وظیفه تعیین بود
تا به سرورها و کاربران اجازه کار بدهد شبکه محلیشرکت ها
سرورها سفید هستند
(نوع اینترنت 62.xxx) آدرس و کار از طریق
داده های کاربر منتقل می شود
سرورها دو کارت شبکه دارند: یکی در شبکه محلی، دیگری در اینترنت و از طریق شبکه محلی کنترل می شوند. بنابراین، دسترسی از شبکه محلی به DMZ پیکربندی نشده است، زیرا نیازی به آن نیست.
پیکربندی نمونه در زیر آورده شده است.
ASA نسخه 8.2 (1)
دامنه. برای SSH مورد نیاز است
نام دامنه strui.ru
رمز عبور برای فعال کردن
رمز عبور 4aeeoLOxxxxxxjMx رمزگذاری شده را فعال کنید
passwd k0a6sN9ExxxxxxxxzV رمزگذاری شده است
شرح رابط با نگاه کردن به اینترنت
رابط Ethernet0/0
توضیحات اینترنت
سطح امنیتی 0
آدرس IP 213.xxx.xxx.194 255.255.255.240
شرح رابطی که به شبکه محلی نگاه می کند
رابط Ethernet0/1
توضیحات محلی
سطح امنیت 100
آدرس IP 10.10.10.20 255.255.255.0
شرح رابط به دنبال شبکه سرورها (DMZ)
رابط Ethernet0/2
سطح امنیتی 50
آدرس IP 62.xxx.xxx.177 255.255.255.240
این رابط غیرفعال است
رابط Ethernet0/3
بدون سطح امنیتی
این رابط غیرفعال است (به شبکه محلی متصل نیست). استفاده برای
راه اندازی اولیه سیسکو
مدیریت رابط 0/0
مدیریت نامیف
سطح امنیت 100
آدرس IP 192.168.1.1 255.255.255.0
حالت ftp غیرفعال
منطقه و زمان را تنظیم کنید. مورد نیاز برای سیاهههای مربوط.
منطقه زمانی ساعت MSK/MDD 3
ساعت تابستانی MSK/MDD تکراری یکشنبه گذشته مارس 2:00 یکشنبه گذشته اکتبر 3:00
dns server-group DefaultDNS
لیست دسترسی به منطقه غیرنظامی شده به سرورها. ترافیک ورودی
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.180 eq www
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.180 eq ftp
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.180 eq ftp-data
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.181 eq www
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.181 eq ftp
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.181 eq ftp-data
لیست دسترسی acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.178 دامنه معادل
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.179 eq smtp
access-list acl_in_dmz مجوز تمدید شده tcp هر میزبان 62.xxx.xxx.179 eq pop3
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.179 eq imap4
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.184 معادله 8081
access-list acl_in_dmz مجوز تمدید شده tcp هر میزبان 62.xxx.xxx.184 eq www
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.185 معادله www
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.186 eq ftp
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.186 eq ftp-data
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.186 eq www
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.189 معادله www
لیست دسترسی acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.179 دامنه معادل
access-list acl_in_dmz مجوز تمدید شده tcp هر میزبان 62.xxx.xxx.179 معادله https
access-list acl_in_dmz مجوز تمدید شده tcp هر میزبان 62.xxx.xxx.182 eq smtp
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.182 eq pop3
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.182 eq imap4
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz مجوز تمدید شده tcp هر میزبان 62.xxx.xxx.187 eq www
access-list acl_in_dmz مجوز تمدید شده tcp هر میزبان 62.xxx.xxx.188 معادله www
لیست دسترسی برای سرورها از DMZ. ترافیک خروجی
access-list acl_out_dmz مجوز تمدید شده tcp هر کدام
access-list acl_out_dmz مجوز تمدید شده udp هر کدام
access-list acl_out_dmz مجوز تمدید شده icmp هر کدام
access-list acl_out_dmz توسعه یافته انکار میزبان tcp 62.xxx.19.76 میزبان 213.xxx.36.194 معادله 135
access-list acl_out_dmz توسعه یافته انکار میزبان tcp 87.xxx.95.11 میزبان 213.xxx.36.194 eq ftp
لیست دسترسی برای کاربران شبکه محلی
همه چیز برای ترافیک خروجی مجاز است.
