کانفیگ فایروال سیسکو

صبا مرادین

مهر 29, 1404

فایروال یکی از اصلی‌ترین ابزارهای امنیتی در دنیای شبکه است که نمی‌توان اهمیت آن را نادیده گرفت. این فناوری همانند یک سپر دفاعی عمل کرده و مانع نفوذ هکرها و دسترسی غیرمجاز به اطلاعات حیاتی می‌شود. به همین دلیل، امروزه در بسیاری از سازمان‌ها، شرکت‌ها و نهادهای مختلف، استفاده از فایروال به یک ضرورت تبدیل شده است.

در میان برندهای موجود، فایروال‌های Cisco جایگاه ویژه‌ای دارند و به دلیل عملکرد بالا و قابلیت‌های پیشرفته، به عنوان یکی از انتخاب‌های برتر در حوزه امنیت شبکه و تجهیزات شبکه شناخته می‌شوند. البته نصب و پیکربندی این نوع فایروال نیازمند رعایت مراحل تخصصی و دانش فنی دقیق است. در این بخش، به بررسی نحوه پیکربندی فایروال سیسکو و نکات مهم مرتبط با آن پرداخته‌ایم. در ادامه به بررسی ” کانفیگ فایروال سیسکو ” میپردازیم. با ما همراه باشید.

فایروال از نگاه کلی:

فایروال شبکه ابزاری است که با بررسی آدرس‌های IP مبدأ و مقصد، همچنین پورت‌ها، از ورود ترافیک غیرمجاز به داخل شبکه جلوگیری می‌کند و مانع عبور داده‌های مشکوک میان بخش‌های مختلف یک سازمان می‌شود. این ابزار توانایی ردیابی ارتباطاتی را دارد که از سمت کاربران داخلی آغاز شده و در عین حال اجازه می‌دهد پاسخ‌های معتبر از خارج شبکه به سیستم‌های درخواست‌کننده بازگردد.

واژه «کانفیگ» در اصل به معنای پیکربندی و تنظیم است. سازمان‌هایی که سیستم‌های خود را به درستی کانفیگ می‌کنند، از مزایای سرعت بالا، کارایی بهتر و پاسخگویی سریع به نیاز کاربران برخوردار می‌شوند. این امر علاوه بر بهبود عملکرد، موجب کاهش هزینه‌های اضافی نیز خواهد شد. به طور کلی، کانفیگ فایروال مسئول مدیریت و کنترل جریان داده‌ها در شبکه است و تمامی ورودی‌ها و خروجی‌ها را مورد بررسی قرار می‌دهد.

فایروال همانند یک دیوار مجازی عمل کرده و علاوه بر ثبت و کنترل داده‌ها، به صورت لایه‌به‌لایه اطلاعات را تحلیل می‌ کند. در فرآیند کانفیگ، داده‌ها در مرکز اصلی پردازش می‌شوند تا از ورود فایل‌ها و درخواست‌های مخرب جلوگیری گردد. فایروال می‌تواند به شکل نرم‌افزاری یا سخت‌افزاری پیاده‌ سازی شود و با تمرکز بر نقاط حساس اتصال شبکه، سد محکمی در برابر تهدیدات سایبری و دسترسی‌های غیرمجاز ایجاد کند. به همین دلیل، پیکربندی صحیح فایروال سیسکو به یکی از موضوعات کلیدی در امنیت شبکه تبدیل شده است.

مزایای فایروال‌های سیسکو:

امنیت چندلایه و پیشرفته:

فایروال‌های سیسکو تنها به مسدود کردن دسترسی‌های غیرمجاز بسنده نمی‌کنند، بلکه با تحلیل هوشمند ترافیک، شناسایی الگوهای حمله و به‌کارگیری فناوری‌های نوین مانند IPS و Threat Intelligence امنیتی همه‌جانبه فراهم می‌سازند. این موضوع باعث می‌شود حتی تهدیدات ناشناخته نیز به سرعت شناسایی شوند.

مدیریت و پیکربندی آسان:

محیط مدیریتی این فایروال‌ها طوری طراحی شده که حتی مدیران شبکه با تجربه کمتر هم بتوانند قوانین امنیتی را به‌سادگی اعمال کنند. وجود ابزارهای گرافیکی و دسترسی به CLI (Command Line Interface) انعطاف بالایی در مدیریت ایجاد می‌کند.

