Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA 7.x и выше: Почта (SMTP) доступ сервера на Примере конфигурации внутренней сети

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот пример конфигурации демонстрирует, как установить Устройство безопасности PIX/ASA для доступа к почте (SMTP) сервер, расположенный на внутренней сети.

Дополнительные сведения о порядке настройки многоконтекстной конфигурации в устройствах защиты см. в документе PIX/ASA версий 7.x и выше: Почта (SMTP) Доступ сервера на Примере Конфигурации DMZ для получения дополнительной информации о том, как установить Устройство безопасности PIX/ASA для доступа к ПОЧТЕ/СЕРРЕРУ SMTP, расположилась на сети DMZ.

Обратитесь к PIX/ASA 7.x с Доступом Почтового сервера на Конфигурации Внешней сети, Exampleto устанавливают Устройство безопасности PIX/ASA для доступа к ПОЧТЕ/СЕРРЕРУ SMTP, расположенной на Внешней сети.

Обратитесь к ASA 8.3 и Позже: Почта (SMTP) Доступ сервера на Примере конфигурации Внутренней сети для получения дополнительной информации об одинаковой конфигурации на устройстве адаптивной защиты Cisco (ASA) с версией 8.3 и позже.

Примечание: Сошлитесь на документацию межсетевого экрана Cisco Secure PIX для получения дополнительной информации для узнавания больше о том, как настроить для Microsoft Exchange. Выберите версию программного обеспечения, затем перейдите к руководству по конфигурации и считайте главу по тому, как настроить для Microsoft Exchange.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Устройство безопасности PIX 535

  • Программное обеспечение брандмауэра PIX, выпуск 7.1(1)

  • Маршрутизаторы Cisco серии 2500

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Родственные продукты

Этот документ может также использоваться с Устройством адаптивной защиты (ASA) серии 5500 Cisco с Версией программного обеспечения 7.x и позже.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/70031-pix7x-mailserver-inside.gif

Конфигурации

Эти конфигурации используются в данном документе:

Сетевой экран PIX
PIX Version 7.1(1) 
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet1
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet2
 shutdown
 no nameif
 no security-level
 no ip address
!             


!--- Define the IP address for the inside interface.

interface Ethernet3
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!


!--- Define the IP address for the outside interface.

interface Ethernet4
 nameif outside
 security-level 0
 ip address 209.164.3.1 255.255.255.252 
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive



!--- Create an access list that permits Simple 
!--- Mail Transfer Protocol (SMTP) traffic from anywhere
!--- to the host at 209.164.3.5 (our server). The name of this list is 
!--- smtp. Add additional lines to this access list as required.
!--- Note: There is one and only one access list allowed per
!--- interface per direction (for example, inbound on the outside interface).
!--- Because of limitation, any additional lines that need placement in
!--- the access list need to be specified here. If the server
!--- in question is not SMTP, replace the occurrences of SMTP with
!--- www, DNS, POP3, or whatever else is required.


access-list smtp extended permit tcp any host 209.164.3.5 eq smtp 

pager lines 24
mtu inside 1500
mtu outside 1500
no failover
no asdm history enable
arp timeout 14400


!--- Specify that any traffic that originates inside from the
!--- 192.168.2.x network NATs (PAT) to 209.164.3.129 if
!--- such traffic passes through the outside interface.

global (outside) 1 209.164.3.129
nat (inside) 1 192.168.2.0 255.255.255.0


!--- Define a static translation between 192.168.2.57 on the inside and
!--- 209.164.3.5 on the outside. These are the addresses to be used by
!--- the server located inside the PIX Firewall.

static (inside,outside) 209.164.3.5 192.168.2.57 netmask 255.255.255.255


!--- Apply the access list named smtp inbound on the outside interface.

access-group smtp in interface outside


!--- Instruct the PIX to hand any traffic destined for 192.168.x.x
!--- to the router at 192.168.1.2.

route inside 192.168.0.0 255.255.0.0 192.168.1.2 1


!--- Set the default route to  209.164.3.2.
!--- The PIX assumes that this address is a router address.

route outside 0.0.0.0 0.0.0.0 209.164.3.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!

!--- SMTP/ESMTP is inspected as "inspect esmtp" is included in the map.

policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!


