[Network] ASA

Cisco ASA 기본 개념 및 설정 가이드

1. Cisco ASA란?

• Cisco ASA (Adaptive Security Appliance)는 Cisco Systems에서 제공하는 보안 어플라이언스로,
• 방화벽(Firewall), VPN, IPS 등 다양한 보안 기능을 통합 제공한다. 중소기업부터 대기업까지 폭넓게 활용되며,
• CLI(Command Line Interface)와 ASDM(GUI 기반 관리 도구)를 통해 유연한 설정이 가능하다.

ASA 기본 구성 요소

• Inside/Outside 인터페이스: 내부(Inside) 네트워크와 외부(Outside) 네트워크를 나누는 기준
• Security Level: ASA의 트래픽 허용 정책을 결정하는 요소 (0~100)
• NAT (Network Address Translation): 내부 IP를 외부 통신을 위해 변환
• ACL (Access Control List): 트래픽 필터링을 위한 규칙 집합
• VPN 지원: Site-to-Site, Remote Access VPN 모두 지원

 

#Static Route 설정

route [인터페이스name] [IP] [서브넷] [next hop]

#NAT 설정

OUT설정
FW(config)#object network [인터페이스 명]
FW(config-network-object)# host 192.168.1.2
FW(config-network-object)# nat (DMZ,outside) static [OUT IP]

FW(config)# object network INSIDE
FW(config-network-object)# subnet 192.168.0.0 255.255.255.0
FW(config-network-object)# nat (inside,outside) dynamic interface 

FW(config)# object network INSIDE
FW(config-network-object)# subnet 192.168.0.0 255.255.255.0
FW(config-network-object)# nat (inside,outside) dynamic interface

#ACL 설정

# any 설정
access-list OUT2IN extended permit icmp any object DMZ-WEB-SERVER 
#tcp의 www포트를 나가도록 설정
access-list OUT2IN extended permit tcp any object DMZ-WEB-SERVER eq www
#설정 값 적용
access-group OUT2IN in interface outside


#IP 설정

#방화벽의 인터페이스 설정에 필요한 항목 4가지
interface GigabitEthernet0/0 #인터페이스 선택
1. nameif outside #이름 지정
2. security-level 0 #보안 레벨
3. ip address 192.16.0.2 255.255.255.0 # IP 지정
4. no shutdown #활성화

 

#기타 명령어

clear configure access-list  #모든 acl 삭제

object-group # 여러개의 network object를 묶어준다.

policy-map global_policy
 class inspection_default
  inspect icmp    #검사하겠다. 허용하겠다.
  no inspect icmp  #허용을 취소하겠다.
      ↓
FW(config)# fixup protocol icmp #명시적 허용 (내부 출발 트래픽에 한해 허용)

---

ASAv GUI

네트워크 구성 토폴로지

 

인터페이스 구성

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 203.0.113.1 255.255.255.0
 no shutdown

interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
 no shutdown

 

• ASDM : ASA 방화벽 GUI 환경 관리할 수 있는 도구

ASDM Launcher 설치

asdm 사용을 위한 방화벽 허용

ASAv
http server enable
http 0 0 mgmt

 

 

콘솔 관리 GUI 접속

인터페이스 설정 창 접속

 

• 인터페이스 각 사이트 별 인터페이스 설정

---

 

실습 토폴로지

실습 1. NAT 설정

 

방화벽에 다음과 같이 설정하시오.

1. DMZ 웹서버에 공인 IP 설정: 1.1.30.12

2. R6에 공인 IP 설정: 1.1.30.13

3. inside 모든 호스트를 대상으로 동적NAT설정(outside 인터페이스)

 

4. 외부관리자 접속 관리

1) R6으로 TELNET 접속

2) DMZ-WEB-SERVER로 HTTP 접속

 

-------
#ASA 설정
ip route 0.0.0.0 0.0.0.0. 192.168.0.1 # default route 설정

#문제 1,2,3 공인 IP Setting
(config)
objdect network DMZ-WEB-SERVER
host 192.168.1.2 # 특정 호스트 지정
nat (DMZ-WEB-SERVER,outside) static 1.1.30.12 #서버에서 나갈 공인IP 지정

(config)
objdect network DMZ-WEB-SERVER
host 192.168.0.3 # 특정 호스트 지정
nat (11eew,outside) static 1.1.30.13 #서버에서 나갈 공인IP 지정

(config)
objdect network DMZ-WEB-SERVER
host 192.168.0.3 # 특정 호스트 지정
nat (11eew,outside) dynamic interface #서버에서 나갈 공인IP 지정

#ACL 설정
access-list OUT2IN extended permit icmp 1.1.10.2 object DMZ-WEB-SERVER  
access-list OUT2IN extended permit tcp 1.1.10.2 object DMZ-WEB-SERVER eq www
access-list OUT2IN extended permit tcp 1.1.10.0 0.0.0.255 host 192.168.0.3 eq telnet 
access-group OUT2IN in interface outside 


-------

#NetworkAutomation 설정
python3 -m http.server 80


#R6 설정
ip route 0.0.0.0 0.0.0.0. 192.168.0.1 # default route 설정

 

결과 확인

각 각 NAT 설정된 IP를 통해 접속만 가능 하도록 설정