Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA: настройка и устранение неполадок PIX Firewall с одиночной внутренней сетью

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (22 сентября 2010) | Английский (22 августа 2015) | Отзыв


Интерактивно этот документ предлагает анализ конкретного устройства Cisco.


Содержание


Введение

Этот пример конфигурации демонстрирует, как настроить Security Appliance для отделения корпоративной сети от Интернета.

Предварительные условия

Требования

Внутренняя сеть имеет веб-сервер, почтовый сервер и FTP-сервер, к которым могут получать доступ пользователи в Интернете. Все прочие варианты доступа к узлам внутренней сети запрещены внешним пользователям.

  • Реальный адрес веб-сервера — 192.168.1.4; адрес в Интернете 10.1.1.3

  • Реальный адрес почтового сервера — 192.168.1.15; адрес в Интернете 10.1.1.4

  • Реальный адрес FTP-сервера — 192.168.1.10; адрес в Интернете 10.1.1.5

Всем пользователям из внутренней сети предоставляется неограниченный доступ к Интернету. Внутренним пользователям разрешено пользоваться командой ping для проверки доступности компьютеров в Интернете, но пользователям Интернета запрещено проверять доступность компьютеров внутренней сети командой ping.

В рассматриваемой конфигурации организация приобрела сеть класса А у своего поставщика услуг Интернета (10.1.1.x). Адреса .1 и .2 зарезервированы для внешнего маршрутизатора и внешнего интерфейсе PIX соответственно. Адреса .3-.5 используются для внутренних серверов, доступных пользователям из Интернета. Адреса .6-.14 зарезервированы для будущего использования для серверов, доступных внешним пользователям.

В данном примере используется межсетевой экран PIX с четырьмя сетевыми интерфейсными платами, из которых задействованы только две. PIX настраивается на отправку syslog-сообщений внутреннему серверу syslog server с IP-адресом 192.168.1.220 (не показан на схеме сети).

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Межсетевой экран Cisco PIX 535

  • ПО межсетевого экрана Cisco PIX версии 6.x и более поздних

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Эту конфигурацию также можно использовать для Cisco 5500 Series Adaptive Security Appliance, на котором запущена версия 7.x или более поздняя.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/13825/single-net-1.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. В лабораторной среде использовались адреса, описанные в документе RFC 1918 <http://www.ietf.org/rfc/rfc1918.txt?number=1918>.

Настройка PIX 6.x

Примечание: Команды не по умолчанию показаны полужирным шрифтом.

PIX
Building configuration... 
: Saved 
: 
PIX Version 6.3(3) 
nameif gb-ethernet0 outside security0 
nameif gb-ethernet1 inside security100 
nameif ethernet0 intf2 security10 
nameif ethernet1 intf3 security15 
enable password 8Ry2YjIyt7RRXU24 encrypted 
passwd 2KFQnbNIdI.2KYOU encrypted 
hostname pixfirewall 


!--- Output Suppressed




!--- Create an access list to allow pings out 
!--- and return packets back in. 

access-list 100 permit icmp any any echo-reply  
access-list 100 permit icmp any any time-exceeded  
access-list 100 permit icmp any any unreachable  


!--- Allows anyone on the Internet to connect to 
!--- the web, mail, and FTP servers. 

access-list 100 permit tcp any host 10.1.1.3 eq www  
access-list 100 permit tcp any host 10.1.1.4 eq smtp  
access-list 100 permit tcp any host 10.1.1.5 eq ftp 
pager lines 24 


!--- Enable logging. 

logging on 
no logging timestamp 
no logging standby 
no logging console 
no logging monitor 


!--- Enable error and more severe syslog messages 
!--- to be saved to the local buffer. 

logging buffered errors 


!--- Send notification and more severe syslog messages
!--- to the syslog server. 

logging trap notifications 
no logging history 
logging facility 20 
logging queue 512 


!--- Send syslog messages to a syslog server 
!--- on the inside interface. 

logging host inside 192.168.1.220 


!--- All interfaces are shutdown by default. 

interface gb-ethernet0 1000auto 
interface gb-ethernet1 1000auto 
interface ethernet0 auto shutdown 
interface ethernet1 auto shutdown 
mtu outside 1500 
mtu inside 1500 
mtu intf2 1500 
mtu intf3 1500 
ip address outside 10.1.1.2 255.255.255.0 
ip address inside 192.168.1.1 255.255.255.0 
ip address intf2 127.0.0.1 255.255.255.255 
ip address intf3 127.0.0.1 255.255.255.255 
ip audit info action alarm 
ip audit attack action alarm 
no failover 
failover timeout 0:00:00 
failover poll 15 
failover ip address outside 0.0.0.0 
failover ip address inside 0.0.0.0 
failover ip address intf2 0.0.0.0 
failover ip address intf3 0.0.0.0 
arp timeout 14400 


