فایروال سیسکو (Cisco ASA) – راهنمای جامع

فایروال سیسکو (Cisco ASA)
جدول محتوا نمایش

بخش 1: آشنایی با Cisco ASA و مفاهیم پایه‌ای

1. Cisco ASA چیست؟

سیسکو ASA (Adaptive Security Appliance) یکی از محبوب‌ترین و پرکاربردترین فایروال‌های سخت‌افزاری است که توسط سیسکو طراحی شده است. این دستگاه قابلیت‌های زیادی دارد که شامل:

  • فایروال (Firewall): برای کنترل ترافیک شبکه و جلوگیری از حملات.
  • VPN (Virtual Private Network): برای ایجاد ارتباطات امن بین سایت‌ها یا کاربران راه دور.
  • IPS (Intrusion Prevention System): برای جلوگیری از حملات سایبری.
  • NAT (Network Address Translation): برای ترجمه آدرس‌های شبکه داخلی به خارجی.
  • Threat Defense & Security Services: برای افزایش امنیت شبکه در برابر تهدیدات.

2. مدل‌های مختلف Cisco ASA

سیسکو ASA در مدل‌های مختلفی عرضه شده است که متناسب با نیازهای سازمان‌ها و شرکت‌های کوچک تا بزرگ می‌باشد. برخی از مدل‌های محبوب شامل:

  • Cisco ASA 5505: مناسب برای شرکت‌های کوچک.
  • Cisco ASA 5510/5520: برای شرکت‌های متوسط.
  • Cisco ASA 5585-X: برای سازمان‌های بزرگ و دیتاسنترها.
  • Cisco Firepower Series: سری جدید سیسکو با قابلیت‌های پیشرفته امنیتی.

بخش 2: راه‌اندازی اولیه Cisco ASA

1. تنظیمات اولیه و اتصال به دستگاه

بعد از خرید یک دستگاه سیسکو ASA، اولین گام اتصال به دستگاه و ورود به محیط CLI (خط فرمان) است. برای این کار:

  1. از کابل Console استفاده کنید و دستگاه را به کامپیوتر متصل کنید.
  2. از نرم‌افزارهایی مانند Putty یا Tera Term برای دسترسی به محیط CLI استفاده کنید.
  3. پس از ورود به محیط CLI، با وارد کردن enable وارد حالت Privileged Mode شوید.
enable
configure terminal

2. تنظیم نام و رمز عبور برای امنیت اولیه

برای افزایش امنیت اولیه، باید نام دستگاه و رمز عبور برای دسترسی به آن تنظیم شود.

 تنظیم نام دستگاه
hostname ASA-Firewall

 تنظیم رمز عبور برای حالت Privileged Mode
enable password strongpassword123

 فعال کردن احراز هویت برای ورود
aaa authentication enable console LOCAL
aaa authentication ssh console LOCAL

. تنظیم آدرس‌های IP روی اینترفیس‌ها

در سیسکو ASA، اینترفیس‌ها معمولاً به دو بخش اصلی Inside و Outside تقسیم می‌شوند.

  • Inside: مربوط به شبکه داخلی سازمان (LAN) است.
  • Outside: مربوط به اتصال به اینترنت یا شبکه خارجی است.

برای تنظیم آدرس‌های IP روی اینترفیس‌ها، دستورات زیر را اجرا کنید:

interface GigabitEthernet0/0
 nameif Outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
 no shutdown

interface GigabitEthernet0/1
 nameif Inside
 security-level 100
 ip address 10.0.0.1 255.255.255.0
 no shutdown

🔹 Security Level چیست؟
در فایروال سیسکو ASA، سطح امنیتی (Security Level) تعیین می‌کند که کدام ترافیک اجازه عبور دارد.

  • سطح 100 (بیشترین امنیت): برای شبکه داخلی.
  • سطح 0 (کمترین امنیت): برای اینترنت و شبکه‌های خارجی.
  • ترافیک از سطح بالا به سطح پایین بدون مشکل عبور می‌کند اما بالعکس نیاز به قوانین خاصی دارد.

بخش 3: تنظیمات NAT در فایروال سیسکو ASA

1. NAT چیست و چرا استفاده می‌شود؟

NAT (Network Address Translation) یک قابلیت مهم در فایروال است که به ما اجازه می‌دهد آدرس‌های IP خصوصی شبکه داخلی را به یک آدرس عمومی ترجمه کنیم تا دستگاه‌های داخلی بتوانند به اینترنت دسترسی داشته باشند.

