ASA 8. 2: Перенаправление порта (Передача) с nat, глобальным, статичным, и команды access-list Использование ASDM

Введение

В этом документе описан принцип работы перенаправления портов в устройстве адаптивной защиты Cisco ASA при использовании ASDM. Рассматривается управлением доступом для трафика с использованием ASA и механизм работы правил преобразования.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

• Обзор NAT

• PIX/ASA 7.X : Перенаправление порта

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

• Версия ASA 8.2 серии 5500 Cisco

• Версия Cisco ASDM 6.3

Примечание: Эта конфигурация хорошо работает от версии программного обеспечения 8.0 Cisco ASA до 8.2 только, потому что нет никаких основных изменений в функциональных возможностях NAT.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Схема сети

Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918, используемые в лабораторной среде.

Разрешение исходящего доступа

Исходящий доступ – это подключения от интерфейса с высоким уровнем безопасности к интерфейсу с низким уровнем безопасности. Это понятие включает в себя исходящие соединения, соединения, направленные в DMZ (демилитаризованную зону), а также соединения, направленные от DMZ во внешнюю сеть. Также сюда относятся подключения из одной зоны DMZ к другой при условии, что интерфейс источника подключения имеет более высокий уровень безопасности, чем интерфейс назначения.

Никакое соединение не может пройти через Устройство безопасности без настроенного правила трансляции. Эту функцию называют nat-control. Образ, показанный здесь, изображает, как отключить это через ASDM для разрешения соединений через ASA без любой переадресации. Однако, если у вас есть какое-либо настроенное правило трансляции, затем отключение этой опции не остается допустимым для всего трафика, и необходимо будет явно освободить сети от переадресации.

Разрешение доступа внутренних узлов во внешние сети с использованием NAT

Вы могли позволить группе внутренних хостов/сетей обращаться к внешнему миру путем настройки правил динамического преобразования сетевых адресов (NAT). Для выполнения этого необходимо выбрать действительный адрес хостов/сетей, которым предоставят доступ, и они тогда должны быть сопоставлены с пулом преобразованных IP-адресов.

Выполните эти шаги для разрешения доступа для внутренних узлов внешним сетям с NAT:

1. Перейдите к Конфигурации> Межсетевой экран> Правила NAT, нажмите Add, и затем выберите опцию Add Dynamic NAT Rule для настройки правила динамического преобразования сетевых адресов (NAT).

   

2. Выберите название интерфейса, с которым связаны реальные хосты. Выберите реальный IP - адрес хостов/сетей с помощью кнопки Details в поле Source.

   

3. В данном примере была выбрана вся внутренняя сеть. Нажмите OK для завершения выбора.

   

4. Нажмите Manage для выбора пула IP-адресов, с которыми будет сопоставлена реальная сеть.

   

5. Нажмите Add для открытия окна Add Global Address Pool.

   

6. Выберите опцию Range и задайте Начало и Окончание IP-адресов наряду с исходящим интерфейсом. Кроме того, задайте уникальный ID пула и нажмите Add для добавления их к пулу адресов. Нажмите OK для возврата к окну Manage Global Pool.

   

7. Нажмите OK для возврата к окну Add Dynamic NAT Rule.

   

8. Нажмите OK для завершения конфигурации Правила динамического преобразования сетевых адресов (NAT).

   

9. Нажмите Apply для изменений для вступления в силу.

   Примечание: Разрешать трафик через межсетевой экран без опции переадресации неконтролируем.

   

Это - эквивалентные выходные данные CLI для этой конфигурации ASDM:

nat-control
global (outside) 10 209.165.200.20-209.165.200.40 netmask 255.255.255.192
nat (inside) 10 172.16.11.0 255.255.255.0

Согласно этой конфигурации, хосты в 172.16.11.0 сетях будут преобразованы в любой IP-адрес от пула NAT, 209.165.200.20-209.165.200.40. Здесь, ID пула NAT очень важен. Вы могли назначить тот же пул NAT на другую internal/dmz сеть. Если сопоставленный пул имеет меньше адресов, чем реальная группа, у вас могли бы закончиться адреса, если больше, чем ожидается объем трафика. В результате вы могли попытаться внедрить PAT, или вы могли попытаться отредактировать существующий пул адресов для расширения его.

