La tarea era establecer
para permitir que servidores y usuarios trabajen red local empresas
los servidores son blancos
(Internet tipo 62.xxx) direcciones y trabajo a través de
Los datos del usuario se pasan a través
Los servidores tienen dos tarjetas de red: una está en la red local, la otra está en Internet y se controlan a través de la red local. Por lo tanto, el acceso desde la red local a la DMZ no está configurado, porque no es necesario.
A continuación se proporciona una configuración de muestra.
Versión ASA 8.2(1)
Dominio. Necesario para SSH
nombre de dominio strui.ru
Contraseña para habilitar.
habilitar contraseña 4aeeoLOxxxxxxjMx cifrada
contraseña k0a6sN9ExxxxxxxxxzV cifrada
Descripción de la interfaz mirando Internet
interfaz Ethernet0/0
descripción Internet
nivel de seguridad 0
dirección IP 213.xxx.xxx.194 255.255.255.240
Descripción de la interfaz que mira a la red local
interfaz Ethernet0/1
descripción locales
nivel de seguridad 100
dirección IP 10.10.10.20 255.255.255.0
Descripción de la interfaz mirando hacia la red de servidores (DMZ)
interfaz Ethernet0/2
nivel de seguridad 50
dirección IP 62.xxx.xxx.177 255.255.255.240
Esta interfaz está deshabilitada
interfaz Ethernet0/3
sin nivel de seguridad
Esta interfaz está deshabilitada (no vinculada a la red local). Usado para
configuración inicial de Cisco
gestión de interfaz0/0
gestión de nombres
nivel de seguridad 100
dirección IP 192.168.1.1 255.255.255.0
modo ftp pasivo
Configure la zona y la hora. Requerido para registros.
reloj huso horario MSK/MDD 3
reloj horario de verano MSK/MDD recurrente último dom mar 2:00 último dom oct 3:00
grupo de servidores dns DefaultDNS
Lista de acceso a la zona desmilitarizada a servidores. tráfico entrante.
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.180 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.180 eq ftp
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.180 eq ftp-data
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.181 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.181 eq ftp
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.181 eq ftp-data
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.178 eq dominio
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.179 eq smtp
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.179 eq pop3
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.179 eq imap4
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.184 eq 8081
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.184 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.185 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.186 eq ftp
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.186 eq ftp-data
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.186 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.189 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.179 eq dominio
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.179 eq https
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.182 eq smtp
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.182 eq pop3
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.182 eq imap4
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.184 eq rtsp
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.187 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.188 eq www
Lista de acceso a servidores desde la DMZ. tráfico saliente.
lista de acceso acl_out_dmz permiso extendido tcp cualquiera cualquiera
lista de acceso acl_out_dmz permiso extendido upd cualquiera cualquiera
lista de acceso acl_out_dmz permiso extendido icmp cualquiera cualquiera
access-list acl_out_dmz extended deny tcp host 62.xxx.19.76 host 213.xxx.36.194 eq 135
lista de acceso acl_out_dmz denegación extendida tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp
Lista de acceso para usuarios de la red local.
Todo está permitido para el tráfico saliente.
lista de acceso acl_out_inside permiso extendido tcp 10.10.10.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido tcp 10.10.20.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido tcp 10.10.40.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido tcp 10.10.50.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido tcp 10.10.110.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido icmp 10.10.10.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido icmp 10.10.110.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido icmp 10.10.20.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido icmp 10.10.50.0 255.255.255.0 cualquiera
access-list acl_out_inside permiso extendido udp 10.10.10.0 255.255.255.0 cualquiera
access-list acl_out_inside permiso extendido udp 10.10.20.0 255.255.255.0 cualquiera
access-list acl_out_inside permiso extendido udp 10.10.110.0 255.255.255.0 cualquiera
access-list acl_out_inside permiso extendido udp 10.10.50.0 255.255.255.0 cualquiera
access-list acl_out_inside permiso extendido udp 10.10.40.0 255.255.255.0 cualquiera
Configuración de registro
marca de tiempo de registro
registro de notificaciones de trampas
registro asdm informativo
host de registro dentro de 10.10.10.4
mtu fuera de 1500
gestión de mtu 1500
icmp límite de velocidad inalcanzable 1 tamaño de ráfaga 1
sin habilitar el historial de asdm
tiempo de espera de arp 14400
configuración global
global (exterior) 1 interfaz
Configuración de NAT para una red local
nat (interior) 1 0.0.0.0 0.0.0.0
Configuración estática para servidores
nacional (dmz) 0 0.0.0.0 0.0.0.0
estática (dmz, exterior) 62.xxx.xxx.180 62.xxx.xxx.180 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.181 62.xxx.xxx.181 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.178 62.xxx.xxx.178 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.179 62.xxx.xxx.179 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.184 62.xxx.xxx.184 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.185 62.xxx.xxx.185 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.186 62.xxx.xxx.186 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.189 62.xxx.xxx.189 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.187 62.xxx.xxx.187 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.188 62.xxx.xxx.188 máscara de red 255.255.255.255
Vinculamos la lista de acceso a través del grupo de acceso a las interfaces.
