Zadatak je bio postaviti
da omogući serverima i korisnicima da rade lokalna mreža preduzeća.
serveri su bijeli
(Internet tip 62.xxx) adrese i proći
Korisnički podaci se prenose
Serveri imaju dvije mrežne kartice: jedna je na lokalnoj mreži, druga je na internetu i kontroliraju se preko lokalne mreže. Stoga pristup iz lokalne mreže DMZ-u nije konfiguriran, jer nije potreban.
Primjer konfiguracije je dat u nastavku.
ASA verzija 8.2(1)
Domain. Potrebno za SSH
naziv domene strui.ru
Lozinka za uključivanje.
omogući lozinku 4aeeoLOxxxxxxjMx šifrirano
passwd k0a6sN9ExxxxxxxxzV šifriran
Opis interfejsa koji gleda na Internet
interfejs Ethernet0/0
opis Internet
nivo sigurnosti 0
ip adresa 213.xxx.xxx.194 255.255.255.240
Opis interfejsa koji gleda u lokalnu mrežu
interfejs Ethernet0/1
opis Lokalno
nivo sigurnosti 100
ip adresa 10.10.10.20 255.255.255.0
Opis interfejsa koji gleda u mrežu servera (DMZ)
interfejs Ethernet0/2
nivo sigurnosti 50
ip adresa 62.xxx.xxx.177 255.255.255.240
Ovaj interfejs je onemogućen
interfejs Ethernet0/3
bez sigurnosnog nivoa
Ovaj interfejs je onemogućen (nije vezan za lokalnu mrežu). Koristi za
početno Cisco podešavanje
Upravljanje interfejsom0/0
nameif management
nivo sigurnosti 100
ip adresa 192.168.1.1 255.255.255.0
ftp mod pasivan
Podesite zonu i vreme. Obavezno za dnevnike.
sat vremenska zona MSK/MDD 3
sat ljetno računanje vremena MSK/MDD ponavljanje zadnje ned mar 2:00 zadnje ned okt 3:00
dns server-group DefaultDNS
Lista pristupa serverima demilitorizovane zone. dolaznog saobraćaja.
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.180 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.180 eq ftp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.180 eq ftp-data
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.181 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.181 eq ftp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.181 eq ftp-data
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.178 eq domen
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq smtp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq pop3
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq imap4
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.184 eq 8081
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.184 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.185 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.186 eq ftp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.186 eq ftp-data
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.186 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.189 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq domena
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq https
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.182 eq smtp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.182 eq pop3
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.182 eq imap4
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.187 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.188 eq www
Lista pristupa za servere iz DMZ-a. odlaznog saobraćaja.
access-list acl_out_dmz proširena dozvola tcp bilo koji
access-list acl_out_dmz proširena dozvola udp bilo koji
access-list acl_out_dmz proširena dozvola icmp bilo koji bilo koji
access-list acl_out_dmz prošireno zabrani tcp host 62.xxx.19.76 host 213.xxx.36.194 eq 135
access-list acl_out_dmz prošireno zabrani tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp
Lista pristupa za korisnike lokalne mreže.
Za odlazni saobraćaj je sve dozvoljeno.
access-list acl_out_inside proširena dozvola tcp 10.10.10.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola tcp 10.10.20.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola tcp 10.10.40.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola tcp 10.10.50.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola tcp 10.10.110.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola icmp 10.10.10.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola icmp 10.10.110.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola icmp 10.10.20.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola icmp 10.10.50.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.10.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.20.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.110.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.50.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.40.0 255.255.255.0 bilo
Podešavanje evidencije
vremenska oznaka evidentiranja
evidentiranje zamki obavještenja
logiranje asdm informacija
logging host unutar 10.10.10.4
mtu izvan 1500
mtu menadžment 1500
icmp nedostižna brzina-ograničenje 1 burst-veličina 1
nije omogućena asdm historija
arp timeout 14400
globalno podešavanje
globalni (van) 1 interfejs
Postavljanje NAT-a za lokalnu mrežu
nat (iznutra) 1 0.0.0.0 0.0.0.0
Postavljanje statike za servere
nat (dmz) 0 0.0.0.0 0.0.0.0
statički (dmz,spolja) 62.xxx.xxx.180 62.xxx.xxx.180 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.181 62.xxx.xxx.181 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.178 62.xxx.xxx.178 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.179 62.xxx.xxx.179 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.184 62.xxx.xxx.184 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.185 62.xxx.xxx.185 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.186 62.xxx.xxx.186 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.189 62.xxx.xxx.189 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.187 62.xxx.xxx.187 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.188 62.xxx.xxx.188 mrežna maska 255.255.255.255
Vežemo pristupnu listu preko pristupne grupe za interfejse.
