Cisco Interfaces and Modules : Módulos da Cisco Services

Exemplo de Configuração Básica do FWSM

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (5 Setembro 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Informações de Apoio
Configuração
      Diagrama de Rede
      Configurações
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como ajustar a configuração básica do Firewall Services Module (FWSM) instalado nos Cisco 6500 Series Switches ou Cisco 7600 Series Routers. Isso inclui a configuração do endereço IP, do roteamento padrão, do NAT estático e dinâmico, de instruções de listas de controle de acesso (ACLs) para permitir o tráfego desejado ou bloquear o tráfego indesejado, de servidores de aplicativos como o Websense para a inspeção do tráfego da Internet da rede interna e do Webserver para os usuários da Internet.

Nota: Em um cenário de alta disponibilidade do FWSM, o failover poderá sincronizar com êxito somente quando as chaves de licença forem exatamente as mesmas entre os módulos. Assim, o failover não pode funcionar entre os FWSMs com licenças diferentes.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento baseiam-se nestas versões de software e hardware:

1 O FWSM não oferece suporte ao Supervisor 1 ou 1A.

2Quando o Cat OS é usado no Supervisor, é possível usar qualquer um desses Cisco IOS Software Releases no MSFC. Ao usar o Cisco IOS Software no Supervisor, você deverá usar a mesma release no MSFC.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser usada nos Cisco 7600 Series Routers com os seguintes componentes necessários:

  • Supervisor Engine com Cisco IOS Software. Consulte a Tabela para obter informações sobre as releases do Cisco IOS Software com suporte.

  • MSFC 2 com Cisco IOS Software. Consulte a Tabela para obter informações sobre as releases do Cisco IOS Software com suporte.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O FWSM é um módulo de firewall stateful de alto desempenho e pouco consumo de espaço que é instalado nos Catalyst 6500 Series Switches e nos Cisco 7600 Series Routers.

Os firewalls protegem as redes internas contra acesso não autorizado pelos usuários de uma rede externa. O firewall também pode proteger redes internas umas das outras. Por exemplo, para separar uma rede do departamento de recursos humanos de uma rede de usuários. Se houver recursos de rede que precisam ser disponibilizados para um usuário externo, como um servidor Web ou FTP, você poderá colocar esses recursos em uma rede separada por trás do firewall, a zona desmilitarizada (DMZ). O firewall possibilita acesso limitado à DMZ. Mas, como a DMZ inclui somente os servidores públicos, um eventual ataque a ela afetará somente esses servidores, mas não as outras redes internas. Você também pode controlar quando os usuários internos acessam as redes externas (por exemplo, a Internet) ao permitir o tráfego somente de alguns endereços, solicitar autenticação ou autorização ou coordenar com um servidor externo de filtragem de URLs.

O FWSM possui muitos recursos avançados, como contextos de segurança múltiplos semelhantes a firewalls virtualizados, operação de firewall transparente (Camada 2) ou roteada (Camada 3), centenas de interfaces e muito mais recursos.

Para efeito de discussão de redes conectadas a um firewall, a rede externa está na frente do firewall, a rede interna está protegida por trás do firewall e a DMZ, apesar de estar por trás do firewall, permite acesso limitado aos usuários externos. Como o FWSM permite configurar muitas interfaces com políticas de segurança variadas, o que inclui muitas interfaces internas, muitas DMZs e também muitas interfaces externas, se desejado, esses termos são usados somente de forma geral.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

fwsm-basic-config.gif

Nota: Os esquemas de endereçamento utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços da RFC 1918 usados em um ambiente de laboratório.

Configurações

Este documento utiliza as seguintes configurações:

Configuração do Catalyst 6500 Series Switch

  1. O FWSM pode ser instalado nos Catalyst 6500 Series Switches ou nos Cisco 7600 Series Routers. A configuração de ambas as séries é idêntica e a referência às séries é feita de forma genérica neste documento como switch.

    Nota: É necessário configurar o switch corretamente antes de configurar o FWSM.

  2. Atribuir VLANs ao Firewall Services Module — Esta seção descreve como atribuir VLANs ao FWSM. O FWSM não inclui nenhuma interface física externa. Em vez disso, ele usa interfaces de VLAN. Atribuir VLANs ao FWSM é semelhante a atribuir uma VLAN a uma porta do switch. O FWSM inclui uma interface interna para o Switch Fabric Module, se houver, ou para o barramento compartilhado.

    Nota: Consulte a seção Configurando VLANs do Guia de Configuração do Software dos Catalyst 6500 Switches para obter mais informações sobre como criar VLANs e atribuí-la a portas do switch.

