安全 : Cisco PIX 500 系列安全设备

PIX/ASA:具有单个内部网络的PIX防火墙故障排除和配置

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


交互:本文档对您的 Cisco 设备进行自定义分析。


目录


简介

此示例配置演示如何配置安全设备,以便将公司网络与 Internet 分离。

先决条件

要求

内部网络具有 Internet 用户可以访问的 Web 服务器、邮件服务器和 FTP 服务器。外部用户对内部网络中主机的所有其它访问将被拒绝。

  • Web 服务器的实际地址 - 192.168.1.4;Internet 地址 10.1.1.3

  • 邮件服务器的实际地址 - 192.168.1.15;Internet 地址 10.1.1.4

  • FTP 服务器的实际地址 - 192.168.1.10;Internet 地址 10.1.1.5

允许内部网络的所有用户对 Internet 进行无限制的访问。允许内部用户对 Internet 上的设备执行 ping 操作,但是不允许 Internet 用户对内部设备执行 ping 操作。

此配置中引用的公司从他们的 ISP (10.1.1.x) 处购买了 A 类网络。.1 和 .2 地址分别保留用于 PIX 的外部路由器和外部接口。地址 .3 - .5 用于 Internet 用户可以访问的内部服务器。地址 .6 - .14 保留供外部用户可访问的服务器将来使用。

在这个示例中,PIX 防火墙有四个网络接口卡,但只有其中的两个处于使用状态。PIX 设置为向 IP 地址为 192.168.1.220 的内部 syslog 服务器(网络图中未显示)发送 syslog。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco PIX 防火墙 535

  • Cisco PIX 防火墙软件版本 6.x 及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

配置也可用于 Cisco 5500 系列自适应安全设备,这些设备运行版本 7.x 及更高版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

/image/gif/paws/13825/single-net-1.gif

注意:此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用的 RFC 1918 <http://www.ietf.org/rfc/rfc1918.txt?number=1918> 地址。

PIX 6.x 配置

注意: 非默认命令以粗体显示。

PIX
Building configuration... 
: Saved 
: 
PIX Version 6.3(3) 
nameif gb-ethernet0 outside security0 
nameif gb-ethernet1 inside security100 
nameif ethernet0 intf2 security10 
nameif ethernet1 intf3 security15 
enable password 8Ry2YjIyt7RRXU24 encrypted 
passwd 2KFQnbNIdI.2KYOU encrypted 
hostname pixfirewall 


!--- Output Suppressed




!--- Create an access list to allow pings out 
!--- and return packets back in. 

access-list 100 permit icmp any any echo-reply  
access-list 100 permit icmp any any time-exceeded  
access-list 100 permit icmp any any unreachable  


!--- Allows anyone on the Internet to connect to 
!--- the web, mail, and FTP servers. 

access-list 100 permit tcp any host 10.1.1.3 eq www  
access-list 100 permit tcp any host 10.1.1.4 eq smtp  
access-list 100 permit tcp any host 10.1.1.5 eq ftp 
pager lines 24 


!--- Enable logging. 

logging on 
no logging timestamp 
no logging standby 
no logging console 
no logging monitor 


!--- Enable error and more severe syslog messages 
!--- to be saved to the local buffer. 

logging buffered errors 


!--- Send notification and more severe syslog messages
!--- to the syslog server. 

logging trap notifications 
no logging history 
logging facility 20 
logging queue 512 


!--- Send syslog messages to a syslog server 
!--- on the inside interface. 

logging host inside 192.168.1.220 


!--- All interfaces are shutdown by default. 

interface gb-ethernet0 1000auto 
interface gb-ethernet1 1000auto 
interface ethernet0 auto shutdown 
interface ethernet1 auto shutdown 
mtu outside 1500 
mtu inside 1500 
mtu intf2 1500 
mtu intf3 1500 
ip address outside 10.1.1.2 255.255.255.0 
ip address inside 192.168.1.1 255.255.255.0 
ip address intf2 127.0.0.1 255.255.255.255 
ip address intf3 127.0.0.1 255.255.255.255 
ip audit info action alarm 
ip audit attack action alarm 
no failover 
failover timeout 0:00:00 
failover poll 15 
failover ip address outside 0.0.0.0 
failover ip address inside 0.0.0.0 
failover ip address intf2 0.0.0.0 
failover ip address intf3 0.0.0.0 
arp timeout 14400 


!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.

