安全 : Cisco IOS 防火墙

IOS基于区域的防火墙:CME/CUE/GW单站点或分支机构PSTN连接配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 29 日) | 反馈


目录


简介

思科集成多业务路由器(ISR)提供一个可扩展平台解决各种各样的应用程序的数据和语音网络需求。虽然私有和互联网连接的网络威胁横向是一个非常动态条目, Cisco IOS防火墙提供状态检测和应用检查和控制(AIC)功能定义和强制执行一安全网络状态,当启用企业功能和连续性时。

本文描述特定Cisco基于ISR的数据和语音应用方案的防火墙安全方面的设计和配置注意事项。语音服务的配置和防火墙为每个应用程序方案提供。每个方案分别描述 VoIP 和安全配置,后跟整个路由器配置。您的网络可能要求服务的其他配置例如QoS和VPN维护语音质量和机密性。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

IOS 防火墙背景

Cisco IOS防火墙在与设备防火墙的部署模型有所不同的应用程序方案典型地部署。典型的配置包括远程操作人员应用、小型或分行办公室站点和零售应用,非常需要低设备多个服务计数、集成和更低性能和安全功能。

当防火墙检查的应用程序,与在ISR产品的其他集成服务一起,也许看上去有吸引力从费用和可操作的方面时,必须评估特定考虑事项为了确定一基于路由器的防火墙是否是适当的。如果一个动力不足的集成基于路由器的解决方案部署,每个其它功能的应用程序招致内存和处理成本,并且可能造成减少的转发吞吐量速率、增加的功能功能信息包等待时间和损耗在期限最大负荷。

当您决定在路由器和设备之间时,请遵从这些指南:

  • 有启用的多个集成功能的路由器是适合的较少设备提供一更加好的解决方案的分支机构或远程办公人员站点。

  • 用设备是典型地更加好呈送的高带宽,高性能应用程序:思科ASA和Cisco Unified应该应用CallManager服务器处理NAT和安全策略应用程序和呼叫处理,而路由器地址QoS策略应用程序、广域网终端和站点到站点VPN连接要求。

在Cisco IOS软件版本之前12.4(20)T的介绍,经典防火墙和基于区域的策略防火墙(ZFW)无法支持为VoIP流量和基于路由器的语音服务要求的功能,要求在否则安全防火墙策略的大空缺数目供应语音流量和提供演变的VoIP信令和媒体协议的有限支持。

部署Cisco IOS基于区域的策略防火墙

如果网络的安全需求由安全策略,识别并且描述Cisco IOS基于区域的策略防火墙,类似于其他防火墙,能只提供一安全防火墙。有两个到达安全策略的基本途径:信任 角度,与怀疑角度相对。

委托的前景假设可以特别地识别如有恶意或不需要的所有流量值得信任,除了。将实施一个仅拒绝不需要的数据流的特定策略。这通过使用特定访问控制条目或者签名或基于行为的工具是典型地实现的。当他们出现,此方法倾向于干涉现有应用程序,但是要求威胁和漏洞横向的一全面的知识,并且要求不变警惕性论及新建的威胁和检测安全漏洞代码。另外,用户属性必须起维护的足够的安全大作用。允许很大自由度、只对占用者进行很少控制的环境为粗心或恶意个人引起的问题提供了大量机会。此方法的另一个问题是它更依赖于提供足够的灵活性和性能以能够监视和控制所有网络数据流中的可疑数据的有效管理工具和应用程序控制。当目前的技术可以适应这些时,操作的负担会频繁地超出多数组织的极限。

可疑前景假设所有网络流量是不期望的,除了特别地已确定良好的交通。应用否决所有应用流量的策略,除了明确地允许。另外,特别地被制作利用“好’应用程序的应用检查和控制(AIC)可能实现识别和否决化妆象良好的交通的恶意流量,以及不需要的流量。再次,应用程序控制强加可操作,并且在网络的性能间接费用,虽然应该由无状态的过滤器控制多数不期望的流量例如访问控制列表(ACL)或基于区域的策略防火墙(ZFW)策略,那么那里应该充分地是必须由AIC,入侵防御系统(IPS)或者其他处理基于签名的控制例如灵活数据包匹配的较少流量(FPM)或基于网络应用的识别(NBAR)。因此,如果希望的应用端口(和出现从已知控制连接或会话)的仅动态表现形式精确的流量特别地允许,应该是存在网络的唯一的不需要的流量应该落入特定,更多容易被识别的子集,减少强加的工程和可操作的负担保持对不期望的流量的控制。

