安全 : Cisco PIX 500 系列安全设备

PIX/ASA 7.x以上:DMZ 上的邮件 (SMTP) 服务器访问配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

此配置示例展示如何设置访问的PIX/ASA安全工具对在非敏感区域(DMZ)网络查找的mail/SMTP服务器。

请参阅 PIX/ASA 7.x 及更高版本:内部网络中邮件服务器访问的配置示例获得有关如何设置 PIX/ASA 安全设备以访问位于内部网络上的邮件/SMTP 服务器的说明。

请参阅 PIX/ASA 7.x 外部网络中邮件服务器访问的配置示例获得有关如何设置 PIX/ASA 安全设备以访问位于外部网络上的邮件/SMTP 服务器的说明。

请参阅 ASA 8.3及以上版本:在非军事区配置示例的邮件(SMTP)服务器访问关于在Cisco可适应安全工具(ASA)的相同配置的更多信息有版本8.3和以上的。

注意: 请参阅 Cisco Secure PIX 防火墙的 Cisco 文档获得有关如何设置 Microsoft Exchange 的详细信息。选择您的软件版本,然后转到配置指南并阅读有关配置 Microsoft Exchange 的章节。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • PIX 防火墙 535

  • PIX 防火墙软件 7.1(1) 版

    注意: PIX 500 系列 7.x/8.x 版运行 ASA 5500 7.x/8.x 版中看到的相同软件。本文档中的配置适用于这两种产品系列。

  • Cisco 2600 路由器

  • Cisco IOS�软件版本12.3.14T

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/69374-pix7x-mailserver-1.gif

注意: 此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用的 RFC 1918 地址。leavingcisco.com

PIX 配置

本文档使用以下配置:

PIX 配置
PIX Version 7.1(1) 
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 nameif BB
 security-level 0
 no ip address
!
interface Ethernet1
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet2
 no nameif
 no security-level
 no ip address
!
interface Ethernet3
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
interface Ethernet4
 nameif outside
 security-level 0
 ip address  192.168.200.225 255.255.255.224 
!
interface Ethernet5
 nameif dmz
 security-level 10
 ip address 172.16.31.1 255.255.255.0 
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system flash:/pix711.bin
ftp mode passive


!--- This access list allows hosts to access 
!--- IP address  192.168.200.227 for the 
!--- Simple Mail Transfer Protocol (SMTP) port.

 
access-list outside_int extended permit tcp any host  192.168.200.227 eq smtp 


!--- Allows outgoing SMTP connections.
!--- This access list allows host IP 172.16.31.10
!--- sourcing the SMTP port to access any host.


access-list dmz_int extended permit tcp host 172.16.31.10 any eq smtp

pager lines 24
mtu BB 1500
mtu inside 1500
mtu outside 1500
mtu dmz 1500  
no failover
no asdm history enable
arp timeout 14400
global (outside) 1  192.168.200.228-192.168.200.253 netmask 255.255.255.224
global (outside) 1  192.168.200.254
nat (inside) 1 10.1.1.0 255.255.255.0


!--- This network static does not use address translation. 
!--- Inside hosts appear on the DMZ with their own addresses.


static (inside,dmz) 10.1.1.0 10.1.1.0 netmask 255.255.255.0


!--- This network static uses address translation. 
!--- Hosts accessing the mail server from the outside 
!--- use the  192.168.200.227 address.


static (dmz,outside)  192.168.200.227 172.16.31.10 netmask 255.255.255.255
access-group outside_int in interface outside
access-group dmz_int in interface dmz
route outside 0.0.0.0 0.0.0.0  192.168.200.226 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!

!--- The inspect esmtp command (included in the map) allows  
!--- SMTP/ESMTP to inspect the application.


policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!

!--- The inspect esmtp command (included in the map) allows  
!--- SMTP/ESMTP to inspect the application.

service-policy global_policy global
Cryptochecksum:2653ce2c9446fb244b410c2161a63eda
: end
[OK]

ESMTP TLS 配置

注意: 如果对电子邮件通信使用传输层安全 (TLS) 加密,则 PIX 中的 ESMTP 检查功能(默认情况下启用)将丢弃数据包。要允许在启用了 TLS 功能的情况下使用电子邮件,请禁用 ESMTP 检查功能,如此输出所示。有关详细信息,请参阅 Cisco Bug ID CSCtn08326仅限注册用户).

pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit

验证

当前没有可用于此配置的验证过程。

故障排除

本部分提供的信息可用于对配置进行故障排除。

故障排除命令

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

  • debug icmp trace —显示从主机的互联网控制消息协议(ICMP)请求是否到达PIX。需要添加 access-list 命令,在您的配置中允许 ICMP,以便运行此 debug 命令。

    注意: 要使用此调试,请确保在 access-list outside_int 中允许 ICMP,如此输出所示:

    access-list outside_int extended permit tcp any host  192.168.200.227 eq smtp 
    access-list outside_int extended permit icmp any any 
  • logging buffer debugging - 显示已建立和拒绝的通过 PIX 到主机的连接。此信息存储在 PIX 日志缓冲区中,用 show log 命令即可看到输出。

有关如何设置日志记录的详细信息,请参阅设置 PIX Syslog

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 69374