global (outside) 1 10.1.1.15-10.1.1.253 


!--- Define a Port Address Translation (PAT) address that 
!--- is used once the NAT pool is exhausted.

global (outside) 1 10.1.1.254 


!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.

nat (inside) 1 0.0.0.0 0.0.0.0 0 0 


!--- Define a static translation for the internal 
!--- web server to be accessible from the Internet.

static (inside,outside) 10.1.1.3 192.168.1.4 
   netmask 255.255.255.255 0 0 


!--- Define a static translation for the internal 
!--- mail server to be accessible from the Internet.

static (inside,outside) 10.1.1.4 192.168.1.15 
   netmask 255.255.255.255 0 0 


!--- Define a static translation for the internal 
!--- FTP server to be accessible from the Internet.

static (inside,outside) 10.1.1.5 192.168.1.10 
   netmask 255.255.255.255 0 0 


!--- Apply access list 100 to the outside interface.

access-group 100 in interface outside 


!--- Define a default route to the ISP router.

route outside 0.0.0.0 0.0.0.0 10.1.1.1 1 


!--- Output Suppressed




!--- Allow the host 192.168.1.254 to be able to 
!--- Telnet to the inside of the PIX. 

telnet 192.168.1.254 255.255.255.255 inside 
: end 
[OK] 


!--- Output Suppressed

配置 PIX/ASA 7.x 及更高版本

注意: 非默认命令以粗体显示。

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.1.1.2 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!


!--- Output Suppressed



!--- Create an access list to allow pings out 
!--- and return packets back in.


access-list 100 extended permit icmp any any echo-reply
access-list 100 extended permit icmp any any time-exceeded
access-list 100 extended permit icmp any any unreachable



!--- Allows anyone on the Internet to connect to 
!--- the web, mail, and FTP servers. 


access-list 100 extended permit tcp any host 10.1.1.3 eq www
access-list 100 extended permit tcp any host 10.1.1.4 eq smtp
access-list 100 extended permit tcp any host 10.1.1.5 eq ftp
pager lines 24


!--- Enable logging.


logging enable



!--- Enable error and more severe syslog messages 
!--- to be saved to the local buffer. 


logging buffered errors



!--- Send notification and more severe syslog messages
!--- to the syslog server. 


logging trap notifications



!--- Send syslog messages to a syslog server 
!--- on the inside interface. 



logging host inside 192.168.1.220

mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400



!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.


global (outside) 1 10.1.1.15-10.1.1.253



!--- Define a Port Address Translation (PAT) address that 
!--- is used once the NAT pool is exhausted.


global (outside) 1 10.1.1.254



!--- !--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0



!--- Define a static translation for the internal 
!--- web server to be accessible from the Internet.


static (inside,outside) 10.1.1.3 192.168.1.4 netmask 255.255.255.255



!--- Define a static translation for the internal 
!--- mail server to be accessible from the Internet.


static (inside,outside) 10.1.1.4 192.168.1.15 netmask 255.255.255.255



!--- Define a static translation for the internal 
!--- FTP server to be accessible from the Internet.


static (inside,outside) 10.1.1.5 192.168.1.10 netmask 255.255.255.255



!--- Apply access list 100 to the outside interface.


access-group 100 in interface outside



!--- !--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.1.1.1 1


!--- Output Suppressed



!--- Allow the host 192.168.1.254 to be able to 
!--- Telnet to the inside of the PIX. 


telnet 192.168.1.254 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
: end


!--- Output Suppressed

注意:有关 PIX/ASA 上的 NAT 和 PAT 配置的详细信息,请参阅 PIX/ASA 7.x NAT 和 PAT 语句

有关 PIX/ASA 上访问列表的配置详细信息,请参阅 PIX/ASA 7.x:使用 nat、global、static 和 access-list 命令进行端口重定向(转发)