本文描述根据可疑前景的VoIP安全配置;因此,是可允许的在网段仅的流量允许。数据策略在每个应用程序方案的配置方面倾向于是许可,如描述由笔记。

所有安全策略部署都必须遵循闭环反馈循环;典型安全部署必须调节影响现有应用程序的功能和功能,并且最小化或解决此影响。

关于如何配置基于区域的策略防火墙、参考的Cisco IOS防火墙基于区域的策略防火墙设计和应用程序指南的更多信息

VoIP 环境中 ZFW 的注意事项

Cisco IOS防火墙基于区域的策略防火墙设计和应用程序指南提供简要论述为到/从路由器的自身区域保护有使用的路由器安全策略,以及通过多种网络基础保护的代替功能(NFP)提供以为特色。基于路由器的VoIP功能在路由器的自身区域内主机,如此请保护路由器一定知道语音流量的需求,为了适应语音信令和媒体产生和被注定对Cisco Unified CallManager Express、抗损远程站点电话和语音网关资源的安全策略。在Cisco IOS软件版本12.4(20)T之前,经典防火墙和基于区域的策略防火墙无法充分地适应VoIP流量的需求,因此防火墙策略未优化充分保护资源。保护基于路由器的 VoIP 资源的自身区域安全策略在很大程度上依赖于 12.4(20)T 中引入的功能。

IOS防火墙语音增强– 12.4(20)T

Cisco IOS软件版本12.4(20)T介绍几增强启用coresident区域防火墙和语音功能。三个主要功能直接地适用获取语音应用:

  • SIP 增强功能:应用层网关和应用程序检查和控制

    • 更新SIP版本以支持SIPv2,如所描述由RFC 3261

    • 扩展 SIP 信令支持以识别更多类型的呼叫流

    • 引入 SIP 应用程序检查和控制 (AIC) 以应用精确的控制来解决特定的应用程序级弱点和漏洞

    • 展开自身区域检查能认可附属信令和起因于本地注定产生的SIP流量的介质信道

  • 对 Skinny 本地数据流和 CME 的支持

    • 更新SCCP技术的支持版本16(以前支持的版本9)

    • 引入 SCCP 应用程序检查和控制 (AIC) 以应用精确的控制来解决特定的应用程序级弱点和漏洞

    • 展开自身区域检查能认可附属信令和起因于本地注定产生的SCCP流量的介质信道

  • H.323 v3/v4支持

    • 更新对v3和v4的H.323支持(以前支持的v1和v2)

    • 引入 H.323 应用程序检查和控制 (AIC) 以应用精确的控制来解决特定的应用程序级弱点和漏洞

在本文描述的路由器安全配置包括这些增强提供的功能,与说明描述策略应用的操作。关于在语音检查功能的完整详细信息,参考在本文相关信息部分的单个功能列出的文档

警告

为了加强前面提到的点, Cisco IOS防火墙的应用程序以基于路由器的语音功能必须应用基于区域的策略防火墙。经典IOS防火墙不包括需要的功能支持语音流量信令复杂性和行为。

网络地址转换

Cisco IOS网络地址转换(NAT)在Cisco IOS防火墙的同时频繁地配置,特别在私有网络必须协调与互联网处,或者,如果不同的私有网络必须连接,特别如果交迭IP地址空间是在使用中的。Cisco IOS软件包括NAT应用层网关(ALGs) SIP, skinny和H.323的。理论上来讲, IP语音的网络连通性可以适应,不用NAT的应用程序,因为NAT引入另外的复杂性对排除故障和安全政策应用程序,特别在使用处NAT超载。应该只应用NAT,一最后案件解决方案表达网络连通性注意事项。

