Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA/PIX: Позвольте Сетевому трафику Обращаться к серверу Microsoft Exchange (MMS) / Потоковое видео от интернет-Примера конфигурации

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как настроить Устройство адаптивной защиты (ASA) в заказе разрешение клиента или пользователя из Интернета для доступа к серверу Microsoft Exchange (MMS) или потоковому видео, размещенному во внутреннюю сеть ASA.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Базовая конфигурация ASA

  • MMS настроена и работает должным образом

Используемые компоненты

Сведения в этом документе основываются на Cisco ASA, который работает под управлением ПО версии 7.x и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Сведения в этом документе также применимы к Межсетевому экрану Cisco PIX, который работает под управлением ПО версии 7.x и позже.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Информация о межсетевом экране для Windows Media Services, серии 9

Используйте потоковые медиа-данные протоколы

Windows Media� Services 9 Series Microsoft� использует два потоковых медиа-данные протокола для отправки содержания как одноадресного потока клиентам:

  • Потоковый протокол реального времени (RTSP)

  • Протокол Сервера Microsoft Exchange (MMS)

Эти протоколы поддерживают клиентские действия контроля те, которые останавливаются, делают паузу, перематываются, и ускоренная перемотка индексировала файлы Windows Media.

RTSP является протоколом уровня приложений, который был создан в частности для обеспечения управляемой доставки данных в режиме реального времени, таких как звуковое содержимое и видеоконтент. Можно использовать RTSP для потоковой передачи содержания к компьютерам, которые выполняют Windows Media Player, серии 9 или более поздний клиентам, которые используют Windows Media Player контроль за ActiveX₩½ серии 9, или к другим компьютерам, которые выполняют Windows Media Services, серии 9. Когда вы отправляете поток клиентам, RTSP работает в тандеме с Протоколом RTP, чтобы отформатировать пакеты мультимедийного контента и выполнить согласование о самом эффективном протоколе транспортного уровня, или Протокол UDP или Протокол управления передачей (TCP), использовать. Можно внедрить RTSP через плагин Протокола Управления сервером RTSP WMS в Администраторе Windows Media Services. Этот плагин включен по умолчанию.

MMS является составляющим собственность протоколом уровня приложений, который был разработан для более ранних версий Windows Media Services. Можно использовать MMS для потоковой передачи содержания к компьютерам, которые выполняют Windows Media Player для Windows� XP или ранее. Можно внедрить MMS через плагин Протокола Управления сервером MMS WMS в Администраторе Windows Media Services. Этот плагин включен по умолчанию.

Используйте HTTP

Если порты на межсетевом экране не могут быть открыты, Windows Media� Services может передать содержание потоком с HTTP по порту 80. HTTP может использоваться для отправки потоков всем версиям Windows Media Player. Можно внедрить HTTP через плагин Протокола управления HTTP Server WMS в Администраторе Windows Media Services. Этот плагин не включен по умолчанию. Если другой сервис, такой как информационные сервисы интернета (IIS), использует порт 80 на том же IP-адресе, вы не можете включить плагин.

HTTP может также использоваться для них:

  • Распределите потоки между серверами Windows Media

  • Исходное содержание от кодера Windows Media

  • Загрузки динамично генерировали списки воспроизведения от Web-сервера

Плагины источника данных должны быть настроены в Администраторе Windows Media Services для поддержки этих дополнительных сценариев потоковой передачи HTTP.

Об одновременном нажатии клавиш протокола

Если клиенты, которые поддерживают подключение RTSP к серверу, который выполняет Windows Media� Services с моникером URL RTSP (например, rtsp://) или моникером URL MMS (например, mms://), сервер, используют одновременное нажатие клавиш протокола для потоковой передачи содержания клиенту для обеспечения оптимального опыта потоковой передачи. Автоматическое одновременное нажатие клавиш протокола от RTSP/MMS до RTSP с основанным на UDP или на основе TCP транспортирует (RTSPU или RTSPT), или даже HTTP (если плагин Протокола управления HTTP Server WMS включен), может произойти, поскольку сервер пытается выполнить согласование о лучшем протоколе и предоставить оптимальный опыт потоковой передачи для клиента. Клиенты, которые поддерживают RTSP, включают Windows Media Player или более поздние или другие проигрыватели серии 9, которые используют Windows Media Player Элемент управления ActiveX серии 9.

