假设您使用ASA防火墙给了您现有的networking。 networking可以工作,但是你不确定别的什么。 对于您所知道的,防火墙可能完全不正确的configuration,实际上“内部”和“内部”实际上是在外部。
我的问题是:什么是命令来盘点现有的ASA防火墙设置? 只有CLI访问权限,我怎么知道:
我知道如何设置这些东西( interface ,名称, security-level和access-list / access-group ),但我不知道如何给出一个现有的系统。
在相关说明中,还有什么我应该担心的检查,以确保networking不是开放的?
谢谢!
一旦你在命令行上,做一个“显示运行”。 然后查找接口部分。 这是一个例子:
interface GigabitEthernet0/0 nameif outside security-level 0 ip address (outside ip address) 255.255.255.0 ospf cost 10 ! interface GigabitEthernet0/1 speed 1000 duplex full nameif inside security-level 100 ip address (inside ip address) 255.255.240.0 ospf cost 10 ! interface GigabitEthernet0/2 shutdown no nameif security-level 100 no ip address ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown nameif management security-level 100 ip address (mgmt ip address) 255.255.255.0 ospf cost 10 management-only
这告诉你端口,名称,安全级别和IP地址。
访问列表是一个小窍门,因为可能只有两个或三个或潜在的数百个访问列表。 再次,“show run”会给你完整的configuration,你必须仔细阅读。
一个NAT将如下所示:
NAT(内部)0访问列表inside_nat0_outbound
这是从内到外。
静态通常被设置为将特定的内部服务器NAT到外部IP地址,如下所示:
(内部,外部)(公共IP地址)(内部IP地址)networking掩码255.255.255.255
最后,访问列表允许外部公共互联网进入指定的IP或端口。
希望这可以帮助!
上述所有问题的答案都可以用一个命令来概括: show running-config 。 这将输出当前的configuration文件,其中将包括接口,它们的名称和地址,安全级别,ACL和路由。 这应该为您提供开始在设备上进行清点所需的全部信息。
如果你对ASA没有多less经验,我实际上也build议粗略看看ASDM; 当你在命令行configuration中看到它们时,一些对系统行为(NAT控制,相同安全级别的通信)进行彻底改变的命令不一定是直观的。