Безопасность : Межсетевой экран Cisco IOS

Пример конфигурации маршрутизатора с двумя интерфейсами с NAT с использованием брандмауэра Cisco IOS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот пример конфигурации работает для небольшого офиса, который соединяется непосредственно с Интернетом, учитывая, что Сервис доменных имен (DNS), Протокол SMTP и веб-сервисы предоставлены удаленной системой, выполненной интернет-провайдером (ISP). Существуют no service на внутренней сети и только двух интерфейсах. Нет также никакой регистрации, потому что нет никакого хоста, доступного для обеспечения сервисов регистрации.

Так как эта конфигурация использует только списки доступа для входа, она делает и антиспуфинг и фильтрацию трафика с тем же списком доступа. Данная конфигурация работает только для двухпортового маршрутизатора. Ethernet 0 является "внутренней" сетью. Serial 0 является Соединение Frame Relay к интернет-провайдеру.

Обратитесь к Маршрутизатору с двумя интерфейсами с Конфигурацией межсетевого экрана Cisco IOS NAT для настройки двух интерфейсных маршрутизаторов с NAT с помощью Cisco Межсетевой экран IOS�.

Обратитесь к Маршрутизатору с тремя интерфейсами без Конфигурации межсетевого экрана Cisco IOS NAT для настройки трех интерфейсных маршрутизаторов без NAT с помощью межсетевого экрана Cisco IOS.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе применяются к этим версиям программного и аппаратного обеспечения:

  • Cisco Выпуск ПО IOS� 12.2 (15) T13, поддерживаемый от Cisco IOS Software Release 11.3.3. T

  • Маршрутизатор Cisco 2611

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/13892/cbac4-1.gif

Конфигурация

В данном документе используется следующая конфигурация:

2514 Маршрутизаторов
version 12.2
!
service password-encryption
no service udp-small-servers
no service tcp-small-servers
no cdp run
!
hostname cbac-cisco
!
no ip source-route
!
enable secret 5 $1$FrMn$wBu0Xgv/Igy5Y.DarCmrm/
!
username cisco privilege 15 password 7 0822455D0A16
no ip source-route
ip domain-name cisco.com
ip name-server 172.16.150.5 
!

!--- Set up inspection list "myfw".
!--- Inspect for the protocols that actually get used.

!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
!
interface Ethernet0/0
description Cisco Ethernet RTP
 ip address 10.20.20.20 255.255.255.0
 no ip directed-broadcast
 !
 
!--- Apply the access list in order to allow all legitimate traffic
 !--- from the inside network but prevent spoofing.

 !
 ip access-group 101 in
 !
 no ip proxy-arp
 !
 
!--- Apply inspection list "myfw" to Ethernet 0 inbound.
 !--- When conversations are initiated from the internal network 
 !--- to the outside, this inspection list causes temporary additions 
 !--- to the traffic allowed in by serial interface 0 acl 111 when 
 !--- traffic returns in response to the initiation.

 !
 ip inspect myfw in
 no ip route-cache
 !
 no cdp enable
 !
 interface Serial0/0
 description Cisco FR
 ip address 172.16.150.1 255.255.255.0
 encapsulation frame-relay IETF
 no ip route-cache
 no arp frame-relay
 bandwidth 56
 service-module 56 clock source line
 service-module 56k network-type dds
 frame-relay lmi-type ansi
 !
 
!--- Access list 111 allows some ICMP traffic and administrative Telnet, 
 !--- and does anti-spoofing. There is no inspection on Serial 0. 
 !--- However, the inspection on the Ethernet interface adds temporary entries 
 !--- to this list when hosts on the internal network make connections 
 !--- out through the Frame Relay.

 !
 ip access-group 111 in
 no ip directed-broadcast
 no ip route-cache
 bandwidth 56
 no cdp enable
 frame-relay interface-dlci 16
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 Serial0
!

!--- Access list 20 is used to control which network management stations 
!--- can access through SNMP.

!
 access-list 20 permit 172.16.150.8
!
 
!--- The access list allows all legitimate traffic from the inside network
 !--- but prevents spoofing.

!
 access-list 101 permit tcp 172.16.150.0 0.0.0.255 any
 access-list 101 permit udp 172.16.150.0 0.0.0.255 any
 access-list 101 permit icmp 172.16.150.0 0.0.0.255 any

!--- This deny is the default.

 access-list 101 deny ip any any
 !
 
!--- Access list 111 controls what can come from the outside world
 !--- and it is anti-spoofing.

 !
 access-list 111 deny ip 127.0.0.0 0.255.255.255 any
 access-list 111 deny ip 172.16.150.0 0.0.0.255 any
!
 
!--- Perform an ICMP stuff first. There is some danger in these lists. 
 !--- They are control packets, and allowing *any* packet opens
 !--- you up to some possible attacks. For example, teardrop-style 
 !--- fragmentation attacks can come through this list.

!
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 administratively-prohibited
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 echo
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 echo-reply
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 packet-too-big
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 time-exceeded
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 traceroute
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 unreachable
!

!--- Allow Telnet access from 10.11.11.0 corporate network administration people.

!
 access-list 111 permit tcp 10.11.11.0 0.0.0.255 host 172.16.150.1 eq telnet
!
 
!--- This deny is the default.

!
 access-list 111 deny ip any any
 !
 
!--- Apply access list 20 for SNMP process.

 !
 snmp-server community secret RO 20
 !
 line con 0
 exec-timeout 5 0
 password 7 14191D1815023F2036
 login local
 line vty 0 4
 exec-timeout 5 0
 password 7 14191D1815023F2036
 login local
 length 35
 end

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Если соединение не работает после настройки межсетевого экрана IOS для маршрутизатора, убедитесь, что для интерфейса включена команда проверки ip inspect (name defined) in or out. В этой конфигурации ip inspect myfw в применен для интерфейсного Ethernet0/0.

Для этих команд, вместе с другими сведениями об устранении проблем, обращаются к Устранению проблем Аутентификации прокси-сервера.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 13892