لیست دسترسی acl_out_inside مجوز توسعه یافته tcp 10.10.10.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته tcp 10.10.20.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته tcp 10.10.40.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته tcp 10.10.50.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته tcp 10.10.110.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته icmp 10.10.10.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته icmp 10.10.110.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته icmp 10.10.20.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته icmp 10.10.50.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته udp 10.10.10.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته udp 10.10.20.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته udp 10.10.110.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته udp 10.10.50.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته udp 10.10.40.0 255.255.255.0 هر
تنظیم گزارش
ثبت مهر زمان
اعلان های تله ورود
ثبت اطلاعات asdm
ورود به سیستم میزبان در 10.10.10.4
mtu خارج از 1500
mtu management 1500
icmp غیرقابل دسترسی نرخ-محدودیت 1 انفجار-اندازه 1
تاریخچه asdm فعال نیست
آرپ تایم اوت 14400
تنظیم جهانی
جهانی (خارج) 1 رابط
راه اندازی NAT برای یک شبکه محلی
nat (داخل) 1 0.0.0.0 0.0.0.0
تنظیم استاتیک برای سرورها
nat (dmz) 0 0.0.0.0 0.0.0.0
static (dmz, outside) 62.xxx.xxx.180 62.xxx.xxx.180 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.181 62.xxx.xxx.181 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.178 62.xxx.xxx.178 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.179 62.xxx.xxx.179 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.184 62.xxx.xxx.184 netmask 255.255.255.255
static (dmz، خارج) 62.xxx.xxx.185 62.xxx.xxx.185 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.186 62.xxx.xxx.186 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.189 62.xxx.xxx.189 netmask 255.255.255.255
static (dmz، خارج) 62.xxx.xxx.187 62.xxx.xxx.187 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.188 62.xxx.xxx.188 netmask 255.255.255.255
ما لیست دسترسی را از طریق گروه دسترسی به رابط ها متصل می کنیم.
گروه دسترسی acl_in_dmz در رابط خارج
گروه دسترسی acl_out_inside در رابط داخلی
گروه دسترسی acl_out_dmz در رابط dmz
ما مسیریابی را برای رابط ها ثبت می کنیم.
مسیر خارج از 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
مسیر داخل 10.10.20.0 255.255.255.0 10.10.10.10 1
مسیر داخل 10.10.40.0 255.255.255.0 10.10.10.10 1
مسیر داخل 10.10.50.0 255.255.255.0 10.10.10.10 1
مسیر داخل 10.10.110.0 255.255.255.0 10.10.10.10 1
تایم اوت xlate 3:00:00
timeout conn 1:00:00 نیمه بسته 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
تایم اوت جرعه 0:30:00 sip_media 0:02:00 جرعه دعوت 0:03:00 جرعه قطع 0:02:00
تایم اوت sip-provisional-media 0:02:00 uauth 0:05:00 مطلق
وقفه tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
ما اجازه کار از طریق WEB face از شبکه محلی را می دهیم.
سرور http را فعال کنید
http 10.10.10.0 255.255.255.0 داخل
بدون مکان سرور snmp
بدون تماس با سرور snmp
snmp-server فعال کردن تله های snmp احراز هویت پیوند لینک پایین شروع سرد
crypto ipsec امنیت-اتحادیه طول عمر ثانیه 28800
crypto ipsec امنیت انجمن مادام العمر کیلوبایت 4608000
ما به telnet و ssh اجازه می دهیم در شبکه محلی کار کنند.
telnet 10.10.10.0 255.255.255.0 داخل
تایم اوت تلنت 5
ssh 10.10.10.0 255.255.255.0 داخل
ssh 10.10.10.71 255.255.255.255 داخل
مهلت زمانی کنسول 0
آدرس dhcpd 192.168.1.2-192.168.1.254 مدیریت
تهدید اساسی-تشخیص تهدید
لیست دسترسی آمارهای تشخیص تهدید
هیچ آمار تشخیص تهدید tcp-intercept وجود ندارد
سرور زمان و کاربر برای پوزه WEB.
