[시스코 CLI]Cisco ASA Series 명령어

  1. Cisco ASA Series
    1. Object 생성
      1. IP그룹 생성

 IP 그룹 생성 명령어
  1. Service그룹 생성

 Service 그룹 생성 명령어
      1. Protocol그룹 생성

 Protocol 그룹 생성 명령어

    1. 정책 설정

 정책 설정 명령어 예제
(1) 정책 설정 명령어
(2) access-group 설정
(3) 정책 순위
(4) extended/standard 2가지로, 이 둘의 차이는 아래와 같다.
- extended: 출발지주소, 목적지주소, tcp, udp, icmp, ip 등을 제어한다.
- standard: 출발지주소 및 tcp/IP만 제어한다.
(5) 동작방법으로,permit(허용)/deny(차단) 2가지가 있다.
(6) tcp, udp, icmp, ip 등 프로토콜 종류를 기입한다.
(7) 출발지 IP를 기입한다.만약 any의 경우 host 붙이는 것 없이 any를 적고, 32bit가 아닌경우 subnet mask와 같이 기입한다.(ex.8.8.8.0/24 à8.8.8.0 255.255.255.0) 만약 group객체를 출발지 IP로 하는 경우는 object-group 그룹명 을 기입하면 된다.
(8) 목적지 IP를 기입한다. 만약 any의 경우 host 붙이는 것 없이 any를 적고, 32bit가 아닌경우 subnet mask와 같이 기입한다.(ex.8.8.8.0/24 à8.8.8.0 255.255.255.0) 만약 group객체를 목적지 IP로 하는 경우는 object-group 그룹명 을 기입하면 된다.
(9) 통신 시 사용 포트 번호를 기입하며, 미기재 시, 전체 포트를 사용하는 것으로 간주한다.

    1. 로깅 설정
      1. 허용정책에 로깅 설정
- 로깅 설정 시, 레벨 및 초단위로 로깅 설정이 가능하다.

로깅 명령어 예제
      1. 로깅 disable 설정
- 사용량이 많은 정책의 경우 disable 하여 방화벽 장비가 과부하에 걸리지 않도록 한다.

 로깅 disable 명령어 예제
    1. 정책 삭제
- 삽입된 정책 앞에 no를 삽입하되, 정책 순위에 해당하는명령구는 제외해야 한다.

 정책 삭제 명령어 예제
    1. 정책 이동
- ASA장비의 정책 이동 방법은 기존 정책을 삭제하고 해당 정책을 옮기고자 하는 순위의 정책으로 이동하면 된다. 예를들어 deny 정책 아래에 허용 정책이 있어 통신이 불가한 경우 해당 허용 정책 삭제 후 deny 정책 상단에 순위를 부여하여 정책 설정한다.

  정책 이동 명령어 예제

    1. 중복 정책 확인

 중복 정책 확인 명령어 예제
(1) 전체 정책을 확인하는 명령어
(2) 해당 조건에 해당하는 정책만 찾고자 할 때 사용하는 명령어
    1. access-group 확인

 access-group 확인 명령어 예제
    1. fixup 명령어
- fixup은 알려지지 않은 Unknown port에 특정 application을 지정할 때 사용되는 기능이다.
- 예를들어 FTP로 6320번 포트를 사용할 경우는 아래와 같다.

 fixup 명령어 예제
class-map class_ftp
match port tcp eq 6320
class class_ftp
   inspect ftp
 fixup port 변경 명령어 예제

    1. arp 확인

arp 확인 명령어 예제
    1. 생성 및 변경 작업 시 유의 사항
(1) 생성 및 변경 작업 전
- 모든 작업 전 반드시 config 모드로 접속해야만 하며, 명령어는 conf t를 입력하면 변경이 된다.
(2) 생성 및 변경 작업 후
- 모든 작업 후 반드시  wr m을 해주어야 한다. 만약 wr m을 수행하지 않게 되면, 장비 재부팅 시 해당 정책이 누락된다.

'정보보안 > 방화벽' 카테고리의 다른 글

Fortigate Anti-Virus 설정하기  (0) 2019.04.05
Secui 장비운영  (0) 2019.04.04
XN Systems 장비운영  (0) 2019.04.04
[시스코 CLI]Cisco ASA Series 명령어  (0) 2019.04.03
Fortigate 장비운영-1  (0) 2019.04.02
Netscreen 장비운영-1  (0) 2019.04.02

댓글(0)

Designed by JB FACTORY