်။ သတ်မှတ်ပေးနိုင်သော တန်ဖိုးမှာ 0 မှ 100 အထိဖြစ်သည်။ Firewall ၏ interface တစ်ခုသည် network တစ်ခုကိုချိတ်ဆက်ထားရာတွင် interface တွင်သတ်မှတ်ထားသော security level တန်ဖိုးမြင့်လေလေ ၎င်း network ကိုပို၍ ယုံကြည်စိတ်ချရသော network တစ်ခုအဖြစ်သတ်မှတ်နိုင်လေဖြစ်သည်။
ဥပမာ-
Internet ချိတ်ထားသော ouside network security level = 0
Origanization ၏ private network / Inside network security level = 100
DMZ network security level = 50
ASA Firewall Default Traffic Flow
• ASA Firewall တွင် default အနေဖြင့် high-security-level မှလာသော packet တစ်ခုသည် lower-security-level interface သို့ packet forward ပြုလုပ်ပေးနိုင်သည်။
• ထို့အပြင် ASA Firewall သည် stateful packet filtering function ရသောကြောင့် forward ပြုလုပ်လိုက်သော packet တစ်ခု၏ state information ကို state table ထဲတွင် သိမ်းထားပေးနိုင်သည်။
State information ဆိုသည္မွာ
Source IP, Destination IP, Source Port, Destination Port, TCP Flag information စတာတွေဖြစ်နိုင်ပါသည်။
• ASA Firewall သည် interface မှ ဝင်လာသော return-traffic ကို state table ဖြင့်စစ်ဆေး၍ allow ပြုလုပ်ပေးမည်ဖြစ်သည်။
• ASA Firewall သည် low-security-level အစပြု၍လာသော packet တစ်ခုသည် high-security-level interface သို့ သွားခွင့်မပြုပါ။ Low-security-level မှ high-security-level သို့ data ပေးပို့ရန်အတွက် ACL-Access Control List ဖြင့် permit ပြုလုပ်ပေးရမည်ဖြစ်သည်။
• ASA Firewall ၏ interface ကို configuration ပြုလုပ်ရာတွင် Firewall ၏ physical interface ကို logical interface name (example: inside, outside, DMZ, …… etc) တစ်ခုအဖြစ်သတ်မှတ်ပေးရမည် ဖြစ်သည်။ ထိုကဲ့သို့ သတ်မှတ်ရာတွင် nameif command ကို အသုံးပြုနိုင်မည်ဖြစ်သည်။
ASA Firewall Interface Security Level and Interface Configuration Sample
ASA1(config)# interface gigabitEthernet 0
ASA1(config-if)# no shutdown
ASA1(config-if)# ip address 200.1.1.1 255.255.255.192
ASA1(config-if)# nameif outside
ASA1(config-if)# security-level 0
ASA1(config-if)# exit
ASA1(config)#
ASA1(config)# interface gigabitEthernet 1
ASA1(config-if)# no shutdown
ASA1(config-if)# ip address 172.20.1.1 255.255.0.0
ASA1(config-if)# nameif inside
ASA1(config-if)# security-level 100
ASA1(config-if)# exit
ASA1(config)#
ASA1(config)# interface gigabitEthernet 3
ASA1(config-if)# no shutdown
ASA1(config-if)# ip address 10.1.1.1 255.255.255.0
ASA1(config-if)# nameif dmz
ASA1(config-if)# security-level 50
ASA1(config-if)# exit
ASA1(config)#
Best Regards,
Aung Cho Htwe
Comments
Post a Comment