منبع سرور ntp 10.10.10.3 داخل
نام کاربری رمز عبور مدیریت trAp5eVxxxxxxnv امتیاز رمزگذاری شده 15
class-map inspection_default
مطابقت پیش فرض-بازرسی-ترافیک
نوع Policy-map را بررسی کنید dns preset_dns_map
حداکثر طول پیام 512
سیاست-نقشه جهانی_سیاست
کلاس inspection_default
dns preset_dns_map را بررسی کنید
h323 h225 را بازرسی کنید
h323 ras را بررسی کنید
Service-policy global_policy global
زمینه نام میزبان سریع
Cryptocheckssum:58da28923df5a5f8d5192125f9b1796f
در این مقاله نحوه مهاجرت از فایروال سیسکو ASA 5500 (ASA 5510، ASA 5520، ASA 5540 و ASA 5550) به ASA 5500-X (5512-X, 5515-X, 5525-X, 5512-X, 5515-X, 5525-X, 5525) در این مقاله توضیح داده می شود. X ، 5555-X)، چه آماده سازی اولیه لازم است، به چه نکاتی باید توجه کرد.
در اینجا یک مطابقت تقریبی بین دستگاه های این دو خط برای انتقال وجود دارد.
برای اینکه مهاجرت سریع و بدون مشکل اتفاق بیفتد، باید با دقت برای آن آماده شوید - بررسی کنید که آیا الزامات سخت افزار و نرم افزار برآورده شده است.
موارد زیر را بررسی می کنیم:
برای آماده شدن برای مهاجرت از سری سیسکو 500 به مراحل زیر نیاز دارید:
از طرف دیگر، میتوانید از ابزار انتقال NAT مبتنی بر وب استفاده کنید، با TAC یا پشتیبانی مشتری برای آن تماس بگیرید. این ابزار به شما امکان می دهد یک پیکربندی موجود را از رایانه محلی برای پردازش ارسال کنید، سپس تبدیل ها را انجام داده و در نهایت پیکربندی به روز شده ای را در اختیار کاربر قرار می دهد که به سادگی می تواند کپی و در یک فایل ذخیره شود. قبل از استفاده از این ابزار، لطفا محدودیت های آن را به دقت مطالعه کنید.
طبیعتاً معماری دستگاه های جدید تا حدودی متفاوت است. از نظر بصری، می توانید تفاوت های زیر را متوجه شوید:
به دلیل این تفاوت ها، باید چند مورد را در فایل پیکربندی سری 5500 به صورت دستی تغییر دهید. برای جزئیات به زیر مراجعه کنید.
تمام نمایندگان ASA 5500 دارای پورت های گیگابیت هستند، پیکربندی آنها قبلاً ثبت شده است و هیچ چیزی نیاز به تغییر ندارد. استثنا ASA 5510 بدون مجوز SecPlus است که در آن چنین پورتی وجود ندارد. بنابراین، اگر پیکربندی را از 5510 منتقل کنیم، باید همه نامهای رابطها و زیرواسطها را تغییر دهیم تا نشان دهند که دستگاه جدید دارای پورتهای گیگابیتی است.
در اینجا مثالی از نحوه انجام این کار آمده است (از 5510 به 5515-X می رود).