grupo de acceso acl_in_dmz en la interfaz exterior
grupo de acceso acl_out_inside en interfaz dentro
grupo de acceso acl_out_dmz en la interfaz dmz
Registramos enrutamiento para interfaces.
ruta fuera 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
ruta interior 10.10.20.0 255.255.255.0 10.10.10.10 1
ruta interior 10.10.40.0 255.255.255.0 10.10.10.10 1
ruta interior 10.10.50.0 255.255.255.0 10.10.10.10 1
ruta interior 10.10.110.0 255.255.255.0 10.10.10.10 1
tiempo de espera xlate 3:00:00
tiempo de espera conn 1:00:00 medio cerrado 0:10:00 udp 0:02:00 icmp 0:00:02
tiempo de espera sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
tiempo de espera sip 0:30:00 sip_media 0:02:00 sip-invitar 0:03:00 sip-desconectar 0:02:00
tiempo de espera sip-provisional-media 0:02:00 uauth 0:05:00 absoluto
tiempo de espera TCP-proxy-reensamblado 0:01:00
registro-política-de-acceso-dinámico DfltAccessPolicy
Permitimos trabajar a través de la WEB presencial desde la red local.
habilitar el servidor http
http 10.10.10.0 255.255.255.0 dentro
sin ubicación del servidor snmp
sin contacto con el servidor snmp
servidor snmp habilitar trampas autenticación snmp linkup linkdown arranque en frío
segundos de vida de la asociación de seguridad crypto ipsec 28800
vida útil de la asociación de seguridad crypto ipsec kilobytes 4608000
Permitimos que telnet y ssh funcionen en la red local.
telnet 10.10.10.0 255.255.255.0 dentro
tiempo de espera de telnet 5
ssh 10.10.10.0 255.255.255.0 dentro
ssh 10.10.10.71 255.255.255.255 dentro
tiempo de espera de la consola 0
dirección dhcpd 192.168.1.2-192.168.1.254 gestión
detección de amenazas amenazas básicas
lista de acceso a las estadísticas de detección de amenazas
sin estadísticas de detección de amenazas tcp-intercept
Servidor de tiempo y usuario para bozal WEB.
servidor ntp 10.10.10.3 fuente dentro
nombre de usuario administrador contraseña trAp5eVxxxxxxnv privilegio cifrado 15
clase-mapa inspección_predeterminado
coincide con el tráfico de inspección predeterminado
política-mapa tipo inspeccionar dns preset_dns_map
longitud máxima del mensaje 512
política-mapa global_policy
inspección de clase_predeterminada
inspeccionar dns preset_dns_map
inspeccionar h323 h225
inspeccionar h323 ras
política de servicio global_policy global
contexto de nombre de host rápido
Suma de comprobación criptográfica:
En este artículo, explicaremos cómo migrar de los firewalls Cisco ASA 5500 (ASA 5510, ASA 5520, ASA 5540 y ASA 5550) a los más modernos ASA 5500-X (5512-X, 5515-X, 5525-X, 5545- X , 5555-X), qué preparación preliminar se necesitará, a qué puntos prestar atención.
Aquí hay una correspondencia aproximada entre los dispositivos de estas dos líneas para la transición.
Para que la migración se realice rápidamente y sin problemas, debe prepararse cuidadosamente: verifique si se cumplen los requisitos de hardware y software.
Comprobamos lo siguiente:
Necesitará los siguientes pasos para prepararse para migrar de la serie Cisco 500:
Alternativamente, puede utilizar la herramienta de migración de NAT basada en la web, ponerse en contacto con TAC o con el servicio de atención al cliente. Esta herramienta le permite enviar una configuración existente desde la computadora local para su procesamiento, luego realiza transformaciones y finalmente proporciona al usuario una configuración actualizada que simplemente se puede copiar y guardar en un archivo. Antes de utilizar esta herramienta, lea detenidamente sus limitaciones.
