Kontakti

Provjera HTTP, SSH, TELNET postavki

Zadatak je bio postaviti

da omogući serverima i korisnicima da rade lokalna mreža preduzeća.

serveri su bijeli

(Internet tip 62.xxx) adrese i proći

Korisnički podaci se prenose

Serveri imaju dvije mrežne kartice: jedna je na lokalnoj mreži, druga je na internetu i kontroliraju se preko lokalne mreže. Stoga pristup iz lokalne mreže DMZ-u nije konfiguriran, jer nije potreban.

Primjer konfiguracije je dat u nastavku.

ASA verzija 8.2(1)

Domain. Potrebno za SSH

naziv domene strui.ru

Lozinka za uključivanje.

omogući lozinku 4aeeoLOxxxxxxjMx šifrirano

passwd k0a6sN9ExxxxxxxxzV šifriran

Opis interfejsa koji gleda na Internet

interfejs Ethernet0/0

opis Internet

nivo sigurnosti 0

ip adresa 213.xxx.xxx.194 255.255.255.240

Opis interfejsa koji gleda u lokalnu mrežu

interfejs Ethernet0/1

opis Lokalno

nivo sigurnosti 100

ip adresa 10.10.10.20 255.255.255.0

Opis interfejsa koji gleda u mrežu servera (DMZ)

interfejs Ethernet0/2

nivo sigurnosti 50

ip adresa 62.xxx.xxx.177 255.255.255.240

Ovaj interfejs je onemogućen

interfejs Ethernet0/3

bez sigurnosnog nivoa

Ovaj interfejs je onemogućen (nije vezan za lokalnu mrežu). Koristi za

početno Cisco podešavanje

Upravljanje interfejsom0/0

nameif management

nivo sigurnosti 100

ip adresa 192.168.1.1 255.255.255.0

ftp mod pasivan

Podesite zonu i vreme. Obavezno za dnevnike.

sat vremenska zona MSK/MDD 3

sat ljetno računanje vremena MSK/MDD ponavljanje zadnje ned mar 2:00 zadnje ned okt 3:00

dns server-group DefaultDNS

Lista pristupa serverima demilitorizovane zone. dolaznog saobraćaja.

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.180 eq www

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.180 eq ftp

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.180 eq ftp-data

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.181 eq www

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.181 eq ftp

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.181 eq ftp-data

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.178 eq domen

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq smtp

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq pop3

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq imap4

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.184 eq 8081

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.184 eq www

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.185 eq www

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.186 eq ftp

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.186 eq ftp-data

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.186 eq www

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.189 eq www

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq domena

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq https

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.182 eq smtp

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.182 eq pop3

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.182 eq imap4

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.184 eq rtsp

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.187 eq www

access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.188 eq www

Lista pristupa za servere iz DMZ-a. odlaznog saobraćaja.

access-list acl_out_dmz proširena dozvola tcp bilo koji

access-list acl_out_dmz proširena dozvola udp bilo koji

access-list acl_out_dmz proširena dozvola icmp bilo koji bilo koji

access-list acl_out_dmz prošireno zabrani tcp host 62.xxx.19.76 host 213.xxx.36.194 eq 135

access-list acl_out_dmz prošireno zabrani tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp

Lista pristupa za korisnike lokalne mreže.

Za odlazni saobraćaj je sve dozvoljeno.