پیکربندی ASA 5510
! رابط فیزیکی
رابط Ethernet0/1
بدون نام
بدون سطح امنیتی
بدون آدرس آی پی
بدون خاموش شدن
! ایجاد زیرواسط در رابط E0/1 (دو شبکه منطقی)
رابط Ethernet0/1.120
vlan 1222
nameif fw-out
سطح امنیتی 50
پیکربندی مجدد ASA 5515-X
! رابط فیزیکی
رابط GigabitEthernet0/1
بدون نام
بدون سطح امنیتی
بدون آدرس آی پی
بدون خاموش شدن
! ایجاد زیرواسط در رابط G0/1 (دو شبکه منطقی)
رابط GigabitEthernet0/1.1201
vlan 1222
nameif fw-out
سطح امنیتی 50
آدرس IP 172.16.61.1 255.255.255.0
تفاوت قابل توجه در پلتفرم ASA 5500-X این است که خدمات IPS و فایروال یک پورت مدیریت مشترک دارند، اما نمی توان از آن برای هیچ هدف دیگری استفاده کرد. لطفاً توجه داشته باشید که پس از انتقال، استفاده از آن به عنوان یک پورت داده یا به عنوان یک عنصر پیکربندی با قابلیت دسترسی بالا امکان پذیر نخواهد بود (در سری 5500 این امکان وجود داشت). اگر این کار را در پلتفرم قبلی انجام داده اید، هنگام مهاجرت حتما تنظیمات پیکربندی این پورت مدیریتی را به یکی از پورت های داده گیگابیتی با عددی بالاتر از G0/3 منتقل کنید. در زیر نشان می دهد که چگونه این کار با استفاده از مثال مهاجرت از ASA 5520 به ASA 5525-X انجام می شود.
پیکربندی ASA 5520
مدیریت رابط 0/0
بدون نام
بدون سطح امنیتی
بدون آدرس آی پی
بدون مدیریت فقط
بدون تعطیلی!
! رابط های فرعی در رابط M0/0
مدیریت رابط 0/0.120
vlan 1222
nameif fw-out
سطح امنیتی 50
آدرس IP 172.16.61.1 255.255.255.0
پیکربندی ASA 5515-X
! رابط مدیریت اختصاصی
مدیریت رابط 0/0
بدون نام
بدون سطح امنیتی
بدون آدرس آی پی
فقط مدیریت
بدون خاموش شدن
! رابط مدیریت به GigabitEthernet0/3 منتقل شد
رابط GigabitEthernet0/3
بدون نام
بدون سطح امنیتی
بدون آدرس آی پی
بدون خاموش شدن
! رابط های فرعی در رابط G0/3
رابط GigabitEthernet0/3.1201
vlan 1222
nameif fw-out
سطح امنیتی 50
آدرس IP 172.16.61.1 255.255.255.0
Cisco ASA 5500 رابط GigabitEthernet0/3 ندارد، بنابراین هنگام ارتقاء به نسخه بعدی، تنظیمات نباید با یکدیگر تضاد داشته باشند.
به طور مشابه، اگر قبلاً از رابط مدیریت برای پیکربندی failover استفاده کردهاید، آن را به یک رابط جدید و استفاده نشده 5500-X منتقل کنید.
چگونه سرویس های ASA و IPS را به درستی انتقال دهیم؟ چندین گزینه در اینجا وجود دارد، زیرا همانطور که در بالا ذکر شد، خدمات IPS و فایروال در 5500-X اکنون یک پورت مدیریت مشترک دارند، در حالی که قبلاً از پورت های متفاوتی استفاده می کردند. ، توصیه می کنیم آنها را به دقت مطالعه کرده و مناسب را انتخاب کنید.
به طور مستقیم هنگام انتقال فایل پیکربندی IPS به صورت دستی، اگر تمام آماده سازی های لازم را که در بالا توضیح داده شده انجام داده باشید، نیازی به تغییر چیزی نخواهید داشت. در هر صورت، دوباره بررسی کنید که پورت مدیریت به درستی پیکربندی شده باشد.
فراموش نکنید که IPS در دو مرحله فعال می شود که برای آن نه تنها برای دستگاه ASA بلکه برای خود سرویس IPS نیز نیاز به مجوز دارید.
