Nastavení IP telefonie cisco asa 5510. Kontrola nastavení HTTP, SSH, TELNET

ASA verze 8.2(1)
!
!Jméno Cisco
název hostitele asa
!Doména. Potřebné pro SSH
název domény strui.ru
!Heslo pro povolení.
povolit heslo 4aeeoLOxxxxxxjMx šifrováno
passwd k0a6sN9ExxxxxxxxzV zašifrováno
jména
! Popis rozhraní při pohledu na internet.
rozhraní Ethernet0/0
popis Internet
jméno, pokud je venku
úroveň zabezpečení 0
IP adresa 213.xxx.xxx.194 255.255.255.240
! Popis rozhraní, které nahlíží do místní sítě.
rozhraní Ethernet0/1
popis Místní
nameif uvnitř
úroveň zabezpečení 100
IP adresa 10.10.10.20 255.255.255.0
!
! Popis rozhraní nahlížejícího do sítě serverů (DMZ)
rozhraní Ethernet0/2
popis DMZ
nameif dmz
úroveň zabezpečení 50
IP adresa 62.xxx.xxx.177 255.255.255.240
!Toto rozhraní je zakázáno
rozhraní Ethernet0/3
vypnout
no nameif
žádná úroveň zabezpečení
žádná ip adresa
!Toto rozhraní je zakázáno (není vázáno na lokální síť). Používá
!Počáteční nastavení Cisco
Správa rozhraní0/0
management nameif
úroveň zabezpečení 100
IP adresa 192.168.1.1 255.255.255.0
pouze pro správu
!
pasivní režim ftp
! Nastavte zónu a čas. Požadováno pro protokoly.
časové pásmo hodin MSK/MDD 3
hodiny letního času MSK/MDD opakující se minulou neděli ne 2:00 minulou neděli ne 3:00
DNS server-group DefaultDNS
! Seznam přístupů do demilitorizované zóny k serverům. příchozí provoz.
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.180 eq www
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.180 eq ftp
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.180 eq ftp-data
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.181 eq www
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.181 eq ftp
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.181 eq ftp-data
přístupový seznam acl_in_dmz rozšířené povolení tcp libovolný hostitel 62.xxx.xxx.178 eq doména
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq smtp
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq pop3
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq imap4
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.184 eq 8081
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.184 eq www
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.185 eq www
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.186 eq ftp
přístupový seznam acl_in_dmz rozšířené povolení tcp libovolný hostitel 62.xxx.xxx.186 eq ftp-data
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.186 eq www
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.189 eq www
přístupový seznam acl_in_dmz rozšířené povolení tcp libovolného hostitele 62.xxx.xxx.179 eq doména
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq https
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.182 eq smtp
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.182 eq pop3
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.182 eq imap4
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.187 eq www
přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.188 eq www
! Přístupový seznam pro servery z DMZ. odchozí provoz.
access-list acl_out_dmz rozšířené povolení tcp any any
access-list acl_out_dmz rozšířené povolení udp any any
access-list acl_out_dmz rozšířené povolení icmp any any
přístupový seznam acl_out_dmz rozšířený deny tcp hostitel 62.xxx.19.76 hostitel 213.xxx.36.194 ekv 135
přístupový seznam acl_out_dmz rozšířený deny tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp
!Přístupový seznam pro uživatele LAN.
! Vše je povoleno pro odchozí provoz.
přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.10.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.20.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.40.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.50.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.110.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.10.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.110.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.20.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.50.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení udp 10.10.10.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení udp 10.10.20.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení udp 10.10.110.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení udp 10.10.50.0 255.255.255.0 libovolný
přístupový seznam acl_out_inside rozšířené povolení udp 10.10.40.0 255.255.255.0 libovolný

! Nastavení protokolování
povolit protokolování
logovací časové razítko
protokolování upozornění na pasti
protokolování asdm informační
protokolování hostitele uvnitř 10.10.10.4
mtu mimo 1500
mtu uvnitř 1500
mtu dmz 1500
mtu management 1500

žádné převzetí služeb při selhání
icmp nedosažitelný rychlostní limit 1 velikost shluku 1
není povolena žádná asdm historie
arp timeout 14400

