O ASA – Adaptive Security Appliance, firewall da Cisco, trabalha com os arquivos de configuração da mesma forma que os roteadores, apesar de não utilizar o IOS. Veja abaixo os arquivos e como usá-los.
Running-config: configuração atual, gravada na memória RAM e em uso. As alterações de configuração são feita diretamente na running-config e tem efeito imediato. Para ver a configuração em uso podemos usar o comando show running-config ou write terminal.
Startup-config: configuração salva na flash. Quando o equipamento inicia ele carrega a configuração da startup-config (flash) e copia para a running-config (RAM). Para visualizar a configuração salva na memória flash utilize o comando show startup-config ou show configure.
Copy running-config startup-config: copia as configurações da RAM para a flash. Assim se o equipamento for desligado ele não perderá as configurações.
Clear config all: apaga toda a configuração da running-config (RAM), sem alterar a startup-config.
Configure factory-default: Retorna a configuração ao padrão de fábrica. Nos modelos PIX515 e PIX515E, e nos ASAs acima do 5510 este comando configura um IP na interface de gerencia e deixa pronto para acesso via ASDM. No ASA5505 este comando automaticamente configura as interfaces inside e outside e o NAT, deixando o equipamento preparado para o uso.
Write erase: apaga o conteúdo da startup-config.
Security Level
O Security Level informa o quanto uma interface é segura em relação a outra interface. Normalmente a interface inside (conectada a LAN) tem Security Level 100, enquanto a interface conectada a Internet (outside) tem Security Level 0. Outras interfaces podem ser definidas com valores de 1 a 99 (também é possível usar os valores 0 e 100 em outras interfaces).
Por padrão, o tráfego originado em uma interface mais segura (Security Level maior) pode ir para uma interface menos secura, mas o contrário é bloqueado.
Para que o tráfego da interface com menor Security Level vá para a interface com maior Security Level é necessário liberar o tráfego explicitamente (através de access-list).
Por padrão, o tráfego entre interfaces que tenham o mesmo Security Level é bloqueado, podendo ser liberado como o comando same-security-traffic permit.
Até a próxima.
muito bom.