安全 : Cisco ASA 5500 系列自适应安全设备

ASA 7.x/PIX 6.x 及更高版本:打开或阻拦端口配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文档提供了一个示例配置,说明如何在安全设备中打开或阻塞各种类型的数据流(如 http 或 ftp)的端口。

注意: 术语“打开端口”和“允许端口”意思相同。同样,“阻塞端口”和“限制端口”意思也相同。

先决条件

要求

本文档假设 PIX/ASA 已经过配置,且正常运行。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 该的Cisco ASA 5500系列自适应安全设备(ASA)运行版本8.2(1)

  • Cisco Adaptive Security Device Manager (ASDM)版本6.3(5)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置也可用于安装有软件版本 6.x 及更高版本的 Cisco 500 系列 PIX 防火墙设备。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

每个接口必须具有从 0(最低)到 100(最高)的安全等级。例如,您必须将最安全的网络(如内部主机网络)分配到 100 级。而连接到 Internet 的外部网络可以为 0 级,其他网络(如 DMZ)可位于两者之间。您可以将多个接口分配到同一安全等级。

默认情况下,将阻塞外部接口(安全等级为 0)上的所有端口,并打开安全设备内部接口(安全等级为 100)上的所有端口。这样,所有出站数据流都可以在不需要任何配置的情况下通过安全设备,但入站数据流可以通过配置访问列表和安全设备中的 static 命令允许。

注意: 一般来说,如果对入站和出站数据流都启用了状态检查,将阻塞从安全性较低的区域到安全性较高的区域的所有端口,并打开从安全性较高的区域到安全性较低的区域的所有端口。

本部分包含如下所示的子部分:

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports1.gif

阻塞端口配置

除非扩展访问列表已明确阻塞,否则安全设备将允许任何出站数据流。

访问列表由一个或多个访问控制条目构成。根据访问列表类型,您可以指定源和目标地址、协议、端口(对于 TCP 或 UDP)、ICMP 类型(对于 ICMP)或 EtherType。

注意: 对于无连接协议,如 ICMP,安全设备会建立单向会话,因此您需要访问列表在两个方向上都允许 ICMP(通过将访问列表应用到源和目标接口),或需要启用 ICMP 检测引擎。ICMP 检测引擎将 ICMP 会话视为双向连接。

要阻塞端口,请完成以下步骤,这通常适用于从内部(安全性较高的区域)到 DMZ(安全性较低的区域)或从 DMZ 到外部的数据流。

  1. 创建一个用于阻塞指定端口数据流的访问控制列表。

    access-list <name> extended deny <protocol> <source-network/source IP>
    <source-netmask> <destination-network/destination IP>
    <destinamtion-netmask> eq <port number>
    
    access-list <name> extended permit ip any any
    
  2. 然后使用 access-group 命令绑定该访问列表以激活它。

    access-group <access list name> in interface <interface name>
    

示例:

  1. 阻塞 HTTP 端口数据流:要阻止内部网络 10.1.1.0 访问 DMZ 网络中具有 IP 172.16.1.1 的 http(Web 服务器),请创建如下所示的 ACL:

    ciscoasa(config)#access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 
       host 172.16.1.1  eq 80
    ciscoasa(config)#access-list 100 extended permit ip any any
    ciscoasa(config)#access-group 100 in interface inside
    

    注意: 在访问列表命令前添加 no 可以删除端口阻塞。

  2. 阻塞 FTP 端口数据流:要阻止内部网络 10.1.1.0 访问 DMZ 网络中具有 IP 172.16.1.2 的 FTP(文件服务器),请创建如下所示的 ACL:

    ciscoasa(config)#access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 
       host 172.16.1.2  eq 21
    ciscoasa(config)#access-list 100 extended permit ip any any
    ciscoasa(config)#access-group 100 in interface inside
    

注意: 要了解有关端口分配的详细信息,请参阅 IANA 端口

执行此的逐步配置通过ASDM在此部分显示。

  1. Configuration>防火墙>Access规则。单击增加访问规则创建access-list。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports2.gif

  2. 与接口一起定义源和目的和访问规则的操作此访问规则将关联。选择详细信息选择特定端口阻塞。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports3.gif

  3. 从可用端口列表选择http,然后点击OK键复原回到添加访问规则窗口。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports4.gif

  4. 点击OK键完成访问规则的配置。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports5.gif

  5. 单击插入键,在添加访问规则对同样access-list后。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports6.gif

  6. 允许从“其中任一的”流量对“其中任一”防止“隐式拒绝”。然后,请点击OK键完成增加此访问规则。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports7.gif

  7. 配置的访问列表在访问规则选项卡能被看到。单击应用发送此配置到安全工具。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports8.gif

    从ASDM发送的配置导致在ASA的命令行界面(CLI)的此一组命令。

    access-list inside_access_in extended deny tcp host 10.1.1.0 host 172.16.1.1 eq www
    access-list inside_access_in extended permit ip any any
    access-group inside_access_in in interface inside

    通过这些步骤,示例1通过ASDM进行阻塞从访问Web服务器的10.1.1.0网络, 172.16.1.1。示例2可能相似地也达到阻塞从访问FTP服务器的整个10.1.1.0网络, 172.16.1.2。唯一的差异将是在选择端口。