انعطاف در تعریف سیاست‌های امنیتی:

یکی از نقاط قوت فایروال سیسکو قابلیت طراحی قوانین امنیتی متناسب با نیاز هر سازمان است. مدیر شبکه می‌تواند مشخص کند چه ترافیکی مجاز یا غیرمجاز باشد و حتی برای هر بخش از سازمان، سیاست‌های متفاوت تعریف کند.

پشتیبانی قدرتمند از VPN:

فایروال‌های سیسکو امکان برقراری ارتباط امن از طریق پروتکل‌های مختلف VPN را فراهم می‌کنند. این قابلیت به‌ویژه برای سازمان‌هایی که کارکنان دورکار دارند یا نیاز به اتصال شعب مختلف دارند، بسیار حیاتی است.

یکپارچگی با سایر راهکارهای امنیتی:

سیسکو این امکان را فراهم می‌کند که فایروال به‌طور مستقیم با محصولات دیگر امنیتی مثل آنتی‌ویروس‌ها، سیستم‌های تشخیص نفوذ و تجهیزات مدیریت تهدیدات ترکیب شود. این هماهنگی منجر به یک دفاع جامع و کاهش نقاط ضعف می‌شود.

پایش مستمر و کاهش ریسک‌ها:

فایروال‌های سیسکو به‌طور 24 ساعته ترافیک شبکه را زیر نظر دارند. این نظارت دائمی به شناسایی حملات در لحظه کمک کرده و جلوی نفوذهای احتمالی را می‌گیرد. به همین دلیل، سطح ریسک امنیتی سازمان‌ها به میزان قابل توجهی کاهش می‌یابد.

مراحل قبل از راه‌اندازی فایروال سیسکو:

پیش از آنکه فرآیند پیکربندی فایروال سیسکو را آغاز کنید، لازم است مجموعه‌ای از ابزارها و دانش اولیه در اختیار داشته باشید. این موارد تضمین می‌کنند که مراحل نصب و تنظیمات بدون مشکل پیش برود:

دستگاه فایروال سیسکو: یکی از مدل‌های معتبر مانند Cisco ASA 5500 یا Cisco Firepower 1000 باید تهیه شده باشد.
سیستم مدیریتی (PC یا لپ‌تاپ): برای انجام تنظیمات اولیه و مدیریت فایروال مورد نیاز است.
کابل کنسول و نرم‌افزارهای مدیریتی: ابزاری مانند PuTTY برای دسترسی CLI یا Cisco ASDM برای رابط گرافیکی استفاده می‌شود.
مستندات شبکه و اطلاعات آدرس‌دهی: شامل آدرس‌های IP، ساختار VLANها و جزئیات توپولوژی شبکه.
آشنایی با دستورات CLI سیسکو: تسلط نسبی بر محیط خط فرمان جهت انجام تنظیمات ضروری.
بررسی تنظیمات شبکه داخلی: اطمینان از صحت کانفیگ‌های اولیه در LAN برای جلوگیری از تداخل.
دانش مفاهیم پایه امنیت شبکه: تسلط بر اصولی مانند NAT (ترجمه آدرس شبکه)، ACL (فهرست‌های کنترل دسترسی) و VPN برای اعمال تنظیمات پیشرفته‌تر.

تنظیمات اولیه فایروال سیسکو:

فرآیند پیکربندی فایروال‌های سیسکو معمولاً با یک چک‌لیست مشخص از اقدامات کلیدی آغاز می‌شود. در نخستین مرحله باید مواردی مانند تعیین آدرس IP، تعریف هاست، ایجاد رمز عبور مطمئن برای دسترسی به فایروال و غیرفعال‌سازی دسترسی‌های غیرمجاز یا گزارش‌گیری‌های ناشناس انجام شوند.

پس از آن، بر اساس نحوه پیکربندی آدرس‌های IP در پورت‌ها و VLANها، اینترفیس‌های ورودی (Inside) و خروجی (Outside) به شکل دقیق تنظیم می‌گردند. این کار تضمین می‌کند که ترافیک مجاز به‌درستی مدیریت شده و داده‌ها در مسیر امن جابه‌جا شوند. راه‌اندازی و پیکربندی درست فایروال سیسکو علاوه بر افزایش سطح امنیت، این امکان را فراهم می‌کند که مدیران شبکه و کاربران از اطلاعات حیاتی خود در برابر تهدیدات احتمالی محافظت کنند.