Более ранние версии Windows Media Player, такие как Windows Media Player для Windows XP, не поддерживают протокол RTSP, но протокол MMS предоставляет поддержку одновременного нажатия клавиш протокола для этих клиентов. Таким образом, когда более ранняя версия Проигрывателя пытается соединиться с сервером с моникером URL MMS, автоматическим одновременным нажатием клавиш протокола от MMS до MMS с основанным на UDP или на основе TCP транспортирует (MMSU или MMST), или даже HTTP (если плагин Протокола управления HTTP Server WMS включен), может произойти, поскольку сервер пытается выполнить согласование о лучшем протоколе и предоставить оптимальный опыт потоковой передачи для этих клиентов.

Чтобы удостовериться, что содержание доступно всем клиентам, которые соединяются с сервером, порты на межсетевом экране должны быть открыты для всех протоколов соединения, которые могут использоваться в одновременном нажатии клавиш протокола.

Можно вынудить сервер Windows Media использовать определенный протокол при определении протокола, который будет использоваться в файле объявления (например, rtspu://server/publishing_point/file). Для обеспечения оптимального опыта потоковой передачи для всех версий клиентской части мы рекомендуем, чтобы URL использовал общий протокол MMS. Если клиенты соединяются с потоком с URL с моникером URL MMS, любое необходимое одновременное нажатие клавиш протокола происходит автоматически. Знайте, что пользователи могут отключить протоколы RTSP в параметрах настройки свойства Windows Media Player. Если пользователь отключает протокол, он пропущен в одновременном нажатии клавиш. Например, если HTTP отключен, URL не переворачиваются к HTTP.

Выделите порты для Windows Media Services

Большинство межсетевых экранов используется для управления "входящим трафиком" к серверу; они обычно не управляют "исходящим трафиком" клиентам. Если более строгая политика безопасности внедрена в сети сервера, порты в межсетевом экране для исходящего трафика могут быть закрыты. В этом разделе описываются выделение порта по умолчанию для Windows Media� Services и для входящего и исходящего трафика (показанный как "В" и в таблицах) так, чтобы можно было настроить все порты, как необходимый.

В некоторых сценариях исходящий трафик может быть направлен к одному порту в диапазоне доступных портов. Диапазоны портов, показанные в таблицах, указывают на весь диапазон доступных портов, но можно выделить меньше портов в диапазоне портов. Когда вы решите, сколько портов для открытия сбалансируйте безопасность с доступности и откройте как раз достаточно портов, чтобы позволить всем клиентам делать соединением. Во-первых, определите, сколько портов вы ожидаете использовать для Windows Media Services, и затем открываться на 10 процентов больше для составления наложения с другими программами. После установления этого количества контролируйте трафик, чтобы определить, необходимы ли какие-либо корректировки.

Ограничения диапазона портов потенциально влияют на весь вызов удаленной процедуры (RPC) и приложения Распределенной модели компонентных объектов (DCOM), которые совместно используют систему, не просто Windows Media Services. Если диапазон назначенного порта не достаточно широк, альтернативные сервисы, такие как IIS могут отказать со случайными ошибками. Диапазон портов должен быть в состоянии принять все потенциальные системные приложения, которые используют RPC, COM или сервисы DCOM.

Для создания конфигурации межсетевого экрана проще, можно настроить каждый плагин протокола управления сервером (RTSP, MMS и HTTP) в Администраторе Windows Media Services для использования определенного порта. Если администратор сети уже открыл серию портов для использования сервером Windows Media, можно выделить те порты протоколам управления соответственно. В противном случае можно попросить, чтобы администратор сети открыл порты по умолчанию для каждого протокола. Если это не возможно к открытым портам на межсетевом экране, Windows Media Services может передать содержание потоком с HTTP - протоколом по порту 80.

Это - выделение порта межсетевого экрана по умолчанию для Windows Media Services для отправки одноадресного потока:

Протокол уровня приложения Протокол Порт Описание
RTSP TCP  /* 554 (Входящий/исходящий) Используемый, чтобы принять входящие клиентские соединения RTSP и отправить пакеты данных клиентам, которые передают потоком с RTSPT.
RTSP UDP 5004 Используемый, чтобы отправить пакеты данных клиентам, которые передают потоком с RTSPU.
RTSP UDP 5005 (Входящий/исходящий) Используемый, чтобы получить сведения о потере пакета от клиентов и обеспечить синхронизацию информация клиентам, которые передают потоком с RTSPU.
MMS TCP  /* (Входящий/исходящий) 1755 Используемый, чтобы принять входящие клиентские соединения MMS и отправить пакеты данных клиентам, которые передают потоком с MMST.
MMS UDP (Входящий/исходящий) 1755 Используемый, чтобы получить сведения о потере пакета от клиентов и обеспечить синхронизацию информация клиентам, которые передают потоком с MMSU.
MMS UDP 1024-5000 Используемый, чтобы отправить пакеты данных клиентам, которые передают потоком с MMSU. Откройте только необходимое количество портов.
HTTP TCP  /* 80 (Входящий/исходящий) Используемый, чтобы принять входящие соединения клиента HTTP и отправить пакеты данных клиентам, которые передают потоком с HTTP.