    注意: 此访问规则配置例如2采取是一新配置。

  8. 定义阻塞FTP流量的访问规则,然后点击详细信息选项卡选择目的地端口。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports9.gif

  9. 选择ftp端口并且点击OK键复原回到添加访问规则窗口。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports10.gif

  10. 点击OK键完成访问规则的配置。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports11.gif

  11. 增加另一个访问规则允许其他流量。否则,隐式拒绝规则将阻塞在此接口的所有流量。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports12.gif

  12. 完整访问控制列表配置看上去象这个在访问规则选项卡下。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports13.gif

  13. 单击应用发送配置到ASA。等同CLI配置如下所示:

    access-list inside_access_in extended deny tcp host 10.1.1.0 host 172.16.1.1 eq ftp
    access-list inside_access_in extended permit ip any any
    access-group inside_access_in in interface inside

打开端口配置

除非扩展访问列表明确允许,否则安全设备不允许任何入站数据流。

如果希望允许外部主机访问内部主机,您可以在外部接口上应用一个入站访问列表。您需要在访问列表中指定内部主机的转换地址,因为转换地址是可在外部网络上使用的地址。要打开从安全性较低的区域到安全性较高的区域的端口,请完成以下步骤。例如,允许从外部(安全性较低的区域)到内部接口(安全性较高的区域)或从 DMZ 到内部接口的数据流。

  1. 静态 NAT 会创建从实际地址到映射地址的固定转换。此映射地址是位于 Internet 上且在无需知道 DMZ 上的应用程序服务器的实际地址的情况下可用来访问该服务器的地址。

    static (real_ifc,mapped_ifc) mapped_ip {real_ip [netmask mask] | 
       access-list access_list_name | interface}
    

    要了解详细信息,请参阅 PIX/ASA 命令参考Static NAT 部分。

  2. 创建一个 ACL 以允许特定端口数据流。

    access-list <name> extended permit <protocol> <source-network/source IP> 
    <source-netmask> <destination-network/destination IP>
    <destinamtion-netmask> eq <port number>
    
  3. 使用 access-group 命令绑定该访问列表以激活它。

    access-group <access-list name> in interface <interface name>
    

示例:

  1. 打开 SMTP 端口数据流:打开端口 tcp 25 以允许外部 (Internet) 主机访问位于 DMZ 网络中的邮件服务器。

    Static 命令将外部地址 192.168.5.3 映射到实际 DMZ 地址 172.16.1.3。

    ciscoasa(config)#static (DMZ,Outside) 192.168.5.3 172.16.1.3
     netmask 255.255.255.255
    ciscoasa(config)#access-list 100 extended permit tcp 
     any host 192.168.5.3 eq 25
    ciscoasa(config)#access-group 100 in interface outside
    
  2. 打开 HTTPS 端口数据流:打开端口 tcp 443 以允许外部 (Internet) 主机访问位于 DMZ 网络中的 Web 服务器(安全)。

    ciscoasa(config)#static (DMZ,Outside) 192.168.5.5 172.16.1.5
     netmask 255.255.255.255
    ciscoasa(config)#access-list 100 extended permit tcp 
     any host 192.168.5.5  eq 443
    ciscoasa(config)#access-group 100 in interface outside
    
  3. 允许 DNS 数据流:打开端口 udp 53 以允许外部 (Internet) 主机访问位于 DMZ 网络中的 DNS 服务器(安全)。

    ciscoasa(config)#static (DMZ,Outside) 192.168.5.4 172.16.1.4
     netmask 255.255.255.255
    ciscoasa(config)#access-list 100 extended permit udp 
     any host 192.168.5.4  eq 53
    ciscoasa(config)#access-group 100 in interface outside
    

注意: 要了解有关端口分配的详细信息,请参阅 IANA 端口

配置通过ASDM

执行上述的任务的一逐步方法通过ASDM在此部分显示。

  1. 创建访问规则允许smtp流量到192.168.5.3服务器。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports14.gif

  2. 定义访问规则的源和目的和接口此规则捆绑与。并且,请定义操作如Permit

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports15.gif

  3. 选择SMTP作为端口,然后点击OK键。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports16.gif

  4. 点击OK键完成配置访问规则。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports17.gif

  5. 配置静态NAT为了翻译172.16.1.3到192.168.5.3

    1. Configuration>防火墙> NAT规则>Add静态NAT规则为了添加静态NAT条目。

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports18.gif

    2. 与他们相关的接口一起选择初始源和转换后的IP地址,然后点击OK键完成配置静态NAT规则。

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports19.gif

      此镜像表示在示例部分列出的全部三个静态规则:

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports20.gif

      此镜像表示在示例部分列出的全部三个访问规则:

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/91970-PIXASAopenblockports21.gif

验证

您可以使用某些 show 命令进行验证,如下所示:

  • show xlate - 显示当前转换信息

  • show access-list - 显示访问策略的命中计数器

  • show logging - 显示缓冲区中的日志。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

故障排除

目前没有针对此配置的故障排除信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 91970