IP : Cisco PIX 500 系列安全设备

PIX/ASA:通过Cisco安全设备的连通性建立和故障排除

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

最初配置 PIX 防火墙时,有一个默认安全策略,即内部的所有用户都可以访问外部资源,但外部的任何用户都无法访问内部资源。如果您的站点需要使用不同的安全策略,则可允许外部用户通过 PIX 连接到您的 Web 服务器。

通过 PIX 防火墙建立基本连接后,便可对防火墙进行配置更改。确保您对 PIX 防火墙进行的任何配置更改都符合您的站点安全策略。

参考ASA 8.3 :通过Cisco安全设备设立并且排除故障连接关于在Cisco可适应安全工具(ASA)的相同配置的更多信息有版本8.3和以上的。

为了了解对故障排除有用的各种显示命令的更多信息,请参阅监控并解决 PIX 500 性能问题

为了了解有关排查安全设备连接故障的更多信息,请参阅通过 PIX 和 ASA 排查连接故障

先决条件

要求

本文档假设已对 PIX 完成一些基本配置。有关初始 PIX 配置的示例,请参阅以下文档:

使用的组件

本文档中的信息基于 PIX 防火墙软件版本 5.0.x 及更高版本。

注意: PIX 软件的早期版本使用 conduit 命令而不是 access-list 命令。这两个命令在 PIX 防火墙软件版本 5.0.x 及更高版本均起作用。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

通过 PIX 连通的工作原理

在此网络中,主机 A 是内部地址为 10.2.1.5 的 Web 服务器。为 Web 服务器分配了外部(转换)地址 192.168.202.5。Internet 用户必须指向 192.168.202.5,才能访问 Web 服务器。用于 Web 服务器的 DNS 条目必须为该地址。不允许来自 Internet 的其他连接。

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/15245-23-01.gif

注意: 此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用的 RFC 1918 地址。leavingcisco.com

通过 PIX 配置连接

要通过 PIX 配置连接,请完成以下步骤。

  1. 为内部主机设置一个全局池,以供其在访问 Internet 时使用。

    global (outside) 1 192.168.202.10-192.168.202.50 netmask 255.255.255.0
    
  2. 指向内部地址,以从全局 1 池中选择。

    nat (inside) 1 0.0.0.0 0.0.0.0
    
  3. 为 Internet 用户有权访问的内部主机分配静态转换地址。

    static (inside,outside) 192.168.202.5 10.2.1.5 0 0
    
  4. 使用 access-list 命令允许外部用户通过 PIX 防火墙。请始终在 access-list 命令中使用转换的地址。

    access-list 101 permit tcp any host 192.168.202.5 eq www
      access-group 101 in interface outside
    

关于命令语法的详细信息,请参阅本文档中的 conduit 和 access -list 命令语法一节。

允许 ARP 广播流量

安全设备在其内部接口和外部接口上连接相同的网络。由于这种防火墙不是路由跃点,因此您可以很容易将透明防火墙引入到现有网络中。无需进行 IP 再寻址。自动允许 IPv4 流量通过透明防火墙从较高的安全接口到达较低的安全接口,无需访问列表。允许地址解析协议 (ARP) 在两个方向通过透明防火墙,无需访问列表。ARP 流量可以由 ARP 检查功能控制。对于从低安全接口传输到高安全接口的第 3 层流量,需要使用扩展的访问列表。

注意: 透明模式安全设备不传递 Cisco 设备发现协议 (CDP) 数据包或 IPv6 数据包,也不传递不大于或等于 0x600 的有效 EtherType 的任何数据包。例如,您不能传递 IS-IS 数据包。网桥协议数据单元 (BPDU) 受支持,这是个例外。

允许的 MAC 地址

以下目标 MAC 地址允许通过透明防火墙。将丢弃不在此列表上的所有 MAC 地址:

  • 等于 FFFF.FFFF.FFFF 的 TRUE 广播目标 MAC 地址

  • 范围从 0100.5E00.0000 到 0100.5EFE.FFFF 的 IPv4 多播 MAC 地址

  • 范围从 3333.0000.0000 到 3333.FFFF.FFFF 的 IPv6 多播 MAC 地址

  • 等于 0100.0CCC.CCCD 的 BPDU 多播地址

  • 范围从 0900.0700.0000 到 0900.07FF.FFFF 的 AppleTalk 组播 MAC 地址

在路由器模式下不允许通过的流量

在路由器模式下,即使您在访问列表中允许某些类型的流量,它们也无法通过安全设备。但是,透明防火墙也可以使用扩展访问列表(用于 IP 流量)或 EtherType 访问列表(用于非 IP 流量)允许几乎任何流量通过。

例如,可以通过透明防火墙建立路由协议邻接。您可以根据扩展的访问列表,允许开放最短路径优先 (OSPF)、Routing Information Protocol (RIP)、Enhanced Interior Gateway Routing Protocol (EIGRP) 或边界网关协议 (BGP) 流量通过。同样,诸如热备用路由器协议 (HSRP) 或虚拟路由器冗余协议 (VRRP) 之类的协议也可以通过安全设备。

使用 EtherType 访问列表可将非 IP 流量(例如,AppleTalk、IPX、BPDU 和 MPLS)配置为通过。

对于透明防火墙上没有直接支持的功能,您可以允许流量通过,以便上游路由器和下游路由器能够支持该功能。例如,通过使用扩展访问列表,可允许 DHCP 流量(而不是不受支持的动态主机配置协议 [DHCP] 中继功能)或组播流量,如 IP/TV 创建的流量。

解决连接问题

如果 Internet 用户无法访问您的网站,请完成以下步骤:

  1. 确保您正确地输入了配置地址:

    • 有效的外部地址

    • 正确的内部地址

    • 外部 DNS 具有转换的地址

  2. 检查外部接口是否有错误。Cisco 安全设备已预先配置为自动检测接口上的速度及双工设置。但是,有几种情况可能会导致自动协商过程失败。这会导致速度或双工不匹配(并产生性能问题)。对于任务关键型网络基础架构,Cisco 对于每个接口的速度和双工采用手动硬编码,这样就避免了发生错误的机会。这些设备通常不会四处移动,因此,如果您适当地配置了它们,您就不需要进行更改了。

    示例:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex full
    asa(config-if)#speed 100
    asa(config-if)#exit
    

    在某些情况下,对速度和双工设置进行硬编码会导致生成错误。因此,需要将接口配置为自动检测模式的默认设置,如下面的示例所示:

    示例:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex auto
    asa(config-if)#speed auto
    asa(config-if)#exit
    

    有关详细信息,请参阅监控并解决 PIX 500 性能问题速度和双工设置一节。

  3. 如果流量不通过 PIX 或前端路由器的接口发送或接收,请设法清除 ARP 统计信息。

    asa#clear arp
    
  4. 请使用 show static 命令,以确保启用静态转换。

  5. 如果在升级到版本 7.2(1) 后静态映射不起作用,请在静态 NAT 语句中使用 interface 关键字而不是接口 IP 地址。

    示例:

    static (inside,outside) tcp 192.168.202.2 80 10.2.1.5 1025 netmask 255.255.255.255 
    

    在此方案中,外部 IP 地址用作 Web 服务器的映射 IP 地址。因此,此静态映射可能不适用于 PIX/ASA 版本 7.2(1)。为了解决此问题,可以使用以下语法。

    static (inside,outside) tcp interface 80 10.2.1.5 1025 netmask 255.255.255.255 
    
  6. 检查 Web 服务器上的默认路由是否指向 PIX 的内部接口。

  7. 使用 show xlate 命令检查转换表,以确定是否创建了转换。

  8. 使用 logging buffer debug 命令检查日志文件,以确定是否发生拒绝。(查找转换地址并确定是否看到任何拒绝。)

  9. 如果使用此命令时,您使用的是 6.2.2 或更高版本,请使用 capture 命令

    access-list webtraffic permit tcp any host 192.168.202.5
    
    capture capture1 access-list webtraffic interface outside
    

    如果使用的是早于 6.2.2 的版本并且网络不繁忙,则可使用 debug packet 命令捕获流量。此命令可捕获从任何外部主机发往 Web 服务器的数据包。

    debug packet outside dst 192.168.202.5 proto tcp dport 80 bot
    

    注意: 此命令会生成大量输出。它会在流量负载较大时导致路由器挂起或重新加载。

  10. 如果数据包将发送到 PIX,请确保 PIX 到 Web 服务器的路由正确。(在 PIX 配置中检查 route 命令。)