access-list acl_out_inside proširena dozvola tcp 10.10.10.0 255.255.255.0 bilo

access-list acl_out_inside proširena dozvola tcp 10.10.20.0 255.255.255.0 bilo

access-list acl_out_inside proširena dozvola tcp 10.10.40.0 255.255.255.0 bilo

access-list acl_out_inside proširena dozvola tcp 10.10.50.0 255.255.255.0 bilo

access-list acl_out_inside proširena dozvola tcp 10.10.110.0 255.255.255.0 bilo

access-list acl_out_inside proširena dozvola icmp 10.10.10.0 255.255.255.0 bilo

access-list acl_out_inside proširena dozvola icmp 10.10.110.0 255.255.255.0 bilo

access-list acl_out_inside proširena dozvola icmp 10.10.20.0 255.255.255.0 bilo

access-list acl_out_inside proširena dozvola icmp 10.10.50.0 255.255.255.0 bilo

access-list acl_out_inside proširena dozvola udp 10.10.10.0 255.255.255.0 bilo

access-list acl_out_inside proširena dozvola udp 10.10.20.0 255.255.255.0 bilo

access-list acl_out_inside proširena dozvola udp 10.10.110.0 255.255.255.0 bilo

access-list acl_out_inside proširena dozvola udp 10.10.50.0 255.255.255.0 bilo

access-list acl_out_inside proširena dozvola udp 10.10.40.0 255.255.255.0 bilo

Podešavanje evidencije

vremenska oznaka evidentiranja

evidentiranje zamki obavještenja

logiranje asdm informacija

logging host unutar 10.10.10.4

mtu izvan 1500

mtu menadžment 1500

icmp nedostižna brzina-ograničenje 1 burst-veličina 1

nije omogućena asdm historija

arp timeout 14400

globalno podešavanje

globalni (van) 1 interfejs

Postavljanje NAT-a za lokalnu mrežu

nat (iznutra) 1 0.0.0.0 0.0.0.0

Postavljanje statike za servere

nat (dmz) 0 0.0.0.0 0.0.0.0

statički (dmz,spolja) 62.xxx.xxx.180 62.xxx.xxx.180 mrežna maska ​​255.255.255.255

statički (dmz,spolja) 62.xxx.xxx.181 62.xxx.xxx.181 mrežna maska ​​255.255.255.255

statički (dmz,spolja) 62.xxx.xxx.178 62.xxx.xxx.178 mrežna maska ​​255.255.255.255

statički (dmz,spolja) 62.xxx.xxx.179 62.xxx.xxx.179 mrežna maska ​​255.255.255.255

statički (dmz,spolja) 62.xxx.xxx.184 62.xxx.xxx.184 mrežna maska ​​255.255.255.255

statički (dmz,spolja) 62.xxx.xxx.185 62.xxx.xxx.185 mrežna maska ​​255.255.255.255

statički (dmz,spolja) 62.xxx.xxx.186 62.xxx.xxx.186 mrežna maska ​​255.255.255.255

statički (dmz,spolja) 62.xxx.xxx.189 62.xxx.xxx.189 mrežna maska ​​255.255.255.255

statički (dmz,spolja) 62.xxx.xxx.187 62.xxx.xxx.187 mrežna maska ​​255.255.255.255

statički (dmz,spolja) 62.xxx.xxx.188 62.xxx.xxx.188 mrežna maska ​​255.255.255.255

Vežemo pristupnu listu preko pristupne grupe za interfejse.

pristupna grupa acl_in_dmz u vanjskom interfejsu

access-group acl_out_inside u interfejsu unutra

pristupna grupa acl_out_dmz u interfejsu dmz

Registriramo rutiranje za interfejse.

ruta izvan 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1

ruta unutar 10.10.20.0 255.255.255.0 10.10.10.10 1

ruta unutar 10.10.40.0 255.255.255.0 10.10.10.10 1

ruta unutar 10.10.50.0 255.255.255.0 10.10.10.10 1

ruta unutar 10.10.110.0 255.255.255.0 10.10.10.10 1

timeout xlate 3:00:00

timeout conn 1:00:00 poluzatvoreno 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 apsolutno

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

Dozvoljavamo rad preko WEB lica sa lokalne mreže.