! Globální nastavení
globální (mimo) 1 rozhraní
! Nastavení NAT pro místní síť
nat (uvnitř) 1 0.0.0.0 0.0.0.0
! Nastavení statiky pro servery
nat (dmz) 0 0.0.0.0 0.0.0.0
statická (dmz,venčí) 62.xxx.xxx.180 62.xxx.xxx.180 maska sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.181 62.xxx.xxx.181 maska sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.178 62.xxx.xxx.178 maska sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.179 62.xxx.xxx.179 maska sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.184 62.xxx.xxx.184 maska sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.185 62.xxx.xxx.185 maska sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.186 62.xxx.xxx.186 maska sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.189 62.xxx.xxx.189 maska sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.187 62.xxx.xxx.187 maska sítě 255.255.255.255
statická (dmz,venčí) 62.xxx.xxx.188 62.xxx.xxx.188 maska sítě 255.255.255.255
! Vázáme přístupový seznam přes přístupovou skupinu k rozhraním.
přístupová skupina acl_in_dmz v rozhraní mimo
přístupová skupina acl_out_inside v rozhraní uvnitř
přístupová skupina acl_out_dmz v rozhraní dmz
! Registrujeme směrování pro rozhraní.
trasa mimo 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
trasa uvnitř 10.10.20.0 255.255.255.0 10.10.10.10 1
trasa uvnitř 10.10.40.0 255.255.255.0 10.10.10.10 1
trasa uvnitř 10.10.50.0 255.255.255.0 10.10.10.10 1
trasa uvnitř 10.10.110.0 255.255.255.0 10.10.10.10 1
timeout xlate 3:00:00
timeout conn 1:00:00 polozavřeno 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
časový limit sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
časový limit sip-provisional-media 0:02:00 uauth 0:05:00 absolutní
časový limit tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
! Umožňujeme práci přes WEB face z lokální sítě.
Povolit http server
http 10.10.10.0 255.255.255.0 uvnitř
žádné umístění snmp-serveru
žádný kontakt snmp-server
snmp-server enable traps snmp autentizace linkup linkdown coldstart
životnost bezpečnostní asociace krypto ipsec 28800 sekund
životnost bezpečnostní asociace crypto ipsec kilobajtů 4608000
! Umožňujeme telnet a ssh pracovat v lokální síti.
telnet 10.10.10.0 255.255.255.0 uvnitř
časový limit telnetu 5
ssh 10.10.10.0 255.255.255.0 uvnitř
ssh 10.10.10.71 255.255.255.255 uvnitř
časový limit ssh 30
časový limit konzole 0
správa dhcpd 192.168.1.2-192.168.1.254
!
hrozba-detekce basic-threat
přístupový seznam statistik detekce hrozeb
žádná statistika detekce hrozeb tcp-intercept
! Časový server a uživatel pro WEB náhubek.
zdroj ntp serveru 10.10.10.3 uvnitř
webvpn
uživatelské jméno heslo správce trAp5eVxxxxxxnv šifrované oprávnění 15
!
class-map inspekce_default
odpovídat default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parametry
maximální délka zprávy 512
policy-map global_policy
class inspekce_výchozí
zkontrolovat dns preset_dns_map
zkontrolovat ftp
zkontrolujte h323 h225
zkontrolovat h323 ras
zkontrolovat rsh
zkontrolovat rtsp
zkontrolovat esmtp
zkontrolovat sqlnet
prohlédnout hubená
zkontrolovat sunrpc
zkontrolovat xdmcp
zkontrolovat doušek
zkontrolovat netbios
zkontrolovat tftp
!
service-policy global_policy global
kontextové jméno hostitele
Kryptokontrolní součet:
: konec

V tomto článku si vysvětlíme, jak migrovat z firewallů Cisco ASA 5500 (ASA 5510, ASA 5520, ASA 5540 a ASA 5550) na modernější ASA 5500-X (5512-X, 5515-X, 5525-X, 5545-X X , 5555-X), jaká předběžná příprava bude zapotřebí, na jaké body je třeba věnovat pozornost.

Zde je přibližná shoda mezi zařízeními těchto dvou linek pro přechod.

Příprava na migraci

Aby migrace proběhla rychle a bez problémů, je potřeba se na ni pečlivě připravit – zkontrolovat, zda jsou splněny požadavky na hardware a software.

Kontrolujeme následující:

dostupnost licencí pro všechna nová zařízení - předchozí licence nelze převést, protože jsou vázány na sériová čísla konkrétních zařízení, takže budete muset zakoupit nové licence a použít je na novém zařízení
verze softwaru ASA pro řadu 5500-X musí být minimálně 8.6, starší verze na těchto zařízeních prostě použít nemůžete. Pokud máte pouze starší verzi, stáhněte si novější verzi z cisco.com

K přípravě na migraci z řady cisco 500 budete potřebovat následující kroky:

aktualizujte Cisco Security Manager
upgradujte software všech zařízení řady 5500 na verzi 8.4.2. Pokud vám to funguje na softwaru ASA 8.3, stačí jej okamžitě aktualizovat na požadovanou verzi, ale pokud používáte starší verzi, doporučujeme to udělat ne v jednom kroku, ale ve více operacích, například od 7.4 do 8.0, poté na 8.2 a na 8.4. na verzi 8.3.

Případně můžete použít webový nástroj pro migraci NAT, kontaktovat TAC nebo zákaznickou podporu. Tento nástroj umožňuje odeslat existující konfiguraci z místního počítače ke zpracování, poté provést transformace a nakonec uživateli poskytne aktualizovanou konfiguraci, kterou lze jednoduše zkopírovat a uložit do souboru. Před použitím tohoto nástroje si pozorně přečtěte jeho omezení.

nezapomeňte zálohovat konfiguraci a uložit ji pro případ, že se něco pokazí a konfiguraci bude nutné obnovit. To se provádí příkazem CLI kopírovat nebo pomocí správce ASDM
pokud používáte , musíte také zálohovat jeho konfiguraci (přes CLI nebo IDM/IME)
když vytváříte záložní kopie konfigurací, nezapomeňte exportovat certifikáty a kryptografické klíče z předchozí platformy

Rozdíly v hardwarové architektuře zařízení ASA 5500-X z řady 5500

Architektura nových zařízení je přirozeně poněkud odlišná. Vizuálně si můžete všimnout následujících rozdílů:

žádné SSM
Služby ASA a IPS (pokud existují) jsou fyzicky spravovány přes stejný port
vyšší hustota I/O portů, jsou použity pouze gigabitové porty

Kvůli těmto rozdílům budete muset ručně změnit několik věcí v konfiguračním souboru řady 5500. Podrobnosti naleznete níže.