Naturalmente, la arquitectura de los nuevos dispositivos es algo diferente. Visualmente, puede notar las siguientes diferencias:
Debido a estas diferencias, deberá cambiar manualmente algunas cosas en el archivo de configuración de la serie 5500. Consulte los detalles a continuación.
Todos los representantes ASA 5500 tienen puertos Gigabit, su configuración ya está registrada y no es necesario cambiar nada. La excepción es el ASA 5510 sin licencia SecPlus, donde no existe tal puerto. Por tanto, si trasladamos la configuración del 5510, necesitaremos cambiar todos los nombres de interfaces y subinterfaces para reflejar que el nuevo dispositivo tiene puertos Gigabit.
Aquí hay un ejemplo de cómo se hace esto (pasando de 5510 a 5515-X).
Configuración ASA 5510
! interfaz física
interfaz Ethernet0/1
sin nombre si
sin nivel de seguridad
sin dirección IP
no apagarse
! Creación de subinterfaces en la interfaz E0/1 (dos redes lógicas)
interfaz Ethernet0/1.120
vla 1222
nombre si fw-out
nivel de seguridad 50
Reconfiguración ASA 5515-X
! interfaz física
interfaz GigabitEthernet0/1
sin nombre si
sin nivel de seguridad
sin dirección IP
no apagarse
! Creación de subinterfaces en la interfaz G0/1 (dos redes lógicas)
interfaz GigabitEthernet0/1.1201
vla 1222
nombre si fw-out
nivel de seguridad 50
dirección IP 172.16.61.1 255.255.255.0
Una diferencia significativa en la plataforma ASA 5500-X es que los servicios IPS y firewall tienen un puerto de administración común, pero no se puede usar para ningún otro propósito. Tenga en cuenta que después de la transición no será posible usarlo como un puerto de datos o como un elemento de configuración con alta accesibilidad (en la serie 5500 era posible). Si hizo esto en la plataforma anterior, asegúrese de transferir los ajustes de configuración de este puerto de administración a uno de los puertos de datos Gigabit con un número superior a G0/3 al migrar. A continuación se muestra cómo se hace esto utilizando el ejemplo de migración de ASA 5520 a ASA 5525-X.
Configuración ASA 5520
gestión de interfaz0/0
sin nombre si
sin nivel de seguridad
sin dirección IP
sin solo administración
¡no apagarse!
! Subinterfaces en la interfaz M0/0
gestión de interfaz0/0.120
vla 1222
nombre si fw-out
nivel de seguridad 50
dirección IP 172.16.61.1 255.255.255.0
Configuración ASA 5515-X
! Interfaz de gestión dedicada
gestión de interfaz0/0
sin nombre si
sin nivel de seguridad
sin dirección IP
solo administración
no apagarse
! Interfaz de administración migrada a GigabitEthernet0/3
interfaz GigabitEthernet0/3
sin nombre si
sin nivel de seguridad
sin dirección IP
no apagarse
! Subinterfaces en la interfaz G0/3
interfaz GigabitEthernet0/3.1201
vla 1222
nombre si fw-out
nivel de seguridad 50
dirección IP 172.16.61.1 255.255.255.0
El Cisco ASA 5500 no tiene una interfaz GigabitEthernet0/3, por lo que al actualizar a una versión posterior, las configuraciones no deben entrar en conflicto entre sí.
De manera similar, si usó anteriormente la interfaz de administración para la configuración de conmutación por error, mígrela a una nueva interfaz 5500-X sin usar.
¿Cómo migrar correctamente los servicios ASA e IPS? Aquí hay varias opciones, porque, como se mencionó anteriormente, los servicios IPS y el firewall en el 5500-X ahora tienen un puerto de administración común, mientras que antes usaban otros diferentes. , le recomendamos que los estudie detenidamente y elija el adecuado.
Directamente al transferir el archivo de configuración de IPS manualmente, no necesitará cambiar nada si ha completado todos los preparativos necesarios descritos anteriormente. Por si acaso, verifique que el puerto de administración esté configurado correctamente.
No olvide que IPS se activa en dos pasos, para lo cual necesitará una licencia no solo para el dispositivo ASA, sino también para el servicio IPS en sí.