pristupna grupa acl_in_dmz u vanjskom interfejsu
access-group acl_out_inside u interfejsu unutra
pristupna grupa acl_out_dmz u interfejsu dmz
Registriramo rutiranje za interfejse.
ruta izvan 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
ruta unutar 10.10.20.0 255.255.255.0 10.10.10.10 1
ruta unutar 10.10.40.0 255.255.255.0 10.10.10.10 1
ruta unutar 10.10.50.0 255.255.255.0 10.10.10.10 1
ruta unutar 10.10.110.0 255.255.255.0 10.10.10.10 1
timeout xlate 3:00:00
timeout conn 1:00:00 poluzatvoreno 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 apsolutno
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
Dozvoljavamo rad preko WEB lica sa lokalne mreže.
http server omogućiti
http 10.10.10.0 255.255.255.0 unutra
nema lokacije snmp-servera
nema kontakta sa snmp-serverom
snmp-server omogućava zamke snmp autentifikaciju linkup linkdown coldstart
Životni vijek kripto ipsec sigurnosne asocijacije sekundi 28800
kripto ipsec sigurnosna asocijacija životni vijek kilobajta 4608000
Dozvoljavamo da telnet i ssh rade na lokalnoj mreži.
telnet 10.10.10.0 255.255.255.0 unutra
telnet timeout 5
ssh 10.10.10.0 255.255.255.0 unutra
ssh 10.10.10.71 255.255.255.255 unutra
vremensko ograničenje konzole 0
dhcpd adresa 192.168.1.2-192.168.1.254 upravljanje
prijetnja-detekcija osnovna-prijetnja
pristupna lista statistike detekcije prijetnji
nema statistike otkrivanja prijetnji tcp-intercept
Vremenski server i korisnik za WEB brnjicu.
ntp server 10.10.10.3 izvor unutar
korisničko ime admin lozinka trAp5eVxxxxxxnv šifrirana privilegija 15
class-map inspection_default
podudaranje default-inspection-traffic
policy-map type inspect dns preset_dns_map
Maksimalna dužina poruke 512
politika-mapa global_policy
class inspection_default
provjeri dns preset_dns_map
pregledati h323 h225
pregledati h323 ras
service-policy global_policy global
promptni kontekst imena hosta
Cryptochecksum:58da28923df5a5f8d5192125f9b1796f
U ovom članku ćemo objasniti kako preći sa Cisco ASA 5500 zaštitnih zidova (ASA 5510, ASA 5520, ASA 5540 i ASA 5550) na modernije ASA 5500-X (5512-X, 5515-X, 55245-X, 55245-X). X , 5555-X), koja će preliminarna priprema biti potrebna, na koje tačke treba obratiti pažnju.
Ovdje je približna korespondencija između uređaja ove dvije linije za prijelaz.
Kako bi se migracija odvijala brzo i bez problema, morate se pažljivo pripremiti za nju - provjeriti da li su ispunjeni zahtjevi za hardver i softver.
Provjeravamo sljedeće:
Trebat će vam sljedeći koraci da se pripremite za prelazak sa cisco 500 serije:
Alternativno, možete koristiti web-bazirani NAT alat za migraciju, kontaktirati TAC ili korisničku podršku za njega. Ovaj alat vam omogućava da podnesete postojeću konfiguraciju s lokalnog računala na obradu, zatim vrši transformacije i na kraju pruža korisniku ažuriranu konfiguraciju koja se jednostavno može kopirati i sačuvati u datoteku. Prije korištenja ovog alata pažljivo pročitajte njegova ograničenja.
