Cisco ASA Firewall

- Cisco ASA Firewall

 

- Firewall 모드는 크게 다음과 같이 구분된다.

 

1) Router 모드 (L3 방화벽)

 

2) Transparent 모드 (L2 방화벽)

 

 

- 'Router 모드'에서 [firewall transparent] 명령어를 사용하면

  L2 방화벽인 'Transparent 모드'로 변경되고 다시

  [no firewall transparent] 명령어를 사용하면 L3 방화벽으로

  변경된다.

 

 

- ASA의 경우 기본적인 MPF(Modular Policy Framework)가 설정되어 있다.

 

  만약 기본적인 MPF가 [show running-config] 명령어로 

  확인되지 않을 때 장비를 reload하고, [clear configure all] 명령어를

 

  여러번 입력하면 확인이 가능하다.

 

   -> 만약 위와 같이 했을 경우에도 기본적인 MPF가 보이지 않는다면

        메모장에 있는 내용을 복사해서 입력한다.

 

 

- ASA의 경우 Interface 설정 명령어가 Router와 거의 비슷하다.

  차이점은 [nameif] 명령어로 interface마다 이름을 지정

  또한 Interface마다 Security-Level을 정의한다.

 

   

 

-> 기본적으로 Security-Level이 높은 Interface에서 level이

        낮은 interface 방향으로 전송이 가능하고 낮은 쪽에서

 

        높은 쪽으로는 기본적으로 전송이 차단된다.

        만약 Level이 높은 쪽에서 특정 서비스를 제공한다면 관리자가

        Access-list를 사용하여 접근을 허락해야만 통신이 가능하다.

- Securtiy-level이 동일한 interface 사이에서의 통신은

   기본적으로 허용되지 않는다.

    -> same-security-traffic permit inter-interface를 주면 된다. 

 

 

- 기본적인 MPF가 'show running-config'에서 보이지 않는 경우에도

  RACL(Reflexive ACL)처럼 Security-Level이 높은 쪽에서도 낮은 쪽으로의

  정적 포트 통신은 응답 트래픽이 허용된다.

  (정적 포트 통신 : 포트 1개를 사용하는 것) dns

 

  하지만 FTP와 같이 다수의 포트를 사용하는 동적 포트 프로토콜의

  경우에는 반드시 MPF에서 Inspect 설정이 보여야만 응답 트래픽을

  수신할 수 있다.

show firewall로 router 모드인 것을 알 수 있다. 

 

 

 

 firewall transparent로 하면 모드 변경이 된다.

 

 

 

show firewall로 transparent 모드로 된 것을 알 수 있다.

 

 

 

 no firewall transparent로 transparent 모드 삭제

 

 

 

 show firewall로 router 모드로 변경