http server omogućiti

http 10.10.10.0 255.255.255.0 unutra

nema lokacije snmp-servera

nema kontakta sa snmp-serverom

snmp-server omogućava zamke snmp autentifikaciju linkup linkdown coldstart

Životni vijek kripto ipsec sigurnosne asocijacije sekundi 28800

kripto ipsec sigurnosna asocijacija životni vijek kilobajta 4608000

Dozvoljavamo da telnet i ssh rade na lokalnoj mreži.

telnet 10.10.10.0 255.255.255.0 unutra

telnet timeout 5

ssh 10.10.10.0 255.255.255.0 unutra

ssh 10.10.10.71 255.255.255.255 unutra

vremensko ograničenje konzole 0

dhcpd adresa 192.168.1.2-192.168.1.254 upravljanje

prijetnja-detekcija osnovna-prijetnja

pristupna lista statistike detekcije prijetnji

nema statistike otkrivanja prijetnji tcp-intercept

Vremenski server i korisnik za WEB brnjicu.

ntp server 10.10.10.3 izvor unutar

korisničko ime admin lozinka trAp5eVxxxxxxnv šifrirana privilegija 15

class-map inspection_default

podudaranje default-inspection-traffic

policy-map type inspect dns preset_dns_map

Maksimalna dužina poruke 512

politika-mapa global_policy

class inspection_default

provjeri dns preset_dns_map

pregledati h323 h225

pregledati h323 ras

service-policy global_policy global

promptni kontekst imena hosta

Cryptochecksum:58da28923df5a5f8d5192125f9b1796f

U ovom članku ćemo objasniti kako preći sa Cisco ASA 5500 zaštitnih zidova (ASA 5510, ASA 5520, ASA 5540 i ASA 5550) na modernije ASA 5500-X (5512-X, 5515-X, 55245-X, 55245-X). X , 5555-X), koja će preliminarna priprema biti potrebna, na koje tačke treba obratiti pažnju.

Ovdje je približna korespondencija između uređaja ove dvije linije za prijelaz.

Priprema za migraciju

Kako bi se migracija odvijala brzo i bez problema, morate se pažljivo pripremiti za nju - provjeriti da li su ispunjeni zahtjevi za hardver i softver.

Provjeravamo sljedeće:

  • dostupnost licenci za sve nove uređaje - prethodne licence se ne mogu prenijeti, jer su vezane za njih serijski brojevi određene uređaje, tako da ćete morati kupiti nove licence i koristiti ih na novom hardveru
  • verzija softver ASA za seriju 5500-X mora biti najmanje 8.6, jednostavno ne možete koristiti starije verzije na ovim uređajima. Ako imate samo stariju verziju, preuzmite noviju verziju sa cisco.com

Trebat će vam sljedeći koraci da se pripremite za prelazak sa cisco 500 serije:

  • ažurirajte Cisco Security Manager
  • nadogradite softver sve opreme serije 5500 na verziju 8.4.2. Ako vam radi na softveru ASA 8.3, samo ga odmah ažurirajte na potrebnu verziju, ali ako koristite stariju verziju, preporučujemo da to ne učinite u jednom koraku, već u nekoliko operacija, na primjer, od 7.4 do 8.0, zatim na 8.2 i na 8.4. na V8.3.

Alternativno, možete koristiti web-bazirani NAT alat za migraciju, kontaktirati TAC ili korisničku podršku za njega. Ovaj alat vam omogućava da podnesete postojeću konfiguraciju s lokalnog računala na obradu, zatim vrši transformacije i na kraju pruža korisniku ažuriranu konfiguraciju koja se jednostavno može kopirati i sačuvati u datoteku. Prije korištenja ovog alata pažljivo pročitajte njegova ograničenja.