验证

当前没有可用于此配置的验证过程。

故障排除

本部分提供的信息可用于对配置进行故障排除。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

  • show interface — 显示接口统计信息。

  • show traffic — 显示通过 PIX 的流量。

  • show xlate — 显示通过 PIX 建立的当前转换。

  • show conn — 显示通过 PIX 的当前连接。

    注意:有关如何排除 PIX/ASA 故障的详细信息,请参阅排除通过 PIX 和 ASA 的连接故障

故障排除命令

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

  • debug icmp trace — 显示发送到 PIX 或通过 PIX 的所有 Internet 控制消息协议 (ICMP) 回应请求和应答。

常见问题故障排除

如果您得到来自 Cisco 设备的 write terminal 命令输出,可以使用命令输出解释程序工具仅限注册用户)显示潜在问题和解决方法。

  • NAT 池(和 PAT 地址 — 接口 PAT 除外)必须使用网络上任何其它设备未使用的 IP 地址。这包括静态地址(用于转换)或接口上使用的地址。

    如果您有 PIX 软件版本 5.2 或更高版本,PIX 的外部接口地址可以用于 PAT。这在您只有一个可用外部地址或需要保留 IP 地址空间时十分有用。

    若要在外部接口地址上启用 PAT,请从配置中删除全局 NAT 池和 PAT 地址,并使用外部接口 IP 地址作为 PAT 地址。

    ip address outside 10.1.1.2
    nat (inside) 1 0 0 global (outside) 1 interface

    注意: 一些多媒体应用程序可能与 PAT 提供的端口映射冲突。PAT 不适用于 established 命令。PAT 适用于域名系统 (DNS)、FTP 和被动 FTP、HTTP、电子邮件、远程过程调用 (RPC)、rshell、Telnet、URL 过滤和出站 traceroute。某些 PIX 版本支持若干带有 PAT 的 H.323 版本。版本 6.2.2 中添加了带有 PAT 支持的 H.323v2,版本 6.3 中添加了带有 PAT 支持的 H.323v3 和 v4。

  • 您必须有访问列表(或管道),才允许访问您的服务器。默认情况下,不允许入站访问。

    注意: conduit 命令已被 access-list 命令取代。Cisco 建议您将配置从 conduit 命令中迁移出来,以保持将来的兼容性。

  • 任何 访问列表之后,都有一个隐式 deny ip any any 命令。

  • 如果 DNS 服务器位于 PIX 的外部,而内部用户希望用他们的 DNS 名访问内部服务器,则必须使用 alias 命令修改来自 DNS 服务器的 DNS 响应。

  • 如果在检查这些常见问题后仍然有问题,请完成下列步骤:

    1. 验证两个设备之间是否具有 IP 连接。为此,请使用控制台连接到 PIX 或者通过 Telnet 连接到 PIX。发出 terminal monitor 和 debug icmp trace 命令。

    2. 如果内部用户在访问 Internet 上的服务器时出现问题,请对您尝试访问的服务器执行 ping 操作,并查看是否能获得响应。如果您没有收到响应,请查看调试语句,并确保您看到 ICMP 回应请求通过 PIX 发送出去。如果看不到回应请求,请检查源计算机的默认网关。通常,它是 PIX。

      另外,可以在客户端上使用 nslookup,并确保它能够解析您尝试访问的服务器的 IP 地址。

    3. 当具有 IP 连接时,请关闭 debug icmp trace,并打开 logging console debug(如果连接到控制台)或 logging monitor debug(如果通过 Telnet 连接到 PIX)。这会导致屏幕上显示 syslog 消息。尝试连接到服务器,观察 syslog,以查看是否有任何流量被拒绝。如果有,syslog 可帮助您了解其发生原因。您还可以查看 syslog 消息的说明。

    4. 如果外部用户无法访问您的内部服务器:

      1. 验证 static 命令的语法。

      2. 再次检查您是否已通过 access-list 命令语句允许进行访问。

      3. 再次检查您是否使用 access-group 命令应用了访问列表。

    5. 如果您是注册用户并且已登录,则可以使用 TAC 案例收集仅限注册用户)来排除 PIX 问题。

建立 TAC 服务请求时应收集的信息

如果您在按照本文档中的故障排除步骤操作后还需要帮助,并且希望通过 Cisco TAC 开立服务请求,请确保包括此信息,以排除 PIX 防火墙故障。
  • 问题说明和相关拓扑详细信息
  • 在开立服务请求之前执行的故障排除
  • show tech-support 命令的输出
  • 运行 logging buffered debugging 命令show log 命令的输出,或演示问题的控制台捕获信息(如果可用)
请将收集到的数据以未压缩的纯文本格式 (.txt) 附加到服务请求中。通过使用服务请求查询工具仅限注册用户)上载信息,可以将信息附加到服务请求中。如果无法访问服务请求查询工具,可以将信息以电子邮件附件的形式发送到 attach@cisco.com,并在邮件的主题行中注明服务请求号。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 13825