Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Configuração de NAT básica ASA: Web server no DMZ na versão ASA 8.3 e mais atrasado

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento fornece um exemplo simples e direto de como configurar o NAT e o Access Control Lists (ACLs) em um Firewall ASA a fim permitir a Conectividade de partida assim como de entrada. Este documento foi redigido usando um Firewall ASA 5510 que executa a versão de código ASA 9.1(1) mas este pode facilmente aplicar-se a toda a outra plataforma do Firewall ASA. Se usando uma plataforma tal como um ASA 5505, que use VLAN em vez da interface física, você precisa de mudar os tipos de interface como apropriados.

Contribuído por Magnus Mortensen, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada no Firewall ASA 5510 que executa a versão de código ASA 9.1(1).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Visão geral

Objetivos

Neste exemplo de configuração, você pode olhar que NAT e configuração do Access Control List será precisada de configurar a fim permitir o acesso de entrada a um web server no DMZ de um Firewall ASA, e permite a Conectividade de partida dos anfitriões internos e DMZ. Isto pode ser resumido como dois objetivos:

  1. Permita anfitriões no interior e na Conectividade de partida DMZ ao Internet.
  2. Permita que os anfitriões no Internet alcancem um web server no DMZ com um endereço IP de Um ou Mais Servidores Cisco ICM NT de 192.168.1.100.

Antes de obter ao que etapas devem ser executadas para realizar estes dois objetivos, vá momentaneamente sobre as Listas de acesso da maneira e o trabalho NAT nas versões mais novas do código ASA (versão 8.3 e mais recente).

Vista geral do Access Control List

As listas de controle de acesso (listas de acesso ou ACL para breve) são o método por que o Firewall ASA determina se o tráfego é permitido ou negado. À revelia, o tráfego que passa de um mais baixo ao nível de segurança mais elevado é negado. Isto pode ser cancelado por um ACL aplicado a essa interface de segurança mais baixa. Igualmente o ASA, à revelia, permitirá o tráfego de mais altamente às interfaces de segurança mais baixa. Este comportamento pode igualmente ser cancelado com um ACL.

Nas versões anterior do código ASA (8.2 e mais adiantado), o ASA comparou uma conexão recebida ou um pacote contra o ACL em uma relação sem un-traduzir o pacote primeiramente. Ou seja o ACL teve que permitir o pacote como se você devia capturar esse pacote na relação. Em 8.3 e em código mais recente, o ASA un-traduz esse pacote antes de verificar a relação ACL. Isto significa aquele para 8.3 e o código mais recente, e este documento, tráfego ao IP real do host é permitido e não o IP traduzido do host.

Veja a seção das regras do acesso de livro configurando 2: Guia de configuração de CLI do Series Firewall de Cisco ASA, 9.1 para obter mais informações sobre das listas de controle de acesso.

Visão geral de NAT

O NAT no ASA na versão 8.3 e mais recente quebra-se em dois tipos sabe como auto NAT (objeto NAT) e NAT manual (duas vezes NAT). O primeiro dos dois, o objeto NAT, é configurado dentro da definição de um objeto de rede. Um exemplo deste é fornecido mais tarde neste documento. Uma vantagem preliminar deste método NAT é que o ASA pede automaticamente as regras processando a respeito de evita conflitos. Este é o formulário o mais fácil do NAT, mas com essa facilidade vem uma limitação na granularidade da configuração. Por exemplo, você não pode fazer a decisão da tradução baseada no destino no pacote porque você poderia com o segundo tipo de Nat nat, manual. O NAT manual é mais robusto em sua granularidade, mas exige que as linhas estejam configuradas na ordem correta a fim conseguir o comportamento correto. Isto complica este tipo NAT e em consequência, não será usado neste exemplo de configuração.

Veja a informação sobre a seção NAT de livro 2: Guia de configuração de CLI do Series Firewall de Cisco ASA, 9.1 para obter mais informações sobre do NAT.