Cisco Unified Presence客户端

本文不描述支持使用Cisco Unified Presence客户端的配置(CUPC)与IOS防火墙,因为区域或经典防火墙不支持CUPC自Cisco IOS软件版本12.4(20)T1。将来版本的 Cisco IOS 软件将支持 CUPC。

CME/CUE/GW单站点或分组PSTN连接

此方案引入安全基于路由器的voice-over-ip电话单一站点中小型公司的或希望部署分布式呼叫处理的更加大的多站点组织的,维护对公共交换电话网(PSTN)的传统连接。VoIP呼叫控制通过Cisco Unified CallManager适应Express的应用程序。

PSTN连接可能从长远来看被维护或可能被移植到一聚合的语音和数据IP广域网,如描述由在CME/CUE/GW单站点或分支机构讨论的应用实例与对CCM的SIP中继在HQ或语音本文的供应商部分。

组织应该考虑实现不同的VoIP环境使用在站点之间的情况或,如果VoIP不切实际归结于不适于的WAN数据连接,或者现场特定限制的此种应用程序方案在数据网的VoIP使用情况。单一站点IP电话好处和最佳实践在Cisco Unified CallManager Express SRND描述。

方案背景

应用程序方案合并有线的电话(语音VLAN),有线的包括VoIP设备例如IP Communicator)的PCs (数据VLAN)和无线设备(。

安全配置提供:

  • 路由器启动发信号检查在CME和本地电话之间(SCCP和SIP)

  • 之间通信的语音媒体针孔:

    • 本地有线和无线段

    • 用于 MoH 的 CME 和本地电话

    • 用于语音邮件的 CUE 和本地电话

  • 应用应用检查并且控制(AIC)对:

    • 发送速率限制邀请消息

    • 保证在所有SIP流量的协议符合。

isr_config_01_108014.gif

优点和缺点

方案的VoIP方面的多数明显的优点是集成提供的迁移路径在一个现有POTS/TDM环境的现有语音和数据网络基础设施,在移动对融合的语音/数据网前电话服务的对世界在LAN之外。电话号码为小型企业维护,并且存在centrex或DID的服务可以被留下到位为希望被演出的迁移到收费绕路分组电话的更加大的组织。

缺点包括可能认识到与Toll Bypass通过移动对一个聚合的语音和数据网络在呼叫灵活性和可能认识到与一个充分地聚合的语音和数据网络的缺乏的成本节省,以及限制的损耗组织通信集成和轻便。

从安全的角度,此种网络环境通过避免VoIP资源风险最小化VoIP安全威胁,对公共网络或广域网。然而, Cisco Call Manager在路由器内被嵌入的Express易受到内部威胁例如恶意流量或发生故障的应用流量。因此,允许特定语音的流量满足协议符合检查的策略实现,并且特定VoIP操作(即SIP邀请)被限制以便降低负面影响VoIP资源和可用性的有恶意或有意无意的软件故障可能性。

数据策略、基于区域的防火墙、语音安全和CCME配置

描述的配置此处说明一2851与CME和提示连接的一语音服务配置:

!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!

基于区域的策略防火墙配置,组成由有线的和无线局域网分段的安全区,专用LAN (组成由有线的和无线分段),不信任Internet连接被到达的公共广域网分段和路由器的语音资源查找的自身区域。

/image/gif/paws/108014/isr_config_02_108014.gif

安全配置
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security wired
zone security wireless
!
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