2. پیکربندی NAT برای دسترسی به اینترنت

در اینجا نحوه تنظیم NAT روی ASA برای کاربران داخلی آورده شده است:

object network INSIDE-NETWORK
 subnet 10.0.0.0 255.255.255.0
 nat (Inside,Outside) dynamic interface

🔹 این دستور چه کاری انجام می‌دهد؟

  • ابتدا یک object network به نام INSIDE-NETWORK تعریف کردیم که شامل تمامی آدرس‌های شبکه داخلی است.
  • سپس تنظیم کردیم که ترافیک این شبکه هنگام عبور از Outside به آدرس عمومی اینترفیس ASA ترجمه شود.

3. پیکربندی Port Forwarding در NAT

اگر بخواهید یک سرور داخلی (مثلاً یک وب‌سرور) را از طریق اینترنت در دسترس قرار دهید، باید Port Forwarding را روی ASA تنظیم کنید.

مثال:
می‌خواهیم یک سرور داخلی با IP 10.0.0.100 و پورت 80 را به یک آدرس عمومی ترجمه کنیم.

object network WEB-SERVER
 host 10.0.0.100
 nat (Inside,Outside) static interface service tcp 80 8080

این دستور چه کاری انجام می‌دهد؟

  • ابتدا یک آبجکت شبکه برای سرور تعریف کردیم.
  • سپس تعیین کردیم که ترافیک از پورت 8080 روی اینترنت به پورت 80 در سرور داخلی فرستاده شود.

بخش 4: تنظیم فایروال سیسکو ASA برای کنترل ترافیک (Access Control)

1. ایجاد ACL برای کنترل دسترسی

در ASA، ACL (Access Control List) برای کنترل اجازه یا رد ترافیک استفاده می‌شود.

مثلاً:

  • اجازه دادن به شبکه داخلی برای دسترسی به اینترنت:
access-list INSIDE-TO-INTERNET permit ip 10.0.0.0 255.255.255.0 any
access-group INSIDE-TO-INTERNET in interface Inside
  • مسدود کردن یک آدرس IP خاص:
access-list BLOCK-IP deny ip host 192.168.1.50 any
access-group BLOCK-IP in interface Outside

توضیح این دستورات:

  • اولین ACL اجازه می‌دهد که تمام کاربران داخلی به اینترنت دسترسی داشته باشند.
  • دومین ACL آدرس 192.168.1.50 را مسدود می‌کند تا نتواند به شبکه متصل شود.

بخش 5: تنظیم VPN در فایروال سیسکو ASA

اکنون که تنظیمات پایه‌ای فایروال Cisco ASA را انجام دادیم، به یکی از مهم‌ترین و پرکاربردترین قابلیت‌های فایروال سیسکو یعنی VPN (شبکه خصوصی مجازی) می‌پردازیم. فایروال ASA از چندین نوع VPN پشتیبانی می‌کند که در این بخش به پیکربندی IPsec Site-to-Site VPN و Remote Access VPN (SSL و AnyConnect) می‌پردازیم.

1. پیکربندی Site-to-Site VPN با IPsec در Cisco ASA

VPN Site-to-Site به دو دفتر یا سایت اجازه می‌دهد که از طریق اینترنت به یکدیگر متصل شوند و ترافیک را به‌صورت رمزگذاری‌شده منتقل کنند. در اینجا مراحل راه‌اندازی یک IPsec Site-to-Site VPN بین دو دستگاه ASA را بررسی می‌کنیم.