    1. Diretrizes da VLAN:

      1. É possível usar VLANs privadas com o FWSM. Atribua a VLAN principal ao FWSM. O FWSM lida automaticamente com o tráfego da VLAN secundária.

      2. Não é possível usar VLANs reservadas.

      3. Não é possível usar a VLAN 1.

      4. Caso utilize o failover do FWSM no mesmo chassi do switch, não atribua a(s) VLAN(s) que reservou para as comunicações de failover e stateful a uma porta do switch. No entanto, se você usar o failover entre chassis, será necessário incluir as VLANs na porta do tronco entre os chassis.

      5. Se você não adicionar as VLANs ao switch antes de atribuí-las ao FWSM, as VLANs serão armazenadas no banco de dados do Supervisor Engine e enviadas para o FWSM assim que elas forem adicionadas ao switch.

      6. Atribua as VLANs ao FWSM antes de atribuí-las ao MSFC.

        As VLANs que não atenderem a esta condição serão descartadas do intervalo de VLANs que você tenta atribuir no FWSM.

    2. Atribua VLANs ao FWSM no Cisco IOS Software:

      No Cisco IOS Software, crie até 16 grupos de VLAN de firewall e atribua-os ao FWSM. Por exemplo, você pode atribuir todas as VLANs a um grupo ou criar um grupo interno e outro externo ou ainda criar um grupo para cada cliente. Cada grupo pode conter um número ilimitado de VLANs.

      Você não pode atribuir a mesma VLAN a vários grupos de firewall. No entanto, é possível atribuir vários grupos de firewall a um FWSM e atribuir um único grupo de firewall a vários FWSMs. As VLANs que você deseja atribuir a vários FWSMs, por exemplo, podem residir em um grupo separado das VLANs que são exclusivas de cada FWSM.

      1. Execute os passos para atribuir VLANs ao FWSM.

        Router(config)#firewall vlan-group firewall_group vlan_range
        

        vlan_range pode representar uma ou mais VLANs, por exemplo, 2 a 1000 e 1025 a 4094, identificadas por um número único (n) como 5, 10, 15 ou por um intervalo (n-x) como 5-10, 10-20.

        Nota: As portas roteadas e as portas de WAN consomem VLANs internas. Assim, é possível que as VLANs no intervalo 1020-1100 já estejam em uso.

        Exemplo:

        firewall vlan-group 1 10,15,20,25
        
      2. Execute os passos para atribuir os grupos de firewall ao FWSM.

        Router(config)#firewall module module_number vlan-group firewall_group
        

        firewall_group representa um ou mais números de grupo na forma de um número único (n) como 5 ou de um intervalo como 5-10.

        Exemplo:

        firewall module 1 vlan-group 1
        
    3. Atribua VLANs ao FWSM no Catalyst Operating System Software — Atribua uma lista de VLANs ao FWSM no Cat OS Software. Se desejar, você poderá atribuir a mesma VLAN a vários FWSMs. A lista pode conter um número ilimitado de VLANs.

      Execute os passos para atribuir VLANs ao FWSM.

      Console> (enable)set vlan vlan_list firewall-vlan mod_num
      

      vlan_list pode representar uma ou mais VLANs, por exemplo, 2 a 1000 e 1025 a 4094, identificadas por um número único (n) como 5, 10, 15 ou por um intervalo (n-x) como 5-10, 10-20.

  3. Adicione interfaces virtuais comutadas ao MSFC — Uma VLAN definida no MSFC é chamada de interface virtual comutada. Se você atribuir a VLAN usada para a interface virtual comutada ao FWSM, o MSFC fará o roteamento entre o FWSM e as outras VLANs da Camada 3.

    Por razões de segurança, somente uma interface virtual comutada pode existir entre o MSFC e o FWSM, por padrão. Por exemplo, se o sistema for configurado incorretamente com várias interfaces virtuais comutadas, você poderá permitir acidentalmente que o tráfego desvie do FWSM se atribuir as VLANs internas e externas ao MSFC.

    Execute os passos para configurar a interface virtual comutada.

    Router(config)#interface vlan vlan_number
    Router(config-if)#ip address address mask
    

    Exemplo:

    interface vlan 20
    ip address 192.168.1.1 255.255.255.0
    

Configuração do Catalyst 6500 Series Switch


!--- Saída suprimida.

firewall vlan-group 1 10,15,20,25
firewall module 1 vlan-group 1

interface vlan 20
ip address 192.168.1.1 255.255.255.0

!--- Saída suprimida.