Naravno, arhitektura novih uređaja je nešto drugačija. Vizuelno možete uočiti sljedeće razlike:
Zbog ovih razlika, morat ćete ručno promijeniti nekoliko stvari u konfiguracijskoj datoteci serije 5500. Pogledajte ispod za detalje.
Svi ASA 5500 predstavnici imaju Gigabit portove, njihova konfiguracija je već registrovana i ništa ne treba mijenjati. Izuzetak je ASA 5510 bez SecPlus licence, gdje takav port ne postoji. Stoga, ako prenesemo konfiguraciju sa 5510, morat ćemo promijeniti sva imena sučelja i podsučelja kako bi odražavali da novi uređaj ima gigabitne portove.
Evo primjera kako se to radi (od 5510 do 5515-X).
ASA 5510 konfiguracija
! fizički interfejs
interfejs Ethernet0/1
no nameif
bez sigurnosnog nivoa
nema ip adrese
nema gašenja
! Kreiranje podsučelja na interfejsu E0/1 (dve logičke mreže)
interfejs Ethernet0/1.120
vlan 1222
nameif fw-out
nivo sigurnosti 50
ASA 5515-X rekonfiguracija
! fizički interfejs
interfejs GigabitEthernet0/1
no nameif
bez sigurnosnog nivoa
nema ip adrese
nema gašenja
! Kreiranje podsučelja na sučelju G0/1 (dvije logičke mreže)
interfejs GigabitEthernet0/1.1201
vlan 1222
nameif fw-out
nivo sigurnosti 50
ip adresa 172.16.61.1 255.255.255.0
Značajna razlika u ASA 5500-X platformi je u tome što IPS i firewall usluge imaju zajednički port za upravljanje, ali se ne mogu koristiti u bilo koju drugu svrhu. Imajte na umu da ga nakon tranzicije neće biti moguće koristiti kao port za podatke ili kao konfiguracijski element sa visokom dostupnošću (u seriji 5500 to je bilo moguće). Ako ste to radili na prethodnoj platformi, obavezno prenesite postavke konfiguracije ovog porta za upravljanje na jedan od gigabitnih portova podataka s brojem većim od G0 / 3 prilikom migracije. Sljedeće pokazuje kako se to radi na primjeru migracije sa ASA 5520 na ASA 5525-X.
ASA 5520 konfiguracija
Upravljanje interfejsom0/0
no nameif
bez sigurnosnog nivoa
nema ip adrese
nema samo upravljanje
nema gašenja!
! Podsučelja na sučelju M0/0
Upravljanje interfejsom0/0.120
vlan 1222
nameif fw-out
nivo sigurnosti 50
ip adresa 172.16.61.1 255.255.255.0
ASA 5515-X konfiguracija
! Namenski interfejs za upravljanje
Upravljanje interfejsom0/0
no nameif
bez sigurnosnog nivoa
nema ip adrese
samo za upravljanje
nema gašenja
! Upravljački interfejs je migriran na GigabitEthernet0/3
interfejs GigabitEthernet0/3
no nameif
bez sigurnosnog nivoa
nema ip adrese
nema gašenja
! Podsučelja na sučelju G0/3
interfejs GigabitEthernet0/3.1201
vlan 1222
nameif fw-out
nivo sigurnosti 50
ip adresa 172.16.61.1 255.255.255.0
Cisco ASA 5500 nema GigabitEthernet0/3 interfejs, tako da prilikom nadogradnje na noviju verziju, konfiguracije ne bi trebalo da budu u sukobu jedna s drugom.
Slično tome, ako ste prethodno koristili sučelje za upravljanje za konfiguraciju prekoračenja greške, migrirajte ga na novo, nekorišteno 5500-X sučelje.
Kako ispravno migrirati ASA i IPS servise? Ovdje postoji nekoliko opcija, jer, kao što je gore spomenuto, IPS servisi i firewall u 5500-X sada imaju jedan zajednički port za upravljanje, dok su prije koristili različite. , preporučujemo da ih pažljivo proučite i odaberete odgovarajući.
Direktno prilikom ručnog prijenosa IPS konfiguracijske datoteke, nećete morati ništa mijenjati ako ste obavili sve gore opisane potrebne pripreme. Za svaki slučaj, još jednom provjerite da li je port za upravljanje ispravno konfiguriran.