Úprava konfigurace I/O portu

Všichni zástupci ASA 5500 mají gigabitové porty, jejich konfigurace je již zaregistrována a není třeba nic měnit. Výjimkou je ASA 5510 bez licence SecPlus, kde takový port není. Pokud tedy přeneseme konfiguraci z 5510, budeme muset změnit všechny názvy rozhraní a podrozhraní, aby odrážely, že nové zařízení má gigabitové porty.

Zde je příklad, jak se to dělá (přechod z 5510 na 5515-X).

Konfigurace ASA 5510

! fyzické rozhraní

rozhraní Ethernet0/1

no nameif

žádná úroveň zabezpečení

žádná ip adresa

žádné vypnutí

! Vytváření dílčích rozhraní na rozhraní E0/1 (dvě logické sítě)

rozhraní Ethernet0/1.120

vlan 1222

nameif fw-out

úroveň zabezpečení 50

Rekonfigurace ASA 5515-X

! fyzické rozhraní

rozhraní GigabitEthernet0/1

no nameif

žádná úroveň zabezpečení

žádná ip adresa

žádné vypnutí

! Vytváření dílčích rozhraní na rozhraní G0/1 (dvě logické sítě)

rozhraní GigabitEthernet0/1.1201

vlan 1222

nameif fw-out

úroveň zabezpečení 50

IP adresa 172.16.61.1 255.255.255.0

Změny konfigurace portů pro správu

Podstatný rozdíl v platformě ASA 5500-X spočívá v tom, že služby IPS a firewallu mají společný port pro správu, ale nelze jej použít k jinému účelu. Upozorňujeme, že po přechodu jej nebude možné použít jako datový port ani jako konfigurační prvek s vysokou dostupností (u řady 5500 to možné bylo). Pokud jste to udělali na předchozí platformě, nezapomeňte při migraci přenést nastavení konfigurace tohoto portu pro správu na jeden z gigabitových datových portů s číslem vyšším než G0/3. Následující text ukazuje, jak se to dělá na příkladu migrace z ASA 5520 na ASA 5525-X.

Konfigurace ASA 5520

Správa rozhraní0/0

no nameif

žádná úroveň zabezpečení

žádná ip adresa

žádné pouze řízení

žádné vypnutí!

! Podrozhraní na rozhraní M0/0

Správa rozhraní 0/0.120

vlan 1222

nameif fw-out

úroveň zabezpečení 50

IP adresa 172.16.61.1 255.255.255.0

Konfigurace ASA 5515-X

! Vyhrazené rozhraní pro správu

Správa rozhraní0/0

no nameif

žádná úroveň zabezpečení

žádná ip adresa

pouze pro správu

žádné vypnutí

! Rozhraní pro správu migrováno na GigabitEthernet0/3

rozhraní GigabitEthernet0/3

no nameif

žádná úroveň zabezpečení

žádná ip adresa

žádné vypnutí

! Podrozhraní na rozhraní G0/3

rozhraní GigabitEthernet0/3.1201

vlan 1222

nameif fw-out

úroveň zabezpečení 50

IP adresa 172.16.61.1 255.255.255.0

Cisco ASA 5500 nemá rozhraní GigabitEthernet0/3, takže při upgradu na novější verzi by konfigurace neměly být ve vzájemném konfliktu.

Podobně, pokud jste dříve používali rozhraní pro správu pro konfiguraci převzetí služeb při selhání, migrujte jej do nového, nepoužívaného rozhraní 5500-X.

Jak správně migrovat služby ASA a IPS? Zde je několik možností, protože, jak bylo zmíněno výše, služby IPS a firewall v 5500-X nyní mají jeden společný port pro správu, zatímco dříve používaly jiné. , doporučujeme je pečlivě prostudovat a vybrat si tu vhodnou.

Migrujte konfiguraci IPS

Přímo při ručním přenosu konfiguračního souboru IPS nebudete muset nic měnit, pokud jste dokončili všechny potřebné přípravy popsané výše. Pro jistotu ještě jednou zkontrolujte, zda je správně nakonfigurován port pro správu.

Nezapomeňte, že IPS se aktivuje ve dvou krocích, k čemuž budete potřebovat licenci nejen na zařízení ASA, ale i na samotnou službu IPS.

Výsledek

Jak můžete vidět, migrace ze zařízení řady ASA 5500 na ASA 5500-X se provádí v několika fázích, některé z nich jsou automatizované a některé bude nutné provést ručně.

Pokusili jsme se popsat hlavní kroky, v jakém pořadí to udělat a na co si dát pozor, aby po přechodu nové zařízení fungovalo správně a plnilo jemu přidělené funkce.

Sítě > Firewall > Klasická autorizace uživatele. Příklad konfigurace brány firewall Cisco ASA5510.
Použití autorizace uživatele na firewallu cisco ASA k omezení přístupu k síťovým zdrojům.
Příklad konfigurace klasické autorizace uživatele na Cisco Secure ACS v4.0.
Klasická autorizace uživatele. Příklad konfigurace brány firewall Cisco ASA5510.

Předmluva.

Toto je třetí část článku věnovaná použití autorizace k selektivnímu omezení přístupu uživatelů k síťovým zdrojům a službám. Zde je konfigurace brány firewall ASA5510.
Viz schéma testovací sítě v první části článku.
Druhá část popisuje, jak nastavit Cisco Secure ACS.

Konfigurace.

Zde je konfigurace firewallu pro příklad popsaný v první části článku. Některé řádky použité ve skutečné konfiguraci, které však nejsou relevantní pro danou otázku, jsou zde vynechány. Řádky, které přímo souvisejí s autorizací, jsou vyznačeny tučně. V textu jsou krátké komentáře. Některé důležité body jsou podrobněji popsány níže.