Nota: Inicie uma sessão no FWSM a partir do switch usando o comando apropriado para o sistema operacional do seu switch:

  • Cisco IOS Software:

    Router#session slot <number> processor 1
    
  • Cat OS Software:

    Console> (enable) session module_number
    

Configuração do FWSM

  1. Configure as interfaces para o FWSM — Antes que seja possível permitir o tráfego através do FWSM, é necessário configurar um nome de interface e um endereço IP. Você também deveria alterar o nível de segurança padrão (0). Se você nomear uma interface inside e não definir o nível de segurança de forma explícita, o FWSM definirá o nível de segurança como 100.

    Nota: Cada interface deve possuir um nível de segurança de 0 (mais baixo) a 100 (mais alto). Por exemplo, você deve atribuir a sua rede mais segura, como a rede de hosts interna, ao nível 100. Enquanto a rede externa conectada à Internet pode ser do nível 0, outras redes, como DMZs, podem ser atribuídas a posições intermediárias.

    É possível adicionar qualquer ID de VLAN à configuração, mas somente VLANs, por exemplo, 10, 15, 20 e 25 atribuídas ao FWSM pelo switch podem transmitir tráfego. Use o comando show vlan para exibir todas as VLANs atribuídas ao FWSM.

    interface vlan 20
        nameif outside
        security-level 0
        ip address 192.168.1.2 255.255.255.0
    interface vlan 10
        nameif inside
        security-level 100
        ip address 10.1.1.1 255.255.255.0
    interface vlan 15
        nameif dmz1
        security-level 60
        ip address 192.168.2.1 255.255.255.224
    interface vlan 25
        nameif dmz2
        security-level 50
        ip address 192.168.3.1 255.255.255.224
    

    Dica: No comando nameif <name>, name é uma seqüência com até 48 caracteres que não diferencia maiúsculas de minúsculas. Você poderá alterar o nome se inserir novamente este comando com um novo valor. Não use a forma no, porque todos os comandos que fizerem referência àquele nome serão excluídos.

  2. Configure a rota padrão:

    route outside 0.0.0.0 0.0.0.0 192.168.1.1
    

    Uma rota padrão identifica o endereço IP do gateway (192.168.1.1) para o qual o FWSM envia todos os pacotes IP para os quais não possui uma rota estática ou aprendida. Uma rota padrão nada mais é do que uma rota estática com 0.0.0.0/0 como o endereço IP de destino. As rotas que identificam um destino específico têm precedência sobre a rota padrão.

  3. O NAT dinâmico converte um grupo de endereços reais (10.1.1.0/24) em um conjunto de endereços mapeados (192.168.1.20-192.168.1.50) roteáveis na rede de destino. O conjunto mapeado pode incluir menos endereços que o grupo real. Quando um host cujo endereço você deseja converter acessa a rede de destino, o FWSM atribui a ele um endereço IP do conjunto mapeado. A conversão é adicionada somente quando o host real inicia a conexão. A conversão acontece somente durante a conexão. O usuário não mantém o mesmo endereço IP após o timeout da conversão expirar.

    nat (inside) 1 10.1.1.0 255.255.255.0
    global (outside) 1 192.168.1.20-192.168.1.50 netmask 255.255.255.0
    access-list Internet extended deny ip any 192.168.2.0 255.255.255.0
    access-list Internet extended permit ip any any
    access-group Internet in interface inside
    

    Você deve criar uma ACL para impedir que o tráfego da rede interna 10.1.1.0/24 acesse a rede DMZ1 (192.168.2.0) e para permitir todos os outros tipos de tráfego para a Internet através da aplicação da ACL Internet à interface interna como direção de entrada para o tráfego recebido.

  4. O NAT estático cria uma conversão fixa dos endereços reais nos endereços mapeados. Com o NAT e o PAT dinâmicos, cada host usa um endereço ou porta diferente para cada conversão subseqüente. Como o endereço mapeado é o mesmo para cada conexão consecutiva com o NAT estático, e há uma regra de conversão persistente, o NAT estático permite que os hosts na rede de destino iniciem o envio de tráfego para um host convertido, desde que haja uma lista de acesso que conceda permissão para tal.