1.1. تنظیمات طرف اول VPN (ASA1)

تعریف Policy برای Phase 1
crypto ikev1 policy 10
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 86400

تعریف کلید احراز هویت
tunnel-group 192.168.2.1 type ipsec-l2l
tunnel-group 192.168.2.1 ipsec-attributes
 pre-shared-key cisco123

تعریف Transform Set برای IPsec (Phase 2)
crypto ipsec ikev1 transform-set VPN-SET esp-aes esp-sha-hmac

ایجاد Map برای VPN
crypto map VPN-MAP 10 match address VPN-TRAFFIC
crypto map VPN-MAP 10 set peer 192.168.2.1
crypto map VPN-MAP 10 set ikev1 transform-set VPN-SET
crypto map VPN-MAP interface Outside

ایجاد ACL برای تعیین ترافیک VPN
access-list VPN-TRAFFIC extended permit ip 10.0.0.0 255.255.255.0 10.1.0.0 255.255.255.0

🔹 توضیح دستورات:

  • Phase 1: تنظیم IKEv1 Policy شامل احراز هویت و رمزگذاری.
  • Phase 2: ایجاد یک Transform Set برای رمزگذاری داده‌ها.
  • Crypto Map: ایجاد تنظیمات برای ارتباط با دستگاه ASA دیگر.
  • Access List: مشخص کردن ترافیکی که باید از طریق VPN عبور کند.

1.2. تنظیمات طرف دوم VPN (ASA2)

برای فایروال دوم نیز تقریباً همان تنظیمات را انجام می‌دهیم اما با تغییر آدرس‌ها:

crypto ikev1 policy 10
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 86400

tunnel-group 192.168.1.1 type ipsec-l2l
tunnel-group 192.168.1.1 ipsec-attributes
 pre-shared-key cisco123

crypto ipsec ikev1 transform-set VPN-SET esp-aes esp-sha-hmac

crypto map VPN-MAP 10 match address VPN-TRAFFIC
crypto map VPN-MAP 10 set peer 192.168.1.1
crypto map VPN-MAP 10 set ikev1 transform-set VPN-SET
crypto map VPN-MAP interface Outside

access-list VPN-TRAFFIC extended permit ip 10.1.0.0 255.255.255.0 10.0.0.0 255.255.255.0

📌 تست و بررسی اتصال:
پس از انجام تنظیمات، می‌توان با استفاده از دستورات زیر، وضعیت VPN را بررسی کرد:

show crypto ikev1 sa
show crypto ipsec sa

. پیکربندی Remote Access VPN (SSL VPN) در Cisco ASA

در این بخش، VPN دسترسی از راه دور (Remote Access VPN) را با استفاده از SSL VPN و AnyConnect پیکربندی می‌کنیم. این نوع VPN به کاربران اجازه می‌دهد که با استفاده از یک کلاینت (مانند AnyConnect) از هر جایی به شبکه داخلی متصل شوند.

2.1. فعال‌سازی SSL VPN روی ASA

webvpn
 enable Outside

🔹 این دستور SSL VPN را روی اینترفیس Outside فعال می‌کند.

2.2. ایجاد Group Policy برای کاربران VPN

group-policy SSL-VPN-GROUP internal
group-policy SSL-VPN-GROUP attributes
 vpn-tunnel-protocol ssl-client

🔹 Group Policy مشخص می‌کند که VPN Tunnel از چه پروتکلی استفاده کند (SSL در اینجا).

2.3. تنظیم AnyConnect برای دسترسی کاربران

username vpnuser password cisco123 privilege 15
tunnel-group SSL-VPN-TUNNEL type remote-access
tunnel-group SSL-VPN-TUNNEL general-attributes
 default-group-policy SSL-VPN-GROUP

🔹 تعریف یک کاربر (vpnuser) و تنظیم مجوزهای دسترسی.

2.4. ایجاد Local IP Pool برای تخصیص آدرس به کاربران VPN

ip local pool VPN-POOL 192.168.3.1-192.168.3.100 mask 255.255.255.0
tunnel-group SSL-VPN-TUNNEL general-attributes
 address-pool VPN-POOL

🔹 کاربران VPN پس از اتصال، از این رنج IP دریافت خواهند کرد.

2.5. تنظیم دسترسی اینترنت برای کاربران AnyConnect

access-list VPN-TO-INTERNET extended permit ip 192.168.3.0 255.255.255.0 any
nat (Inside,Outside) source dynamic VPN-POOL interface

🔹 این دستور به کاربران VPN اجازه می‌دهد به اینترنت متصل شوند.

2.6. بررسی وضعیت و اتصال کاربران VPN

show vpn-sessiondb anyconnect
show running-config webvpn

📌 این دستورات وضعیت ارتباطات VPN را نمایش می‌دهند.