!--- SMTP/ESMTP is inspected as "inspect esmtp" is included in the map.

service-policy global_policy global
Cryptochecksum:f96eaf0268573bd1af005e1db9391284
: end

Маршрутизатор В
Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname 2522-R5
 !
 enable secret 5 $1$N0F3$XE2aJhJlCbLWYloDwNvcV.
 !
 ip subnet-zero
 !
 !
 !
 !
 !
 interface Ethernet0
 

!--- Sets the IP address of the Ethernet interface to 209.164.3.2.


  ip address 209.164.3.2 255.255.255.252
 !
 interface Serial0


!--- Instructs the serial interface to use 
!--- the address of the Ethernet interface when the need arises.


  ip unnumbered ethernet 0 
 !
 interface Serial1
  no ip address
  no ip directed-broadcast
 !
 ip classless


!--- Instructs the router to send all traffic
!--- destined for 209.164.3.x to 209.164.3.1.


 ip route 209.164.3.0 255.255.255.0 209.164.3.1


!--- Instructs the router to send
!--- all other remote traffic out serial 0.


 ip route 0.0.0.0 0.0.0.0 serial 0
 !
 !
 line con 0
  transport input none
 line aux 0
  autoselect during-login
 line vty 0 4
  exec-timeout 5 0
  password ww
  login
 !
 end

Примечание: Конфигурация маршрутизатора А не добавлена. Только необходимо дать IP-адреса на интерфейсах и установить шлюз по умолчанию в 192.168.1.1, который является внутренним интерфейсом Межсетевого экрана PIX.

Конфигурация ESMTP TLS

Примечание: При использовании шифрование Transport Layer Security (TLS) для переписки по электронной почте тогда функция проверки ESMTP (включил по умолчанию) в отбрасываниях PIX пакеты. Чтобы разрешить передачу электронных сообщения при включенном TLS, отключите функцию проверки ESMTP, как показано ниже. Обратитесь к идентификатору ошибки Cisco CSCtn08326 (только зарегистрированные клиенты) для получения дополнительной информации.

pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit

Примечание: В версии ASA 8.0.3 и позже, команда allow-tls доступна для разрешения электронной почты TLS с осмотрите esmtp, включенным как показано:

policy-map type inspect esmtp tls-esmtp
parameters
allow-tls
inspect esmtp tls-esmtp

Отрегулируйте почтовые потоки

Если громкость электронных почт наталкивается слишком быстро на внутренний сервер, можно использовать статическую команду для снижения скорости PIX для разрешения ограниченного числа электронных почт (соединения) за один раз.

Ниже представлен пример:

static (inside,outside) 209.164.3.5 192.168.2.57 netmask 255.255.255.255 60 0

Этот статический пример команды взят от Конфигурации PIX. Эта команда ограничивает максимальное число соединений с 60 для электронных почт.

Максимальное число одновременных TCP - подключений, которые должны позволить хосты локального IP, 0, по умолчанию, что означает неограниченные соединения. Неиспользуемые соединения закрыты после времени, заданного командой времени ожидания соединения.

Примечание: Если существуют проблемы прерывистого подключения с почтовым сервером, удостоверьтесь, что команда sysopt noproxyarp inside присутствует в конфигурации. В противном случае добавьте его к конфигурации. Обратитесь к Справочнику по командам Cisco Security Appliance, Версия 8.0 для получения дополнительной информации об этой команде.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

Команда logging console debugging направляет сообщения к консоли PIX. Если подключение к почтовому серверу является проблемой, исследуйте консольные сообщения отладки для определения местоположения IP-адресов посылающих и принимающих станций для определения проблемы.

Информация, которую необходимо собрать при обращении в службу технической поддержки

При тихой необходимости помощи после того, как вы завершаете действия по устранению проблем в этом документе и хотите открыть случай с технической поддержкой Cisco, несомненно будут включать эту информацию для устранения проблем Межсетевого экрана PIX.
  • Описание проблемы, которое включает топологию и подробные данные IP-адреса почтового сервера.
  • Завершите любое устранение проблем перед открытием случая.
  • Выходные данные команды show tech-support.
  • Выходные данные от команды show log после того, как это выполнится с командой отладки буферированной регистрации или снимками консоли, которые демонстрируют проблему (при наличии).
Присоедините собранные данные к запросу в простом текстовом формате (.txt), не архивируя файл. Вы можете вложить информацию в ваш случай загрузив ее инструментом запроса обслуживания TAC (только зарегистрированные клиенты). Если средство TAC Service Request Tool недоступно, данные можно отправить как вложение в электронное сообщение по адресу attach@cisco.com, указав в теме сообщения номер запроса.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 70031