    A diferença principal entre o NAT dinâmico e um intervalo de endereços para o NAT estático é que o NAT estático permite que um host remoto inicie uma conexão para um host convertido, desde que haja uma lista de acesso que permita, enquanto que o NAT dinâmico não. Você também precisa do mesmo número de endereços mapeados e endereços reais com o NAT estático.

    static (dmz1,outside) 192.168.1.6 192.168.2.2 netmask 255.255.255.255
    static (dmz2,outside) 192.168.1.10 192.168.3.2 netmask 255.255.255.255
    access-list outside extended permit tcp any host 192.168.1.10 eq http
    access-list outside extended permit tcp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-data
    access-list outside extended permit udp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-status
    access-group outside in interface outside
    

    Estas são as duas instruções de NAT estático mostradas. A primeira destina-se a converter o IP real 192.168.2.2 na interface interna para o IP mapeado 192.168.1.6 na sub-rede externa, desde que a ACL permita o tráfego da origem 192.168.1.30 para o IP mapeado 192.168.1.6. O objetivo é acessar o servidor Websense na rede DMZ1. Da mesma forma, a segunda destina-se a converter o IP real 192.168.3.2 na interface interna para o IP mapeado 192.168.1.10 na sub-rede externa, desde que a ACL permita o tráfego da Internet para o IP mapeado 192.168.1.10. O objetivo é acessar o servidor Web na rede DMZ2.

  5. O comando url-server determina o servidor que executa o aplicativo de filtragem de URL do Websense. O limite é 16 servidores de URL no modo de contexto simples e 4 servidores de URL no modo múltiplo. No entanto, você pode usar somente um aplicativo de cada vez, N2H2 ou Websense. Adicionalmente, se você alterar a sua configuração no security appliance, a configuração não será atualizada no servidor de aplicativos. Isso deverá ser feito separadamente de acordo com as instruções do fornecedor.

    O comando url-server deverá ser configurado antes de você executar o comando filter para HTTPS e FTP. Se todos os servidores de URL forem removidos da lista de servidores, todos os comandos de filtragem relacionados à filtragem de URLs também serão removidos.

    Após designar o servidor, ative o serviço de filtragem de URLs com o comando filter url.

    url-server (dmz1) vendor websense host 192.168.2.2 timeout 30 protocol TCP version 1 connections 5
    
    

    O comando filter url permite impedir o acesso de usuários a URLs da World Wide Web URLS especificados com o aplicativo de filtragem Websense.

    filter url http 10.1.1.0 255.255.255.0 0 0
    

Configuração do FWSM


!--- Saída suprimida.

interface vlan 20
    nameif outside
    security-level 0
    ip address 192.168.1.2 255.255.255.0
interface vlan 10
    nameif inside
    security-level 100
    ip address 10.1.1.1 255.255.255.0
interface vlan 15
    nameif dmz1
    security-level 60
    ip address 192.168.2.1 255.255.255.224
interface vlan 25
    nameif dmz2
    security-level 50
    ip address 192.168.3.1 255.255.255.224
passwd fl0wer
enable password treeh0u$e
route outside 0 0 192.168.1.1 1
url-server (dmz1) vendor websense host 192.168.2.2 timeout 30 protocol TCP version 1 connections 5
url-cache dst 128
filter url http 10.1.1.0 255.255.255.0 0 0

!--- Quando os usuários internos acessam um servidor HTTP, o FWSM consulta um
!--- servidor Websense para determinar se o tráfego é permitido.

nat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 192.168.1.20-192.168.1.50 netmask 255.255.255.0

!--- NAT dinâmico para usuários internos que acessam a Internet.

static (dmz1,outside) 192.168.1.6 192.168.2.2 netmask 255.255.255.255

!--- Um host na sub-rede 192.168.1.0/24 necessita de acesso ao servidor Websense
!--- para tráfego de gerenciamento que usa o pcAnywhere. Assim, o servidor Websense
!--- usa uma conversão estática para seu endereço privado.


static (dmz2,outside) 192.168.1.10 192.168.3.2 netmask 255.255.255.255

!--- Um host da Internet solicita acesso ao servidor Web. Assim, o servidor Web
!--- usa uma conversão estática para seu endereço privado.


access-list Internet extended deny ip any 192.168.2.0 255.255.255.0
access-list Internet extended permit ip any any
access-group Internet in interface inside

!--- Permite que todos os hosts internos acessem o meio externo para qualquer tráfego IP,
!--- mas impede que eles acessem a dmz1.



access-list outside extended permit tcp any host 192.168.1.10 eq http

!--- Permite o tráfego da Internet com o endereço IP de destino
!--- 192.168.1.10 e a porta de destino 80.


access-list outside extended permit tcp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-data
access-list outside extended permit udp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-status


!--- Permite que o host de gerenciamento 192.168.1.30 use o
!--- pcAnywhere no servidor Websense.

access-group outside in interface outside


access-list WEBSENSE extended permit tcp host 192.168.2.2 any eq http
access-group WEBSENSE in interface dmz1

!--- O servidor Websense precisa acessar o servidor de atualização
!--- do Websense no meio externo.
!--- Saída suprimida.