Název hostitele firewall1! ! -- Seznam serverů -- jména jméno 192.168.1.100 FTP_server_1 name 192.168.1.101 FTP_server_2 name 192.168.1.102 TS_server name 192.168.1.103 DMZ_DB_server name 10.1.DB_server name 10.1.DB! ! rozhraní Management0/0 vypnutí jménoif management úroveň zabezpečení 100 pouze správa žádná IP adresa ! rozhraní Ethernet0/0 popis OUT rychlost 100 duplexní celé jménoif mimo úroveň zabezpečení 0 IP adresa 10.1.1.250 255.255.255.0 bez vypnutí ! rozhraní Ethernet0/1 popis Rychlost DMZ 100 duplexní celé jménoif Úroveň zabezpečení DMZ 50 IP adresa 192.168.1.254 255.255.255.0 bez vypnutí ! rozhraní Ethernet0/2 vypnutí no nameif no security-level no ip address ! rozhraní Ethernet0/3 vypnutí no nameif no security-level no ip address ! ! ! -- Seznam síťových skupin -- objekt-skupina síť DMZ_net síť-objekt 192.168.1.0 255.255.255.0 objekt-skupina síť FTP_servery síť-objekt hostitel FTP_server_1 síť-objekt hostitel FTP_server_2 ! ! access-list OUT_IN poznámka ***OUT->DMZ*** access-list OUT_IN poznámka ***ftp provoz na FTP servery*** access-list OUT_IN rozšířené povolení tcp jakákoli skupina objektů FTP_servery ekv ftp přístupový-list OUT_IN rozšířené allow tcp any object-group FTP_servers eq ftp-data access-list OUT_IN poznámka ***RDP provoz na servery DMZ*** access-list OUT_IN rozšířené povolení tcp any object-group DMZ_net eq 3389 access-list OUT_IN poznámka ***DB provoz mezi servery DB*** přístupový seznam OUT_IN rozšířené povolení hostitel tcp OUT_DB_server hostitel DMZ_DB_server ekv 1526 access-list OUT_IN poznámka ***Virtual Telnet for Authentication*** access-list OUT_IN rozšířené povolení tcp any host 10.2.2.2 eq https přístupový seznam OUT_IN rozšířené odepřít ip jakýkoli jakýkoli log ! ! access-list DMZ_IN poznámka ***DMZ->OUT*** access-list DMZ_IN poznámka ***ftp provoz z FTP serverů*** access-list DMZ_IN rozšířené povolení tcp skupina objektů FTP_servery eq ftp libovolný přístupový seznam DMZ_IN rozšířené permit tcp object-group FTP_servers eq ftp-data any access-list DMZ_IN poznámka ***RDP provoz ze serverů DMZ*** access-list DMZ_IN rozšířené povolení tcp object-group DMZ_net eq 3389 jakýkoli access-list DMZ_IN poznámka ***DB provoz mezi servery DB*** přístupový seznam DMZ_IN rozšířené povolení tcp hostitel DMZ_DB_server ekv. 1526 hostitel OUT_DB_server access-list DMZ_IN poznámka ***Virtual Telnet for Authentication*** access-list DMZ_IN rozšířené povolení tcp host 10.2.2.2 eq https any přístupový seznam DMZ_IN rozšířené odepřít ip jakýkoli jakýkoli log ! ! protokolování povolit protokolování ve vyrovnávací paměti informační ! ! ! -- NAT se nepoužívá, -- ! -- adresy se překládají do sebe -- nat (DMZ) 0 192.168.1.0 255.255.255.0 statický (mimo,DMZ) 10.1.1.0 10.1.1.0 maska sítě 255.255.255.0 ! statická (mimo,DMZ) 10.2.2.2 10.2.2.2 maska sítě 255.255.255.255! ! access-group OUT_IN v rozhraní mimo přístupovou skupinu DMZ_IN v rozhraní DMZ trasa mimo 0.0.0.0 0.0.0.0 10.1.1.254 1 timeout xlate 4:00:00 timeout conn 1:00:00 poloviční zavřeno 0:10:00 udp 0 :02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 ! -- Definujte časový limit ověření -- timeout uauth 4:00:00 absolutní ! ! ! -- Určete server TACACS+ -- aaa-server ACS_1 protokol tacacs+ test klíče aaa-server ACS_1 (DMZ) hostitele 192.168.1.4 ! ! -- Ke správě firewallu budete potřebovat -- ! -- ověřit na serveru TACACS+. -- ! -- Pokud server TACACS+ není dostupný, -- ! -- lze se přihlásit jako místní uživatel. -- aaa autentizace sériová konzole ACS_1 LOCAL aaa autentizace povolení konzole ACS_1 LOCAL aaa autentizace ssh konzole ACS_1 LOCAL ! ! ! ! -- vyžaduje ověření. -- ! aaa ověřování vyloučit tcp/1526 mimo DMZ_DB_server 255.255.255.255 OUT_DB_server 255.255.255.255 ACS_1 ! ! ! -- Říkáme, že veškerý příchozí provoz zvenčí -- ! -- vyžaduje autorizaci. -- ! -- Výjimka pro provoz databázového serveru -- aaa autorizace vyloučit tcp/1526 mimo DMZ_DB_server 255.255.255.255 OUT_DB_server 255.255.255.255 ACS_1 ! ! ! -- Webová autentizační stránka se bez tohoto řetězce neotevře -- aaa proxy-limit 128! ! -- Bez tohoto řetězce WEB autentizační stránka -- ! -- bude vypadat mnohem hůř -- ! -- Zadejte virtuální adresu webové stránky ověřování -- virtuální telnet 10.2.2.2časový limit telnetu 5 ssh 10.1.1.0 255.255.255.0 mimo časový limit ssh 5 ssh verze 2 časový limit konzoly 5 ! žádná detekce hrozeb základní hrozba žádná statistika detekce hrozeb seznam přístupů šifrování ssl des-sha1 rc4-md5 ! ! -- Místní uživatel pro správu -- ! -- firewall pro případ -- ! -- Server TACACS+ není dostupný, -- uživatelské jméno admin1 heslo zkušební oprávnění 15 ! !