Como puede ver, la migración de los dispositivos de la serie ASA 5500 a ASA 5500-X se realiza en varias etapas, algunas de ellas están automatizadas y otras deberán realizarse manualmente.
Intentamos describir los pasos principales, en qué orden hacerlo y a qué debe prestar atención para que, después de la transición, el nuevo equipo funcione correctamente y realice las funciones asignadas.
En esta parte, veremos trabajar en ROMMON.
Trabajar con ROMMON es más un trabajo de emergencia.
Los accidentes típicos son una imagen del sistema operativo corrupta o borrada por error, o cuando simplemente olvidaron la contraseña.
Si queremos simular esta situación, eliminaremos el archivo del sistema operativo y también restableceremos la configuración:
configuración predeterminada de fábrica
Estamos conectados por la consola a ASA.
Pasamos al modo ROMMON: durante el temporizador, presione Esc.
! rommon: interfaz ethernet0/0 dirección 10.0.0.1 servidor 10.0.0.2 archivo asa842-k8.bin tftpdnld
En este caso, el ASA arrancará el sistema operativo directamente desde tftp, y tendremos control sobre el dispositivo ya en el modo "normal".
Después de iniciar en este modo, la contraseña de habilitación estará vacía (presione enter)
Haremos más ajustes de acuerdo con el esquema:
Entonces, de acuerdo con el esquema, configuraremos la interfaz interna:
interfaz gigabitethernet 2 nivel de seguridad 100 nombre si dentro dirección IP 192.168.2.253 255.255.255.0 sin apagado
Aquí en la interfaz configuramos los siguientes parámetros:
nivel de seguridad 100- Dado que esta interfaz es interna, la configuramos en el nivel de seguridad más alto, es decir, confiamos más en él.
nombre si dentro- Definido un nombre para la interfaz. Este es un parámetro importante, porque este nombre se utilizará con frecuencia en otras configuraciones.
Comprobación de la dirección IP:
Puede verificar la configuración de direccionamiento IP en las interfaces:
muestre la dirección IP de configuración en ejecución
O hacer ping:
Por cierto, un poco sobre la consola:
Con una configuración vacía, la contraseña habilitar vacío - simplemente presione enter.
Como se conoce en el enrutador de comando mostrar solo se puede ingresar en modo privilegiado. si estamos en modo de configuración entonces se debe dar el comando mostrar.
En el caso del ASA, el comando show funcionará en cualquier modo.
Cancelar la ejecución del comando (p. Mostrar configuración en ejecución) se puede hacer a través del botón " q".
flash del sistema de arranque:/asa914-5-k8.bin
Sin este comando, se cargará la primera imagen disponible. sistema operativo.
Comprobando la imagen para arrancar:
reprendemos
Por lo tanto, nos aseguramos de que la interfaz interna esté configurada correctamente y que el ping también esté pasando.
Entonces ahora tenemos una conexión completamente configurada a la red interna y ahora podemos configurar la capacidad de administrar Administrar nuestro ASA.
La gestión de ASA se puede realizar de varias formas:
En nuestro caso particular de trabajar con GNS3, utilizamos compatibles entre sí y con GNS3:
Versión ASA 8.4(2)
ASDM versión 6.4(3)
Para que ASDM funcione, también copiaremos su archivo a flash:
flash de imagen asdm:/asdm-643.bin
Comprobación de la imagen de trabajo de ASDM:
En resumen, para que el ASA funcione correctamente, debe haber dos archivos en la memoria flash:
Introduzca el nombre de host:
Establecer contraseña de activación
habilitar contraseña mysecretpassword
Creamos un usuario administrador y habilitamos la autenticación a través de la base de datos local para los métodos SSH y HTTP.
nombre de usuario asaadmin contraseña adminpassword privilegio 15 aaa autenticación ssh consola LOCAL aaa autenticación http consola LOCAL
Aquí, por cierto, no incluimos aaa para telnet. En este caso, la contraseña principal para telnet estará determinada por el comando:
Generamos la clave RSA requerida para que SSH funcione:
clave criptográfica generar módulo rsa 1024
Para que ASDM funcione, habilite la compatibilidad con https:
servidor http habilitar http 192.168.2.0 255.255.255.0 dentro ssh 192.168.2.0 255.255.255.0 dentro
Aquí, el primer comando enciende el servidor y el segundo determina a quién dejar.
Como sabes, HTTPS requiere un certificado para funcionar. En este caso, el ASA utilizará . Esto significa que con cada reinicio se regenerará el certificado.