Configurar

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Obtenha começado

A instalação básica da configuração ASA é três relações conectadas a três segmentos de rede. O segmento da rede ISP é conectado à relação do Ethernet0/0 e etiquetado fora com um nível de segurança de 0. A rede interna foi conectada a Ethernet0/1 e etiquetada como para dentro com um nível de segurança de 100. O segmento DMZ, onde o web server reside é conectado a Ethernet0/2 e etiquetado como o dmz com um nível de segurança dos 50 pés.

A configuração da interface e os endereços IP de Um ou Mais Servidores Cisco ICM NT para o exemplo são considerados aqui:

interface Ethernet0/0
nameif outside
security-level 0
ip address 198.51.100.100 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Ethernet0/2
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
route outside 0.0.0.0 0.0.0.0 198.51.100.1

Aqui você pode ver que a interface interna do ASA está ajustada com o endereço IP de Um ou Mais Servidores Cisco ICM NT de 192.168.0.1, e é o gateway padrão para os host internos. A interface externa do ASA é configurada com um endereço IP de Um ou Mais Servidores Cisco ICM NT obtido do ISP. Há uma rota padrão no lugar, ajustando o salto seguinte para estar o gateway ISP. Se você usa o DHCP este está fornecido automaticamente. A relação do dmz é configurada com o endereço IP de Um ou Mais Servidores Cisco ICM NT de 192.168.1.1, e é o gateway padrão para anfitriões em nosso segmento da rede do DMZ.

Topologia

Está aqui um olhar visual em como este é cabografado e configurado:

asa-config-dmz-01.gif

Etapa 1 - Configurar o NAT para permitir que os anfitriões saiam ao Internet

Para este objeto NAT do exemplo, igualmente sabido como AutoNAT, é usado. A primeira coisa a configurar é as regras NAT que permitem os anfitriões no interno e segmentos do dmz a conectar ao Internet. Porque estes anfitriões estão usando endereços IP privados, você precisa de traduzi-los a algo que é roteável no Internet. Traduza neste caso o endereço de modo que olhem como o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface externa do ASA. Se seu IP externo muda frequentemente (talvez devido ao DHCP) esta é a maneira a mais direta de configurar isto.

A fim configurar este NAT, você precisa de criar um objeto de rede que represente a sub-rede interna assim como um que representa a sub-rede DMZ. Em cada um destes objetos, configurar uma regra nat dinâmica que PANCADINHA estes clientes como a passagem de suas interfaces respectivas à interface externa.

Esta configuração olha similar a esta:

object network inside-subnet
subnet 192.168.0.0 255.255.255.0
nat (inside,outside) dynamic interface
!
object network dmz-subnet
subnet 192.168.1.0 255.255.255.0
nat (dmz,outside) dynamic interface

Se você olha a configuração running neste momento (com a saída da mostra executada), você verá que a definição de objeto está rachada em duas porções da saída. A primeira parte indica somente o que está no objeto (host/sub-rede, endereço IP de Um ou Mais Servidores Cisco ICM NT, etc.), quando a segunda seção mostrar que regra NAT amarrada a esse objeto. Se você toma a primeira entrada na saída acima:

Quando os anfitriões que combinam a travessia de 192.168.0.0/24 sub-redes da interface interna à interface externa, nós quiserem os traduzir dinamicamente à interface externa

Etapa 2 - Configurar o NAT para alcançar o web server do Internet

Agora que os anfitriões nas relações internas e do dmz podem sair ao Internet, você precisa de alterar a configuração de modo que os usuários no Internet possam alcançar nosso web server na porta TCP 80. Neste exemplo, estabelecido é de modo que os povos no Internet possam conectar a um outro endereço IP de Um ou Mais Servidores Cisco ICM NT que o ISP forneceu, um endereço IP de Um ou Mais Servidores Cisco ICM NT adicional nós possuímos. Para este exemplo, use 198.51.100.101. Com esta configuração, os usuários no Internet poderão alcançar o web server do dmz por 198.51.100.101 de acesso na porta TCP 80. Use o objeto NAT para esta tarefa, e o ASA estará traduzindo a porta TCP 80 no web server (192.168.1.100) para olhar como 198.51.100.101 na porta TCP 80 na parte externa. Similarmente ao que foi feito acima, define um objeto e define Regras de tradução para esse objeto. Também, defina um segundo objeto para representar o IP que você está traduzindo este host a.