整个路由器配置
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 2851-cme2
!
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring
!
dot11 syslog
ip source-route
!
!
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool pub-112-net
   network 172.17.112.0 255.255.255.0
   default-router 172.17.112.1
   dns-server 172.16.1.22
   option 150 ip 172.16.1.43
   domain-name bldrtme.com
!
ip dhcp pool priv-112-net
   network 192.168.112.0 255.255.255.0
   default-router 192.168.112.1
   dns-server 172.16.1.22
   domain-name bldrtme.com
   option 150 ip 192.168.112.1
!
!
ip domain name yourdomain.com
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
!
voice translation-rule 1
 rule 1 // /1001/
!
!
voice translation-profile default
 translate called 1
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 ip address 172.16.112.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/1.132
 encapsulation dot1Q 132
 ip address 172.17.112.1 255.255.255.0
!
interface GigabitEthernet0/1.152
 encapsulation dot1Q 152
 ip address 192.168.112.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/2/0
!
interface FastEthernet0/2/1
!
interface FastEthernet0/2/2
!
interface FastEthernet0/2/3
!
interface Vlan1
 ip address 198.41.9.15 255.255.255.0
!
router eigrp 1
 network 172.16.112.0 0.0.0.255
 network 172.17.112.0 0.0.0.255
 no auto-summary
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:/gui
!
!
ip nat inside source list 111 interface GigabitEthernet0/0 overload
!
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 111 deny   ip 192.168.112.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.112.0 0.0.0.255 any
!
!
!
!
!
!
tftp-server flash:/phone/7940-7960/P00308000400.bin alias P00308000400.bin
tftp-server flash:/phone/7940-7960/P00308000400.loads alias P00308000400.loads
tftp-server flash:/phone/7940-7960/P00308000400.sb2 alias P00308000400.sb2
tftp-server flash:/phone/7940-7960/P00308000400.sbn alias P00308000400.sbn
!
control-plane
!
!
!
voice-port 0/0/0
 connection plar 3035452366
 description 303-545-2366
 caller-id enable
!
voice-port 0/0/1
 description FXO
!
voice-port 0/1/0
 description FXS
!
voice-port 0/1/1
 description FXS
!
!
!
!
!
dial-peer voice 804 voip
 destination-pattern 5251...
 session target ipv4:172.16.111.10
!
dial-peer voice 50 pots
 destination-pattern A0
 port 0/0/0
 no sip-register
!
!
!
!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!
!
ephone-dn  1
 number 1001
 trunk A0
!
!
ephone-dn  2
 number 1002
!
!
ephone-dn  3
 number 3035452366
 label 2366
 trunk A0
!
!
ephone  1
 device-security-mode none
 mac-address 0003.6BC9.7737
 type 7960
 button  1:1 2:2 3:3
!
!
!
ephone  2
 device-security-mode none
 mac-address 0003.6BC9.80CE
 type 7960
 button  1:2 2:1 3:3
!
!
!
ephone  5
 device-security-mode none
!
!
!
line con 0
 exec-timeout 0 0
 login local
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
ntp server 172.16.1.1
end

供应、管理和监听

供应和配置基于路由器的IP电话资源和基于区域的策略防火墙的通常是最佳适应与Cisco Configuration Professional。CiscoSecure管理器不支持基于区域的策略防火墙或基于路由器的IP电话。

Cisco IOS经典防火墙支持监控与Cisco Unified防火墙MIB的SNMP。然而, Unified防火墙MIB不支持基于区域的策略防火墙。同样地,必须通过统计信息处理防火墙监听在路由器的命令行界面,或者用GUI工具例如Cisco Configuration Professional。

CiscoSecure监控和报告系统(CS-MARS)基于区域的策略防火墙的提供基本技术支持,虽然改善日志消息相关性对流量在12.4(15)T4/T5和12.4(20)T实现不充分地支持的记录的变化在CS-MARS上。

验证

当前没有可用于此配置的验证过程。

故障排除

Cisco IOS区域防火墙提供显示和调试指令查看,监控和排除故障防火墙的活动。此部分提供一介绍给提供详细的故障排除信息的区域防火墙调试指令。

debug 命令

在使用一非典型或不支持的配置并且需要工作与解决互操作性问题情况下的Cisco TAC或其他产品的技术支持服务调试指令是有用的。

注意: 调试指令的应用程序对特定功能的或流量可能导致一个非常大数目的控制台信息,引起路由器控制台变得无答复。在您需要启用调试的均等,您也许要提供不监控终端对话的代替命令行界面访问,例如Telnet窗口。您应该只启用调试在脱机(实验室环境)设备或在计划内的维护窗口期间,启用调试也许充分地影响路由器性能。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 108014