بخش 6: امنیت پیشرفته در فایروال Cisco ASA

اکنون که تنظیمات پایه و پیشرفته VPN را انجام دادیم، به امنیت پیشرفته در Cisco ASA می‌پردازیم.

1. فعال‌سازی IPS برای جلوگیری از حملات

سیسکو ASA از Intrusion Prevention System (IPS) برای شناسایی و مسدود کردن تهدیدات شبکه‌ای پشتیبانی می‌کند.

ip inspect name SECURITY-IPS http
ip inspect name SECURITY-IPS https
ip inspect name SECURITY-IPS ftp

🔹 این دستور ترافیک ورودی را برای حملات رایج بررسی می‌کند.

2. محدود کردن تعداد اتصالات هم‌زمان برای جلوگیری از حملات DoS

policy-map GLOBAL_POLICY
 class inspection_default
  inspect tcp max-incomplete host 10 per-client

🔹 جلوگیری از حملات DoS با محدود کردن تعداد کانکشن‌ها.

3. تنظیمات Logging برای بررسی لاگ‌های امنیتی

logging enable
logging buffered 10000 informational
logging trap warnings

🔹 فعال کردن لاگ‌ها برای شناسایی فعالیت‌های مشکوک.

3. مدیریت کاربران و احراز هویت در سیسکو ASA

3.1. ایجاد کاربران داخلی برای ورود به فایروال

اگر بخواهید دسترسی به فایروال را برای کاربران خاصی محدود کنید، باید آن‌ها را در سیستم تعریف کرده و نقش‌های مشخصی برایشان تعیین کنید.

🔹 ایجاد کاربر داخلی و تعیین سطح دسترسی:

username admin privilege 15 password strongpass
username operator privilege 5 password weakpass
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL

توضیح:

  • کاربر admin با سطح دسترسی 15 (مدیر کامل).
  • کاربر operator با سطح دسترسی 5 (محدود).
  • تنظیم احراز هویت ورود به فایروال برای دستورات enable و SSH.

3.2. اتصال فایروال به سرور احراز هویت (RADIUS و TACACS+)

در شبکه‌های بزرگ، معمولاً از سرورهای RADIUS یا TACACS+ برای احراز هویت کاربران استفاده می‌شود. سیسکو ASA امکان اتصال به سرورهای احراز هویت خارجی را فراهم می‌کند.

🔹 پیکربندی TACACS+ برای احراز هویت از سرور ACS:

aaa-server TACACS-SERVER protocol tacacs+
aaa-server TACACS-SERVER (Inside) host 10.0.0.10
 key mysecretkey

🔹 تنظیم احراز هویت برای ورود به فایروال از طریق TACACS+:

aaa authentication ssh console TACACS-SERVER LOCAL
aaa authentication enable console TACACS-SERVER LOCAL

توضیح:

  • اگر سرور TACACS+ در دسترس باشد، احراز هویت از آن انجام می‌شود.
  • در صورت قطع بودن سرور TACACS+، احراز هویت از پایگاه داده محلی فایروال انجام می‌شود.

نتیجه‌گیری

در این مقاله، فایروال سیسکو ASA را از مفاهیم پایه تا پیکربندی‌های پیشرفته بررسی کردیم. یاد گرفتیم که چگونه:
فایروال را از ابتدا راه‌اندازی کنیم.
امنیت شبکه را با ACL و NAT افزایش دهیم.
از حملات سایبری جلوگیری کنیم.
VPN Site-to-Site و Remote Access را پیکربندی کنیم.
لاگ‌ها و وضعیت فایروال را مانیتور کنیم.

💡 این راهنما شما را از سطح مبتدی تا حرفه‌ای در فایروال سیسکو ASA هدایت می‌کند. اگر سوالی دارید، بپرسید! 🚀

parsa
parsa
مقاله‌ها: 29

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


هم‌اکنون محبوب است

n8n چیست؟ راهنمای جامع اتوماسیون
مفاهیم پایه لینوکس
مفاهیم پایه لینوکس: راهنمای جامع
مدیریت سرور و لینوکس (Server Administration) – راهنمای جامع برای مدیران شبکه و سرور
مدیریت سرور و لینوکس (Server Administration) – راهنمای جامع برای مدیران شبکه و سرور
دستورات پایه لینوکس
دستورات پایه لینوکس: راهنمای جامع از مبتدی تا حرفه‌ای