  • obavezno napravite sigurnosnu kopiju konfiguracije i spremite je u slučaju da nešto krene po zlu i konfiguracija se mora vratiti. To se radi pomoću CLI naredbe kopija ili pomoću ASDM menadžera
  • ako koristite , morate napraviti sigurnosnu kopiju njegove konfiguracije (preko CLI ili IDM/IME)
  • kada pravite rezervne kopije konfiguracije, ne zaboravite da izvezete sertifikate i kripto ključeve sa prethodne platforme

Razlike u hardverskoj arhitekturi ASA 5500-X uređaja iz serije 5500

Naravno, arhitektura novih uređaja je nešto drugačija. Vizuelno možete uočiti sljedeće razlike:

  • no SSM
  • ASA i IPS uslugama (ako ih ima) fizički se upravlja preko istog porta
  • veća gustina I/O portova, koriste se samo gigabitni portovi

Zbog ovih razlika, morat ćete ručno promijeniti nekoliko stvari u konfiguracijskoj datoteci serije 5500. Pogledajte ispod za detalje.

Uređivanje konfiguracije I/O porta

Svi ASA 5500 predstavnici imaju Gigabit portove, njihova konfiguracija je već registrovana i ništa ne treba mijenjati. Izuzetak je ASA 5510 bez SecPlus licence, gdje takav port ne postoji. Stoga, ako prenesemo konfiguraciju sa 5510, morat ćemo promijeniti sva imena sučelja i podsučelja kako bi odražavali da novi uređaj ima gigabitne portove.

Evo primjera kako se to radi (od 5510 do 5515-X).

ASA 5510 konfiguracija

! fizički interfejs

interfejs Ethernet0/1

no nameif

bez sigurnosnog nivoa

nema ip adrese

nema gašenja

! Kreiranje podsučelja na interfejsu E0/1 (dve logičke mreže)

interfejs Ethernet0/1.120

vlan 1222

nameif fw-out

nivo sigurnosti 50

ASA 5515-X rekonfiguracija

! fizički interfejs

interfejs GigabitEthernet0/1

no nameif

bez sigurnosnog nivoa

nema ip adrese

nema gašenja

! Kreiranje podsučelja na sučelju G0/1 (dvije logičke mreže)

interfejs GigabitEthernet0/1.1201

vlan 1222

nameif fw-out

nivo sigurnosti 50

ip adresa 172.16.61.1 255.255.255.0

Promjene konfiguracije porta za upravljanje

Značajna razlika u ASA 5500-X platformi je u tome što IPS i firewall usluge imaju zajednički port za upravljanje, ali se ne mogu koristiti u bilo koju drugu svrhu. Imajte na umu da ga nakon tranzicije neće biti moguće koristiti kao port za podatke ili kao konfiguracijski element sa visokom dostupnošću (u seriji 5500 to je bilo moguće). Ako ste to radili na prethodnoj platformi, obavezno prenesite postavke konfiguracije ovog porta za upravljanje na jedan od gigabitnih portova podataka s brojem većim od G0 / 3 prilikom migracije. Sljedeće pokazuje kako se to radi na primjeru migracije sa ASA 5520 na ASA 5525-X.

ASA 5520 konfiguracija

Upravljanje interfejsom0/0

no nameif

bez sigurnosnog nivoa

nema ip adrese

nema samo upravljanje

nema gašenja!

! Podsučelja na sučelju M0/0

Upravljanje interfejsom0/0.120

vlan 1222

nameif fw-out

nivo sigurnosti 50

ip adresa 172.16.61.1 255.255.255.0

ASA 5515-X konfiguracija

! Namenski interfejs za upravljanje

Upravljanje interfejsom0/0

no nameif

bez sigurnosnog nivoa

nema ip adrese

samo za upravljanje

nema gašenja

! Upravljački interfejs je migriran na GigabitEthernet0/3

interfejs GigabitEthernet0/3

no nameif

bez sigurnosnog nivoa

nema ip adrese

nema gašenja

! Podsučelja na sučelju G0/3

interfejs GigabitEthernet0/3.1201

vlan 1222

nameif fw-out

nivo sigurnosti 50

ip adresa 172.16.61.1 255.255.255.0

Cisco ASA 5500 nema GigabitEthernet0/3 interfejs, tako da prilikom nadogradnje na noviju verziju, konfiguracije ne bi trebalo da budu u sukobu jedna s drugom.

