安全 : Cisco PIX 500 系列安全设备

PIX/ASA:允许通过安全设备进行远程桌面协议连接的配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文档介绍如何通过 Cisco 安全设备实现远程桌面协议 (RDP) 连接。

RDP 是一种多信道协议,它允许用户连接到运行 Microsoft 终端服务的计算机。大多数版本的 Windows 和其他操作系统(例如 Linux、FreeBSD 和 Mac OS X)中都有客户端。默认情况下,服务器侦听 TCP 端口 3389。

在本配置示例中,将安全设备配置为允许 Internet 上的 RDP 客户端连接到内部接口上的 RDP 服务器 PC。安全设备执行地址转换,客户端使用映射的静态外部 IP 地址连接到主机。

先决条件

要求

本文档假定 Cisco PIX 防火墙运行和配置完全正常。并且进行了所有初始配置,主机应该能实现端到端连通。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 有软件版本的Cisco可适应安全工具(ASA) 5500系列安全工具8.2(1)

  • Cisco Adaptive Security Device Manager版本6.3(5)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

  • Cisco PIX 500系列有软件版本的7.x安全工具

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

在此部分,您提交以信息配置安全工具允许远程桌面协议(RDP)流量通过通过。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

/image/gif/paws/77869/pix-remote-desktop-conn-01.gif

注意: 此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用的 RFC 1918 地址。leavingcisco.com

配置

本部分显示安全设备配置。从主机20.1.1.10的RDP流量在互联网允许到在172.16.11.10的RDP服务器在端口3389侦听通过静态被映射的IP地址209.165.200.10的网络内部。

请执行以下步骤:

  • 配置静态 NAT 以便将在外部接口收到的 RDP 数据流重定向到内部主机。

  • 创建访问控制表(ACL)允许的RDP并且应用它对外部接口。

    注意: 因为 NAT 由安全设备执行,所以 ACL 必须允许访问 RDP 服务器的映射 IP 地址,而不是实际 IP 地址。

注意: 用于静态映射的 IP 地址 (192.168.1.5) 应该与外部接口 IP 地址处于同一子网中。请参阅 PIX/ASA 7.x NAT 和 PAT 语句静态 NAT 部分,以了解有关静态 NAT 映射的更多信息。

Ciscoasa
CiscoASA#show running-config
: Saved
:
ASA Version 8.2(1)
!
hostname CiscoASA
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
!
!--- Output suppressed

!
object-group service RDP tcp
 port-object eq 3389
!
!
!--- Output suppressed

!

!--- This access-list allows the RDP traffic sourced from 172.16.1.2
!--- to destination 192.168.1.5 with TCP port 3389.

access-list outside_access_in extended permit tcp host 20.1.1.10 host 209.165.200.10 object-group RDP




!--- This staic NAT statement redirects the traffic destined for  
!--- IP address 192.168.1.5 to host IP address 10.1.1.5. 

static (inside,outside) 209.165.200.10 172.16.11.10 netmask 255.255.255.255

!
!--- Output suppressed

access-group outside_access_in in interface outside
!

!--- Output is suppressed. 

注意: 在此ACL配置, “主机20.1.1.10”可以用“其中任一”替换到对RDP服务器的允许从的互联网。但是不建议 这样做,因为这样做可能会使 RDP 服务器遭受攻击。通常情况下,请将这些 ACL 条目设置得尽可能具体。

配置与ASDM

配置

完成这些步骤:

  1. 为了创建访问列表,选择Configuration>防火墙>Access规则和选择添加然后单击增加在下拉菜单的访问规则

    /image/gif/paws/77869/pix-remote-desktop-conn-02.gif

  2. 现在,请指定操作、来源和目的地。单击,详细信息按钮,为了选择目的地端口。

    /image/gif/paws/77869/pix-remote-desktop-conn-03.gif

  3. RDP的默认的端口号是3389。因为这不是可用的在可用的TCP端口,请单击添加并且选择下拉菜单的TCP服务组。通过此,您能根据需求组合定制的端口。

    /image/gif/paws/77869/pix-remote-desktop-conn-04.gif

  4. 现在,请指定一名称对于此服务组和录入在为端口/范围选项给的空白的端口号并且点击Add按钮为了做此服务作为服务组的组员。象这样,您能选择端口范围作为同一服务组的成员。单击 Ok