!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.

global (outside) 1 10.1.1.15-10.1.1.253 


!--- Define a Port Address Translation (PAT) address that 
!--- is used once the NAT pool is exhausted.

global (outside) 1 10.1.1.254 


!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.

nat (inside) 1 0.0.0.0 0.0.0.0 0 0 


!--- Define a static translation for the internal 
!--- web server to be accessible from the Internet.

static (inside,outside) 10.1.1.3 192.168.1.4 
   netmask 255.255.255.255 0 0 


!--- Define a static translation for the internal 
!--- mail server to be accessible from the Internet.

static (inside,outside) 10.1.1.4 192.168.1.15 
   netmask 255.255.255.255 0 0 


!--- Define a static translation for the internal 
!--- FTP server to be accessible from the Internet.

static (inside,outside) 10.1.1.5 192.168.1.10 
   netmask 255.255.255.255 0 0 


!--- Apply access list 100 to the outside interface.

access-group 100 in interface outside 


!--- Define a default route to the ISP router.

route outside 0.0.0.0 0.0.0.0 10.1.1.1 1 


!--- Output Suppressed




!--- Allow the host 192.168.1.254 to be able to 
!--- Telnet to the inside of the PIX. 

telnet 192.168.1.254 255.255.255.255 inside 
: end 
[OK] 


!--- Output Suppressed

Настройка PIX/ASA 7.x и более поздних версий

Примечание: Команды не по умолчанию показаны полужирным шрифтом.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.1.1.2 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!


!--- Output Suppressed



!--- Create an access list to allow pings out 
!--- and return packets back in.


access-list 100 extended permit icmp any any echo-reply
access-list 100 extended permit icmp any any time-exceeded
access-list 100 extended permit icmp any any unreachable



!--- Allows anyone on the Internet to connect to 
!--- the web, mail, and FTP servers. 


access-list 100 extended permit tcp any host 10.1.1.3 eq www
access-list 100 extended permit tcp any host 10.1.1.4 eq smtp
access-list 100 extended permit tcp any host 10.1.1.5 eq ftp
pager lines 24


!--- Enable logging.


logging enable



!--- Enable error and more severe syslog messages 
!--- to be saved to the local buffer. 


logging buffered errors



!--- Send notification and more severe syslog messages
!--- to the syslog server. 


logging trap notifications



!--- Send syslog messages to a syslog server 
!--- on the inside interface. 



logging host inside 192.168.1.220

mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400



!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.


global (outside) 1 10.1.1.15-10.1.1.253



!--- Define a Port Address Translation (PAT) address that 
!--- is used once the NAT pool is exhausted.


global (outside) 1 10.1.1.254



!--- !--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0



!--- Define a static translation for the internal 
!--- web server to be accessible from the Internet.


static (inside,outside) 10.1.1.3 192.168.1.4 netmask 255.255.255.255



!--- Define a static translation for the internal 
!--- mail server to be accessible from the Internet.


static (inside,outside) 10.1.1.4 192.168.1.15 netmask 255.255.255.255



!--- Define a static translation for the internal 
!--- FTP server to be accessible from the Internet.


static (inside,outside) 10.1.1.5 192.168.1.10 netmask 255.255.255.255



!--- Apply access list 100 to the outside interface.


access-group 100 in interface outside



!--- !--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.1.1.1 1


!--- Output Suppressed



!--- Allow the host 192.168.1.254 to be able to 
!--- Telnet to the inside of the PIX. 


telnet 192.168.1.254 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
: end


!--- Output Suppressed

Примечание: Для получения дополнительной информации о конфигурации NAT и PAT на PIX/ASA, обратитесь к PIX/ASA 7.x Операторы PAT и NAT.

Дополнительную информацию о настройке списков доступа для PIX/ASA см. в PIX/ASA 7.x: "Перенаправление портов (переадресация) с помощью команд nat, global, static и access-list".

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show interface—Отображение статистики интерфейса.

  • show traffic—Отображение объема трафика через PIX.

  • show xlate—Отображение текущих настроенных преобразований через PIX.

  • show conn—Отображение текущих подключений через PIX.

    Примечание: Для получения дополнительной информации о том, как устранить неполадки PIX/ASA, отнеситесь для Устранения проблем Соединений через PIX и ASA.

Команды для устранения неполадок

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

  • debug icmp trace—Отображение всех запросов проверки связи ICMP и ответов на них или через PIX.

Устранение неполадок: общие проблемы

При наличии результата выполнения команды write terminal для устройства Cisco, можно воспользоваться средством Output Interpreter Tool (только для зарегистрированных пользователей) для отображения потенциальных проблем и мер их устранения.