Slično tome, ako ste prethodno koristili sučelje za upravljanje za konfiguraciju prekoračenja greške, migrirajte ga na novo, nekorišteno 5500-X sučelje.

Kako ispravno migrirati ASA i IPS servise? Ovdje postoji nekoliko opcija, jer, kao što je gore spomenuto, IPS servisi i firewall u 5500-X sada imaju jedan zajednički port za upravljanje, dok su prije koristili različite. , preporučujemo da ih pažljivo proučite i odaberete odgovarajući.

Migrirajte IPS konfiguraciju

Direktno prilikom ručnog prijenosa IPS konfiguracijske datoteke, nećete morati ništa mijenjati ako ste obavili sve gore opisane potrebne pripreme. Za svaki slučaj, još jednom provjerite da li je port za upravljanje ispravno konfiguriran.

Ne zaboravite da se IPS aktivira u dvije faze, za što će vam biti potrebna licenca ne samo za ASA uređaj, već i za sam IPS servis.

Rezultati

Kao što vidite, migracija sa uređaja serije ASA 5500 na ASA 5500-X odvija se u nekoliko faza, neke od njih su automatizovane, a neke će se morati obaviti ručno.

Pokušali smo opisati glavne korake, kojim redoslijedom to učiniti i na što treba obratiti pažnju kako bi nakon tranzicije nova oprema radila ispravno i obavljala funkcije koje su joj dodijeljene.

U ovom dijelu ćemo se osvrnuti na rad u ROMMON-u.
Rad sa ROMMON-om je više hitan posao.
Tipične nesreće su oštećena ili greškom izbrisana slika OS-a ili kada su jednostavno zaboravili lozinku.

Ako želimo simulirati ovu situaciju, izbrisat ćemo OS datoteku, a također ćemo resetirati konfiguraciju:

konfiguracija fabrički zadana

Konzolom smo povezani sa ASA-om.
Ulazimo u ROMMON način rada - tokom tajmera pritisnite Esc.

! rommon: sučelje ethernet0/0 adresa 10.0.0.1 server 10.0.0.2 datoteka asa842-k8.bin tftpdnld

U ovom slučaju, ASA će pokrenuti OS direktno sa tftp-a, a mi ćemo imati kontrolu nad uređajem već u "normalnom" načinu rada.

Nakon pokretanja u ovom režimu, lozinka za omogućavanje će biti prazna (pritisnite enter)

Dalja podešavanja ćemo izvršiti u skladu sa šemom:

Dakle, u skladu sa šemom, konfigurisaćemo interni interfejs:

interfejs gigabitethernet 2 sigurnosni nivo 100 imeif unutar ip adrese 192.168.2.253 255.255.255.0 bez isključivanja

Ovdje na interfejsu postavljamo sljedeće parametre:
nivo sigurnosti 100- Pošto je ovaj interfejs interni, postavili smo ga na najviši nivo bezbednosti, tj. mi mu najviše verujemo.
nameif unutra- Definisano ime za interfejs. Ovo je važan parametar, jer će se ovo ime često koristiti u daljim postavkama.

Provjera IP adrese:
Postavke IP adresiranja možete provjeriti na interfejsima:

prikaži run-config ip

Ili ping:

Usput, malo o konzoli:
Sa praznom konfiguracijom, lozinka omogućiti prazno - samo pritisnite enter.

Kao što je poznato na komandnom ruteru show može se samo uneti privilegovani način rada. Ako smo unutra konfiguracijski način onda treba dati komandu pokazati.
U slučaju ASA, naredba show će raditi u bilo kojem načinu rada.
Prekini izvršenje naredbe (npr. prikaži run-config) može se izvršiti preko dugmeta " q".