    /image/gif/paws/77869/pix-remote-desktop-conn-05.gif

  5. 它与其成员一起显示服务组。点击OK键为了恢复回到访问规则窗口。

    /image/gif/paws/77869/pix-remote-desktop-conn-06.gif

  6. 点击OK键为了完成访问控制列表配置。

    /image/gif/paws/77869/pix-remote-desktop-conn-07.gif

  7. access-list与其关联接口一起在Configuration>防火墙>Access规则窗口能被看到。

    /image/gif/paws/77869/pix-remote-desktop-conn-08.gif

  8. 现在,请选择Configuration>防火墙> NAT规则>Add >Add静态NAT规则选项为了创建静态NAT条目。

    /image/gif/paws/77869/pix-remote-desktop-conn-09.gif

  9. 与他们的各自相关的接口一起指定原始IP地址和转换后的IP地址并且点击OK键。

    /image/gif/paws/77869/pix-remote-desktop-conn-10.gif

  10. 配置的规则在NAT规则窗口能查看如显示此处。点击Apply按钮为了发送此配置到安全工具并且点击“Save”为了保存配置到闪存。

    /image/gif/paws/77869/pix-remote-desktop-conn-11.gif

允许SSH到同一个RDP服务器

某些应用程序阻塞远程桌面应用程序由于其已知弱点。在这种情况下,您能选择使用其他已加密应用程序类似SSH。为了达到此,您需要添加SSH作为RDP服务器的目的地端口。在前一个示例中,服务组概念用于为了定义目的地端口。与使用服务组的优点是您能修改协议/端口成服务组根据需求。您能添加新建的端口到服务组或删除现有组员(端口)服务组。在下一个示例中,如何给现有服务组RDP被展示添加SSH。

完成这些步骤:

  1. 用鼠标右键单击在访问规则access-list并且单击编辑

    /image/gif/paws/77869/pix-remote-desktop-conn-12.gif

  2. 现在,在服务类别单击,详细信息按钮,为了编辑服务组的组员。

    /image/gif/paws/77869/pix-remote-desktop-conn-13.gif

  3. 在服务组的右键单击和单击编辑为了修改服务组。

    /image/gif/paws/77869/pix-remote-desktop-conn-14.gif

  4. 现在,请选择SSH协议并且单击添加为了添加此协议作为此服务组的成员。

    /image/gif/paws/77869/pix-remote-desktop-conn-15.gif

  5. 现在,两个成员在此示例能被看到正如,并且点击OK键。

    /image/gif/paws/77869/pix-remote-desktop-conn-16.gif

  6. 点击OK键为了完成修改步骤。

    /image/gif/paws/77869/pix-remote-desktop-conn-17.gif

验证

当前没有可用于此配置的验证过程。

故障排除

  • 如果某个客户端或某个范围的客户端无法连接到 RDP 服务器,请确保在外部接口的 ACL 中允许这些客户端。

  • 如果客户端都无法连接到 RDP 服务器,请确保外部或内部接口的 ACL 未阻塞出入端口 3389 的数据流。

  • 如果客户端都无法连接到 RDP 服务器,请检查数据包是否超过 MSS 值。如果数据包超过 MSS 值,请按下例所示将 MPF 配置为允许超出 MSS 的数据包以解决此问题:

    CiscoASA(config)#access-list 110 extended permit 
    tcp host 20.1.1.10 host 209.165.200.10 eq 3389
    
    
    !--- This command is wrapped to a second line due to 
    !--- spatial reasons.
    
    CiscoASA(config)#access-list 110 extended permit 
    tcp host 20.1.1.10 host 209.165.200.10 eq 80
    
    
    !--- This command is wrapped to a second line due to 
    !--- spatial reasons.
    
    
    CiscoASA(config)#class-map rdpmss
    CiscoASA(config-cmap)#match access-list 110    
    CiscoASA(config-cmap)#exit
    CiscoASA(config)#tcp-map mss-map
    CiscoASA(config-tcp-map)#exceed-mss allow
    CiscoASA(config-tcp-map)#exit
    CiscoASA(config)#policy-map rdpmss
    CiscoASA(config-pmap)#class rdpmss
    CiscoASA(config-pmap-c)#set connection advanced-options mss-map
    CiscoASA(config-pmap-c)#exit
    CiscoASA(config-pmap)#exit
    CiscoASA(config)#service-policy rdpmss interface outside
    

    请参阅分段问题的解决方案部分(PIX/ASA 7.x 和 IOS:VPN 分段中),以了解可用于解决 MSS 问题的其他方法。

  • 在 TCP 默认连接超时值到期后,RDP 会话超时。为了解决此问题,请按下面所示增加超时值:

    timeout conn 10:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

    此命令将超时值设置为十小时。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 77869