Ne zaboravite da se IPS aktivira u dvije faze, za što će vam biti potrebna licenca ne samo za ASA uređaj, već i za sam IPS servis.
Kao što vidite, migracija sa uređaja serije ASA 5500 na ASA 5500-X odvija se u nekoliko faza, neke od njih su automatizovane, a neke će se morati obaviti ručno.
Pokušali smo opisati glavne korake, kojim redoslijedom to učiniti i na što treba obratiti pažnju kako bi nakon tranzicije nova oprema radila ispravno i obavljala funkcije koje su joj dodijeljene.
U ovom dijelu ćemo se osvrnuti na rad u ROMMON-u.
Rad sa ROMMON-om je više hitan posao.
Tipične nesreće su oštećena ili greškom izbrisana slika OS-a ili kada su jednostavno zaboravili lozinku.
Ako želimo simulirati ovu situaciju, izbrisat ćemo OS datoteku, a također ćemo resetirati konfiguraciju:
konfiguracija fabrički zadana
Konzolom smo povezani sa ASA-om.
Ulazimo u ROMMON način rada - tokom tajmera pritisnite Esc.
! rommon: sučelje ethernet0/0 adresa 10.0.0.1 server 10.0.0.2 datoteka asa842-k8.bin tftpdnld
U ovom slučaju, ASA će pokrenuti OS direktno sa tftp-a, a mi ćemo imati kontrolu nad uređajem već u "normalnom" načinu rada.
Nakon pokretanja u ovom režimu, lozinka za omogućavanje će biti prazna (pritisnite enter)
Dalja podešavanja ćemo izvršiti u skladu sa šemom:
Dakle, u skladu sa šemom, konfigurisaćemo interni interfejs:
interfejs gigabitethernet 2 sigurnosni nivo 100 imeif unutar ip adrese 192.168.2.253 255.255.255.0 bez isključivanja
Ovdje na interfejsu postavljamo sljedeće parametre:
nivo sigurnosti 100- Pošto je ovaj interfejs interni, postavili smo ga na najviši nivo bezbednosti, tj. mi mu najviše verujemo.
nameif unutra- Definisano ime za interfejs. Ovo je važan parametar, jer će se ovo ime često koristiti u daljim postavkama.
Provjera IP adrese:
Postavke IP adresiranja možete provjeriti na interfejsima:
prikaži run-config ip
Ili ping:
Usput, malo o konzoli:
Sa praznom konfiguracijom, lozinka omogućiti prazno - samo pritisnite enter.
Kao što je poznato na komandnom ruteru show može se samo uneti privilegovani način rada. Ako smo unutra konfiguracijski način onda treba dati komandu pokazati.
U slučaju ASA, naredba show će raditi u bilo kojem načinu rada.
Prekini izvršenje naredbe (npr. prikaži run-config) može se izvršiti preko dugmeta " q".
boot system flash:/asa914-5-k8.bin
Bez ove naredbe, prva dostupna slika će biti učitana. operativni sistem.
Provjera slike za pokretanje:
Mi prekorimo
Dakle, uverili smo se da je interni interfejs ispravno konfigurisan, a ping takođe prolazi.
Dakle, sada imamo potpuno konfiguriranu vezu s internom mrežom i sada možemo konfigurirati mogućnost upravljanja Upravljaj naša ASA.
Upravljanje ASA može se obaviti na nekoliko načina:
U našem konkretnom slučaju rada sa GNS3, koristimo kompatibilne jedni s drugima i sa GNS3:
ASA verzija 8.4(2)
ASDM verzija 6.4(3)
Da bi ASDM funkcionisao, takođe ćemo kopirati njegov fajl u flash:
asdm image flash:/asdm-643.bin
Provjera ASDM radne slike:
Da rezimiramo, da bi ASA ispravno radio, moraju postojati dvije datoteke na flash-u:
Unesite ime hosta:
Postavite lozinku za uključivanje
omogući lozinku mysecretpassword
Kreiramo administratorskog korisnika i omogućavamo autentifikaciju putem lokalne baze podataka za SSH i HTTP metode.