OS Image

boot system flash:/asa914-5-k8.bin

Bez ove naredbe, prva dostupna slika će biti učitana. operativni sistem.

Provjera slike za pokretanje:

Mi prekorimo

ASDM Image

Dakle, uverili smo se da je interni interfejs ispravno konfigurisan, a ping takođe prolazi.
Dakle, sada imamo potpuno konfiguriranu vezu s internom mrežom i sada možemo konfigurirati mogućnost upravljanja Upravljaj naša ASA.

Upravljanje ASA može se obaviti na nekoliko načina:

  • SSH- upravljanje preko komandne linije preko SSH protokola.
  • ASDM- Grafičko korisničko sučelje.

U našem konkretnom slučaju rada sa GNS3, koristimo kompatibilne jedni s drugima i sa GNS3:
ASA verzija 8.4(2)
ASDM verzija 6.4(3)

Da bi ASDM funkcionisao, takođe ćemo kopirati njegov fajl u flash:

asdm image flash:/asdm-643.bin

Provjera ASDM radne slike:

Da rezimiramo, da bi ASA ispravno radio, moraju postojati dvije datoteke na flash-u:

  • OS- na primjer asa914-5-k8.bin, datoteka operativnog sistema. Potrebno za pokretanje sistema
  • ASDM- na primjer asdm-643.bin, datoteka potrebna za rad ASDM administrativnog panela.

Dalja podešavanja

Unesite ime hosta:

Postavite lozinku za uključivanje

omogući lozinku mysecretpassword

Kreiramo administratorskog korisnika i omogućavamo autentifikaciju putem lokalne baze podataka za SSH i HTTP metode.

korisničko ime asaadmin lozinka adminpassword privilege 15 aaa autentifikacija ssh konzola LOCAL aaa autentikacija http konzola LOCAL

Ovdje, inače, nismo uključili aaa za telnet. U ovom slučaju, primarna lozinka za telnet će biti određena naredbom:

Generiramo RSA ključ potreban da bi SSH radio:

kripto ključ generira RSA modul 1024

Da ASDM radi, omogućite https podršku:

http server omogući http 192.168.2.0 255.255.255.0 unutar ssh 192.168.2.0 255.255.255.0 unutra

Ovdje prva komanda uključuje server, a druga određuje kome će se pustiti.

Kao što znate, HTTPS zahtijeva certifikat za rad. U ovom slučaju, ASA će koristiti . To znači da će se svakim ponovnim pokretanjem certifikat ponovo generirati.

Općenito, možemo konfigurirati 3 vrste certifikata za ASA:

  • Samopotpisani privremeni certifikat- vlastiti certifikat koji se generira svaki put kada se ASA pokrene
  • Samopotpisani trajni certifikat- vlastiti certifikat, koji se generira jednom
  • Pravi sertifikat od PKI- certifikat generiran od strane treće strane za izdavanje certifikata

Na ovo ćemo se vratiti kasnije.

Radi praktičnosti, povećajmo vremensko ograničenje za SSH:

Provjera HTTP, SSH, TELNET postavki

show running-config aaa show running-config http show running-config ssh show running-config telnet