Komentář ke konfiguraci.

aaa-server protokol ACS_1 tacacs+
aaa-server ACS_1 (DMZ) hostitel 192.168.1.4
klíčový test
Těmito řádky sdělujeme firewallu, že AAA server je server TACACS+, zadáváme jeho IP adresu a klíč.

aaa autentizace zahrnuje IP mimo 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ACS_1
aaa autorizace zahrnuje IP mimo 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ACS_1
Zde říkáme, že veškerý provoz přicházející na vnější rozhraní musí být ověřen a autorizován.

aaa ověřování vyloučit tcp/1526 mimo DMZ_DB_server 255.255.255.255 OUT_DB_server 255.255.255.255 ACS_1
aaa autorizace vyloučit tcp/1526 mimo DMZ_DB_server 255.255.255.255 OUT_DB_server 255.255.255.255 ACS_1
U provozu databázového serveru děláme výjimku. Tento provoz musí projít bez ověření a autorizace.

Virtuální Telnet

Pravděpodobně jste si všimli, že téměř polovina zvýrazněných řádků souvisí s IP adresou 10.2.2.2. Toto je virtuální adresa WEB stránky, pomocí které je uživatel autentizován a autorizován. Pojďme se tím zabývat podrobněji.
Když uživatel otevře relaci HTTP, HTTPS, FTP a Telnet, která vyžaduje ověření nebo autorizaci, zobrazí se v prohlížeči nebo v okně relace FTP nebo Telnet výzva k zadání uživatelského jména a hesla. Když se uživatel pokusí otevřít relaci na jiných portech, jako je připojení RDP, výzva k zadání hesla se nezobrazí, relace je ukončena časovým limitem a v poli se zobrazí položka „Uživatel se musí před použitím této služby ověřit“. protokol firewallu.
Před otevřením relace RDP se uživatel musí přihlásit k bráně firewall. Ale jak to udělat? Kam zadat přihlašovací jméno a heslo? K tomu slouží virtuální telnet.
Navzdory názvu to není vůbec telnet. Toto je další relace https. Pro uživatele vypadá proces ověřování takto:
Uživatel spustí prohlížeč a do adresního řádku zadá https://10.2.2.2.

Po potvrzení důvěry v certifikát se otevře následující okno. Upozorňujeme, že stránka s adresou 10.2.2.2 byla původně otevřena. A nyní ASA přesměrovala uživatele na skutečnou IP adresu - 10.1.1.250. Více o tom - níže.
Chcete-li pokračovat, klikněte na tlačítko „Přihlásit se nyní“.

V dalším okně zadejte své uživatelské jméno a heslo a klikněte na tlačítko "Pokračovat".

Pokud je vše správně nakonfigurováno na firewallu a ACS serveru a uživatel správně zadal přihlašovací jméno a heslo, otevře se stránka jako na následujícím obrázku.

Nyní může uživatel otevřít všechna povolená připojení, heslo již nebude vyžadováno. Okno prohlížeče lze zavřít. Na konci relace se uživatel může odhlásit. Chcete-li to provést, musíte znovu otevřít stránku ověřování. Zobrazuje stav uživatele na firewallu a ukazuje, kolik času uplynulo od registrace (viz předchozí obrázek). Chcete-li autorizaci zavřít, stačí kliknout na tlačítko Odhlásit.
Je jasné, že není nutné se odhlašovat. Pokud jsou všechna připojení otevřená uživatelem po určitou dobu nečinná, firewall sám autorizaci uzavře. Časový limit je definován příkazem:
timeout uauth 4:00:00 absolutní
Pokud se uživatel přihlásil před několika hodinami a nyní pochybuje, zda je jeho dříve otevřená registrace platná či nikoli, měl by otevřít stránku ověřování. Tam uvidí svůj stav.

Aby popsaný mechanismus fungoval, musí být v konfiguraci firewallu přítomny následující řádky:
virtuální telnet 10.2.2.2
Zde je virtuální IP adresa ověřovací stránky. Jsou to jeho uživatelé, kteří zadávají do adresního řádku prohlížeče. Přesněji by měli vytočit https://10.2.2.2. Stránka HTTP načtena z brány firewall. Pro zvýšení bezpečnosti se nepoužívá skutečná IP adresa rozhraní firewallu, ale virtuální.
Tato adresa musí být zadána na několika místech v konfiguraci firewallu. V přístupových seznamech musí být provoz https otevřen na virtuální adrese ověřovací stránky.
access-list OUT_IN rozšířené povolení tcp any host 10.2.2.2 eq https
access-list DMZ_IN rozšířené povolení tcp host 10.2.2.2 eq https libovolný

Navíc pro tuto adresu musíte výslovně zaregistrovat příkaz:
aaa autentizace zahrnuje https mimo 10.2.2.2 255.255.255.255 0.0.0.0 0.0.0.0 ACS_1
To musí být provedeno bez problémů, i když existuje tým
aaa autentizace zahrnuje IP mimo 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ACS_1, pokrývající celý adresní prostor.
No a poslední řádek:
aaa autentizační posluchač https mimo port 1443 přesměrování
Jednoduše zlepšuje vzhled webové stránky ověřování. Zkuste jej odstranit z konfigurace a uvidíte, co se změnilo. Tento příkaz vypadá v různých verzích ios odlišně.