همانطور که مشاهده می کنید، انتقال از دستگاه های سری ASA 5500 به ASA 5500-X در چند مرحله انجام می شود که برخی از آنها به صورت خودکار و برخی نیز باید به صورت دستی انجام شوند.
ما سعی کردیم مراحل اصلی را شرح دهیم، به چه ترتیبی باید این کار را انجام داد و به چه مواردی باید توجه کرد تا پس از انتقال، تجهیزات جدید به درستی کار کنند و عملکردهای اختصاص داده شده به آن را انجام دهند.
در این قسمت به کار در ROMMON می پردازیم.
کار با ROMMON بیشتر یک کار اضطراری است.
تصادفات معمولی یک تصویر سیستم عامل خراب یا اشتباه حذف شده یا زمانی است که آنها به سادگی رمز عبور را فراموش کرده اند.
اگر بخواهیم این وضعیت را شبیه سازی کنیم، فایل سیستم عامل را حذف می کنیم و همچنین پیکربندی را بازنشانی می کنیم:
پیکربندی پیش فرض کارخانه
ما توسط کنسول به ASA متصل هستیم.
ما به حالت ROMMON می رویم - در طول تایمر، Esc را فشار دهید.
! rommon: آدرس رابط ethernet0/0 10.0.0.1 سرور 10.0.0.2 فایل asa842-k8.bin tftpdnld
در این حالت، ASA سیستم عامل را مستقیماً از tftp بوت می کند و ما کنترل دستگاه را در حالت "عادی" خواهیم داشت.
پس از بوت شدن در این حالت، رمز عبور فعال خالی خواهد بود (اینتر را فشار دهید)
تنظیمات بیشتری را مطابق با این طرح انجام خواهیم داد:
بنابراین، مطابق با طرح، ما رابط داخلی را پیکربندی می کنیم:
رابط gigabitethernet 2 سطح امنیتی 100 nameif داخل آدرس IP 192.168.2.253 255.255.255.0 بدون خاموش شدن
در اینجا در رابط ما پارامترهای زیر را تنظیم می کنیم:
سطح امنیت 100- از آنجایی که این رابط داخلی است، آن را روی بالاترین سطح امنیتی قرار می دهیم، یعنی. ما بیشترین اعتماد را به او داریم
نامیف داخل- یک نام برای رابط تعریف شده است. این یک پارامتر مهم است، زیرا این نام اغلب در تنظیمات بعدی استفاده خواهد شد.
بررسی آدرس IP:
می توانید تنظیمات آدرس IP را در رابط ها بررسی کنید:
نشان دادن ip run-config
یا پینگ:
به هر حال، کمی در مورد کنسول:
با یک پیکربندی خالی، رمز عبور فعال کردنخالی - فقط اینتر را بزنید.
همانطور که در روتر فرمان شناخته شده است نشان می دهدفقط می توان وارد کرد حالت ممتاز. اگر ما در حالت پیکربندیسپس دستور باید داده شود نشان دادن.
در مورد ASA، دستور show در هر حالتی کار می کند.
لغو اجرای دستور (به عنوان مثال اجرای پیکربندی را نشان می دهد) را می توان از طریق دکمه انجام داد " q".
فلش سیستم بوت:/asa914-5-k8.bin
بدون این دستور اولین تصویر موجود بارگذاری می شود. سیستم عامل.
بررسی تصویر برای بوت شدن:
توبیخ می کنیم
بنابراین، ما مطمئن شدیم که رابط داخلی به درستی پیکربندی شده است و پینگ نیز در حال عبور است.
