MacStadium.com网站通过门户提交票据

防火墙管理

建议编辑

您可以通过Cisco Adaptive Security Device Manager(ASDM)管理界面。这是通过以下方式完成的配置>设备设置>接口.

Cisco ASDM通过直观、易于使用的管理界面提供世界级的安全管理和监控。由于ASDM是一个客户端,它可以在工作站、台式机和笔记本电脑上运行。

IP计划上的Misc:选项卡包含下载Cisco ASDM客户端的特定说明和链接。

IP计划中的其他选项卡

通过VPN进入防火墙后,您可以通过ASDM或Secure Shell(SSH)访问您的环境。

ASDM数据表

请参见在这里.

非军事区

DMZ是可由外部IP地址访问的服务器,但也可以与内部IP地址通信。它提供了内部和外部IP地址之间的通信方法。客户最终定义自己的DMZ。也可以通过ASDM进行配置。

Cisco ASA DMZ配置示例

使用Cisco ASDM配置公共服务器

如何建立Cisco ASA DMZ(视频)

登录中

防火墙可以记录它们如何处理各种类型的流量。出于取证目的,源和目标IP地址、端口号和协议等信息可能非常宝贵。然而,日志记录的缺点是日志文件的大小可能很快变得难以控制。

因此,MacStadium默认关闭了日志记录。但是,您可以轻松更改和配置此设置以捕获流量的详细信息。

要打开日志记录,首先需要标识日志信息的存储库。虽然您可以登录到内部缓冲区,但MacStadium建议指定另一个存储库,因为日志文件可能会快速增长。您可以通过监测>日志记录在ASDM中指定此项。客户还可以通过MacStadium门户提交防火墙更改请求,以选择新的存储库。

如果您将CI作为服务运行,我们强烈建议您将日志移植到单独的服务器。否则,您将最终影响速度、存储和性能。我们还建议,如果您是仅限内部的客户,只需禁用日志记录即可。

有关更多信息,请参阅Cisco日志最佳实践.


‍###命令行界面
对于专业用户,命令行界面(CLI)可以为配置防火墙提供一个优雅而方便的选项。

要访问CLI,请首先通过VPN进行连接。然后通过SSH访问MacStadium门户网站提供的连接信息中的内部接口的IP地址。

命令行界面(CLI)

Cisco ASA 5500系列命令参考,8.2

连接到另一个公共云

站点到站点VPN

站点到站点VPN旨在将防火墙连接到防火墙、路由器连接到路由器或路由器连接到防火墙。通过正确配置站点到站点VPN,MacStadium客户可以将其环境连接到AWS实现或其他公共云。

MacStadium支持的站点到站点VPN是一种标准的IPsec站点到站点实现。大多数客户可以在ASDM中进行设置,这与他们通过VPN向导创建其他VPN连接的方式非常相似。

向导>站点到站点VPN连接设置向导

默认情况下,VPN向导会创建您可以创建的最通用和兼容的隧道。MacStadium支持两个版本,传统的Internet密钥交换(IKE)方法IKEv1和IKEv2。有关每个配置的更多信息,请参阅以下内容:

配置Internet密钥交换版本2(IKEv2)

使用ASA上的ASDM或CLI配置IKEv1 IPsec站点到站点隧道

在ASA和Cisco IOS路由器之间配置站点到站点IPSec IKEv1隧道

Cisco ASA站点到站点IKEv1 IPSec VPN

虚拟私有网络

如果您的最佳环境需要IPSec VPN连接,MacStadium支持这种连接方法。请注意,Windows post Windows 8不再支持IPSec VPN。然而,Mac仍然支持这种现成的连接方法。

有关从macOS配置IPSec VPN的具体说明,请参阅如何从macOS设置IPSec VPN连接.

虚拟隧道接口(VTI)

MacStadium还支持IPSec VTI。隧道接口有很多用途,包括参与更大的VPN配置。MacStadium支持基于边界网关协议(BGP)的隧道。这是连接到AWS实现的最佳方法。

请注意,较旧型号的ASA设备(5585、5540等)不支持VTI。

IPSec虚拟隧道接口

如果您想让许多VMS驻留在几个IP地址上,您可能希望使用端口转发,而不是内部公共地址。端口转发是一种使您的MacStadium私有云可以访问互联网上特定IP地址的方法,即使您位于防火墙后面。

到虚拟机的端口转发必须在防火墙上静态定义。

使用NAT配置ASA 9.x版端口转发

规则

您可以为防火墙创建自定义规则,就像它在您自己的环境中一样。可以通过“配置”>“防火墙”>“访问规则”在ASDM中配置规则。

最佳实践包括:

  • 请记住,规则是按顺序处理的。
  • 只在外部界面上创建规则,让其他人说“任何”
  • 除非您是专家,否则我们建议您不要过滤任何出站流量。如果您选择过滤出站流量,请特别注意所有出站流量的方向,这样您就不会无意中阻塞合法流量。从使用允许所有内容的规则开始,然后缩小范围。
  • 您需要同时使用网络地址转换(NAT)规则和访问规则,因为两者都不起作用。典型的用例是创建绑定到Jenkins主机的SSH规则(如果您不使用VPN)。
  • 如果您没有使用ASA的经验,只需执行1:1,即接口后面的一个内部IP地址映射到一个外部IP地址。

动态主机配置协议(DHCP)

如果DHCP是解决方案的组成部分,则可以使用网络上的虚拟机来控制它。将DHCP保留在单独的虚拟机上可以确保环境安全,以防需要重新启动DHCP服务器。

配置Cisco IOS DHCP服务器

DHCP中继

DHCP中继允许将DHCP客户端和服务器放置在多个网络上。DHCP中继代理将响应广播的“发现”请求并回复中继服务器。它将提供发送回DHCP设备并将其发送回原始请求者。

配置Cisco IOS DHCP中继代理

请参见在这里.

持续集成的最佳实践

CI/CD项目本质上是独特的,因此也将受益于符合您个人需求的自定义防火墙配置。

MacStadium建议将建筑农场元素放置在私人空间中。这允许环境根据需要增长和收缩。将这些元素放置在私有空间的另一个原因是,大量CI/CD流量必然是东/西的。如果它们都位于同一个VLAN中,那么虚拟机之间的通信可以是直接的,不必通过防火墙。

支持

如果您需要有关防火墙的其他帮助,请联系MacStadium支持人员。

已更新 4年前