Co ještě vidět?

Diagram testnetu a obecné informace o autorizaci viz

Úkolem bylo nastavit

umožnit provoz serverů a uživatelů lokální sítě podniku.

servery jsou bílé

(internet typu 62.xxx) adresy a projděte

Uživatelská data jsou předávána

Servery mají dvě síťové karty: jedna je v lokální síti, druhá je na internetu a jsou řízeny přes místní síť. Proto není konfigurován přístup z lokální sítě do DMZ, protože není potřeba.

Vzorová konfigurace je uvedena níže.

ASA verze 8.2(1)

Doména. Potřebné pro SSH

název domény strui.ru

Heslo pro povolení.

povolit heslo 4aeeoLOxxxxxxjMx šifrováno

passwd k0a6sN9ExxxxxxxxzV zašifrováno

Popis rozhraní při pohledu na internet

rozhraní Ethernet0/0

popis Internet

úroveň zabezpečení 0

IP adresa 213.xxx.xxx.194 255.255.255.240

Popis rozhraní, které nahlíží do místní sítě

rozhraní Ethernet0/1

popis Místní

úroveň zabezpečení 100

IP adresa 10.10.10.20 255.255.255.0

Popis rozhraní nahlížejícího do sítě serverů (DMZ)

rozhraní Ethernet0/2

úroveň zabezpečení 50

IP adresa 62.xxx.xxx.177 255.255.255.240

Toto rozhraní je zakázáno

rozhraní Ethernet0/3

žádná úroveň zabezpečení

Toto rozhraní je zakázáno (není vázáno na lokální síť). Používá

počáteční nastavení Cisco

Správa rozhraní0/0

management nameif

úroveň zabezpečení 100

IP adresa 192.168.1.1 255.255.255.0

pasivní režim ftp

Nastavte zónu a čas. Požadováno pro protokoly.

časové pásmo hodin MSK/MDD 3

hodiny letního času MSK/MDD opakující se minulou neděli ne 2:00 minulou neděli ne 3:00

DNS server-group DefaultDNS

Seznam přístupů do demilitorizované zóny k serverům. příchozí provoz.

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.180 eq www

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.180 eq ftp

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.180 eq ftp-data

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.181 eq www

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.181 eq ftp

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.181 eq ftp-data

přístupový seznam acl_in_dmz rozšířené povolení tcp libovolný hostitel 62.xxx.xxx.178 eq doména

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq smtp

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq pop3

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq imap4

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.184 eq 8081

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.184 eq www

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.185 eq www

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.186 eq ftp

přístupový seznam acl_in_dmz rozšířené povolení tcp libovolný hostitel 62.xxx.xxx.186 eq ftp-data

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.186 eq www

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.189 eq www

přístupový seznam acl_in_dmz rozšířené povolení tcp libovolného hostitele 62.xxx.xxx.179 eq doména

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.179 eq https

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.182 eq smtp

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.182 eq pop3

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.182 eq imap4

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.184 eq rtsp

access-list acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.187 eq www

přístupový seznam acl_in_dmz rozšířené povolení tcp jakýkoli hostitel 62.xxx.xxx.188 eq www

Přístupový seznam pro servery z DMZ. odchozí provoz.

access-list acl_out_dmz rozšířené povolení tcp any any

access-list acl_out_dmz rozšířené povolení udp any any

access-list acl_out_dmz rozšířené povolení icmp any any

přístupový seznam acl_out_dmz rozšířený deny tcp hostitel 62.xxx.19.76 hostitel 213.xxx.36.194 ekv 135

přístupový seznam acl_out_dmz rozšířený deny tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp

Přístupový seznam pro uživatele místní sítě.

Vše je povoleno pro odchozí provoz.

přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.10.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.20.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.40.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.50.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení tcp 10.10.110.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.10.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.110.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.20.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení icmp 10.10.50.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení udp 10.10.10.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení udp 10.10.20.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení udp 10.10.110.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení udp 10.10.50.0 255.255.255.0 libovolný

přístupový seznam acl_out_inside rozšířené povolení udp 10.10.40.0 255.255.255.0 libovolný

Nastavení protokolování

logovací časové razítko

protokolování upozornění na pasti

protokolování asdm informační

protokolování hostitele uvnitř 10.10.10.4

mtu mimo 1500

mtu management 1500

icmp nedosažitelný rychlostní limit 1 velikost shluku 1

není povolena žádná asdm historie

arp timeout 14400

Globální nastavení

globální (mimo) 1 rozhraní

Nastavení NAT pro místní síť

nat (uvnitř) 1 0.0.0.0 0.0.0.0

Nastavení statiky pro servery

nat (dmz) 0 0.0.0.0 0.0.0.0

statická (dmz,venčí) 62.xxx.xxx.180 62.xxx.xxx.180 maska sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.181 62.xxx.xxx.181 maska sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.178 62.xxx.xxx.178 maska sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.179 62.xxx.xxx.179 maska sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.184 62.xxx.xxx.184 maska sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.185 62.xxx.xxx.185 maska sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.186 62.xxx.xxx.186 maska sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.189 62.xxx.xxx.189 maska sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.187 62.xxx.xxx.187 maska sítě 255.255.255.255

statická (dmz,venčí) 62.xxx.xxx.188 62.xxx.xxx.188 maska sítě 255.255.255.255

Vázáme přístupový seznam přes přístupovou skupinu k rozhraním.

