Безопасность : Устройства защиты Cisco PIX серии 500

Пример конфиграции "PIX/ASA: cоединение одиночных внутренних сетей с интернетом"

10 февраля 2011 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (13 сентября 2013) | Английский (24 октября 2008) | Отзыв

Содержание

Введение
Перед началом работы
      Предварительные условия
      Используемые компоненты
      Родственные продукты
      Условные обозначения
Настройка
      Схема сети
      Настройка PIX 6.x
      Настройка PIX/ASA 7.x и последующих версий
Проверка
Поиск и устранение неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

Этот пример конфигурации демонстрирует настройку устройств защиты Cisco (PIX/ASA) для использования с одиночной внутренней сетью.

За дополнительной информацией о конфигурации устройств защиты PIX/ASA версии 7.x с несколькими внутренними сетями для подключения к Интернету (или внешней сети) с использованием интерфейса командной строки (CLI) или Менеджера устройств адаптивной защиты (ASDM) версии 5.x и выше обратитесь к документу PIX/ASA 7.x и последующие версии: пример конфигурации подключения нескольких внутренних сетей к Интернету.

Перед началом работы

Предварительные условия

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

Сведения в этом документе основаны на версиях оборудования и программного обеспечения, указанных ниже.

  • ПО межсетевого экрана Cisco PIX версии 6.x или выше

Сведения, представленные в этом документе, получены для устройств в особой лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать возможные последствия выполнения любой команды.

Родственные продукты

Эту конфигурацию также можно использовать для устройства адаптивной защиты Cisco серии 5500, на котором запущена версия 7.x или выше.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание.  Для поиска дополнительных сведений о командах, описываемых в данном документе, используйте средство поиска команд (только для зарегистрированных пользователей).

Схема сети

В данном документе используется сетевая установка, показанная на следующей схеме.

/image/gif/paws/10136/19a_update.gif

Примечание. Схемы IP-адресации, приведенные в этой конфигурации, нельзя использовать для маршрутизации в Интернете. Это адреса RFC 1918 leavingcisco.com, которые использовались в лабораторной среде.

Настройка PIX 6.x

В данном документе используются следующие конфигурации.

Если есть выходные данные команды write terminal от устройства Cisco, то можно использовать для получения наглядной информации о возможных проблемах и способах их устранения. Для работы с необходимо быть зарегистрированным пользователем, войти в систему и включить поддержку JavaScript.

Настройка PIX 6.3
PIX Version 6.3(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed




!--- Enable logging. 


logging on


!--- Output Suppressed




!--- All interfaces are shutdown by default. 


interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 100full
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
arp timeout 14400



!--- Output Suppressed




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224




!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.



nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end         
[OK]

Настройка маршрутизатора
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R3640_out
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
interface Ethernet0/1
 ip address 10.165.200.225 255.255.255.224
 no ip directed-broadcast

!
ip classless
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

Настройка PIX/ASA 7.x и последующих версий

Примечание.  Команды не по умолчанию выделены полужирным шрифтом.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.2244



!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end

ПРИМЕЧАНИЕ. Дополнительную информацию о настройке NAT и PAT для PIX/ASA см. в инструкции по NAT и PAT для PIX/ASA 7.x.

Дополнительную информацию о настройке списков контроля доступа для PIX/ASA см. в документе PIX/ASA 7.x: перенаправление портов (переадресация) с помощью команд nat, global, static и access-list.

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Поиск и устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

ПРИМЕЧАНИЕ. Дополнительную информацию об устранении неполадок PIX/ASA см. в документе Устранение неполадок при подключении через PIX и ASA.

Некоторые команды show поддерживаются интерпретатором выходных данных (доступен только для зарегистрированных пользователей); интерпретатор позволяет просматривать анализ выходных данных команды show.

Примечание.  Прежде чем применять команды debug, ознакомьтесь с документом Важные сведения о командах debug.

  • debug icmp trace — данная команда показывает, достигают ли устройства PIX запросы ICMP, отправляемые хостами. Для запуска этой процедуры отладки добавьте в конфигурацию команду conduit permit icmp any any. После завершения отладки удалите команду conduit permit icmp any any, чтобы избежать возможной угрозы безопасности.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 10136