安全 : Cisco PIX 500 系列安全设备

PIX/ASA 7.x以上:内部网络上的邮件 (SMTP) 服务器访问配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

此示例配置演示如何设置 PIX/ASA 安全设备以访问位于内部网络中的邮件 (SMTP) 服务器。

请参阅 PIX/ASA 7.x 及更高版本:有关如何设置 PIX/ASA 安全设备以访问位于 DMZ 网络中的邮件/SMTP 服务器的详细信息,请参阅 DMZ 上的邮件 (SMTP) 服务器访问配置示例

请参阅配置 PIX/ASA 7.x 以访问外部网络中的邮件服务器的配置示例,设置 PIX/ASA 安全设备以访问位于外部网络中的邮件/SMTP 服务器。

请参阅 ASA 8.3及以上版本:邮寄(SMTP)在网络内部配置示例的服务器访问关于在Cisco可适应安全工具(ASA)的相同配置的更多信息有版本8.3和以上的。

注意: 有关了解如何配置 Microsoft Exchange 的详细信息,请参阅 Cisco Secure PIX 防火墙文档。选择您的软件版本,然后转到配置指南,并阅读有关如何配置 Microsoft Exchange 的章节。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • PIX 安全设备 535

  • PIX 防火墙软件 7.1(1) 版

  • Cisco 2500 系列路由器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

相关产品

本文档也可用于安装有软件版本 7.x 及更高版本的 Cisco 5500 系列自适应安全设备 (ASA)。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/70031-pix7x-mailserver-inside.gif

配置

本文档使用以下配置:

PIX 防火墙
PIX Version 7.1(1) 
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet1
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet2
 shutdown
 no nameif
 no security-level
 no ip address
!             


!--- Define the IP address for the inside interface.

interface Ethernet3
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!


!--- Define the IP address for the outside interface.

interface Ethernet4
 nameif outside
 security-level 0
 ip address 209.164.3.1 255.255.255.252 
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive



!--- Create an access list that permits Simple 
!--- Mail Transfer Protocol (SMTP) traffic from anywhere
!--- to the host at 209.164.3.5 (our server). The name of this list is 
!--- smtp. Add additional lines to this access list as required.
!--- Note: There is one and only one access list allowed per
!--- interface per direction (for example, inbound on the outside interface).
!--- Because of limitation, any additional lines that need placement in
!--- the access list need to be specified here. If the server
!--- in question is not SMTP, replace the occurrences of SMTP with
!--- www, DNS, POP3, or whatever else is required.


access-list smtp extended permit tcp any host 209.164.3.5 eq smtp 

pager lines 24
mtu inside 1500
mtu outside 1500
no failover
no asdm history enable
arp timeout 14400


!--- Specify that any traffic that originates inside from the
!--- 192.168.2.x network NATs (PAT) to 209.164.3.129 if
!--- such traffic passes through the outside interface.

global (outside) 1 209.164.3.129
nat (inside) 1 192.168.2.0 255.255.255.0


!--- Define a static translation between 192.168.2.57 on the inside and
!--- 209.164.3.5 on the outside. These are the addresses to be used by
!--- the server located inside the PIX Firewall.

static (inside,outside) 209.164.3.5 192.168.2.57 netmask 255.255.255.255


!--- Apply the access list named smtp inbound on the outside interface.

access-group smtp in interface outside


!--- Instruct the PIX to hand any traffic destined for 192.168.x.x
!--- to the router at 192.168.1.2.

route inside 192.168.0.0 255.255.0.0 192.168.1.2 1


!--- Set the default route to  209.164.3.2.
!--- The PIX assumes that this address is a router address.

route outside 0.0.0.0 0.0.0.0 209.164.3.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!

!--- SMTP/ESMTP is inspected as "inspect esmtp" is included in the map.

policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!


