Nümunə 4: Bağlantı testi ASA#_ping_192.168.100.4 Type_escape_sequence_to_abort. Sending_5,_100-byte_ICMP_Echos_to_192.168.100.4,_timeout_is_2_seconds: !!!!! Success_rate_is_100_percent_(5/5),_round-trip_min/avg/max_=_1/1/1_ms Bu layihə üçün xarici şəbəkədən daxili şəbəkəyə gələn hücumlardan qorunmaq üçün “firewall” olaraq Cisco Adaptive Security Appliance (ASA 5505) istifadə edilmişdir. ASA 5505, kiçik və orta şirkət şəbəkələri üçün yüksək performanslı bir firewall, SSL və IPsec VPN və bir çox digər şəbəkə xidmətləri təklif edə bilən tam xüsusiyyətli bir təhlükəsizlik cihazıdır. ASA 5505, çevik səkkiz portlu 10/100 Fast Ethernet açarına malikdir və təhlükəsizlik plus lisenziyasında üçə qədər VLAN dəstəkləmə qabiliyyətinə malikdir. Quraşdırılan şəbəkədə üç VLAN yaradılmışdır: Daxili, xarici və DMZ VLAN-lar. Daxili VLAN daxili şəbəkəyə təyin edilmiş etibarlı bir şəbəkədir və ASA 5505 firewall-un E2 Fast Ethernet interfeysinə qoşulur. Xarici VLAN ən etibarlı olmayan şəbəkədir (ümumi şəbəkə) və ASA 5505 firewall-un E0 Fast Ethernet interfeysinə qoşulur və DMZ VLAN, ümumi server olan bir təhlükəsizlik zonasıdır və ASA-nın E4 Fast Ethernet interfeysinə bağlıdır.
Əsas olaraq, ASA 5505-in hər interfeysinə əlavə 1-də göstərildiyi kimi 0 ilə 100 arasında bir təhlükəsizlik səviyyəsi təyin edilməlidir. Daxili interfeys 100, xarici interfeys 0, DMZ interfeys 70-ə bərabərdir. Təhlükəsizlik səviyyəsində, daha yüksək təhlükəsizlik interfeysindən daha aşağı təhlükəsizlik interfeysinə örtük icazə tətbiq edərək şəbəkə trafikinə keçidə icazə verilir. Bu o deməkdir ki, daha yüksək səviyyəli bir interfeysdən olan host, daha aşağı təhlükəsizlik səviyyəli interfeysdəki hər hansı bir host-a daxil ola bilər, lakin bu prosesin əksi mümkün deyil. Xarici hostların FTP serverinə daxil olmasına icazə vermək və trafik axınlarını təhlükəsizlik səviyyəsinə yönəltmək üçün şəbəkə obyekti və giriş siyahısının qurulması tələb olunur. Qurulan şəbəkədə, bir şəbəkə obyekti dmz-server-fromoutside genişləndirilmiş giriş siyahısı ilə birlikdə kənarda FTP trafiki DMZ VLAN-a yönəltmək üçün DMZ ilə konfiqurasiya edilmişdir.
object_network_dmz-server-fromoutside host_192.168.2.3 nat_(dmz,outside)_dynamic_interface_service_tcp_ftp_ftp access-list_outsidetoDMZ_extended_permit_tcp_any_host 192.168.2.3_eq_ftp access-group_outsidetoDMZ_in_interface_outside Yuxarıda göstərildiyi kimi bir şəbəkə obyekti dmz-server-fromoutside, FTP server IP ünvanını ehtiva etmək üçün yaradıldı və qayda xaricdəki şəbəkədən edilən hər hansı bir ftp bağlantısı cəhdi üçün 10.94.62.251 xarici IP ünvanı istifadə edərək NAT olaraq dinamik olaraq təyin edildi. Genişləndirilmiş giriş siyahısının xarici interfeysdə tətbiq edilməsi lazım idi ki, aşağı təhlükəsizlik səviyyəsindəki xarici şəbəkə, dmz VLAN içərisində daha yüksək təhlükəsizlik səviyyəli FTP-serverə çata bilsin. Eyni şəkildə ASA 5505 firewall, DMZ hostun daxili şəbəkədəki serverinə daxil olması üçün konfiqurasiya edilmişdir. Tam konfiqurasiya və NAT tərcüməsi əlavə 1 və 5-də qeyd olunmuşdur.
Şəkil 1-də göstərilən şəbəkə topologiyasına görə daxili şəbəkə funksiyaya əsasən alt şəbəkələrə bölünür. CSW əsas sviçi IP trafikini ayrı-ayrı seqmentlərə yönləndirmə rolunu oynayacaq şəkildə konfiqurasiya edilmişdir. Hər bir alt şəbəkə bir yayım domenidir və bu, seqmentlər arasında ARP (Ünvan Çözüm Protokolu) hücumlarının qarşısını alaraq sistemin təhlükəsizliyini artırmağa kömək edir.
Sviçin portları bir şəbəkə sisteminə açılan şlüzlərdir və xarici hücumlardan qorunması lazımdır. Bunu etmək üçün port təhlükəsizliyi möhkəm olmalıdır və istifadə olunmayan portlar mütəmadi olaraq izlənilməli və onların dayandırıldığından əmin olmaq lazımdır. Bu layihədə bütün istifadə olunmayan portlar bağlanmış və bunun yanında sistemi MAC ünvanlarını hücumlara qarşı qorumaq üçün VLAN 50, 60, 70 və 100 portlarında təhlükəsizlik qurulmuşdur. Giriş portunda port təhlükəsizliyini təmin etmək üçün şəbəkə sisteminin hər giriş portunda keçid portu təhlükəsizlik əmri istifadə edilmişdir. Nümunə olaraq Sw2 keçid FastEthernet0 / 10 giriş portu üçün konfiqurasiya aşağıda göstərilmişdir: