安全 : Cisco ASA 5500 系列自适应安全设备

ASA 8.4(x)连接一个内部网络对互联网配置示例

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何设置Cisco可适应安全工具(ASA)有版本8.4(1)的为在一个内部网络的使用。

请参阅 PIX/ASA:连接与互联网配置示例的一个内部网络在ASA的相同的配置的与版本8.2和以下。

贡献用Dinkar夏尔马,大卫Houck和马格纳斯Mortensen, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的前提条件。

使用的组件

本文档中的信息根据与版本8.4(1)的ASA。

本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您是在真实网络上操作,请确保您在使用任何命令前已经了解其潜在影响。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意:要查找有关本文档中所使用的命令的详细信息,请使用命令查找工具仅限注册用户)。

网络图

本文档使用以下网络设置:

注意:此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用的 RFC 1918 地址。

ASA 8.4配置

本文档使用以下配置:

  • 路由器配置
  • ASA 8.4和新配置

路由器配置

Building configuration...

Current configuration:
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R3640_out
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
interface Ethernet0/1
ip address 10.165.200.225 255.255.255.224
no ip directed-broadcast

!
ip classless
no ip http server
!
!
line con 0
exec-timeout 0 0
length 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end

ASA 8.4和新配置

ASA#show run
: Saved
:
ASA Version 8.4(1)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!

!--- Configure the outside interface.

!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.165.200.226 255.255.255.224

!--- Configure the inside interface.

!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
management-only
!
boot system disk0:/asa841-k8.bin

ftp mode passive
!
!--- Creates an object called OBJ_GENERIC_ALL.
!--- Any host IP not already matching another configured
!--- NAT rule will Port Address Translate (PAT) to the outside interface IP
!--- on the ASA (or 10.165.200.226) for Internet bound traffic.

!
object network OBJ_GENERIC_ALL
subnet 0.0.0.0 0.0.0.0

!
nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface
!
route outside 0.0.0.0 0.0.0.0 10.165.200.225
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.254.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:6fffbd3dc9cb863fd71c71244a0ecc5f
: end

注意:关于网络地址转换(NAT)和端口地址转换(PAT)的配置的更多信息在ASA版本8.4,参考信息关于NAT

关于访问列表的配置的更多信息在ASA版本8.4的,参考关于访问列表的信息

验证

设法通过与浏览器的HTTP访问网站。此示例使用主机在198.51.100.100的一个站点。如果连接是成功的,此输出在ASA CLI能被看到:

连接

ASA(config)# show connection address 10.1.1.154
6 in use, 98 most used
TCP outside 198.51.100.100:80 inside 10.1.1.154:58799, idle 0:00:06, bytes 937,
flags UIO

ASA是状态防火墙,并且从Web服务器的回程数据流允许上一步通过防火墙,因为在防火墙连接表里匹配一连接。匹配连接事先存在的流量通过防火墙允许,不用阻塞由接口ACL。

在上一个输出中,内部接口的客户端建立了对198.51.100.100主机的连接外部接口。此联系用TCP协议建立和是空闲在六秒。连接标志指示此连接的当前状态。关于连接标志的更多信息可以在ASA TCP连接标志找到。

Syslog 

ASA(config)# show log | in 10.1.1.154

Apr 27 2014 11:31:23: %ASA-6-305011: Built dynamic TCP translation from inside:
10.1.1.154/58799 to outside:10.165.200.226/58799

Apr 27 2014 11:31:23: %ASA-6-302013: Built outbound TCP connection 2921 for outside:
198.51.100.100/80 (198.51.100.100/80) to inside:10.1.1.154/58799 (10.165.200.226/58799)

ASA防火墙在正常操作时生成Syslog。Syslog在根据操作日志配置的冗余排列。输出显示被看到在级别六的两Syslog,或者‘信息性’级别。

在本例中,有生成的两Syslog。第一是表明的日志消息防火墙建立了转换,特别地一个动态TCP转换(PAT)。当流量从里面横断到外部接口,它指示源IP地址和端口和转换后的IP地址和端口。

第二Syslog表明防火墙在其此特定的流量的连接表里建立了连接在客户端和服务器之间。如果防火墙配置为了阻塞此连接尝试,或者某个其他要素禁止了此连接(资源约束或一可能的误配置)的创建,防火墙不会生成表明的日志连接被建立了。反而它将记录连接的一个原因能拒绝或关于什么要素的一个征兆从创建禁止了连接。

NAT转换(Xlate) 

ASA(config)# show xlate local 10.1.1.154
3 in use, 80 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
s - static, T - twice, N - net-to-net
TCP PAT from inside:10.1.1.154/58799 to outside:10.165.200.226/58799 flags ri idle
0:02:42 timeout 0:00:30

作为此配置一部分, PAT配置为了翻译内部主机IP地址到是可路由的在互联网的地址。为了确认这些转换创建,您能检查xlate (转换)表。show xlate命令当与本地关键字和内部主机的IP地址结合,显示所有条目现在转换表里为该主机。上一个输出显示有为在内部和外部接口之间的此主机当前建立的转换。内部主机IP和端口翻译对10.165.200.226地址每我们的配置。标志列出了, r我,表明转换是动态portmap。可以找到关于不同的NAT配置的更多信息此处: 关于NAT的信息

故障排除

ASA提供排除故障连接的多个工具。如果问题仍然存在,在您验证配置并且检查以前后列出的输出,这些工具和技术也许帮助确定您的连通性故障的原因。

数据包追踪器

ASA(config)# packet-tracer input inside tcp 10.1.1.154 1234 198.51.100.100 80 


--Omitted--

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

在ASA的数据包跟踪程序功能允许您指定一被模拟的数据包和发现所有多种步骤,检查,并且作用防火墙审阅,当处理流量时。使用此工具,识别您相信应该允许穿过防火墙流量的示例是有用的,并且使用5-tupple为了模拟流量。在前一个示例中,数据包跟踪程序用于为了模拟满足这些标准的连接尝试:

  • 被模拟的数据包在里面到达。
  • 使用的协议是TCP
  • 被模拟的客户端IP地址是10.1.1.154
  • 客户端发送从端口发出的流量1234
  • 流量被注定到在IP地址198.51.100.100的一个服务器。
  • 流量被注定到端口80

注意没有接口的提及从外部在命令。这是由数据包跟踪程序设计。工具如何告诉您防火墙处理那种连接尝试,包括如何将路由它,并且在哪个接口外面。关于数据包跟踪程序的更多信息可以在有数据包跟踪程序。的跟踪数据包找到

捕获


ASA# capture capin interface inside match tcp host 10.1.1.154 host 198.51.100.100
ASA# capture capout interface outside match tcp any host 198.51.100.100

ASA#   show capture capin

3 packets captured

   1: 11:31:23.432655       10.1.1.154.58799 > 198.51.100.100.80: S 780523448:
780523448(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
   2: 11:31:23.712518       198.51.100.100.80 > 10.1.1.154.58799: S 2123396067:
2123396067(0) ack 780523449 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
   3: 11:31:23.712884       10.1.1.154.58799 > 198.51.100.100.80: . ack 2123396068
win 32768
   
   
   
ASA# show capture capout

3 packets captured

   1: 11:31:23.432869       10.165.200.226.58799 > 198.51.100.100.80: S 1633080465:
1633080465(0) win 8192 <mss 1380,nop,wscale 2,nop,nop,sackOK>
   2: 11:31:23.712472       198.51.100.100.80 > 10.165.200.226.58799: S 95714629:
95714629(0) ack 1633080466 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
   3: 11:31:23.712914       10.165.200.226.58799 > 198.51.100.100.80: . ack 95714630
win 32768/pre>

ASA防火墙能捕获进入或离开其接口的流量。此捕获功能是意想不到的,因为能明确证明流量是否到达在,或者分支从,防火墙。前一个示例显示名为capincapout的两个捕获的配置在各自内部和外部接口。捕获命令使用了匹配关键字,允许您是特定关于什么流量您要捕获。

对于捕获capin,您表明您在该的内部接口要匹配流量被看到(入口或出口)匹配TCP主机10.1.1.154主机198.51.100.100。换句话说,从主机10.1.1.154发送主机198.51.100.100反之亦然的您要捕获所有TCP数据流。使用匹配关键字允许防火墙捕获该流量双向。因为防火墙执行在该客户端IP地址的PAT capture命令定义外部接口的不参考内部客户端IP地址。结果,您不能配比与该客户端IP地址。反而,此示例使用其中任一为了表明所有可能的IP地址将匹配该情况。

在您配置捕获后,您再然后会尝试建立连接,并且继续查看捕获用显示捕获<capture_name>命令。在本例中,您能看到客户端能连接到服务器如明显由在捕获看到的TCP三通的握手。

相关信息



Document ID: 112998