Примечание: При создании любой модификации к правилу существующего преобразования обратите внимание, что необходимо использовать команду clear xlate для тех модификаций для вступления в силу. В противном случае предыдущее существующее соединение останется там в таблице подключений пока они таймаут. Будьте осторожны при использовании команды clear xlate, потому что она сразу завершает существующие соединения.

Позвольте доступ для внутренних узлов внешним сетям с PAT

PAT следует использовать в том случае, когда преобразование адресов для внутренних узлов требуется осуществлять с одним общим внешним адресом. Если в операторе global указан один адрес, то преобразование портов выполняется для него. ASA позволяет одну трансляцию портов для интерфейса, и та трансляция поддерживает до 65,535 активных объектов xlate к одиночному глобальному адресу.

Выполните эти шаги для разрешения доступа для внутренних узлов внешним сетям с PAT:

1. Перейдите к Конфигурации> Межсетевой экран> Правила NAT, нажмите Add, и затем выберите опцию Add Dynamic NAT Rule для настройки правила динамического преобразования сетевых адресов (NAT).

   

2. Выберите название интерфейса, с которым связаны реальные хосты. Выберите реальный IP - адрес хостов/сетей с помощью кнопки Details в поле Source и выберите внутреннюю сеть. Нажмите Manage для определения информации о Транслированном адресе.

   

3. Нажмите Add.

   

4. Выберите Преобразование адресов портов (PAT) с помощью IP-адреса параметра интерфейса и нажмите Add для добавления его к пулу адресов. Не забывайте назначать уникальный идентификатор для этого Пула адресов NAT.

   

5. Показанный здесь пул настроенного адреса с внешним интерфейсом как единственный доступный адрес в том пуле. Нажмите OK для возврата к окну Add Dynamic NAT Rule.

   

6. Нажмите кнопку ОК.

   

7. Настроенное правило динамического преобразования сетевых адресов (NAT) показывают здесь в области Configuration> Firewall> NAT Rules.

   

Это - эквивалентные выходные данные CLI для этой конфигурации PAT:

global (outside) 20 interface
nat (inside) 20 172.16.11.0 255.255.255.0

Запрет доступа внутренних узлов во внешние сети

Когда никакие правила доступа не определены, пользователи от интерфейса с более высоким уровнем безопасности могут обратиться к любым ресурсам, привязанным к интерфейсу с более низким уровнем безопасности. Для ограничения некоторых пользователей от доступа к определенным ресурсам используйте правила доступа в ASDM. Данный пример описывает, как позволить одиночному пользователю обращаться к внешним ресурсам (с FTP, SMTP, POP3, HTTPS и WWW) и ограничивать всех других от доступа к внешним ресурсам.

Примечание: Будет "Неявен, Запрещают" правило в конце каждого access-list.

Выполните следующие действия:

1. Перейдите к Конфигурации> Межсетевой экран> Правила Доступа, нажмите Add и выберите опцию Add Access Rule для создания записи нового списка доступа.

   

2. Выберите IP - адрес источника, который должен быть разрешен в поле Source. Выберите любого в качестве Назначения, внутри в качестве Интерфейса и Разрешения как Действие. Наконец, нажмите кнопку Details в поле Service для создания группы сервисов TCP для требуемых портов.

   

3. Нажмите Add, и затем выберите опцию TCP Service Group.

   

4. Введите имя для этой группы. Выберите каждый из требуемых портов и нажмите Add для перемещения их в поле Members in Group.

   

5. Необходимо видеть все выбранные порты в правом поле. Нажмите OK для завершения процесса выбора сервисных портов.

   

6. Вы видите настроенную группу сервисов TCP здесь. Нажмите кнопку ОК.

   

7. Нажмите OK для завершения конфигурации.

   

8. Правило настроенного адреса может быть замечено под внутренним интерфейсом в области Configuration> Firewall> Access Rules.

   

9. Для простоты использования вы могли также отредактировать группу сервисов TCP, непосредственно справа разделяют на области во вкладке Services. Нажмите Edit для изменения этой группы сервисов непосредственно.

