Sarcina era să se stabilească
pentru a permite serverelor și utilizatorilor să funcționeze retea localaîntreprinderilor.
serverele sunt albe
(Internet tip 62.xxx) adrese și rezolvați
Datele utilizatorului sunt transmise
Serverele au două plăci de rețea: una este în rețeaua locală, cealaltă este pe Internet și sunt controlate prin rețeaua locală. Prin urmare, accesul din rețeaua locală la DMZ nu este configurat, deoarece nu este necesar.
Un exemplu de configurație este prezentat mai jos.
Versiunea ASA 8.2(1)
Domeniu. Necesar pentru SSH
nume-domeniu strui.ru
Parola pentru activare.
activați parola 4aeeoLOxxxxxxjMx criptată
passwd k0a6sN9ExxxxxxxxxzV criptat
Descrierea interfeței cu privire la Internet
interfață Ethernet0/0
descriere Internet
nivelul de securitate 0
adresa IP 213.xxx.xxx.194 255.255.255.240
Descrierea interfeței care se uită în rețeaua locală
interfață Ethernet0/1
descriere Local
nivelul de securitate 100
adresa ip 10.10.10.20 255.255.255.0
Descrierea interfeței care caută în rețeaua de servere (DMZ)
interfață Ethernet0/2
nivelul de securitate 50
adresa IP 62.xxx.xxx.177 255.255.255.240
Această interfață este dezactivată
interfață Ethernet0/3
nici un nivel de securitate
Această interfață este dezactivată (nu este legată de rețeaua locală). Folosit pentru
configurarea inițială Cisco
Interfață Management0/0
managementul nameif
nivelul de securitate 100
adresa ip 192.168.1.1 255.255.255.0
modul ftp pasiv
Setați zona și ora. Necesar pentru jurnalele.
fus orar ceas MSK/MDD 3
ceas la ora de vară MSK/MDD recurent ultima duminică martie 2:00 ultima duminică oct 3:00
dns server-group DefaultDNS
Lista accesului la servere în zona demilitorizată. trafic de intrare.
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.180 eq www
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.180 eq ftp
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.180 eq ftp-data
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.181 eq www
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.181 eq ftp
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.181 eq ftp-data
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.178 eq domain
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.179 eq smtp
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.179 eq pop3
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.179 eq imap4
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.184 eq 8081
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.184 eq www
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.185 eq www
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.186 eq ftp
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.186 eq ftp-data
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.186 eq www
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.189 eq www
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.179 eq domain
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.179 eq https
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.182 eq smtp
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.182 eq pop3
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.182 eq imap4
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.187 eq www
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.188 eq www
Lista de acces pentru serverele din DMZ. trafic de ieșire.
access-list acl_out_dmz extins permis tcp any any
access-list acl_out_dmz extins permis udp any any
access-list acl_out_dmz extins permis icmp any any
lista de acces acl_out_dmz extins deny tcp gazdă 62.xxx.19.76 gazdă 213.xxx.36.194 eq 135
lista de acces acl_out_dmz extins deny tcp gazdă 87.xxx.95.11 gazdă 213.xxx.36.194 eq ftp
Lista de acces pentru utilizatorii rețelei locale.
Totul este permis pentru traficul de ieșire.
lista de acces acl_out_inside permis extins tcp 10.10.10.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins tcp 10.10.20.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins tcp 10.10.40.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins tcp 10.10.50.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins tcp 10.10.110.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins icmp 10.10.10.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins icmp 10.10.110.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins icmp 10.10.20.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins icmp 10.10.50.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins udp 10.10.10.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins udp 10.10.20.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins udp 10.10.110.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins udp 10.10.50.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins udp 10.10.40.0 255.255.255.0 orice
Configurare înregistrare
marcaj temporal de înregistrare
înregistrarea notificărilor capcane
logging asdm informational
gazdă de înregistrare în interiorul 10.10.10.4
mtu afara 1500
mtu management 1500
icmp rată-limită de neatins 1 burst-size 1
nu este activat istoricul asdm
arp timeout 14400
setari globale
global (exterior) 1 interfață
Configurarea NAT pentru o rețea locală
nat (în interior) 1 0.0.0.0 0.0.0.0
Setarea statică pentru servere
nat (dmz) 0 0.0.0.0 0.0.0.0
static (dmz,exterior) 62.xxx.xxx.180 62.xxx.xxx.180 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.181 62.xxx.xxx.181 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.178 62.xxx.xxx.178 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.179 62.xxx.xxx.179 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.184 62.xxx.xxx.184 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.185 62.xxx.xxx.185 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.186 62.xxx.xxx.186 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.189 62.xxx.xxx.189 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.187 62.xxx.xxx.187 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.188 62.xxx.xxx.188 mască de rețea 255.255.255.255
Legăm lista de acces prin grupul de acces la interfețe.
access-group acl_in_dmz în interfața din exterior
acces-grup acl_out_inside în interfața din interior
grup de acces acl_out_dmz în interfața dmz
Înregistrăm rutarea pentru interfețe.