بنابراین اکنون ما یک اتصال کاملاً پیکربندی شده به شبکه داخلی داریم و اکنون می توانیم توانایی مدیریت را پیکربندی کنیم. مدیریت کنید ASA ما
مدیریت ASA را می توان به روش های مختلفی انجام داد:
در مورد خاص ما که با GNS3 کار می کنیم، از سازگار با یکدیگر و با GNS3 استفاده می کنیم:
ASA نسخه 8.4 (2)
ASDM نسخه 6.4 (3)
برای اینکه ASDM کار کند، فایل آن را نیز در فلش کپی می کنیم:
فلش تصویر asdm:/asdm-643.bin
بررسی تصویر کار ASDM:
به طور خلاصه، برای اینکه ASA به درستی کار کند، باید دو فایل روی فلش وجود داشته باشد:
نام میزبان را وارد کنید:
رمز عبور فعال را تنظیم کنید
رمز عبور mysecretpassword را فعال کنید
ما یک کاربر مدیر ایجاد می کنیم و احراز هویت را از طریق پایگاه داده محلی برای روش های SSH و HTTP فعال می کنیم.
نام کاربری asaadmin رمز عبور امتیاز adminpassword 15 aaa احراز هویت ssh کنسول LOCAL aaa احراز هویت http کنسول LOCAL
در اینجا، اتفاقا، ما aaa را برای telnet لحاظ نکردیم. در این حالت رمز عبور اولیه برای telnet با دستور زیر تعیین می شود:
ما کلید RSA مورد نیاز برای کار SSH را تولید می کنیم:
کلید کریپتو مدول rsa 1024 را تولید می کند
برای اینکه ASDM کار کند، پشتیبانی https را فعال کنید:
سرور http فعال کردن http 192.168.2.0 255.255.255.0 در داخل ssh 192.168.2.0 255.255.255.0 داخل
در اینجا فرمان اول سرور را روشن می کند و فرمان دوم تعیین می کند که چه کسی باید اجازه دهد.
همانطور که می دانید HTTPS برای کار کردن به گواهی نیاز دارد. در این مورد، ASA استفاده خواهد کرد . این بدان معنی است که با هر بار راه اندازی مجدد، گواهی دوباره تولید می شود.
به طور کلی، ما می توانیم 3 نوع گواهی را برای ASA پیکربندی کنیم:
بعداً به این موضوع باز خواهیم گشت.
برای راحتی، بیایید تایم اوت SSH را افزایش دهیم:
بررسی تنظیمات HTTP، SSH، TELNET
نمایش run-config aaa نمایش run-config http نشان دادن run-config ssh نشان دادن run-config telnet
ASA نسخه 8.2 (1)
!
!نام سیسکو
نام میزبان asa
!دامنه. برای SSH مورد نیاز است
نام دامنه strui.ru
!رمز عبور برای فعال کردن.
رمز عبور 4aeeoLOxxxxxxjMx رمزگذاری شده را فعال کنید
passwd k0a6sN9ExxxxxxxxzV رمزگذاری شده است
نام ها
! شرح رابط با نگاه کردن به اینترنت.
رابط Ethernet0/0
توضیحات اینترنت
نام اگر خارج است
سطح امنیتی 0
آدرس IP 213.xxx.xxx.194 255.255.255.240
! شرح رابطی که به شبکه محلی نگاه می کند.
رابط Ethernet0/1
توضیحات محلی
نامیف داخل
سطح امنیت 100
آدرس IP 10.10.10.20 255.255.255.0
!
! شرح رابط به دنبال شبکه سرورها (DMZ)
رابط Ethernet0/2
توضیحات DMZ
nameif dmz
سطح امنیتی 50
آدرس IP 62.xxx.xxx.177 255.255.255.240
!این رابط غیرفعال است
رابط Ethernet0/3
خاموش شدن
بدون نام
بدون سطح امنیتی
بدون آدرس آی پی
!این رابط غیرفعال است (به شبکه محلی متصل نیست). استفاده برای
!راه اندازی اولیهسیسکو
مدیریت رابط 0/0
مدیریت نامیف
سطح امنیت 100
آدرس IP 192.168.1.1 255.255.255.0
فقط مدیریت
!
حالت ftp غیرفعال
! منطقه و زمان را تنظیم کنید. مورد نیاز برای سیاهههای مربوط.