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  1. Consulte as informações do módulo aplicáveis ao seu sistema operacional para verificar se o switch reconheceu o FWSM e o colocou online:

    • Cisco IOS Software:

      Router#show module
      Mod Ports Card Type                              Model              Serial No.
      --- ----- -------------------------------------- ------------------ -----------
        1    2  Catalyst 6000 supervisor 2 (Active)    WS-X6K-SUP2-2GE    SAD0444099Y
        2   48  48 port 10/100 mb RJ-45 ethernet       WS-X6248-RJ-45     SAD03475619
        3    2  Intrusion Detection System             WS-X6381-IDS       SAD04250KV5
       4    6  Firewall Module                        WS-SVC-FWM-1       SAD062302U4
      
    • Cat OS Software:

      Console>show module [mod-num]
      The following is sample output from the show module command:
      
      Console> show module
      Mod Slot Ports Module-Type               Model               Sub Status
      --- ---- ----- ------------------------- ------------------- --- ------
      1   1    2     1000BaseX Supervisor      WS-X6K-SUP1A-2GE    yes ok
      15  1    1     Multilayer Switch Feature WS-F6K-MSFC         no  ok
      4   4    2     Intrusion Detection Syste WS-X6381-IDS        no  ok
      5   5    6     Firewall Module           WS-SVC-FWM-1        no  ok
      6   6    8     1000BaseX Ethernet        WS-X6408-GBIC       no  ok
      

    Nota: O comando show module mostra seis portas para o FWSM. Essas são portas internas agrupadas como um EtherChannel.

  2. Router#show firewall vlan-group
    Group vlans
    ----- ------
       1 10,15,20
       51 70-85
       52 100
    
  3. Router#show firewall module
    Module Vlan-groups
      5    1,51
      8    1,52
    
  4. Insira o comando do seu sistema operacional para exibir a partição de inicialização atual:

    • Cisco IOS Software:

      Router#show boot device [mod_num]
      

      Exemplo:

      Router#show boot device
      [mod:1 ]:
      [mod:2 ]:
      [mod:3 ]:
      [mod:4 ]: cf:4
      [mod:5 ]: cf:4
      [mod:6 ]:
      [mod:7 ]: cf:4
      [mod:8 ]:
      [mod:9 ]:
      
    • Cat OS Software:

      Console> (enable) show boot device mod_num
      

      Exemplo:

      Console> (enable) show boot device 6
      Device BOOT variable = cf:5
      

Troubleshooting

Esta seção fornece informações que podem ser usadas para solucionar problemas da configuração.

  1. Definição da partição de inicialização padrão — Por padrão, o FWSM é inicializado da partição de aplicativos cf:4. No entanto, você pode optar por inicializar da partição de aplicativos cf:5 ou da partição de manutenção cf:1. Para alterar a partição de inicialização padrão, insira o comando para seu sistema operacional:

    • Cisco IOS Software:

      Router(config)#boot device module mod_num cf:n
      

      Onde n pode ser 1 (manutenção), 4 (aplicativo) ou 5 (aplicativo).

    • Cat OS Software:

      Console> (enable) set boot device cf:n mod_num
      

      Onde n pode ser 1 (manutenção), 4 (aplicativo) ou 5 (aplicativo).

  2. Redefinição do FWSM no Cisco IOS Software — Para redefinir o FWSM, insira o comando:

    Router#hw-module module mod_num reset [cf:n] [mem-test-full]
    

    O argumento cf:n é a partição, 1 (manutenção), 4 (aplicativo) ou 5 (aplicativo). Se você não especificar a partição, a partição padrão será usada. Em geral, cf:4.

    A opção mem-test-full executa um teste de memória completa, o qual demora aproximadamente seis minutos.

    Exemplo:

    Router#hw-mod module 9 reset
    Proceed with reload of module? [confirm] y
    % reset issued for module 9
    Router#
    00:26:55:%SNMP-5-MODULETRAP:Module 9 [Down] Trap
    00:26:55:SP:The PC in slot 8 is shutting down. Please wait ...
    

    No Cat OS Software:

    Console> (enable) reset mod_num [cf:n]
    

    Onde cf:n é a partição, 1 (manutenção), 4 (aplicativo) ou 5 (aplicativo). Se você não especificar a partição, a partição padrão será usada. Em geral, cf:4.

Nota: O NTP não pode ser configurado no FWSM porque suas configurações são obtidas do switch.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 98591