En general, podemos configurar 3 tipos de certificados para ASA:
Continuaremos con ésto luego.
Para mayor comodidad, aumentemos el tiempo de espera para SSH:
Comprobación de la configuración de HTTP, SSH, TELNET
muestre la configuración en ejecución aaa muestre la configuración en ejecución http muestre la configuración en ejecución ssh muestre la configuración en ejecución telnet
Versión ASA 8.2(1)
!
!nombre de cisco
nombre de host asa
!Dominio. Necesario para SSH
nombre de dominio strui.ru
!Contraseña para habilitar.
habilitar contraseña 4aeeoLOxxxxxxjMx cifrada
contraseña k0a6sN9ExxxxxxxxxzV cifrada
nombres
! Descripción de la interfaz mirando Internet.
interfaz Ethernet0/0
descripción Internet
nombre si fuera
nivel de seguridad 0
dirección IP 213.xxx.xxx.194 255.255.255.240
! Descripción de la interfaz que mira a la red local.
interfaz Ethernet0/1
descripción locales
nombre si dentro
nivel de seguridad 100
dirección IP 10.10.10.20 255.255.255.0
!
! Descripción de la interfaz mirando hacia la red de servidores (DMZ)
interfaz Ethernet0/2
descripción DMZ
nombre si dmz
nivel de seguridad 50
dirección IP 62.xxx.xxx.177 255.255.255.240
!Esta interfaz está deshabilitada
interfaz Ethernet0/3
cerrar
sin nombre si
sin nivel de seguridad
sin dirección IP
!Esta interfaz está deshabilitada (no vinculada a la red local). Usado para
!configuración inicial cisco
gestión de interfaz0/0
gestión de nombres
nivel de seguridad 100
dirección IP 192.168.1.1 255.255.255.0
solo administración
!
modo ftp pasivo
! Configure la zona y la hora. Requerido para registros.
reloj huso horario MSK/MDD 3
reloj horario de verano MSK/MDD recurrente último dom mar 2:00 último dom oct 3:00
grupo de servidores dns DefaultDNS
! Lista de acceso a la zona desmilitarizada a servidores. tráfico entrante.
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.180 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.180 eq ftp
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.180 eq ftp-data
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.181 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.181 eq ftp
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.181 eq ftp-data
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.178 eq dominio
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.179 eq smtp
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.179 eq pop3
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.179 eq imap4
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.184 eq 8081
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.184 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.185 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.186 eq ftp
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.186 eq ftp-data
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.186 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.189 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.179 eq dominio
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.179 eq https
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.182 eq smtp
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.182 eq pop3
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.182 eq imap4
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.184 eq rtsp
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.187 eq www
lista de acceso acl_in_dmz permiso extendido tcp cualquier host 62.xxx.xxx.188 eq www
! Lista de acceso a servidores desde la DMZ. tráfico saliente.
lista de acceso acl_out_dmz permiso extendido tcp cualquiera cualquiera
lista de acceso acl_out_dmz permiso extendido upd cualquiera cualquiera
lista de acceso acl_out_dmz permiso extendido icmp cualquiera cualquiera
access-list acl_out_dmz extended deny tcp host 62.xxx.19.76 host 213.xxx.36.194 eq 135
lista de acceso acl_out_dmz denegación extendida tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp
!Lista de acceso para usuarios de LAN.
! Todo está permitido para el tráfico saliente.
