[10월 30일] ASAv 구축하기

 

 

 

 

• Inside: 192.168.16.0/24
• DMZ: 192.168.15.0/24
• Outside: 10.10.10.0/24

 

---

 

💻 ASAv ACL 정책 명령어 (Cisco ASA CLI)

실습을 위해 각 구역별로 임의의 호스트 IP를 가정했습니다.

구역	대역대	예시 호스트 IP (VPC)
Inside	192.168.16.0/24	WebDB: 192.168.16.101 , DNS: 192.168.16.106
DMZ	192.168.15.0/24	R2: 192.168.15.254 (웹 서버)
Outside	10.10.10.0/24	Kali: 10.10.10.200 (외부 서버)

 

🌐 정책 1: Outside → DMZ 웹 서버 접근 허용 

Outside 인터페이스로 인바운드되는 트래픽에 적용하여, 외부 사용자가 DMZ 웹 서버에 HTTP/HTTPS로 접근하는 것을 허용합니다.

// 1. Outside -> DMZ 웹 서비스 접근 허용 ACL 정의
access-list OUTSIDE_IN extended permit tcp any host 192.168.15.254 eq www 
access-list OUTSIDE_IN extended permit tcp any host 192.168.15.254 eq https

// 2. ACL을 Outside 인터페이스에 인바운드(in) 방향으로 적용
access-group OUTSIDE_IN in interface outside

 

📡 정책 2: Inside → DMZ 관리용 SSH/Telnet 접속 제어

Inside 인터페이스로 인바운드되는 트래픽에 적용하여, 특정 관리자만 DMZ 웹 서버에 SSH 접속을 허용하고, 보안이 취약한 Telnet은 명시적으로 차단합니다.

// 1. Inside -> DMZ SSH 허용 및 Telnet 차단 ACL 정의
// SSH 허용 (특정 호스트)
access-list INSIDE_OUT_DMZ extended permit tcp host 192.168.16.101 host 192.168.15.254 eq ssh 

// Telnet 차단 (보안 강화)
access-list INSIDE_OUT_DMZ extended deny tcp host 192.168.16.101 host 192.168.15.254 eq telnet 

// **참고**: Inside -> DMZ는 기본 허용이므로, 이 ACL은 Inside 인터페이스에 'out' 방향으로 적용하거나, DMZ 인터페이스에 'in' 방향으로 적용해야 효과적입니다. 여기서는 Inside 인터페이스 'out' 적용을 가정합니다.
// 2. ACL을 Inside 인터페이스에 아웃바운드(out) 방향으로 적용
access-group INSIDE_OUT_DMZ out interface inside

 

🔀 정책 3: Inside → Outside Ping 통신 제어 (ICMP 학습)

Inside의 DNS에서만 Outside의 Kali로의 Ping 통신을 허용하고, 그 외 Inside의 다른 모든 ICMP 통신을 차단하여 ICMP 제어를 학습합니다.

// 1. Inside -> Outside ICMP 제어 ACL 정의
// Ping 허용 (특정 호스트)
access-list ICMP_CONTROL extended permit icmp host 192.168.16.106 host 10.10.10.200 echo 

// 그 외 Inside 대역의 모든 ICMP 차단 (보안 강화)
// 이 정책은 위에 작성한 permit 정책보다 후순위에 위치해야 합니다.
access-list ICMP_CONTROL extended deny icmp 192.168.16.0 255.255.255.0 any 

// **참고**: 이 ACL은 Inside 인터페이스에 'out' 방향으로 적용되어야 Outside로 나가는 트래픽을 제어할 수 있습니다.
// 2. ACL을 Inside 인터페이스에 아웃바운드(out) 방향으로 적용
access-group ICMP_CONTROL out interface inside

 

❌ 정책 4: DMZ → Inside 전면 차단 (보안 강화)

보안 레벨이 낮은 DMZ에서 높은 Inside로의 접근을 명시적으로 차단하여 보안을 강화합니다. (이 정책도 ASA 기본 규칙에 의해 이미 차단되지만, 명시적 차단 학습을 위해 포함합니다.)

// 1. DMZ -> Inside 전면 차단 ACL 정의
access-list DMZ_TO_INSIDE extended deny ip 192.168.15.0 255.255.255.0 192.168.16.0 255.255.255.0

// 2. ACL을 DMZ 인터페이스에 인바운드(in) 방향으로 적용
access-group DMZ_TO_INSIDE in interface dmz

 

---

⚠️ 중요: ACL 적용 방향

ACL을 적용할 때는 방향(in 또는 out)이 매우 중요합니다.

• in (인바운드): 트래픽이 해당 인터페이스로 들어올 때 검사합니다.
• out (아웃바운드): 트래픽이 해당 인터페이스를 통해 나갈 때 검사합니다.