přístupová skupina acl_in_dmz v rozhraní mimo

přístupová skupina acl_out_inside v rozhraní uvnitř

přístupová skupina acl_out_dmz v rozhraní dmz

Registrujeme směrování pro rozhraní.

trasa mimo 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1

trasa uvnitř 10.10.20.0 255.255.255.0 10.10.10.10 1

trasa uvnitř 10.10.40.0 255.255.255.0 10.10.10.10 1

trasa uvnitř 10.10.50.0 255.255.255.0 10.10.10.10 1

trasa uvnitř 10.10.110.0 255.255.255.0 10.10.10.10 1

timeout xlate 3:00:00

timeout conn 1:00:00 polozavřeno 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

časový limit sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

časový limit sip-provisional-media 0:02:00 uauth 0:05:00 absolutní

časový limit tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

Umožňujeme práci přes WEB face z lokální sítě.

Povolit http server

http 10.10.10.0 255.255.255.0 uvnitř

žádné umístění snmp-serveru

žádný kontakt snmp-server

snmp-server enable traps snmp autentizace linkup linkdown coldstart

životnost bezpečnostní asociace krypto ipsec 28800 sekund

životnost bezpečnostní asociace crypto ipsec kilobajtů 4608000

Umožňujeme telnet a ssh pracovat v lokální síti.

telnet 10.10.10.0 255.255.255.0 uvnitř

časový limit telnetu 5

ssh 10.10.10.0 255.255.255.0 uvnitř

ssh 10.10.10.71 255.255.255.255 uvnitř

časový limit konzole 0

správa dhcpd 192.168.1.2-192.168.1.254

hrozba-detekce basic-threat

přístupový seznam statistik detekce hrozeb

žádná statistika detekce hrozeb tcp-intercept

Časový server a uživatel pro WEB náhubek.

zdroj ntp serveru 10.10.10.3 uvnitř

uživatelské jméno heslo správce trAp5eVxxxxxxnv šifrované oprávnění 15

class-map inspekce_default

odpovídat default-inspection-traffic

policy-map type inspect dns preset_dns_map

maximální délka zprávy 512

policy-map global_policy

class inspekce_výchozí

zkontrolovat dns preset_dns_map

zkontrolujte h323 h225

zkontrolovat h323 ras

service-policy global_policy global

kontextové jméno hostitele

Kryptokontrolní součet:

Bezpečnostní zařízení Cisco ASA 5510- Cisco firewall, který je mezi celou řadou velmi oblíbený ASA 5500, protože je navržen a používán pro zabezpečení v malých a středních podnicích. Stejně jako jeho juniorský model ASA 5505 lze i 5510 objednat se základní licencí ( základní licence), a s licencí Bezpečnost Plus. Licence Security Plus odemyká další výkonové funkce ASA ve srovnání se základní licencí, jako je firewall pro maximální počet 130 000 připojení (místo 50 000), maximální počet VLAN byl zvýšen na 100 (místo 50), rozšířené možnosti převzetí služeb při selhání atd. . Licence Security Plus navíc umožňuje dvěma z pěti portů ASA pracovat rychlostí 10/100/1000 Mb/s, nikoli pouze 10/100 Mb/s.

Pokud jste si již zakoupili licenci, můžete ji aktivovat spuštěním následujících příkazů:

ASA(config)#activation-key 0xab12cd34 ASA(config)#exit ASA#copy running startup ASA#reload

Následuje jednoduchý scénář pro přístup k internetu, kde nám ISP poskytl externí statickou IP adresu 77.77.77.1, vnitřní síť používá následující adresní prostor: 172.16.10.0/24. Budeme používat rozhraní Ethernet0/0 Pro WAN. Fyzické rozhraní Ethernet0/1 bude použit pro připojení všech interních síťových zařízení. Logicky budou všechna interní síťová zařízení ve VLAN 10, odtud budeme používat logické rozhraní Ethernet0/1.10. Pojďme nakonfigurovat ASA tak, aby automaticky přidělovalo IP adresy pracovním stanicím pomocí protokolu DHCP. Nastavte NAT(PAT) ve směru vnitřní síť - vnější síť.

Topologie sítě je zobrazena níže:

Nejprve musíte pomocí příkazu nakonfigurovat heslo pro přístup k ASA v režimu globální konfigurace povolit heslo MyPass, Kde MyPass- heslo zařízení:

ASA(config)#enable password MyPass

Pro nastavení externí rozhraní, musíte zadat příkaz rozhraní Ethernet0/0, nastavte název pomocí příkazu jméno, pokud je venku, úroveň zabezpečení úroveň zabezpečení 0 a IP adresu IP adresa 77.77.77.1 255.255.255.252.