Esta configuração olha similar a esta:

object network webserver-external-ip
host 198.51.100.101
!
object network webserver
host 192.168.1.100
nat (dmz,outside) static webserver-external-ip service tcp www www

Para resumir apenas o que essa regra NAT significa neste exemplo:

Quando um host que combina o endereço IP 192.168.1.100 nos segmentos do dmz estabelece uma conexão originado da porta TCP 80 (WWW) e essa conexão sai a interface externa, nós queremos traduzir aquele para ser a porta TCP 80 (WWW) na interface externa e para traduzir esse endereço IP de Um ou Mais Servidores Cisco ICM NT para ser 198.51.100.101

Aquele parece um pouco impar… “originado da porta TCP 80 (WWW)”, mas do tráfego de web é destinado à porta 80. É importante compreender que estas regras NAT são bidirecionais na natureza. Em consequência você pode reformular esta frase lançando o fraseio ao redor. O resultado faz muito mais o sentido:

Quando os anfitriões na parte externa estabelecem uma conexão a 198.51.100.101 na porta 80 do TCP destino (WWW), nós traduziremos o endereço IP de destino para ser 192.168.1.100 e a porta do destino será a porta TCP 80 (WWW) e enviar-lhe-á para fora o dmz

Isto faz mais sentido quando fraseado esta maneira. Em seguida, você precisa de estabelecer os ACL.

Etapa 3 - Configurar ACL

O NAT é configurado e o fim desta configuração está próximo. Recorde, ACL no ASA permitem que você cancele o comportamento de segurança do padrão que é como segue:

  • O tráfego que vai de uma interface de segurança mais baixa é negado ao ir a uma interface de segurança mais elevada
  • O tráfego que vai de uma interface de segurança mais elevada é permitido ao ir a uma interface de segurança mais baixa

Assim sem adicionar nenhuns ACL de todo à configuração, o seguinte tráfego neste exemplo trabalha:

  • Os anfitriões no interior (nível de segurança 100) podem conectar aos anfitriões no dmz (os 50 pés do nível de segurança)
  • Os anfitriões no interior (nível de segurança 100) podem conectar aos anfitriões na parte externa (nível de segurança 0)
  • Os anfitriões no dmz (50 pés do nível de segurança) podem conectar aos anfitriões na parte externa (nível de segurança 0)

Contudo, o seguinte tráfego é negado:

  • Os anfitriões na parte externa (nível de segurança 0) não podem conectar aos anfitriões no interior (nível de segurança 100)
  • Os anfitriões na parte externa (nível de segurança 0) não podem conectar aos anfitriões no dmz (os 50 pés do nível de segurança)
  • Os anfitriões no dmz (50 pés do nível de segurança) não podem conectar aos anfitriões no interior (nível de segurança 100)

Porque o tráfego da parte externa à rede do dmz é negado pelo ASA com sua configuração atual, os usuários no Internet não podem alcançar o web server apesar da configuração de NAT em etapa 2. Você precisa de permitir explicitamente este tráfego. Em 8.3 e em código mais recente você deve usar o IP real do host no ACL e não no IP traduzido. Isto significa que a configuração precisa de permitir o tráfego destinado a 192.168.1.100 e de não traficar destinado a 198.51.100.101 na porta 80. Para a simplicidade a causa, os objetos definidos em etapa 2 será usada para este ACL também. Uma vez que o ACL é criado, você precisa de aplicá-lo de entrada na interface externa.

É aqui o que aqueles comandos configuration olham como:

access-list outside_acl extended permit tcp any object webserver eq www
!
access-group outside_acl in interface outside

A linha estados da lista de acesso:

Tráfego da licença do any(where) ao host representado pelo web server do objeto (192.168.1.100) na porta 80

É importante a configuração usa toda a palavra-chave aqui. Porque o endereço IP de origem dos clientes não é sabido que alcança seu Web site especifique todos os o significado “quaisquer endereços IP de Um ou Mais Servidores Cisco ICM NT.