ASA verzija 8.2(1)
!
!Cisco ime
ime hosta asa
!Domena. Potrebno za SSH
naziv domene strui.ru
!Lozinka za omogućavanje.
omogući lozinku 4aeeoLOxxxxxxjMx šifrirano
passwd k0a6sN9ExxxxxxxxzV šifriran
imena
! Opis interfejsa koji gleda na Internet.
interfejs Ethernet0/0
opis Internet
ime ako je vani
nivo sigurnosti 0
ip adresa 213.xxx.xxx.194 255.255.255.240
! Opis interfejsa koji gleda u lokalnu mrežu.
interfejs Ethernet0/1
opis Lokalno
nameif unutra
nivo sigurnosti 100
ip adresa 10.10.10.20 255.255.255.0
!
! Opis interfejsa koji gleda u mrežu servera (DMZ)
interfejs Ethernet0/2
opis DMZ
nameif dmz
nivo sigurnosti 50
ip adresa 62.xxx.xxx.177 255.255.255.240
!Ovaj interfejs je onemogućen
interfejs Ethernet0/3
ugasiti
no nameif
bez sigurnosnog nivoa
nema ip adrese
!Ovaj interfejs je onemogućen (nije vezan za lokalnu mrežu). Koristi za
!početno podešavanje Cisco
Upravljanje interfejsom0/0
nameif management
nivo sigurnosti 100
ip adresa 192.168.1.1 255.255.255.0
samo za upravljanje
!
ftp mod pasivan
! Podesite zonu i vreme. Obavezno za dnevnike.
sat vremenska zona MSK/MDD 3
sat ljetno računanje vremena MSK/MDD ponavljanje zadnje ned mar 2:00 zadnje ned okt 3:00
dns server-group DefaultDNS
! Lista pristupa serverima demilitorizovane zone. dolaznog saobraćaja.
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.180 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.180 eq ftp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.180 eq ftp-data
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.181 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.181 eq ftp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.181 eq ftp-data
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.178 eq domen
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq smtp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq pop3
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq imap4
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.184 eq 8081
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.184 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.185 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.186 eq ftp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.186 eq ftp-data
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.186 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.189 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq domena
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.179 eq https
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.182 eq smtp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.182 eq pop3
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.182 eq imap4
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.187 eq www
access-list acl_in_dmz proširena dozvola tcp bilo koji host 62.xxx.xxx.188 eq www
! Lista pristupa za servere iz DMZ-a. odlaznog saobraćaja.
access-list acl_out_dmz proširena dozvola tcp bilo koji
access-list acl_out_dmz proširena dozvola udp bilo koji
access-list acl_out_dmz proširena dozvola icmp bilo koji bilo koji
access-list acl_out_dmz prošireno zabrani tcp host 62.xxx.19.76 host 213.xxx.36.194 eq 135
access-list acl_out_dmz prošireno zabrani tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp
!Pristupna lista za LAN korisnike.
! Za odlazni saobraćaj je sve dozvoljeno.
access-list acl_out_inside proširena dozvola tcp 10.10.10.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola tcp 10.10.20.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola tcp 10.10.40.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola tcp 10.10.50.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola tcp 10.10.110.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola icmp 10.10.10.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola icmp 10.10.110.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola icmp 10.10.20.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola icmp 10.10.50.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.10.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.20.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.110.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.50.0 255.255.255.0 bilo
access-list acl_out_inside proširena dozvola udp 10.10.40.0 255.255.255.0 bilo

! Podešavanje evidencije
logging enable
vremenska oznaka evidentiranja
evidentiranje zamki obavještenja
logiranje asdm informacija
logging host unutar 10.10.10.4
mtu izvan 1500
mtu unutar 1500
mtu dmz 1500
mtu menadžment 1500

no failover
icmp nedostižna brzina-ograničenje 1 burst-veličina 1
nije omogućena asdm historija
arp timeout 14400