   

10. Это снова перенаправляет к окну Edit TCP Service Group. Выполните модификации на основе своих требований и нажмите OK для сохранения изменений.

    

11. Показанный здесь полное представление о ASDM:

    

Это - эквивалентная конфигурация CLI:

object-group service Permit-172.16.10.100 TCP
 port-object eq ftp
 port-object eq ftp-data
 port-object eq www
 port-object eq https
 port-object eq pop3
 port-object eq smtp
!
access-list inside_access_in extended permit TCP host 172.16.10.100 any 
    object-group Permit-172.16.10.100
!
access-group inside_access_in in interface inside
!

Для полной информации при реализации управления доступом обратитесь, чтобы Добавить или Модифицировать Список доступа через GUI ASDM.

Позвольте трафик между интерфейсами с тем же уровнем безопасности

В этом разделе описывается включить трафик в интерфейсах, которые имеют те же уровни безопасности.

Эти инструкции описывают, как включить внутриинтерфейсную связь.

Это будет полезно для трафика VPN, который вводит интерфейс, но тогда поднят тот же интерфейс с постели. Трафик VPN мог бы быть дешифрован в этом случае, или он мог бы повторно шифроваться для другого VPN-подключения. Перейдите к Конфигурации> Настройка устройства> Интерфейсы и выберите трафик Enable между двумя или больше хостами, связанными с тем же параметром интерфейса.

Эти инструкции описывают, как включить межинтерфейсную связь.

Это полезно для разрешения связи между интерфейсами с равными уровнями безопасности. Перейдите к Конфигурации> Настройка устройства> Интерфейсы и выберите трафик Enable между двумя или больше интерфейсами, которые настроены с той же опцией уровней безопасности.

Это - эквивалентный CLI для обоих из этих параметров настройки:

same-security-traffic permit intra-interface
same-security-traffic permit inter-interface

Разрешение доступа недоверенных узлов к узлам доверенной сети

Это может быть достигнуто посредством применения статического преобразования NAT и правила доступа разрешить те хосты. Вы требуете для настройки этого каждый раз, когда внешний пользователь хотел бы обратиться к любому серверу, который находится во внутренней сети. Сервер во внутренней сети будет иметь закрытый IP - адрес, который не маршрутизируем в Интернете. В результате необходимо преобразовать тот закрытый IP - адрес в открытый IP - адрес через статическое NAT правило. Предположим, что у вас есть внутренний сервер (172.16.11.5). Для создания этой работы необходимо преобразовать этот частный IP - сервер в общего IP. Данный пример описывает, как внедрить двунаправленное статическое NAT для перевода 172.16.11.5 в 209.165.200.5.

Раздел по разрешению внешнему пользователю обратиться к этому Web-серверу путем реализации правила доступа не показывают здесь. Краткий фрагмент CLI показывают здесь для вашего понимания:

access-list 101 permit TCP any host 209.165.200.5

Для получения дополнительной информации обратитесь, чтобы Добавить или Модифицировать Список доступа через GUI ASDM.

Примечание: При определении ключевого слова "любой" позволяет любому пользователю от внешнего мира обращаться к этому серверу. Кроме того, если это не задано ни для каких сервисных портов, к серверу можно обратиться на любом сервисном порте, поскольку те остаются открытыми. Проявите осмотрительность, когда вы внедряете, и вам рекомендуют ограничить разрешения отдельным внешним пользователем и также требуемым портом на сервере.

Выполните эти шаги для настройки статического NAT:

1. Перейдите к Конфигурации> Межсетевой экран> Правила NAT, нажмите Add и выберите Add Static NAT Rule.

   

2. Задайте Исходный IP - адрес и Преобразованный IP-адрес наряду с их cвязанными интерфейсами, и нажмите OK.

   

3. Вы видите настроенную статическую запись NAT здесь. Нажмите Apply для передачи этого к ASA.

   

Это - краткий пример CLI для этой конфигурации ASDM:

!
static (inside,outside) 209.165.200.5 172.16.11.5 netmask 255.255.255.255
!

Отключение NAT для определенных узлов/сетей

Когда необходимо будет освободить определенные хосты или сети от NAT, добавьте NAT Освобожденное Правило отключить переадресацию. Это позволяет и преобразованный и удаленные хосты инициировать соединения.