Que sobre o tráfego do segmento do dmz destinou aos anfitriões no segmento da rede interna? Por exemplo, um server na rede interna a que os anfitriões na necessidade do dmz de conectar? Como pode o ASA reservar somente que específico trafique destinado ao server interno e obstrua tudo mais destinado ao segmento interno do dmz?

Neste exemplo supõe-se que há um servidor DNS na rede interna no endereço IP 192.168.0.53 que os anfitriões na necessidade do dmz de alcançar para a resolução de DNS. Você cria o ACL necessário e aplica-o à relação do dmz assim que o ASA pode cancelar esse comportamento de segurança do padrão, mencionado mais cedo, para o tráfego que incorpora essa relação.

É aqui o que aqueles comandos configuration olham como:

object network dns-server
host 192.168.0.53
!
access-list dmz_acl extended permit udp any object dns-server eq domain
access-list dmz_acl extended deny ip any object inside-subnet
access-list dmz_acl extended permit ip any any
!
access-group dmz_acl in interface dmz

O ACL é mais complexo que simplesmente permitindo esse tráfego ao servidor DNS na porta 53 UDP. Se tudo que nós fizemos é que primeiramente linha da “licença”, a seguir todo o tráfego estaria obstruído do dmz aos anfitriões no Internet. A lista de acesso tem um “deny ip any any implícito” no fim do ACL. Em consequência, seus anfitriões do dmz não poderiam sair ao Internet. Mesmo que o tráfego do dmz à parte externa seja permitido à revelia, aplicando um ACL à relação do dmz, aqueles optam por comportamentos de segurança para a relação do dmz são já não de fato e nós devemos explicitamente permitir o tráfego na relação ACL.

Etapa 4 - Teste a configuração com característica do projétil luminoso do pacote

Agora que a configuração é terminada, você precisa de testá-la para certificar-se que trabalha. O método o mais fácil é usar anfitriões reais (se esta é sua rede). Contudo, no interesse de testar isto da linha de comando e mais adicional explorando algumas das ferramentas do ASA, use o projétil luminoso do pacote para testar e debugar potencialmente todos os problemas encontrados.

O projétil luminoso do pacote funciona simulando um pacote baseado em uma série de parâmetros e injetar esse pacote ao trajeto de dados da relação, similar a um pacote da vida real se foi pegarada fora do fio. Este pacote é seguido com a miríade das verificações e dos processos que estão feitos sobre enquanto passam com o Firewall e projétil luminoso do pacote nota o resultado. Simule o host interno que sai a um host no Internet. O comando abaixo instrui o Firewall a:

Simule um pacote de TCP que vem na interface interna do endereço IP 192.168.0.125 na porta de origem 12345 destinada a um endereço IP de Um ou Mais Servidores Cisco ICM NT de 203.0.113.1 na porta 80

ciscoasa# packet-tracer input inside tcp 192.168.0.125 12345 203.0.113.1 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:Additional Information:
in 0.0.0.0 0.0.0.0 outsidePhase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
object network inside-subnet
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 192.168.0.125/12345 to 198.51.100.100/12345

Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 1, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

O resultado final é que o tráfego está permitido que significa que passou todo o NAT e ACL verifica dentro a configuração e esteve mandado a interface de saída, fora. Note que o pacote esteve traduzido na fase 3 e os detalhes dessa fase mostram o que a regra é batida. O host 192.168.0.125 é traduzido dinamicamente a 198.51.100.100 conforme a configuração.