روش‌های اتصال به فایروال سیسکو:

الف) اتصال از طریق کابل کنسول

کابل کنسول را به پورت مخصوص روی فایروال وصل کنید.
سمت دیگر کابل را به پورت سریال کامپیوتر متصل نمایید (اگر سیستم شما پورت سریال ندارد، از مبدل USB به Serial استفاده کنید).
نرم‌افزار PuTTY را اجرا کرده و نوع اتصال را روی Serial تنظیم کنید.
مقدار Baud Rate را روی 9600 قرار دهید و دکمه Open را انتخاب کنید.

ب) دسترسی از طریق Cisco ASDM

فایروال را به شبکه متصل کرده و با آدرس پیش‌فرض، تست پینگ بگیرید.
مرورگر را باز کرده و آدرس IP فایروال را وارد کنید.
نرم‌افزار Cisco ASDM را دانلود و اجرا کنید.
پس از ورود، تنظیمات اولیه را در محیط ASDM انجام دهید تا به داشبورد مدیریتی دسترسی داشته باشید.

پیکربندی اولیه فایروال سیسکو:

الف) تنظیمات ابتدایی از طریق CLI:

enable
configure terminal
hostname Firewall-Corporate
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit

ب) تعریف کاربران مدیریتی:

username admin password Cisco123 privilege 15
enable password Cisco@123
ج) فعال‌سازی دسترسی از طریق SSH:
crypto key generate rsa modulus 2048
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 60

پیکربندی یک فایروال سیسکو در مراحل ابتدایی شامل تنظیمات اساسی‌ است که برای عملکرد صحیح دستگاه و تأمین امنیت شبکه ضروری‌اند. در ادامه، گام‌های اصلی جهت راه‌اندازی اولیه فایروال (مانند Cisco Firepower) آورده شده است:

راه‌اندازی اولیه و ورود به سیستم:
دستگاه را روشن کنید و صبر کنید تا فرآیند بوت کامل شود. در این مرحله، پیام‌های مربوط به بوت در محیط ترمینال نمایش داده می‌شوند. پس از پایان بوت، با استفاده از اطلاعات پیش‌فرض وارد شوید:

firepower login: admin

Password: Admin123

Successful login attempts for user ‘admin’ : 1

[…]

Hello admin. You must change your password.

Enter new password: ********

Confirm new password: ********

Your password was updated successfully.

[…]

firepower#

در ادامه چند پرسش از شما مطرح خواهد شد تا با پاسخ دادن به آن‌ها، مراحل پیکربندی اولیه فایروال به‌طور کامل انجام شود.

You must configure the network to continue.

Configure at least one of IPv4 or IPv6 unless managing via data interfaces.

Do you want to configure IPv4? (y/n) [y]:

Do you want to configure IPv6? (y/n) [y]:n

Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:

Enter an IPv4 address for the management interface [192.168.45.45]: 10.10.10.15

Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192

Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.10.10.1

Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com

Enter a comma-separated list of DNS servers or ‘none’ [208.67.222.222,208.67.220.220,2620:119:35::35]:

Enter a comma-separated list of search domains or ‘none’ []:cisco.com

If your networking information has changed, you will need to reconnect.

Disabling IPv6 configuration: management0

Setting DNS servers: 208.67.222.222,208.67.220.220,2620:119:35::35

Setting DNS domains:cisco.com

Setting hostname as ftd-1.cisco.com

Setting static IPv4: 10.10.10.15 netmask: 255.255.255.192 gateway: 10.10.10.1 on management0

Updating routing tables, please wait…

All configurations applied to the system. Took 3 Seconds.

Saving a copy of running network configuration to local disk.

For HTTP Proxy configuration, run ‘configure network http-proxy’

در این مرحله از شما سؤال می‌شود که مایلید برای مدیریت دستگاه از FDM (محلی) استفاده کنید یا از FMC. در صورتی که گزینه‌ی no را وارد کنید، مدیریت دستگاه از طریق FMC امکان‌پذیر خواهد بود.

Manage the device locally? (yes/no) [yes]: no

DHCP server is already disabled

DHCP Server Disabled

Configure firewall mode? (routed/transparent) [routed]:

Configuring firewall mode …

بعد از تکمیل مراحل ذکرشده، می‌توانید آدرس IP و کلید ثبت‌نام (registration key) موردنظر خود را برای راه‌اندازی FMC وارد نمایید.

configure manager add 10.70.45.5 cisco123

اکنون با وارد کردن آدرس IP مربوط به FMC در مرورگر، می‌توانید به آن متصل شده و پیکربندی فایروال را مستقیماً از طریق FMC انجام دهید.

https://fmc_ip_address

پس از ورود به محیط FMC، به مسیر Devices > Device Management بروید و با کلیک روی Add، فایروال خود را به سیستم اضافه کنید.

