安全 : Cisco IOS 防火墙

基于 Cisco IOS 区域的防火墙:办公室使用isco Unity Express/SRST/PSTN网关并连接到集中化的Cisco CallManager

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

思科集成多业务路由器(ISR)提供一个可扩展平台解决各种各样的应用程序的数据和语音网络需求。虽然私有和互联网连接的网络威胁横向是一个非常动态条目, Cisco IOS�防火墙提供状态检测和应用检查和控制(AIC)功能定义和强制执行一安全网络状态,当启用企业功能和连续性时。

本文描述特定Cisco基于ISR的数据和语音应用方案的防火墙安全方面的设计和配置注意事项。语音服务的配置和防火墙为每个应用程序方案提供。每个方案由整个路由器配置分开描述VoIP和安全配置,然后。您的网络能要求服务的其他配置例如QoS和VPN维护语音质量和机密性。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

Cisco IOS防火墙背景

Cisco IOS防火墙在与设备防火墙部署模型有所不同的应用程序方案典型地部署。典型的配置包括远程操作人员应用、小型或分行办公室站点和零售应用,非常需要低设备多个服务计数、集成和更低性能和安全功能。

当防火墙检查的应用程序,与在ISR产品的其他集成服务一起,能看上去有吸引力从费用和可操作的方面时,必须评估特定考虑事项为了确定一基于路由器的防火墙是否是适当的。如果一个动力不足的集成基于路由器的解决方案部署,每个其它功能的应用程序招致内存和处理成本和可能造成减少的转发吞吐量速率、增加的功能功能信息包等待时间和损耗在期限最大负荷。在路由器和设备之间做出选择时,请遵循以下准则:

  • 有启用的多个集成功能的路由器是适合的较少设备提供一更加好的解决方案的分支机构或远程办公人员站点

  • 用设备是典型地更加好呈送的高带宽,高性能应用程序。思科ASA和Cisco Unified应该应用CallManager服务器处理NAT和安全策略应用程序和呼叫处理,而路由器地址QoS策略应用程序、广域网终端和站点到站点VPN连接要求。

在Cisco IOS软件版本12.4(20)T的介绍之前,经典防火墙和基于区域的策略防火墙(ZFW)无法支持为VoIP流量和基于路由器的语音服务要求的功能和在否则安全防火墙策略的要求的大空缺数目为了适应语音流量和提供的有限支持演变的VoIP信令和媒体协议的。

配置

Cisco IOS基于区域的策略防火墙的部署

Cisco IOS基于区域的策略防火墙,类似于其他防火墙,能只提供一安全防火墙,如果安全策略识别和描述的网络trustingare的安全需求。有两个到达安全策略的基本途径:前景,与可疑前景相对。

委托的前景假设可以特别地识别如有恶意或不需要的所有流量值得信任,除了。将实施一个仅拒绝不需要的数据流的特定策略。这通过使用特定访问控制条目或者签名或基于行为的工具是典型地实现的。当他们出现,此方法倾向于干涉现有应用程序,但是要求威胁和漏洞横向的一全面的知识,并且要求不变警惕性论及新建的威胁和检测安全漏洞代码。另外,用户属性必须起维护的足够的安全大作用。允许很大自由度、只对占用者进行很少控制的环境为粗心或恶意个人引起的问题提供了大量机会。此方法的另一个问题是它更依赖于提供足够的灵活性和性能以能够监视和控制所有网络数据流中的可疑数据的有效管理工具和应用程序控制。当目前的技术可以适应这些时,操作的负担会频繁地超出多数组织的极限。

可疑前景假设所有网络流量是不期望的,除了特别地已确定良好的交通。这是应用否决所有应用流量,除了明确地允许的策略。另外,特别地被制作利用应用程序的应用检查和控制(AIC)可以实现识别和否决化妆象良好的交通的恶意流量,以及不需要的流量。再次,应用程序控制强加可操作,并且在网络的性能间接费用,虽然应该由无状态的过滤器控制多数不期望的流量例如访问控制列表(ACL)或基于区域的策略防火墙(ZFW)策略,那么那里应该充分地是必须由AIC,入侵防御系统(IPS)或者其他处理基于签名的控制例如灵活数据包匹配的较少流量(FPM)或基于网络应用的识别(NBAR)。因此,如果希望的应用端口和出现从已知控制连接或会话的仅动态表现形式精确的流量,特别地允许,应该是存在网络应该落入特定,更多容易被识别的子集,减少强加的工程和可操作的负担保持对不期望的流量的控制的唯一的不需要的流量。

本文描述根据可疑前景的VoIP安全配置;因此,是可允许的在网段仅的流量允许。数据策略在每个应用程序方案的配置里倾向于是许可,如描述由笔记。

所有安全策略部署都必须遵循闭环反馈循环;典型安全部署必须调节影响现有应用程序的功能和功能,和为了最小化或解决此影响。

参考基于区域的策略防火墙设计和应用程序指南欲知更多信息和其他背景基于区域的策略防火墙的配置的。

VoIP 环境中 ZFW 的注意事项

以前被提及的设计和应用程序指南到/从路由器的自身区域提供路由器的安全的简要论述有使用的安全策略,以及通过多种网络基础保护的代替功能(NFP)提供以为特色。基于路由器的VoIP功能在路由器的自身区域内主机,如此请保护路由器一定知道语音流量的需求,为了适应语音信令和媒体产生和被注定对Cisco Unified CallManager Express、抗损远程站点电话和语音网关资源的安全策略。在Cisco IOS软件版本12.4(20)T之前,经典防火墙和基于区域的策略防火墙无法充分地适应VoIP流量的需求,因此防火墙策略未优化充分保护资源。保护基于路由器的VoIP资源的自身区域安全策略在Cisco IOS软件版本12.4(20)T介绍的功能取决于。

Cisco IOS防火墙语音功能

Cisco IOS软件版本12.4(20)T介绍几增强为了启用coresident区域防火墙和语音功能。三个主要功能直接地适用获取语音应用:

  • SIP 增强功能:应用层网关和应用程序检查和控制

    • 更新SIP版本以支持SIPv2,如所描述由RFC 3261

    • 扩展 SIP 信令支持以识别更多类型的呼叫流

    • 引入 SIP 应用程序检查和控制 (AIC) 以应用精确的控制来解决特定的应用程序级弱点和漏洞

    • 展开自身区域检查为了能认可附属信令和起因于本地注定产生的SIP流量的介质信道

  • skinny本地流量和Cisco CallManager的Express支持

    • 更新SCCP技术的支持版本16(以前支持的版本9)

    • 引入 SCCP 应用程序检查和控制 (AIC) 以应用精确的控制来解决特定的应用程序级弱点和漏洞

    • 展开自身区域检查能认可附属信令和起因于本地注定产生的SCCP流量的介质信道

  • H.323 v3/v4支持

    • 更新对v3和v4的H.323支持(以前支持的v1和v2),如描述由

    • 引入 H.323 应用程序检查和控制 (AIC) 以应用精确的控制来解决特定的应用程序级弱点和漏洞

在本文描述的路由器安全配置包括这些增强提供的功能,与说明描述策略应用的操作。如果希望查看语音检查功能的,完整详细信息对单个功能文档的超链接是可用的在相关信息部分在本文结束时。

警告

Cisco IOS防火墙的应用程序以基于路由器的语音功能必须应用基于区域的策略防火墙为了加强以前被提及的点。经典IOS防火墙不包括需要的功能支持语音流量信令复杂性和行为。

NAT

Cisco IOS网络地址转换(NAT)在Cisco IOS防火墙的同时频繁地配置,特别在私有网络必须协调与互联网处,或者,如果不同的私有网络必须连接,特别如果交迭IP地址空间是在使用中的。Cisco IOS软件包括NAT应用层网关(ALGs) SIP, skinny和H.323的。理论上来讲, IP语音的网络连通性可以适应,不用NAT的应用程序,因为NAT另外引入复杂性对排除故障和安全政策应用程序,特别在使用处NAT超载。应该只应用NAT,一最后案件解决方案表达网络连通性注意事项。

CUPC

本文不描述支持使用Cisco Unified Presence客户端的配置(CUPC)与Cisco IOS防火墙,因为区域或经典防火墙不支持CUPC自Cisco IOS软件版本12.4(20)T1。Cisco IOS软件以后的版本支持CUPC。

办公室用连接到集中化Cisco CallManager的Cisco Unity Express/SRST/PSTN网关

此方案与上一个应用程序有所不同,在该集中式呼叫控制使用所有呼叫控制,而不是分布式基于路由器的呼叫处理。分布式语音邮件应用,但是throughCisco路由器的Unity Express。路由器为紧急情况正在拨号和本地拨号提供抗损远程站点电话和PSTN网关功能。推荐一个专用级别PSTN产能适应如描述的基于WAN的Toll Bypass的失败拨号,以及本地区域的正在拨号由拨号计划。此外,本地法律通常要求提供某种类型的本地 PSTN 连接以提供紧急 (911) 拨号。

在WAN/CCM中断期间情况下,在更加了不起的呼叫处理功能要求此方案能也申请Cisco CallManager Express作为呼叫处理代理程序SRST。参考集成与Cisco Unified CME和SRST的Cisco Unity Connection欲知更多信息。

方案背景

应用程序方案合并有线的电话(语音VLAN),有线的PCs (数据VLAN)和无线设备(包括VoIP设备例如IP Communicator)。

  1. 发信号检查在本地电话和远程CUCM之间请集群(SCCP和SIP)

  2. 检查发信号在路由器和远程CUCM集群之间的H.323。

  3. 请检查在本地电话和路由器之间的信令,当对远程站点的链路发生故障时,并且SRST是活跃的。

  4. 之间通信的语音媒体针孔:

    1. 本地有线和无线段

    2. 本地和远程电话

    3. 远程MoH服务器和本地电话

    4. 远程Unity服务器和本地电话语音邮件的

  5. 应用应用检查并且控制(AIC)对:

    1. 速率限制邀请消息

    2. 保证在所有SIP流量的协议符合。

iosfw-cue-cucm-01.gif

优点/缺点

此方案提供多数呼叫处理在中央Cisco CallManager集群发生,提供减少的管理费用的好处。路由器应该典型地必须寻址较少本地语音资源检查负担与在本文描述的其他案件比较,因为呼叫处理负担的多数没有强加给路由器,除了到/从Cisco Unity Express的处理流量和在案件,当有广域网或CUCM中断时,并且活动进程CallManager Express/SRST呼叫到对地址呼叫处理的效果。

此案件最巨大的缺点,在典型的呼叫处理活动期间,是Cisco Unity Express在本地路由器查找。当这从设计方面是好,例如时, Cisco Unity Express查找最紧密给语音邮件保持的最终用户,它导致若干另外的管理费用,可以有管理很大数量的Cisco Unity Express。那说,以一中央Cisco Unity Express运载相反的缺点,因为一中央Cisco Unity Express从远程用户是远,并且在中断期间可能不是可访问。因此,分布式语音邮件提供的功能好处由Cisco Unity Express的部署的对远程位置的提供优越选择。

数据策略的配置,基于区域的防火墙,语音安全, Cisco CallManager Express

路由器配置根据一3845与NME-X-23ES和PRI HWIC :

SRST和Cisco Unity Express连接的语音服务配置:

!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!

这是基于区域的策略防火墙配置的eample,组成由有线的和无线局域网分段的安全区,专用LAN,撰写有线的和无线分段,委托WAN连接被到达的广域网分段和路由器语音资源查找的自身区域:

/image/gif/paws/108012/iosfw-cue-cucm-02.gif

安全配置:

class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security wired
zone security wireless
!
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Entire router configuration:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 3825-srst
!
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring
!
dot11 syslog
ip source-route
!
!
ip cef
ip cef
!
!
ip domain name cisco.com
ip name-server 172.16.1.22
ip vrf acctg
 rd 0:1
!
ip vrf eng
 rd 0:2
!
ip inspect WAAS enable
!
no ipv6 cef
multilink bundle-name authenticated
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
!
!
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security vpn
zone security eng
zone security acctg
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
!
interface Loopback101
 ip vrf forwarding acctg
 ip address 10.255.1.5 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
!
interface Loopback102
 ip vrf forwarding eng
 ip address 10.255.1.5 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/0.1
 encapsulation dot1Q 1 native
 ip address 172.16.1.103 255.255.255.0
 shutdown
!
interface GigabitEthernet0/0.109
 encapsulation dot1Q 109
 ip address 172.16.109.11 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 zone-member security public
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/1.129
 encapsulation dot1Q 129
 ip address 172.17.109.2 255.255.255.0
 standby 1 ip 172.17.109.1
 standby 1 priority 105
 standby 1 preempt
 standby 1 track GigabitEthernet0/0.109
!
interface GigabitEthernet0/1.149
 encapsulation dot1Q 149
 ip address 192.168.109.2 255.255.255.0
 ip wccp 61 redirect in
 ip wccp 62 redirect out
 ip nat inside
 ip virtual-reassembly
 zone-member security private
!
interface GigabitEthernet0/1.161
 encapsulation dot1Q 161
 ip vrf forwarding acctg
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
!
interface GigabitEthernet0/1.162
 encapsulation dot1Q 162
 ip vrf forwarding eng
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
!
interface Serial0/3/0
 no ip address
 encapsulation frame-relay
 shutdown
 frame-relay lmi-type cisco
!
interface Serial0/3/0.1 point-to-point
 ip vrf forwarding acctg
 ip address 10.255.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
 snmp trap link-status
 no cdp enable
 frame-relay interface-dlci 321 IETF
!
interface Serial0/3/0.2 point-to-point
 ip vrf forwarding eng
 ip address 10.255.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
 snmp trap link-status
 no cdp enable
 frame-relay interface-dlci 322 IETF
!
interface Integrated-Service-Engine2/0
 no ip address
 shutdown
 no keepalive
!
interface GigabitEthernet3/0
 no ip address
 shutdown
!
router eigrp 1
 network 172.16.109.0 0.0.0.255
 network 172.17.109.0 0.0.0.255
 no auto-summary
!
router eigrp 104
 network 10.1.104.0 0.0.0.255
 network 192.168.109.0
 network 192.168.209.0
 no auto-summary
!
router bgp 1109
 bgp log-neighbor-changes
 neighbor 172.17.109.4 remote-as 1109
 !
 address-family ipv4
  neighbor 172.17.109.4 activate
  no auto-summary
  no synchronization
  network 172.17.109.0 mask 255.255.255.0
 exit-address-family
!
ip forward-protocol nd
ip route vrf acctg 0.0.0.0 0.0.0.0 172.16.109.1 global
ip route vrf acctg 10.1.2.0 255.255.255.0 10.255.1.2
ip route vrf eng 0.0.0.0 0.0.0.0 172.16.109.1 global
ip route vrf eng 10.1.2.0 255.255.255.0 10.255.1.2
!
!
ip http server
no ip http secure-server
ip nat pool acctg-nat-pool 172.16.109.21 172.16.109.22 netmask 255.255.255.0
ip nat pool eng-nat-pool 172.16.109.24 172.16.109.24 netmask 255.255.255.0
ip nat inside source list 109 interface GigabitEthernet0/0.109 overload
ip nat inside source list acctg-nat-list pool acctg-nat-pool vrf acctg overload
ip nat inside source list eng-nat-list pool eng-nat-pool vrf eng overload
ip nat inside source static 172.17.109.12 172.16.109.12 extendable
!
ip access-list extended acctg-nat-list
 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
 permit ip 10.0.0.0 0.255.255.255 any
ip access-list extended eng-nat-list
 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
 permit ip 10.0.0.0 0.255.255.255 any
!
logging 172.16.1.20
access-list 1 permit any
access-list 109 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 109 permit ip 192.168.0.0 0.0.255.255 any
access-list 111 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.0.0 0.0.255.255 any
access-list 141 permit ip 10.0.0.0 0.255.255.255 any
access-list 171 permit ip host 1.1.1.1 host 2.2.2.2
!
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
gateway
 timer receive-rtp 1200
!
!
alias exec sh-sess show policy-map type inspect zone-pair sessions
!
line con 0
 exec-timeout 0 0
line aux 0
line 130
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
line 194
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
line vty 0 4
 password cisco
 login
!
exception data-corruption buffer truncate
scheduler allocate 20000 1000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

供应、管理和监听

供应和配置基于路由器的IP电话资源和基于区域的策略防火墙的通常是最佳适应与Cisco Configuration Professional。CiscoSecure管理器不支持基于区域的策略防火墙或基于路由器的IP电话。

Cisco IOS经典防火墙支持监控与Cisco Unified防火墙MIB的SNMP。但是, Unified防火墙MIB不支持基于区域的策略防火墙。同样地,必须通过在路由器的命令行界面的统计信息处理防火墙监听,或者用GUI工具例如Cisco Configuration Professional。

CiscoSecure监控和报告系统(CS-MARS)基于区域的策略防火墙的提供基本技术支持,虽然改善日志消息相关性对流量在Cisco IOS软件版本12.4(15)T4/T5和Cisco IOS软件版本12.4(20)T实现不充分地支持的记录的变化在CS-MARS上。

容量规划

防火墙呼叫检查从印度TBD的性能测试检验结果。

验证

当前没有可用于此配置的验证过程。

故障排除

本部分提供的信息可用于对配置进行故障排除。

Cisco IOS区域防火墙提供显示和调试指令为了查看,监控和排除故障防火墙的活动。此部分描述使用显示命令为了监控基本防火墙活动和介绍到区域防火墙的调试指令更加详细的故障排除的,或者,如果与技术支持的讨论要求详细信息。

故障排除命令

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

显示命令

Cisco IOS防火墙提供数显示命令为了查看安全策略配置和活动:

许多这些命令可以用一更短的命令替换通过应用程序alias命令

debug 命令

调试指令可以是有用的,在使用一非典型或不支持的配置情况下,并且需要工作与Cisco TAC或其他产品的技术支持服务为了解决互操作性问题。

注意: 调试指令的应用程序对特定功能的或流量能导致一个非常大数目的控制台信息,引起路由器控制台变得无答复。在需要启用调试情况下,提供不监控终端对话的代替命令行界面访问,例如Telnet窗口是可能的。您应该只启用调试在脱机(实验室环境)设备或在计划内的维护窗口期间,因为,如果启用调试,这能充分地影响路由器性能。


相关信息


Document ID: 108012