Чтобы удостовериться, что содержание доступно всем версиям клиентской части, которые соединяются с сервером, открывают все порты, описанные в таблице для всех протоколов соединения, которые могут использоваться в одновременном нажатии клавиш протокола. Если вы выполняете Windows Media Services на компьютере, который выполняет Windows Server™ 2003 Service Pack 1 (SP1), необходимо добавить программу Windows Media Services (wmserver.exe) как исключение в Windows Firewall для открытия портов входа по умолчанию для потоковой передачи индивидуальной рассылки, а не открытых портов в межсетевом экране вручную.

Примечание: Обратитесь к Веб-узлу Microsoft leavingcisco.com для знания больше о конфигурации межсетевого экрана MMS.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/100308/ASAMMS-1.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918, которые использовались в лабораторной среде.

Конфигурации

Эти конфигурации используются в данном документе:

Конфигурация ASA
CiscoASA#Show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!

!--- Output suppressed

access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit udp any host
 192.168.1.5 eq 1755

!--- Command to open the MMS udp port

access-list outside_access_in extended permit tcp any host
 192.168.1.5 eq 1755

!--- Command to open the MMS tcp port

access-list outside_access_in extended permit udp any host
 192.168.1.5 eq 5005

!--- Command to open the RTSP udp port

access-list outside_access_in extended permit tcp any host
 192.168.1.5 eq www

!--- Command to open the HTTP port

access-list outside_access_in extended permit tcp any host
 192.168.1.5 eq rtsp

!--- Command to open the RTSP tcp port


!--- Output suppressed

static (inside,outside) 192.168.1.5 10.1.1.5 netmask
 255.255.255.255

!--- Translates the mapped IP 192.168.1.5 
to the translated
IP 10.1.1.5 of the MMS.

access-group outside_access_in in interface outside

!--- Output suppressed

telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp

!--- RTSP inspection is enabled by default

  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • Show access-list — Отображает ACL, настроенные в ASA/PIX

    ciscoASA#show access-list
    access-list outside_access_in; 6 elements
    access-list outside_access_in line 1 extended permit 
       icmp any any (hitcnt=0) 0x71af81e1
    access-list outside_access_in line 2 extended permit 
       udp any host 192.168.1.5 eq 1755 (hitcnt=0) 0x4
    2606263
    access-list outside_access_in line 3 extended permit 
       tcp any host 192.168.1.5 eq 1755 (hitcnt=0) 0xa
    0161e75
    access-list outside_access_in line 4 extended permit 
       udp any host 192.168.1.5 eq 5005 (hitcnt=0) 0x3
    90e9949
    access-list outside_access_in line 5 extended permit 
       tcp any host 192.168.1.5 eq www (hitcnt=0) 0xe5
    db0efc
    access-list outside_access_in line 6 extended permit 
       tcp any host 192.168.1.5 eq rtsp (hitcnt=0) 0x5
    6fa336f
  • Show nat — Политика NAT Показов и счетчики.

    ciscoASA(config)#show nat
    NAT policies on Interface inside:
      match ip inside host 10.1.1.5 outside any
        static translation to 192.168.1.5
        translate_hits = 0, untranslate_hits = 0

Потоковая передача VideoTroubleshoot

В этом разделе описывается процесс устранения неполадок конфигурации.

Осмотрите RTSP, конфигурация по умолчанию на ASA. Это ломает трафик MMS, так как устройство безопасности не может выполнить NAT на сообщениях RTSP, потому что встроенные IP - адреса содержатся в файлах SDP как часть сообщений RTSP или HTTP. Пакеты могут быть фрагментированы, и устройство безопасности не может выполнить NAT на фрагментированных пакетах.

Обходной путь: Эта проблема может быть решена при отключении контроля RTSP для этого определенного трафика MMS как показано:

access-list rtsp-acl extended deny tcp 
   any host 192.168.1.5 eq 554
access-list rtsp-acl extended permit tcp any any eq 554
class-map rtsp-traffic
match access-list rtsp-acl
policy-map global_policy
class inspection_default
no inspect rtsp
class rtsp-traffic
inspect rtsp

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 100308