  • Пул для NAT (и адрес для РАТ — за исключением РАТ интерфейса) должен использовать IP-адреса, которые не используются ни одним другим устройством в сети. К ним относятся статические адреса (для преобразований) или адреса, используемые в интерфейсах.

    Если используется PIX версии 5.2 или более поздняя, для PAT можно использовать адрес внешнего интерфейса PIX. Это полезно в случае наличия только одного внешнего адреса или необходимости сохранения пространства IP-адресов.

    Чтобы разрешить PAT для адреса внешнего интерфейса, удалите глобальный пул для NAT и адрес для РАТ из конфигурации и используйте IP-адрес внешнего интерфейса в качестве адреса для РАТ.

    ip address outside 10.1.1.2
    nat (inside) 1 0 0 global (outside) 1 interface

    Примечание: Некоторые мультимедийные приложения могут конфликтовать с сопоставлениями портов, предоставленными PAT. PAT не работает с командой established. PAT работает со службой имен доменов (DNS), FTP и пассивным FTP, HTTP, электронной почтой, процедурой удаленного вызова (RPC), rshell, Telnet, URL-фильтрацией и программой контроля прохождения сигнала по сети. Некоторые версии PIX поддерживают H.323 с PAT нескольких версий. H.323v2 с поддержкой PAT добавлена в версию 6.2.2, а H.323v3 и v4 с поддержкой PAT добавлена в версию 6.3.

  • Необходимо иметь список доступа (или канал) для предоставления доступа к внутренним серверам. По умолчанию входящий доступ запрещен.

    Примечание: Команда conduit была заменена командой access-list. Cisco рекомендует перенести конфигурацию из команды conduit для поддержки будущей совместимости.

  • После any список доступа имеется неявная команда deny ip any any.

  • Если DNS-сервер находится с внешней стороны PIX, а внутренние пользователи хотят получить доступ к внутренним серверам, используя их DNS-имена, тогда необходимо использовать команду alias для исправления ответа DNS от DNS-сервера.

  • Если ознакомление с этими общими проблемами не помогло устранить неполадки, выполните следующие действия:

    1. Проверьте, что работает IP-соединение между двумя устройствами. Для этого войдите в PIX, используя консоль или Telnet. Выполните команды terminal monitor и debug icmp trace.

    2. Если внутренние пользователи испытывают трудности при попытке получить доступ к серверам в Интернете, командой ping проверьте связь с сервером, к которому необходимо получить доступ, и посмотрите, получите ответ или нет. Если ответ не получен, просмотрите инструкции отладки и убедитесь, что запрос проверки связи ICMP прошел через PIX. Если нет подтверждения запросов проверки связи ICMP, проверьте шлюз по умолчанию на исходном компьютере. Как правило это PIX.

      Также используйте nslookup на клиентском компьютере и убедитесь, что разрешается IP-адрес сервера, с которым делается попытка установить соединение.

    3. Если установлено IP-соединение отключите debug icmp trace и включите logging console debug (в случае подключения к консоли) или logging monitor debug (в случае подключения к PIX через Telnet). В результате на экране появятся сообщения syslog. Попробуйте подключиться к серверу и просмотрите syslog-сообщения на отказ в передаче какого-либо трафика. В случае наличия отказа, syslog-сообщение должно указывать на возможную причину такого отказа. Также можно просмотреть описание syslog-сообщений.

    4. Если внешние пользователи не могут получить доступ к внутренним серверам:

      1. Проверьте синтаксис команды static.

      2. Перепроверьте предоставление доступа инструкциями с командой access-list.

      3. Перепроверьте применение списка доступа командой access-group.

    5. Зарегистрированный пользователь может войти в систему и устранить неполадки с PIX, используя средство TAC Case Collection (только для зарегистрированных пользователей).

Информация, обязательная для сбора в случае обращения в центр технической поддержки

Если после выполнения действий устранению проблем, приведенных в данном документе, все еще нужна помощь и вы хотите отправить запрос на обслуживание в Cisco TAC, обязательно включите в него следующую информацию для устранения проблем в межсетевом экране PIX.
  • Описание проблемы и соответствующие сведения о топологии
  • Перед открытием запроса на обслуживание проведены поиск и устранение неисправностей
  • Выходные данные команды show tech-support
  • Выходные данные команды show log после выполнения команды logging buffered debugging или снимки консоли, демонстрирующие проблему (при их наличии)
Приложите собранные данные к запросу на обслуживание в простом текстовом формате (.txt), не архивируя вложенный файл. Чтобы приложить информацию к запросу, можно загрузить ее Service Request Query Tool (только для зарегистрированных пользователей). При отсутствии доступа к средству Service Request Query Tool можно отправить данные электронной почтой по адресу attach@cisco.com с номером сервисного запроса в строке "Тема" отправляемого сообщения.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 13825