منطقه زمانی ساعت MSK/MDD 3
ساعت تابستانی MSK/MDD تکراری یکشنبه گذشته مارس 2:00 یکشنبه گذشته اکتبر 3:00
dns server-group DefaultDNS
! لیست دسترسی به منطقه غیرنظامی شده به سرورها. ترافیک ورودی
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.180 eq www
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.180 eq ftp
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.180 eq ftp-data
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.181 eq www
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.181 eq ftp
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.181 eq ftp-data
لیست دسترسی acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.178 دامنه معادل
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.179 eq smtp
access-list acl_in_dmz مجوز تمدید شده tcp هر میزبان 62.xxx.xxx.179 eq pop3
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.179 eq imap4
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.184 معادله 8081
access-list acl_in_dmz مجوز تمدید شده tcp هر میزبان 62.xxx.xxx.184 eq www
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.185 معادله www
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.186 eq ftp
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.186 eq ftp-data
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.186 eq www
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.189 معادله www
لیست دسترسی acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.179 دامنه معادل
access-list acl_in_dmz مجوز تمدید شده tcp هر میزبان 62.xxx.xxx.179 معادله https
access-list acl_in_dmz مجوز تمدید شده tcp هر میزبان 62.xxx.xxx.182 eq smtp
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.182 eq pop3
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.182 eq imap4
access-list acl_in_dmz مجوز توسعه یافته tcp هر میزبان 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz مجوز تمدید شده tcp هر میزبان 62.xxx.xxx.187 eq www
access-list acl_in_dmz مجوز تمدید شده tcp هر میزبان 62.xxx.xxx.188 معادله www
! لیست دسترسی برای سرورها از DMZ. ترافیک خروجی
access-list acl_out_dmz مجوز تمدید شده tcp هر کدام
access-list acl_out_dmz مجوز تمدید شده udp هر کدام
access-list acl_out_dmz مجوز تمدید شده icmp هر کدام
access-list acl_out_dmz توسعه یافته انکار میزبان tcp 62.xxx.19.76 میزبان 213.xxx.36.194 معادله 135
access-list acl_out_dmz توسعه یافته انکار میزبان tcp 87.xxx.95.11 میزبان 213.xxx.36.194 eq ftp
!لیست دسترسی برای کاربران LAN.
! همه چیز برای ترافیک خروجی مجاز است.
لیست دسترسی acl_out_inside مجوز توسعه یافته tcp 10.10.10.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته tcp 10.10.20.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته tcp 10.10.40.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته tcp 10.10.50.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته tcp 10.10.110.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته icmp 10.10.10.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته icmp 10.10.110.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته icmp 10.10.20.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته icmp 10.10.50.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته udp 10.10.10.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته udp 10.10.20.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته udp 10.10.110.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته udp 10.10.50.0 255.255.255.0 هر
لیست دسترسی acl_out_inside مجوز توسعه یافته udp 10.10.40.0 255.255.255.0 هر
! تنظیم گزارش
ورود به سیستم را فعال کنید
ثبت مهر زمان
اعلان های تله ورود
ثبت اطلاعات asdm
ورود به سیستم میزبان در 10.10.10.4
mtu خارج از 1500
mtu داخل 1500
mtu dmz 1500
mtu management 1500
بدون شکست
icmp غیرقابل دسترسی نرخ-محدودیت 1 انفجار-اندازه 1
تاریخچه asdm فعال نیست
آرپ تایم اوت 14400
! تنظیم جهانی
جهانی (خارج) 1 رابط
! راه اندازی NAT برای یک شبکه محلی
nat (داخل) 1 0.0.0.0 0.0.0.0
! تنظیم استاتیک برای سرورها
nat (dmz) 0 0.0.0.0 0.0.0.0
static (dmz, outside) 62.xxx.xxx.180 62.xxx.xxx.180 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.181 62.xxx.xxx.181 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.178 62.xxx.xxx.178 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.179 62.xxx.xxx.179 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.184 62.xxx.xxx.184 netmask 255.255.255.255
static (dmz، خارج) 62.xxx.xxx.185 62.xxx.xxx.185 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.186 62.xxx.xxx.186 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.189 62.xxx.xxx.189 netmask 255.255.255.255
static (dmz، خارج) 62.xxx.xxx.187 62.xxx.xxx.187 netmask 255.255.255.255
static (dmz, outside) 62.xxx.xxx.188 62.xxx.xxx.188 netmask 255.255.255.255
! ما لیست دسترسی را از طریق گروه دسترسی به رابط ها متصل می کنیم.