Выполните следующие действия:

1. Перейдите к Конфигурации> Межсетевой экран> Правила NAT, нажмите Add и выберите Add NAT Exempt Rule.

   

2. Здесь, внутренняя сеть 172.18.10.0 была освобождена от переадресации. Удостоверьтесь, что была выбрана опция Exempt. NAT Освобожденное Направление имеет две опции:

   • Исходящий трафик к интерфейсам с более низким уровнем безопасности

   • Входящий трафик к интерфейсам с более высоким уровнем безопасности

   Параметр по умолчанию для исходящего трафика. Нажмите OK для выполнения шага.

   

   Примечание: При выборе Do not exempt option тот определенный хост не будет освобожден от NAT, и отдельное правило доступа будет добавлено с "запрещать" ключевым словом. Это полезно в предотвращении определенных хостов от NAT, освобожденного, поскольку завершенной подсетью, исключая эти хосты, будет освобожденный NAT.

3. Вы видите NAT освобожденное правило для исходящего направления здесь. Нажмите Apply для передачи конфигурации к ASA.

   

   Это - эквивалентные выходные данные CLI для вашей ссылки:

   access-list inside_nat0_outbound extended permit ip host 172.18.10.0 any
   !
   nat (inside) 0 access-list inside_nat0_outbound

4. Здесь вы видите, как отредактировать NAT освобожденное правило для его направления. Нажмите OK для опции для вступления в силу.

   

5. Можно теперь видеть, что направление было изменено к входящему.

   

   Нажмите Apply для передачи этих выходных данных CLI к ASA:

   access-list inside_nat0_outbound extended permit ip host 172.18.10.0 any
   !
   nat (inside) 0 access-list inside_nat0_outbound outside
   

   Примечание: От этого вы видите, что новое ключевое слово (снаружи) было добавлено к концу команды nat 0. Эту функцию называют Внешним NAT.

6. Другим способом отключить NAT является посредством реализации Идентичности NAT. Идентичность NAT преобразовывает хост того же IP-адреса. Вот Обычный Статический Идентификационный пример преобразования NAT, где хост (172.16.11.20) преобразован в тот же IP-адрес, когда к этому обращаются снаружи.

   

   Это - эквивалентные выходные данные CLI:

   !
   static (inside,outside) 172.16.11.20 172.16.11.20 netmask 255.255.255.255
   !
   

Перенаправление (переадресация) портов с использованием команд Static

Переадресация портов или перенаправление порта являются полезной возможностью, где внешние пользователи пытаются обратиться к внутреннему серверу на определенном порту. Для достижения этого внутренний сервер, который имеет закрытый IP - адрес, будет преобразован в открытый IP - адрес, который в свою очередь является предоставленным доступом для определенного порта.

В данном примере внешний пользователь хочет обратиться к серверу SMTP, 209.165.200.15 в порту 25. Это выполнено в двух шагах:

1. Преобразуйте внутренний сервер RADIUS, 172.16.11.15 на порту 25, к открытому IP - адресу, 209.165.200.15 в порту 25.

2. Предоставьте доступ к общему почтовому серверу, 209.165.200.15 в порту 25.

Когда внешний пользователь попытается обратиться к серверу, 209.165.200.15 в порту 25, этот трафик будет перенаправлен к внутреннему серверу RADIUS, 172.16.11 15 в порту 25.

1. Перейдите к Конфигурации> Межсетевой экран> Правила NAT, нажмите Add и выберите Add Static NAT Rule.

   

2. Задайте исходный источник и Преобразованный IP-адрес наряду с их cвязанными интерфейсами. Выберите Enable Port Address Translation (PAT), задайте порты, которые будут перенаправлены и нажмите OK.

   

3. Настроенное правило Статического PAT замечено здесь:

   

   Это - эквивалентные выходные данные CLI:

   !
   static (inside,outside) TCP 209.165.200.15 smtp 172.16.11.15 smtp netmask 
       255.255.255.255
   !
   

