Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA 7.x/PIX 6.x и более ранние: Пример открытия/блокировки конфигурации портов

29 июля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (15 февраля 2011) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Соответствующие продукты
     Условные обозначения
Конфигурация
     Схема сети
     Блокировка конфигурации портов
     Открытие конфигурации портов
Проверка
Поиск и устранение неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе описан пример конфигурации, предназначенной для открытия или блокировки портов для различных типов трафика, например http или ftp, в устройствах обеспечения безопасности.

Примечание. Значение терминов "открытие порта" и "разрешение порта" совпадают. Значения терминов "блокировка порта" и "ограничение порта" также совпадают.

Предварительные условия

Требования

В данном документе предполагается, что PIX/ASA настроен и работает правильно.

Используемые компоненты

Сведения в данном документе касаются адаптивного устройства обеспечения безопасности Cisco серии 5500, которое использует версию 7.2(1).

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены с чистой (заданной по умолчанию) конфигурацией. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.

Соответствующие продукты

Данную конфигурацию также можно использовать для межсетевого экрана Cisco 500 PIX с ПО версии 6.x и более ранними.

Условные обозначения

Дополнительную информацию о применяемых в документе обозначениях см. в документе Условные обозначения, используемые в технической документации Cisco.

Конфигурация

Каждый интерфейс должен иметь уровень безопасности, от 0 (самый низкий) до 100 (самый высокий). Например, для самой безопасной сети, такой как внутренняя сеть хоста, следует задать уровень безопасности равный 100, в то время как внешняя сеть, имеющая доступ к Интернету, может иметь уровень 0. Остальные сети, например DMZ, могут быть размещены в указанном диапазоне. Можно назначить несколько интерфейсов для одного уровня безопасности.

По умолчанию все порты блокируются на внешнем интерфейсе (уровень безопасности 0), а на внутреннем интерфейсе устройства обеспечения безопасности (уровень безопасности 100) все порты являются открытыми. В данном случае входящий трафик может пройти через устройство обеспечения безопасности без конфигурации, но исходящий трафик разрешается с помощью конфигурации списка доступа и статических команд в устройстве обеспечения безопасности.

Примечание. В основном, все порты блокируются от зоны пониженной безопасности до зоны повышенной безопасности, а от зоны повышенной безопасности до зоны пониженной безопасности все порты являются открытыми, гарантируя активацию проверки с отслеживанием состояний входящего и исходящего трафика.

Данный раздел состоит из подразделов, как показано ниже:

В этом разделе предоставляются сведения по конфигурации функций, описанных в данном документе.

Примечание. Для получения дополнительных сведений о командах, используемых в данном разделе, см. Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В данном документе используется следующая схема сети:

PIXASAopenblockports1.gif

Блокировка конфигурации портов

С помощью устройства обеспечения безопасности разрешается исходящий трафик, пока он не будет заблокирован расширенным списком доступа.

Список доступа состоит из одной или нескольких записей контроля доступа. В зависимости от типа списка доступа можно указывать адреса источников и пунктов назначения, протокол, порты (для TCP или UDP), тип ICMP (для ICMP) или EtherType.

Примечание. Для протоколов без предварительного соединения, например ICMP, устройство обеспечения безопасности устанавливает однонаправленные сеансы. Поэтому необходимо получить доступ к спискам, чтобы разрешить ICMP в двух направлениях (с помощью приложения списков доступа к интерфейсам источников и пунктов назначения), или активировать модуль проверки ICMP. Модуль проверки ICMP рассматривает сеансы ICMP в качестве двусторонних соединений.

Выполните следующие действия, чтобы заблокировать порты, обычно применяющие трафик, который исходит из внутренней (зоны повышенной безопасности) до DMZ (зоны пониженной безопасности) или от DMZ до внешней зоны.

  1. Создайте список контроля доступом таким образом, чтобы заблокировать трафик указанного порта.

    access-list <name> extended deny <protocol> <source-network/source IP> <source-netmask> <destination-network/destination IP>
    <destinamtion-netmask> eq <port number>
    
    access-list <name> extended permit ip any any
    
  2. Потом свяжите список доступа с командой access-group для активации.

    access-group <access list name> in interface <interface name>
    

Примеры.

  1. Блокировка трафика порта HTTP. Чтобы заблокировать внутреннюю сеть 10.1.1.0 от доступа к http (веб-сервер) IP-адресом 172.16.1.1 в сети DMZ, создайте ACL, как показано ниже:

    ciscoasa(config)#access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.1  eq 80
    ciscoasa(config)#access-list 100 extended permit ip any any
    ciscoasa(config)#access-group 100 in interface inside
    

    Примечание. Используйте команду no, которая следует за командами списков доступа, чтобы удалить блокировку порта.