! globalno podešavanje
globalni (van) 1 interfejs
! Postavljanje NAT-a za lokalnu mrežu
nat (iznutra) 1 0.0.0.0 0.0.0.0
! Postavljanje statike za servere
nat (dmz) 0 0.0.0.0 0.0.0.0
statički (dmz,spolja) 62.xxx.xxx.180 62.xxx.xxx.180 mrežna maska ​​255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.181 62.xxx.xxx.181 mrežna maska ​​255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.178 62.xxx.xxx.178 mrežna maska ​​255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.179 62.xxx.xxx.179 mrežna maska ​​255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.184 62.xxx.xxx.184 mrežna maska ​​255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.185 62.xxx.xxx.185 mrežna maska ​​255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.186 62.xxx.xxx.186 mrežna maska ​​255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.189 62.xxx.xxx.189 mrežna maska ​​255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.187 62.xxx.xxx.187 mrežna maska ​​255.255.255.255
statički (dmz,spolja) 62.xxx.xxx.188 62.xxx.xxx.188 mrežna maska ​​255.255.255.255
! Vežemo pristupnu listu preko pristupne grupe za interfejse.
pristupna grupa acl_in_dmz u vanjskom interfejsu
access-group acl_out_inside u interfejsu unutra
pristupna grupa acl_out_dmz u interfejsu dmz
! Registriramo rutiranje za interfejse.
ruta izvan 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
ruta unutar 10.10.20.0 255.255.255.0 10.10.10.10 1
ruta unutar 10.10.40.0 255.255.255.0 10.10.10.10 1
ruta unutar 10.10.50.0 255.255.255.0 10.10.10.10 1
ruta unutar 10.10.110.0 255.255.255.0 10.10.10.10 1
timeout xlate 3:00:00
timeout conn 1:00:00 poluzatvoreno 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 apsolutno
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
! Dozvoljavamo rad preko WEB lica sa lokalne mreže.
http server omogućiti
http 10.10.10.0 255.255.255.0 unutra
nema lokacije snmp-servera
nema kontakta sa snmp-serverom
snmp-server omogućava zamke snmp autentifikaciju linkup linkdown coldstart
Životni vijek kripto ipsec sigurnosne asocijacije sekundi 28800
kripto ipsec sigurnosna asocijacija životni vijek kilobajta 4608000
! Dozvoljavamo da telnet i ssh rade na lokalnoj mreži.
telnet 10.10.10.0 255.255.255.0 unutra
telnet timeout 5
ssh 10.10.10.0 255.255.255.0 unutra
ssh 10.10.10.71 255.255.255.255 unutra
ssh timeout 30
vremensko ograničenje konzole 0
dhcpd adresa 192.168.1.2-192.168.1.254 upravljanje
!
prijetnja-detekcija osnovna-prijetnja
pristupna lista statistike detekcije prijetnji
nema statistike otkrivanja prijetnji tcp-intercept
! Vremenski server i korisnik za WEB brnjicu.
ntp server 10.10.10.3 izvor unutar
webvpn
korisničko ime admin lozinka trAp5eVxxxxxxnv šifrirana privilegija 15
!
class-map inspection_default
podudaranje default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parametri
Maksimalna dužina poruke 512
politika-mapa global_policy
class inspection_default
provjeri dns preset_dns_map
inspect ftp
pregledati h323 h225
pregledati h323 ras
pregledati rsh
inspect rtsp
inspect esmtp
inspect sqlnet
pregledati mršav
pregledati sunrpc
pregledajte xdmcp
pregledati gutljaj
pregledati netbios
inspect tftp
!
service-policy global_policy global
promptni kontekst imena hosta
Cryptochecksum:
: kraj

Program ne reaguje: šta učiniti ako se program zamrzne?

Program ne reaguje: šta učiniti ako se program zamrzne?

Pregled pametnog telefona Sony Xperia Z2

Pregled pametnog telefona Sony Xperia Z2

Analiza podataka u Excelu sa preuzimanjem uzoraka izvještaja

Analiza podataka u Excelu sa preuzimanjem uzoraka izvještaja

"Zamke" ili "šta trebate znati da ne bi bilo problema tokom instalacije"

photoshop tutorial

photoshop tutorial

Sve što trebate znati o satelitskoj TV i opremi

Sve što trebate znati o satelitskoj TV i opremi

Rješavanje problema prilikom pokretanja operativnog sistema

Rješavanje problema prilikom pokretanja operativnog sistema

Resetovanje i vraćanje administratorske lozinke u ASUS ruterima

Resetovanje i vraćanje administratorske lozinke u ASUS ruterima

Kako platiti ime domene

Kako platiti ime domene