  11. 检查代理 ARP 是否已禁用。在 PIX/ASA 7.x 中发出 show running-config sysopt 命令或在 PIX 6.x 中发出 show sysopt

    此处,代理 ARP 被命令 sysopt noproxyarp outside 禁用:

    ciscoasa#show running-config sysopt
    no sysopt connection timewait
    sysopt connection tcpmss 1380
    sysopt connection tcpmss minimum 0
    no sysopt nodnsalias inbound
    no sysopt nodnsalias outbound
    no sysopt radius ignore-secret
    sysopt noproxyarp outside
    sysopt connection permit-vpn

    为了重新启用代理 ARP,请在全局配置模式下输入此命令:

    ciscoasa(config)#no sysopt noproxyarp outside
    

    当主机向同一以太网上的其他设备发送 IP 流量时,主机需要知道该设备的 MAC 地址。ARP 是可将 IP 地址解析为 MAC 地址的第 2 层协议。主机发送 ARP 请求并询问“Who is this IP address?”。拥有该 IP 地址的设备将回复“I own that IP address;here is my MAC address.”

    代理 ARP 允许安全设备代表它后面的主机回复 ARP 请求。它执行此操作的方法是为这些主机的静态映射地址答复 ARP 请求。安全设备用自己的 MAC 地址响应请求,然后将 IP 数据包转发到相应的内部主机。

    例如,在本文的图表中,当对 Web 服务器的全局 IP 地址 192.168.202.5 发出 ARP 请求时,安全设备将用自己的 MAC 地址来响应。如果在此情况下未启用代理 ARP,则在安全设备外部网络中的主机无法通过向地址 192.168.202.5 发出 ARP 请求来到达 Web 服务器。有关 sysopt 命令的详细信息,请参阅命令参考。

  12. 如果一切设置似乎都正确,但用户仍然不能访问网络服务器,则应请求Cisco 技术支持打开一个案例。

错误消息 - %PIX|ASA-4-407001:

少量主机无法连接到 Internet,并且 syslog 中显示 Error Message - %PIX|ASA-4-407001:Deny traffic for local-host interface_name:inside_address, license limit of number exceeded 错误消息。如何才能解决此错误?

当用户数量超过使用的许可证的用户限制时,会出现此错误消息。将许可证升级到更高的用户数(根据需要可为 50、100 或无限用户许可证),以便解决此错误。

Access-list 命令语法

PIX 软件 5.0.x 和更高版本

在 PIX 软件版本 5.0 中引入了 access-list 命令。下面的示例显示 access-list 命令的语法:

access-list acl_name [deny|permit] protocol source source_netmask destination destination_netmask

示例:access-list 101 permit tcp any host 192.168.202.5 eq www

为了应用 访问列表,必须在配置中包括此语法:

access-group acl_name in interface interface_name

access-group 命令可将访问列表绑定到接口。访问列表将应用于传入接口的流量。如果在 access-list 命令语句中输入 permit 选项,PIX 防火墙将继续处理数据包。如果在 access-list 命令语句中输入 deny 选项,PIX 防火墙将丢弃数据包。

注意: 除非在 ACE 中指定行号,否则您为给定访问列表名称输入的每个访问控制项 (ACE) 都将附加到访问列表的结尾。

注意: ACE 的顺序很重要。当安全设备决定要转发还是丢弃数据包时,安全设备将按照条目的列出顺序针对每个 ACE 测试数据包。在找到匹配项后,不会检查更多 ACE。例如,如果在明确允许所有流量的访问列表开头创建 ACE,则不会检查更多语句。

注意: 访问列表在列表结尾有一个隐式拒绝。因此,除非明确允许,否则流量无法通过。例如,如果要允许所有用户通过安全设备访问除特殊地址外的网络,则需拒绝特殊地址,然后允许其他所有地址。


相关信息


Document ID: 15245