lista de acceso acl_out_inside permiso extendido tcp 10.10.10.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido tcp 10.10.20.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido tcp 10.10.40.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido tcp 10.10.50.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido tcp 10.10.110.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido icmp 10.10.10.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido icmp 10.10.110.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido icmp 10.10.20.0 255.255.255.0 cualquiera
lista de acceso acl_out_inside permiso extendido icmp 10.10.50.0 255.255.255.0 cualquiera
access-list acl_out_inside permiso extendido udp 10.10.10.0 255.255.255.0 cualquiera
access-list acl_out_inside permiso extendido udp 10.10.20.0 255.255.255.0 cualquiera
access-list acl_out_inside permiso extendido udp 10.10.110.0 255.255.255.0 cualquiera
access-list acl_out_inside permiso extendido udp 10.10.50.0 255.255.255.0 cualquiera
access-list acl_out_inside permiso extendido udp 10.10.40.0 255.255.255.0 cualquiera
! Configuración de registro
habilitar registro
marca de tiempo de registro
registro de notificaciones de trampas
registro asdm informativo
host de registro dentro de 10.10.10.4
mtu fuera de 1500
mtu dentro de 1500
mtu dmz 1500
gestión de mtu 1500
sin conmutación por error
icmp límite de velocidad inalcanzable 1 tamaño de ráfaga 1
sin habilitar el historial de asdm
tiempo de espera de arp 14400
! configuración global
global (exterior) 1 interfaz
! Configuración de NAT para una red local
nat (interior) 1 0.0.0.0 0.0.0.0
! Configuración estática para servidores
nacional (dmz) 0 0.0.0.0 0.0.0.0
estática (dmz, exterior) 62.xxx.xxx.180 62.xxx.xxx.180 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.181 62.xxx.xxx.181 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.178 62.xxx.xxx.178 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.179 62.xxx.xxx.179 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.184 62.xxx.xxx.184 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.185 62.xxx.xxx.185 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.186 62.xxx.xxx.186 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.189 62.xxx.xxx.189 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.187 62.xxx.xxx.187 máscara de red 255.255.255.255
estática (dmz, exterior) 62.xxx.xxx.188 62.xxx.xxx.188 máscara de red 255.255.255.255
! Vinculamos la lista de acceso a través del grupo de acceso a las interfaces.
grupo de acceso acl_in_dmz en la interfaz exterior
grupo de acceso acl_out_inside en interfaz dentro
grupo de acceso acl_out_dmz en la interfaz dmz
! Registramos enrutamiento para interfaces.
ruta fuera 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
ruta interior 10.10.20.0 255.255.255.0 10.10.10.10 1
ruta interior 10.10.40.0 255.255.255.0 10.10.10.10 1
ruta interior 10.10.50.0 255.255.255.0 10.10.10.10 1
ruta interior 10.10.110.0 255.255.255.0 10.10.10.10 1
tiempo de espera xlate 3:00:00
tiempo de espera conn 1:00:00 medio cerrado 0:10:00 udp 0:02:00 icmp 0:00:02
tiempo de espera sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
tiempo de espera sip 0:30:00 sip_media 0:02:00 sip-invitar 0:03:00 sip-desconectar 0:02:00
tiempo de espera sip-provisional-media 0:02:00 uauth 0:05:00 absoluto
tiempo de espera TCP-proxy-reensamblado 0:01:00
registro-política-de-acceso-dinámico DfltAccessPolicy
! Permitimos trabajar a través de la WEB presencial desde la red local.
habilitar el servidor http
http 10.10.10.0 255.255.255.0 dentro
sin ubicación del servidor snmp
sin contacto con el servidor snmp
servidor snmp habilitar trampas autenticación snmp linkup linkdown arranque en frío
segundos de vida de la asociación de seguridad crypto ipsec 28800
vida útil de la asociación de seguridad crypto ipsec kilobytes 4608000
! Permitimos que telnet y ssh funcionen en la red local.
telnet 10.10.10.0 255.255.255.0 dentro
tiempo de espera de telnet 5
ssh 10.10.10.0 255.255.255.0 dentro
ssh 10.10.10.71 255.255.255.255 dentro
tiempo de espera ssh 30
tiempo de espera de la consola 0
dirección dhcpd 192.168.1.2-192.168.1.254 gestión
!
detección de amenazas amenazas básicas
lista de acceso a las estadísticas de detección de amenazas
sin estadísticas de detección de amenazas tcp-intercept
! Servidor de tiempo y usuario para bozal WEB.
servidor ntp 10.10.10.3 fuente dentro
webvpn
nombre de usuario administrador contraseña trAp5eVxxxxxxnv privilegio cifrado 15
!
clase-mapa inspección_predeterminado
coincide con el tráfico de inspección predeterminado
!
!
política-mapa tipo inspeccionar dns preset_dns_map
parámetros
longitud máxima del mensaje 512
política-mapa global_policy
inspección de clase_predeterminada
inspeccionar dns preset_dns_map
inspeccionar ftp
inspeccionar h323 h225
inspeccionar h323 ras
inspeccionar rsh
inspeccionar rtsp
inspeccionar esmtp
inspeccionar sqlnet
inspeccionar flaco
inspeccionar sunrpc
inspeccionar xdmcp
inspeccionar sorbo
inspeccionar netbios
inspeccionar tftp
!
política de servicio global_policy global
contexto de nombre de host rápido
Suma de comprobación criptográfica:
: final