  2. Блокировка трафика порта FTP. Чтобы заблокировать внутреннюю сеть 10.1.1.0 от доступа к FTP (файловый сервер) IP-адресом 172.16.1.2 в сети DMZ, создайте ACL, как показано ниже:

    ciscoasa(config)#access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.2  eq 21
    ciscoasa(config)#access-list 100 extended permit ip any any
    ciscoasa(config)#access-group 100 in interface inside
    

Примечание. Дополнительные сведения о назначении портов см. в разделе порты IANA.

Открытие конфигурации портов

С помощью устройства обеспечения безопасности не разрешается входящий трафик, пока он не будет разрешен расширенным списком доступа.

Если необходимо разрешить внешнему хосту получить доступ к внутреннему хосту, можно применить список входящего доступа на внешнем интерфейсе. Необходимо указать преобразованный адрес внутреннего хоста в списке доступа, так как преобразованный адрес – это адрес, который можно использовать во внешней сети. Выполните следующие действия, чтобы открыть порты от зоны пониженной безопасности до зоны повышенной безопасности. Например, разрешите трафик от внутреннего (зона пониженной безопасности) до внешнего интерфейса (зона повышенной безопасности) или от DMZ до внутреннего интерфейса.

  1. Статическая запись NAT создает фиксированное преобразование фактического адреса в назначенный адрес. Этот сопоставленный адрес используются хостами в Интернете для доступа к серверу приложений в DMZ без необходимости в фактическом адресе сервера.

    static (real_ifc,mapped_ifc) mapped_ip {real_ip [netmask mask] | access-list access_list_name | interface}
    

    Дополнительные сведения см. в разделе Статическая NAT документа Справочник по командам для PIX/ASA.

  2. Создайте ACL, чтобы разрешить трафик указанного порта.

    access-list <name> extended permit <protocol> <source-network/source IP> <source-netmask> <destination-network/destination IP>
    <destinamtion-netmask> eq <port number>
    
  3. Свяжите список доступа с командой access-group для активации.

    access-group <access-list name> in interface <interface name>
    

Примеры.

  1. Открытие трафика порта SMTP. Откройте порт tcp 25, чтобы разрешить хостам извне (Интернет) получить доступ к почтовому серверу в сети DMZ.

    Команда Static сопоставляет внешний адрес 192.168.5.3 действительному адресу DMZ 172.16.1.3.

    ciscoasa(config)#static (DMZ,Outside) 192.168.5.3 172.16.1.3
     netmask 255.255.255.255
    ciscoasa(config)#access-list 100 extended permit tcp any host 192.168.5.3  eq 25
    ciscoasa(config)#access-group 100 in interface outside
    
  2. Открытие трафика порта HTTPS. Откройте порт tcp 443, чтобы разрешить хостам извне (Интернет) получить доступ к веб-серверу (безопасному) в сети DMZ.

    ciscoasa(config)#static (DMZ,Outside) 192.168.5.5 172.16.1.5
     netmask 255.255.255.255
    ciscoasa(config)#access-list 100 extended permit tcp any host 192.168.5.5  eq 443
    ciscoasa(config)#access-group 100 in interface outside
    
  3. Разрешите трафик DNS. Откройте порт tcp 53, чтобы разрешить хостам извне (Интернет) получить доступ к серверу DNS (безопасному) в сети DMZ.

    ciscoasa(config)#static (DMZ,Outside) 192.168.5.4 172.16.1.4
     netmask 255.255.255.255
    ciscoasa(config)#access-list 100 extended permit udp any host 192.168.5.4  eq 53
    ciscoasa(config)#access-group 100 in interface outside
    

Примечание. Дополнительные сведения о назначении портов см. в разделе порты IANA.

Проверка

Это можно проверить с помощью определенной команды show, как показано ниже:

  • show xlate – отображает сведения о текущих преобразованиях

  • show access-list – отображает счетчики использования для политик доступа

  • show logging – отображает входы в буфер.

Средство Интерпретатор выходных данных (только для зарегистрированных клиентов) (OIT) поддерживает некоторые команды show. Используйте OIT для просмотра аналитики выходных данных команды show.

Устранение неполадок

Для этой конфигурации отсутствуют сведения об устранении неполадок.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 91970