korisničko ime asaadmin lozinka adminpassword privilege 15 aaa autentifikacija ssh konzola LOCAL aaa autentikacija http konzola LOCAL
Ovdje, inače, nismo uključili aaa za telnet. U ovom slučaju, primarna lozinka za telnet će biti određena naredbom:
Generiramo RSA ključ potreban da bi SSH radio:
kripto ključ generira RSA modul 1024
Da ASDM radi, omogućite https podršku:
http server omogući http 192.168.2.0 255.255.255.0 unutar ssh 192.168.2.0 255.255.255.0 unutra
Ovdje prva komanda uključuje server, a druga određuje kome će se pustiti.
Kao što znate, HTTPS zahtijeva certifikat za rad. U ovom slučaju, ASA će koristiti . To znači da će se svakim ponovnim pokretanjem certifikat ponovo generirati.
Općenito, možemo konfigurirati 3 vrste certifikata za ASA:
Na ovo ćemo se vratiti kasnije.
Radi praktičnosti, povećajmo vremensko ograničenje za SSH:
Provjera HTTP, SSH, TELNET postavki
show running-config aaa show running-config http show running-config ssh show running-config telnet
ASA verzija 8.2(1)
!
!Cisco ime
ime hosta asa
!Domena. Potrebno za SSH
naziv domene strui.ru
!Lozinka za omogućavanje.
omogući lozinku 4aeeoLOxxxxxxjMx šifrirano
passwd k0a6sN9ExxxxxxxxzV šifriran
imena
! Opis interfejsa koji gleda na Internet.
interfejs Ethernet0/0
opis Internet
ime ako je vani
nivo sigurnosti 0
ip adresa 213.xxx.xxx.194 255.255.255.240
! Opis interfejsa koji gleda u lokalnu mrežu.
interfejs Ethernet0/1
opis Lokalno
nameif unutra
nivo sigurnosti 100
ip adresa 10.10.10.20 255.255.255.0
!
! Opis interfejsa koji gleda u mrežu servera (DMZ)
interfejs Ethernet0/2
opis DMZ
nameif dmz
nivo sigurnosti 50
ip adresa 62.xxx.xxx.177 255.255.255.240
!Ovaj interfejs je onemogućen
interfejs Ethernet0/3
ugasiti
no nameif
bez sigurnosnog nivoa
nema ip adrese
!Ovaj interfejs je onemogućen (nije vezan za lokalnu mrežu). Koristi za
!početno podešavanje Cisco
Upravljanje interfejsom0/0
nameif management
nivo sigurnosti 100
ip adresa 192.168.1.1 255.255.255.0
samo za upravljanje
!
ftp mod pasivan
! Podesite zonu i vreme. Obavezno za dnevnike.
sat vremenska zona MSK/MDD 3
sat ljetno računanje vremena MSK/MDD ponavljanje zadnje ned mar 2:00 zadnje ned okt 3:00
dns server-group DefaultDNS
! Lista pristupa serverima demilitorizovane zone. dolaznog saobraćaja.
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.180 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.180 eq ftp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.180 eq ftp-data
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.181 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.181 eq ftp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.181 eq ftp-data
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.178 eq domen
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq smtp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq pop3
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq imap4
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.184 eq 8081
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.184 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.185 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.186 eq ftp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.186 eq ftp-data
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.186 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.189 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq domena
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq https
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.182 eq smtp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.182 eq pop3
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.182 eq imap4
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.187 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.188 eq www
! Lista pristupa za servere iz DMZ-a. odlaznog saobraćaja.
access-list acl_out_dmz proširena dozvola tcp bilo koji
access-list acl_out_dmz proširena dozvola udp bilo koji
access-list acl_out_dmz proširena dozvola icmp bilo koji bilo koji
access-list acl_out_dmz prošireno zabrani tcp host 62.xxx.19.76 host 213.xxx.36.194 eq 135
access-list acl_out_dmz prošireno zabrani tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp
!Pristupna lista za LAN korisnike.