در بخش Host، آدرس IP فایروال خود را وارد کنید و در قسمت Registration Key، همان عبارت ثبت‌نامی که هنگام پیکربندی FMC در فایروال مشخص کردید، وارد نمایید. سپس در بخش Access Control Policy روی گزینه Create New Policy کلیک کنید تا یک Policy برای مدیریت ترافیک‌های ورودی و خروجی ایجاد شود.

سپس روی Register کلیک کنید. در صورتی که فرآیند ثبت‌نام به‌درستی انجام شود، دستگاه به فهرست شما اضافه خواهد شد.

پیکربندی اینترفیس‌ها: به مسیر Devices > Device Management بروید، روی Edit کلیک کنید و به بخش Interfaces مراجعه نمایید.

در بخش General، نام اینترفیس و Security Zone مربوط به آن را تعیین کنید. سپس در تب IPv4، آدرس IP موردنظر خود را برای این اینترفیس وارد نمایید.

همین مراحل را برای اینترفیسی که قرار است به شبکه خارجی متصل شود نیز تکرار کنید، با این تفاوت که برای تعیین آدرس IP می‌توانید گزینه Use DHCP را انتخاب نمایید.

افزودن مسیر پیش‌فرض (Default Route): مسیر پیش‌فرض، به روتر دسترسی‌پذیر از طریق اینترفیس خارجی اشاره دارد. در صورتی که برای این اینترفیس از DHCP استفاده کرده‌اید، احتمالاً آدرس مسیر پیش‌فرض به‌صورت خودکار از سرور DHCP دریافت شده است. با این حال، برای پیکربندی دستی، در Device Management به تب Routing رفته، سپس Static Route را انتخاب کرده و روی Add Route کلیک کنید.

در بخش Type، نوع مسیر (route) خود را مشخص کنید. در قسمت Interface، پورت خروجی موردنظر (در این مثال، اینترفیس خارجی) را انتخاب نمایید. سپس در بخش Available Network، شبکه‌هایی که می‌خواهید مسیر شامل آن‌ها شود را وارد کنید. برای مسیر پیش‌فرض (Default Route)، معمولاً از any-ipv4 استفاده می‌شود.

پیکربندی NAT: در این مرحله برای تنظیم قوانین NAT از PAT استفاده می‌کنیم. به مسیر Devices > NAT بروید و روی New Policy کلیک کنید. سپس گزینه Threat Defense NAT را انتخاب نمایید.

با ذخیره‌سازی (Save) این Policy، به FMC افزوده می‌شود و در ادامه لازم است قوانین دلخواه خود را به آن اضافه نمایید.

روی Add Rule کلیک کنید و در پنجره Add NAT Rule گزینه‌های موردنظر خود را انتخاب نمایید.

سپس در تب Interface Objects، اینترفیس خارجی خود را به بخش Destination Interface Objects اضافه کنید.

در تب Translation، تنظیمات موردنظر خود را پیکربندی نمایید.

برای ساخت Original Source، روی علامت + کلیک کنید.

به مسیر Policy > Access Policy بروید و روی Edit کلیک کنید. سپس با انتخاب Add Rule، پارامترهای موردنظر خود را تنظیم نمایید.

در نهایت باید تنظیمات انجام شده را روی دستگاه خود Deploy کنید؛ در غیر این صورت هیچ‌یک از تغییرات اعمال نخواهند شد. برای این کار، در بالای صفحه روی Deploy کلیک کرده و دستگاه‌هایی را که می‌خواهید کانفیگ‌ها روی آن‌ها فعال شود، انتخاب نمایید.