Agora, execute-o para uma conexão do Internet ao web server. Recorde, anfitriões no Internet alcançará o web server conectando a 192.51.100.101 na interface externa. Além disso, este comando seguinte traduz a:

Simule um pacote de TCP que vem na interface externa do endereço IP 192.0.2.123 na porta de origem 12345 destinada a um endereço IP de Um ou Mais Servidores Cisco ICM NT de 198.51.100.101 na porta 80

ciscoasa# packet-tracer input outside tcp 192.0.2.123 12345 98.51.100.101 80

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network webserver
nat (dmz,outside) static webserver-external-ip service tcp www www
Additional Information:
NAT divert to egress interface dmz
Untranslate 98.51.100.101/80 to 192.168.1.100/80

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group outside_acl in interface outside
access-list outside_acl extended permit tcp any object webserver eq www
Additional Information:

Phase: 3
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 5
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
object network webserver
nat (dmz,outside) static webserver-external-ip service tcp www www
Additional Information:

Phase: 6
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 3, packet dispatched to next module

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: dmz
output-status: up
output-line-status: up
Action: allow

Outra vez o resultado é que o pacote está permitido. Os ACL verificam para fora, os olhares da configuração muito bem, e os usuários no Internet (fora) devem poder alcançar esse web server usando o IP externo.

Verificar

Os procedimentos de verificação são incluídos em etapa 4 - Configuração de teste com característica do projétil luminoso do pacote.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Conclusão

A configuração de um ASA para fazer o NAT básico não é aquela desanimaar de uma tarefa. O exemplo neste documento pode ser adaptado a sua encenação específica mudando os endereços IP de Um ou Mais Servidores Cisco ICM NT e as portas usados nos exemplos de configuração acima. A configuração final ASA para este, quando combinado, olha similar a isto para um ASA 5510:

ASA Version 9.1(1)
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 198.51.100.100 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Ethernet0/2
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
object network inside-subnet
subnet 192.168.0.0 255.255.255.0
object network dmz-subnet
subnet 192.168.1.0 255.255.255.0
object network webserver
host 192.168.1.100
object network webserver-external-ip
host 198.51.100.101
object network dns-server
host 192.168.0.53

!
access-list outside_acl extended permit tcp any object webserver eq www
access-list dmz_acl extended permit udp any object dns-server eq domain
access-list dmz_acl extended deny ip any object inside-subnet
access-list dmz_acl extended permit ip any any
!
object network inside-subnet
nat (inside,outside) dynamic interface
object network dmz-subnet
nat (dmz,outside) dynamic interface
object network webserver
nat (dmz,outside) static webserver-external-ip service tcp www www
access-group outside_acl in interface outside
access-group dmz_acl in interface dmz
!
route outside 0.0.0.0 0.0.0.0 198.51.100.1 1

Em um ASA 5505, por exemplo, e nas relações são conectados como mostrado acima (parte externa conectada ao Ethernet0/0, dentro do conectado a Ethernet0/1 e ao dmz conectado a Ethernet0/2):

ASA Version 9.1(1)
!
interface Ethernet0/0
description Connected to Outside Segment
switchport access vlan 2
!
interface Ethernet0/1
description Connected to Inside Segment
switchport access vlan 1
!
interface Ethernet0/2
description Connected to DMZ Segment
switchport access vlan 3
!
interface Vlan2
nameif outside
security-level 0
ip address 198.51.100.100 255.255.255.0
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Vlan3
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
object network inside-subnet
subnet 192.168.0.0 255.255.255.0
object network dmz-subnet
subnet 192.168.1.0 255.255.255.0
object network webserver
host 192.168.1.100
object network webserver-external-ip
host 198.51.100.101
object network dns-server
host 192.168.0.53



!
access-list outside_acl extended permit tcp any object webserver eq www
access-list dmz_acl extended permit udp any object dns-server eq domain
access-list dmz_acl extended deny ip any object inside-subnet
access-list dmz_acl extended permit ip any any
!
object network inside-subnet
nat (inside,outside) dynamic interface
object network dmz-subnet
nat (dmz,outside) dynamic interface
object network webserver
nat (dmz,outside) static webserver-external-ip service tcp www www
access-group outside_acl in interface outside
access-group dmz_acl in interface dmz
!
route outside 0.0.0.0 0.0.0.0 198.51.100.1 1

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 115904