!--- SMTP/ESMTP is inspected as "inspect esmtp" is included in the map.

service-policy global_policy global
Cryptochecksum:f96eaf0268573bd1af005e1db9391284
: end

路由器 B
Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname 2522-R5
 !
 enable secret 5 $1$N0F3$XE2aJhJlCbLWYloDwNvcV.
 !
 ip subnet-zero
 !
 !
 !
 !
 !
 interface Ethernet0
 

!--- Sets the IP address of the Ethernet interface to 209.164.3.2.


  ip address 209.164.3.2 255.255.255.252
 !
 interface Serial0


!--- Instructs the serial interface to use 
!--- the address of the Ethernet interface when the need arises.


  ip unnumbered ethernet 0 
 !
 interface Serial1
  no ip address
  no ip directed-broadcast
 !
 ip classless


!--- Instructs the router to send all traffic
!--- destined for 209.164.3.x to 209.164.3.1.


 ip route 209.164.3.0 255.255.255.0 209.164.3.1


!--- Instructs the router to send
!--- all other remote traffic out serial 0.


 ip route 0.0.0.0 0.0.0.0 serial 0
 !
 !
 line con 0
  transport input none
 line aux 0
  autoselect during-login
 line vty 0 4
  exec-timeout 5 0
  password ww
  login
 !
 end

注意: 未添加路由器 A 的配置。您只需指定接口上的 IP 地址,并将默认网关设置为 192.168.1.1(即为 PIX 防火墙的内部接口)。

ESMTP TLS 配置

注意: 如果对电子邮件通信使用传输层安全 (TLS) 加密,则 PIX 中的 ESMTP 检查功能(默认情况下启用)将丢弃数据包。要允许在启用了 TLS 功能的情况下使用电子邮件,请禁用 ESMTP 检查功能,如此输出所示。有关详细信息,请参阅 Cisco Bug ID CSCtn08326仅限注册用户).

pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit

注意: 在 ASA 8.0.3 版及更高版本中,使用 allow-tls 命令可以在启用了 inspect esmtp 的情况下允许 TLS 电子邮件,如下所示:

policy-map type inspect esmtp tls-esmtp
parameters
allow-tls
inspect esmtp tls-esmtp

调控电子邮件流

如果音量电子邮件进来太快速内部服务器的,您能使用static命令为了节流在PIX下每次允许有限数量电子邮件(连接)。

示例如下:

static (inside,outside) 209.164.3.5 192.168.2.57 netmask 255.255.255.255 60 0

此静态命令示例摘自 PIX 配置。此命令将电子邮件的最大连接数限制为 60。

默认情况下,本地 IP 主机允许的同时 TCP 连接的最大数目为 0,这意味着连接不受限制。在经过 timeout conn 命令指定的时间之后,将关闭空闲连接。

注意: 如果邮件服务器存在间歇性连接问题,请确保配置中存在 sysopt noproxyarp inside 命令。否则,请将其添加到配置中。有关此命令的详细信息,请参阅 Cisco 安全设备命令参考(版本 8.0)

验证

当前没有可用于此配置的验证过程。

故障排除

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

logging console debugging 命令将邮件导向到 PIX 控制台。如果与邮件服务器的连接有问题,请检查控制台调试消息,查找发送站和接收站的 IP 地址以便确定问题所在。

建立技术支持请求时应收集的信息

在完成本文档中的故障排除步骤之后,如果您仍然需要帮助,并且希望建立 Cisco 技术支持案例,请确保附上此信息,以便进行 PIX 防火墙故障排除。
  • 问题说明,包括邮件服务器的拓扑和 IP 地址详细信息。
  • 请在打开案例之前完成所有故障排除。
  • 来自 show tech-support 命令的输出。
  • 运行 logging buffered debugging 命令后 show log 命令的输出,或演示问题的控制台捕获信息(如果可用)。
请以非压缩的纯文本格式 (.txt) 将收集的数据附加到请求中。您可以使用 TAC 服务请求工具仅限注册用户),通过上载信息来将信息附加到案例中。如果无法访问 TAC 服务请求工具,可在邮件的主题行中注明案例号,然后以电子邮件附件形式将信息发送到 attach@cisco.com

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 70031