تنظیم فایروال برای اتصال به اینترنت:

پیکربندی NAT جهت ترجمه آدرس‌های خصوصی به عمومی:

object network LAN
subnet 192.168.1.0 255.255.255.0
nat (inside,outside) dynamic interface

تعریف مسیر پیش‌فرض اینترنت:

route outside 0.0.0.0 0.0.0.0 192.168.0.1

قوانین دسترسی (Access Control List):

برای ایمن‌سازی شبکه باید قوانین مشخصی برای ترافیک ورودی تعریف شود:
access-list 100 permit tcp any any eq 80
access-list 100 permit tcp any any eq 443
access-group 100 in interface outside

فعال‌سازی فیلترینگ و IPS:

فیلترینگ محتوا:

url-filtering enable
url-block-list facebook.com youtube.com

سیستم جلوگیری از نفوذ (IPS):

ips enable
ips policy strict

پیکربندی VPN برای کاربران راه دور:

تعریف Policy گروه VPN:

crypto isakmp policy 10
encryption aes
hash sha
authentication pre-share
group 2

ایجاد تنظیمات تونل VPN:

crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac
crypto map VPN-MAP 10 ipsec-isakmp
set peer 203.0.113.1
set transform-set VPN-SET
match address 101

تعریف کاربر VPN:

username vpnuser password CiscoVPN123 privilege 15

مانیتورینگ و نگهداری فایروال:

بررسی وضعیت فایروال:

show version
show running-config
show interface status

نمایش و مدیریت لاگ‌ها:

show logging
logging enable

به‌روزرسانی سیستم‌عامل فایروال:

copy tftp flash
reload

نتیجه‌گیری:

راه‌اندازی و پیکربندی فایروال سیسکو تنها یک اقدام فنی ساده نیست، بلکه بخشی جدایی‌ناپذیر از استراتژی کلان امنیت شبکه در هر سازمان محسوب می‌شود. در دنیای امروز که تهدیدات سایبری روزبه‌روز پیچیده‌تر و گسترده‌تر می‌شوند، استفاده از فایروالی مطمئن مانند محصولات Cisco، نقش حیاتی در محافظت از زیرساخت‌های فناوری اطلاعات ایفا می‌کند.

آنچه در این راهنما مرور شد، شامل مراحل گام‌به‌گام از پیش‌نیازها و نحوه اتصال به فایروال گرفته تا انجام پیکربندی اولیه، تعریف کاربران مدیریتی، تنظیم دسترسی‌های ایمن (SSH)، پیکربندی NAT و مسیر پیش‌فرض برای اتصال به اینترنت، ایجاد ACL جهت مدیریت ترافیک، فعال‌سازی فیلترینگ و سیستم جلوگیری از نفوذ (IPS)، تا راه‌اندازی VPN برای کاربران راه دور و در نهایت مانیتورینگ و نگهداری فایروال بود. هر یک از این مراحل در کنار هم ساختاری منسجم و ایمن برای شبکه ایجاد می‌کنند.

مزیت اصلی فایروال‌های سیسکو در این است که ترکیبی از امنیت پیشرفته، قابلیت‌های مدیریتی انعطاف‌پذیر و امکان سفارشی‌سازی قوانین امنیتی را در اختیار مدیران شبکه قرار می‌دهند. افزون بر این، پشتیبانی از فناوری‌هایی مانند VPN و قابلیت یکپارچگی با سایر ابزارهای امنیتی باعث می‌شود فایروال‌های سیسکو نه تنها یک دیوار دفاعی، بلکه یک راهکار جامع امنیتی باشند.

بدیهی است که تنها نصب فایروال کافی نیست؛ بلکه نگهداری، پایش مستمر و به‌روزرسانی مداوم نیز از اهمیت ویژه‌ای برخوردارند. سازمان‌هایی که فایروال خود را به‌طور منظم بررسی و به‌روز می‌کنند، علاوه بر کاهش ریسک حملات، از چابکی بیشتری در پاسخگویی به نیازهای کاربران و تغییرات محیطی برخوردار خواهند شد.

در نهایت می‌توان گفت، پیکربندی صحیح و اصولی فایروال سیسکو، سرمایه‌گذاری بلندمدتی برای امنیت اطلاعات، کاهش هزینه‌های ناشی از تهدیدات سایبری و ایجاد اعتماد در میان کاربران و مشتریان است. با اجرای درست این فرآیند، هر سازمان می‌تواند اطمینان داشته باشد که شبکه‌اش در برابر طیف وسیعی از حملات و نفوذها محافظت شده و زیرساخت ارتباطی‌اش با بالاترین سطح امنیت و پایداری در خدمت اهداف تجاری قرار دارد.

خرید انواع تجهیزات شبکه از مسترشبکه بزرگترین فروشگاه اینترنتی تجهیزات شبکه با گارانتی معتبر