4. Это - правило доступа, которое позволяет внешнему пользователю обращаться к общему серверу smtp в 209.165.200.15:

   

   Примечание: Удостоверьтесь, что использовали определенные хосты вместо того, чтобы использовать любое ключевое слово в источнике правила доступа.

Ограничение числа TCP/UDP-сеансов с использованием команд Static

Можно задать максимальное число соединений TCP/UDP при помощи Статического Правила. Можно также задать максимальное число неустановившихся соединений. Неустановившееся соединение является соединением, которое является полуоткрытым состоянием. Большее число их будет влиять на производительность ASA. Ограничение этих соединений предотвратит определенные атаки как DoS и SYN в некоторой степени. Для завершенного смягчения необходимо определить политику в платформе MPF, которая выходит за рамки этого документа. Для дополнительных сведений об этой теме обратитесь к Смягчению Сетевых атак.

Выполните следующие действия:

1. Нажмите вкладку Connection Settings и задайте значения для максимальных чисел подключений для этого статического преобразования.

   

2. Эти образы показывают ограничения соединения для этого определенного статического преобразования:

   

   

   Это - эквивалентные выходные данные CLI:

   !
   static (inside,outside) TCP 209.165.200.15 smtp 172.16.11.15 smtp netmask
       255.255.255.255 TCP 100 50
   !

Список управления доступом с ограничением по времени

Этот раздел имеет дело с реализацией контролируемого по времени access-lists при помощи ASDM. Правила доступа могут быть применены основанные вовремя. Для реализации этого необходимо определить time-range, который задает сроки ко дню/неделе/месяцу/году. Затем необходимо связать этого time-range с требуемым правилом доступа. Time-range может быть определен двумя способами:

1. Абсолютный - Определяет период времени с начальным временем и временем окончания.

2. Периодический - Также известный как повторение. Определяет период времени, который происходит в заданных интервалах.

Примечание: Перед настройкой time-range удостоверьтесь, что ASA был настроен с корректными параметрами даты/времени, поскольку эта функция использует параметры настройки системных часов для реализации. Синхронизация ASA с сервером NTP приведет к намного лучшим результатам.

Выполните эти шаги для настройки этой функции через ASDM:

1. При определении правила доступа нажмите кнопку Details в поле Time Range.

   

2. Нажмите Add для создания нового time-range.

   

3. Определите название временного диапазона и задайте начальное время и время окончания. Нажмите кнопку ОК.

   

4. Вы видите временной диапазон здесь. Нажмите OK для возврата к окну Add Access Rule.

   

5. Можно теперь видеть, что диапазон Ограничивать-времени-использования был связан с этим правилом доступа.

   

   Согласно этой конфигурации правила доступа, пользователь в 172.16.10.50 был ограничен от использования любых ресурсов от 05/Feb/2011 14:00 до 06/Feb/2011 16:30. Это - эквивалентные выходные данные CLI:

   time-range Restrict-Usage
    absolute start 14:00 05 February 2011 end 16:30 06 February 2011
   !
   access-list inside_access_out extended deny ip host 172.16.10.50 any
       time-range Restrict-Usage
   !
   access-group inside_access_out in interface inside
   

6. Вот пример о том, как задать повторяющийся временной диапазон. Нажмите Add для определения повторяющегося временного диапазона.

   

7. Задайте параметры настройки на основе своих требований и нажмите OK для завершения.

   

8. Нажмите OK для возврата назад к окну Time Range.

   

   Согласно этой конфигурации, пользователю в 172.16.10.50 запретили доступ к любым ресурсам с 15:00 до 20:00 во все рабочие дни кроме субботы и в воскресенье.

   !
   time-range Restrict-Usage
    absolute start 00:00 05 February 2011 end 00:30 06 March 2011
    periodic weekdays 15:00 to 20:00
   !
   access-list inside_access_out extended deny ip host 172.16.10.50 any
       time-range Restrict-Usage
   !
   access-group inside_access_out in interface inside
   

   Примечание: Если команда time-range имеет и абсолютные и периодические заданные значения, то периодические команды оценены только после того, как абсолютное время начала достигнуто и далее не оценено после того, как абсолютное время окончания достигнуто.

Дополнительные сведения

• Страница документации Cisco ASA
• Cisco Systems – техническая поддержка и документация