! Za odlazni saobraćaj je sve dozvoljeno.
access-list acl_out_inside proširena dozvola tcp 10.10.10.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola tcp 10.10.20.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola tcp 10.10.40.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola tcp 10.10.50.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola tcp 10.10.110.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola icmp 10.10.10.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola icmp 10.10.110.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola icmp 10.10.20.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola icmp 10.10.50.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.10.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.20.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.110.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.50.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.40.0 255.255.255.0 bilo
! Podešavanje evidencije
logging enable
vremenska oznaka evidentiranja
evidentiranje zamki obavještenja
logiranje asdm informacija
logging host unutar 10.10.10.4
mtu izvan 1500
mtu unutar 1500
mtu dmz 1500
mtu menadžment 1500
no failover
icmp nedostižna brzina-ograničenje 1 burst-veličina 1
nije omogućena asdm historija
arp timeout 14400
! globalno podešavanje
globalni (van) 1 interfejs
! Postavljanje NAT-a za lokalnu mrežu
nat (iznutra) 1 0.0.0.0 0.0.0.0
! Postavljanje statike za servere
nat (dmz) 0 0.0.0.0 0.0.0.0
statički (dmz,spolja) 62.xxx.xxx.180 62.xxx.xxx.180 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.181 62.xxx.xxx.181 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.178 62.xxx.xxx.178 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.179 62.xxx.xxx.179 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.184 62.xxx.xxx.184 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.185 62.xxx.xxx.185 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.186 62.xxx.xxx.186 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.189 62.xxx.xxx.189 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.187 62.xxx.xxx.187 mrežna maska 255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.188 62.xxx.xxx.188 mrežna maska 255.255.255.255
! Vežemo pristupnu listu preko pristupne grupe za interfejse.
pristupna grupa acl_in_dmz u vanjskom interfejsu
access-group acl_out_inside u interfejsu unutra
pristupna grupa acl_out_dmz u interfejsu dmz
! Registriramo rutiranje za interfejse.
ruta izvan 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
ruta unutar 10.10.20.0 255.255.255.0 10.10.10.10 1
ruta unutar 10.10.40.0 255.255.255.0 10.10.10.10 1
ruta unutar 10.10.50.0 255.255.255.0 10.10.10.10 1
ruta unutar 10.10.110.0 255.255.255.0 10.10.10.10 1
timeout xlate 3:00:00
timeout conn 1:00:00 poluzatvoreno 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 apsolutno
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
! Dozvoljavamo rad preko WEB lica sa lokalne mreže.
http server omogućiti
http 10.10.10.0 255.255.255.0 unutra
nema lokacije snmp-servera
nema kontakta sa snmp-serverom
snmp-server omogućava zamke snmp autentifikaciju linkup linkdown coldstart
Životni vijek kripto ipsec sigurnosne asocijacije sekundi 28800
kripto ipsec sigurnosna asocijacija životni vijek kilobajta 4608000
! Dozvoljavamo da telnet i ssh rade na lokalnoj mreži.
telnet 10.10.10.0 255.255.255.0 unutra
telnet timeout 5
ssh 10.10.10.0 255.255.255.0 unutra
ssh 10.10.10.71 255.255.255.255 unutra
ssh timeout 30
vremensko ograničenje konzole 0
dhcpd adresa 192.168.1.2-192.168.1.254 upravljanje
!
prijetnja-detekcija osnovna-prijetnja
pristupna lista statistike detekcije prijetnji
nema statistike otkrivanja prijetnji tcp-intercept
! Vremenski server i korisnik za WEB brnjicu.
ntp server 10.10.10.3 izvor unutar
webvpn
korisničko ime admin lozinka trAp5eVxxxxxxnv šifrirana privilegija 15
!
class-map inspection_default
podudaranje default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parametri
Maksimalna dužina poruke 512
politika-mapa global_policy
class inspection_default
provjeri dns preset_dns_map
inspect ftp
pregledati h323 h225
pregledati h323 ras
pregledati rsh
inspect rtsp
inspect esmtp
inspect sqlnet
pregledati mršav
pregledati sunrpc
pregledajte xdmcp
pregledati gutljaj
pregledati netbios
inspect tftp
!
service-policy global_policy global
promptni kontekst imena hosta
Cryptochecksum:
: kraj