ASA(config)#interface Ethernet0/0 ASA(config-if)#nameif mimo ASA(config-if)#úroveň zabezpečení 0 ASA(config-if)#ip adresa 77.77.77.1 255.255.255.252 ASA(config-if) #ne zavřeno

Nastavte vnitřní rozhraní Ethernet0/1.10 a vložte jej na 802.1q trunk pro VLAN 10. Příklad:

ASA(config-if)#speed 100
ASA(config-if)#duplex plný
ASA(config-if)#no nameif

ASA(config-if)#žádná IP adresa
ASA(config-if)#žádné vypnutí
ASA(config)#interface Ethernet0/1.10
ASA(config-if)#nameif uvnitř
ASA(config-if)#vlan 10

ASA(config-if)#žádné vypnutí

Založit PAT:

ASA(config)#global (mimo) 1 rozhraní

Založit výchozí trasa:

ASA(config)#route outside 0.0.0.0 0.0.0.0 77.77.77.2 1 !*1 – administrativní vzdálenost.

Založit DHCP server na ASA:

Kompletní konfigurace bude vypadat takto:

ASA(config)#enable password MyPass

ASA(config)#interface Ethernet0/0
ASA(config-if)#nameif venku
ASA(config-if)#úroveň zabezpečení 0
ASA(config-if)#ip adresa 77.77.77.1 255.255.255.252
ASA(config-if)#žádné vypnutí

ASA(config)#interface Ethernet0/1
ASA(config-if)#speed 100
ASA(config-if)#duplex plný
ASA(config-if)#no nameif
ASA(config-if)#žádná úroveň zabezpečení
ASA(config-if)#žádná IP adresa
ASA(config-if)#žádné vypnutí

ASA(config)#interface Ethernet0/1.10
ASA(config-if)#nameif uvnitř
ASA(config-if)#vlan 10
ASA(config-if)#úroveň zabezpečení 100
ASA(config-if)#ip adresa 172.16.10.254 255.255.255.0
ASA(config-if)#žádné vypnutí
ASA(config)#global (mimo) 1 rozhraní
ASA(config)#nat (uvnitř) 1 172.16.0.0 255.255.0.0

ASA(config)#route outside 0.0.0.0 0.0.0.0 77.77.77.2 1

ASA(config)#dhcpd dns 88.88.88.20
ASA(config)#dhcpd adresa 172.16.10.1-192.168.10.240 uvnitř
ASA(config)#dhcpd povolit uvnitř

KONFIGURACE OVĚŘOVÁNÍ SSH/TELNET/ASDM NA ASA

Základní nastavení:

aaa autentizace povolí konzolu LOCAL

aaa autentizace http konzole LOCAL- bez tohoto příkazu bude přístup do ASDM zdarma pro všechny bez přihlášení a hesla

aaa autentizace ssh konzole LOCAL- nutné pro přístup přes SSH, jinak nebude akceptovat zadané přihlašovací jméno a heslo, i když jsou správné

aaa autentizace telnet konzole LOCAL— přístup přes Telnet je možný pouze z rozhraní.

Další potřebné příkazy pro přístup k ASDM přes http, do konzole přes ssh a telnet (variace se mohou lišit):

HTTP server povolit správu http 0.0.0.0 0.0.0.0 http 0.0.0.0 0.0.0.0 mimo http 0.0.0.0 0.0.0.0 uvnitř telnet 0.0.0.0 0.0.0.0 0. uvnitř telnet 0.0.0.0 0.0.0.0. timeout management telnet 15 ssh 0.0.0.0 0.0.0.0 uvnitř ssh 0.0.0.0 0.0.0.0 externí ssh 0.0.0.0 0.0.0.0 timeout management ssh 15 timeout konzoly 0

kryptografický klíč generovat rsa modul 512- nezapomeňte si vygenerovat RSA klíče, jsou nutné pro přístup přes SSH, jinak vás na zařízení prostě nepustí

Přístup k ASA prostřednictvím serveru Cisco Access Control Server (ACS):

Aaa-server ACSserver protokol tacacs+ aaa-server ACSserver (uvnitř) hostitel 172.16.10.5 klíč SHAREDSECRETKEY aaa autentizace telnet konzole ACSserver LOCAL aaa autentizace ssh konzole ACSserver LOCAL aaa autentizace povolení konzole ACSserver autentizace LOCAL Autentizace serveru ACS LOCAL Aeca autentizace http://excal.

TRAFFIC POLICING NA FIREWALL CISCO ASA

Krátká poznámka k Modulární politikaRámec na firewallech Cisco ASA. Tato poznámka se týká provozu L3/L4.

třídní mapa— definuje typ provozu.

mapa politiky— definuje akci pro typ provozu specifikovaný v třídní mapa.

Servisní politika- určuje místo aplikace mapa politiky, buď globálně (směr vstupu), nebo relativně k rozhraní (může to být vstup i výstup, což je uvedeno v mapě politik).

Příklad omezení rychlosti stahování (download) a uploadu (upload) na externím rozhraní pro HTTP 80 na ASA

(config)#access-list HTTP allow tcp any any eq 80 (config)#access-list HTTP allow tcp any eq 80 any (config)#class-map MATCH_HTTP (config-cmap)#match access-list HTTP (config) #policy-map HTTP_RESTRICT (config-pmap)#class-map MATCH_HTTP (config-pmap-c)#policejní vstup 500000 // (500Kbits/s) (config-pmap-c)#policejní výstup 500000 //(500Kbits/s ) (config)#service-policy HTTP_RESTRICT rozhraní mimo

Příprava na migraci

Rozdíly v hardwarové architektuře zařízení ASA 5500-X z řady 5500

Úprava konfigurace I/O portu

Změny konfigurace portů pro správu

Migrujte konfiguraci IPS

Výsledek

KONFIGURACE OVĚŘOVÁNÍ SSH/TELNET/ASDM NA ASA

TRAFFIC POLICING NA FIREWALL CISCO ASA

Oblíbený