گروه دسترسی acl_in_dmz در رابط خارج
گروه دسترسی acl_out_inside در رابط داخلی
گروه دسترسی acl_out_dmz در رابط dmz
! ما مسیریابی را برای رابط ها ثبت می کنیم.
مسیر خارج از 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
مسیر داخل 10.10.20.0 255.255.255.0 10.10.10.10 1
مسیر داخل 10.10.40.0 255.255.255.0 10.10.10.10 1
مسیر داخل 10.10.50.0 255.255.255.0 10.10.10.10 1
مسیر داخل 10.10.110.0 255.255.255.0 10.10.10.10 1
تایم اوت xlate 3:00:00
timeout conn 1:00:00 نیمه بسته 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
تایم اوت جرعه 0:30:00 sip_media 0:02:00 جرعه دعوت 0:03:00 جرعه قطع 0:02:00
تایم اوت sip-provisional-media 0:02:00 uauth 0:05:00 مطلق
وقفه tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
! ما اجازه کار از طریق WEB face از شبکه محلی را می دهیم.
سرور http را فعال کنید
http 10.10.10.0 255.255.255.0 داخل
بدون مکان سرور snmp
بدون تماس با سرور snmp
snmp-server فعال کردن تله های snmp احراز هویت پیوند لینک پایین شروع سرد
crypto ipsec امنیت-اتحادیه طول عمر ثانیه 28800
crypto ipsec امنیت انجمن مادام العمر کیلوبایت 4608000
! ما به telnet و ssh اجازه می دهیم در شبکه محلی کار کنند.
telnet 10.10.10.0 255.255.255.0 داخل
تایم اوت تلنت 5
ssh 10.10.10.0 255.255.255.0 داخل
ssh 10.10.10.71 255.255.255.255 داخل
ssh timeout 30
مهلت زمانی کنسول 0
آدرس dhcpd 192.168.1.2-192.168.1.254 مدیریت
!
تهدید اساسی-تشخیص تهدید
لیست دسترسی آمارهای تشخیص تهدید
هیچ آمار تشخیص تهدید tcp-intercept وجود ندارد
! سرور زمان و کاربر برای پوزه WEB.
منبع سرور ntp 10.10.10.3 داخل
webvpn
نام کاربری رمز عبور مدیریت trAp5eVxxxxxxnv امتیاز رمزگذاری شده 15
!
class-map inspection_default
مطابقت پیش فرض-بازرسی-ترافیک
!
!
نوع Policy-map را بررسی کنید dns preset_dns_map
مولفه های
حداکثر طول پیام 512
سیاست-نقشه جهانی_سیاست
کلاس inspection_default
dns preset_dns_map را بررسی کنید
ftp را بررسی کنید
h323 h225 را بازرسی کنید
h323 ras را بررسی کنید
rsh را بازرسی کنید
rtsp را بازرسی کنید
esmtp را بازرسی کنید
sqlnet را بررسی کنید
لاغر را بررسی کنید
sunrpc را بررسی کنید
xdmcp را بررسی کنید
جرعه جرعه بازرسی
نت بایوس را بررسی کنید
tftp را بررسی کنید
!
Service-policy global_policy global
زمینه نام میزبان سریع
Cryptocheckssum:
: پایان