traseu exterior 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
traseu interior 10.10.20.0 255.255.255.0 10.10.10.10 1
traseu interior 10.10.40.0 255.255.255.0 10.10.10.10 1
traseu interior 10.10.50.0 255.255.255.0 10.10.10.10 1
traseu interior 10.10.110.0 255.255.255.0 10.10.10.10 1
timeout xlate 3:00:00
timeout conn 1:00:00 semiînchis 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolut
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
Permitem lucrul prin fața WEB din rețeaua locală.
activare server http
http 10.10.10.0 255.255.255.0 interior
nicio locație de server snmp
nici un contact snmp-server
snmp-server activa capcane autentificare snmp linkup linkdown coldstart
crypto ipsec securitate-asociare de viață secunde 28800
crypto ipsec asociere de securitate durata de viață kilobytes 4608000
Permitem telnet și ssh să funcționeze în rețeaua locală.
telnet 10.10.10.0 255.255.255.0 interior
expirare telnet 5
ssh 10.10.10.0 255.255.255.0 interior
ssh 10.10.10.71 255.255.255.255 interior
timeout console 0
adresa dhcpd 192.168.1.2-192.168.1.254 management
amenințare-detecție amenințare de bază
lista de acces la statisticile de detectare a amenințărilor
fără statistici de detectare a amenințărilor tcp-intercept
Server de timp și utilizator pentru bot WEB.
ntp server 10.10.10.3 sursă în interior
nume utilizator parolă admin trAp5eVxxxxxxnv privilegiu criptat 15
clasa-hartă inspecție_default
potriviți implicit-inspecție-trafic
tipul de hartă-politică inspectați dns preset_dns_map
lungimea mesajului maxim 512
politică-hartă global_policy
clasa inspection_default
inspectați dns preset_dns_map
inspectați h323 h225
inspectați h323 ras
service-policy global_policy global
contextul numelui de gazdă prompt
Cryptochecksum:58da28923df5a5f8d5192125f9b1796f
În acest articol, vom explica cum să migrați de la firewall-urile Cisco ASA 5500 (ASA 5510, ASA 5520, ASA 5540 și ASA 5550) la ASA 5500-X mai modern (5512-X, 5515-X, 5525-X, 5545-). X , 5555-X), ce pregătire preliminară va fi necesară, la ce puncte să acordați atenție.
Iată o corespondență aproximativă între dispozitivele acestor două linii pentru tranziție.
Pentru ca migrarea să aibă loc rapid și fără probleme, trebuie să vă pregătiți cu atenție pentru aceasta - verificați dacă sunt îndeplinite cerințele pentru hardware și software.
Verificăm următoarele:
Veți avea nevoie de următorii pași pentru a vă pregăti pentru migrarea de la seria Cisco 500:
Alternativ, puteți utiliza instrumentul de migrare NAT bazat pe web, puteți contacta TAC sau asistența pentru clienți pentru acesta. Acest instrument vă permite să trimiteți o configurație existentă de pe computerul local pentru procesare, apoi să efectueze transformări și, în final, oferă utilizatorului o configurație actualizată care poate fi pur și simplu copiată și salvată într-un fișier. Înainte de a utiliza acest instrument, vă rugăm să citiți cu atenție limitările acestuia.
Desigur, arhitectura noilor dispozitive este oarecum diferită. Vizual, puteți observa următoarele diferențe:
Din cauza acestor diferențe, va trebui să modificați manual câteva lucruri din fișierul de configurare din seria 5500. Vedeți mai jos pentru detalii.
Toți reprezentanții ASA 5500 au porturi Gigabit, configurația lor este deja înregistrată și nu trebuie schimbat nimic. Excepție este ASA 5510 fără licență SecPlus, unde nu există un astfel de port. Prin urmare, dacă transferăm configurația de pe 5510, va trebui să schimbăm toate denumirile interfețelor și subinterfețelor pentru a reflecta că noul dispozitiv are porturi Gigabit.
Iată un exemplu despre cum se face acest lucru (trecând de la 5510 la 5515-X).
Configurare ASA 5510
! interfata fizica
interfață Ethernet0/1
nici un numeif
nici un nivel de securitate
fara adresa ip
nicio oprire
! Crearea de subinterfețe pe interfața E0/1 (două rețele logice)
interfață Ethernet0/1.120
vlan 1222
nameif fw-out
nivelul de securitate 50
Reconfigurare ASA 5515-X
! interfata fizica
interfață GigabitEthernet0/1
nici un numeif
nici un nivel de securitate
fara adresa ip
nicio oprire
! Crearea de subinterfețe pe interfața G0/1 (două rețele logice)
interfață GigabitEthernet0/1.1201
vlan 1222
nameif fw-out
nivelul de securitate 50
adresa ip 172.16.61.1 255.255.255.0
O diferență semnificativă în platforma ASA 5500-X este că serviciile IPS și firewall au un port de management comun, dar nu poate fi utilizat în niciun alt scop. Vă rugăm să rețineți că după tranziție nu va mai fi posibil să îl utilizați ca port de date sau ca element de configurare cu accesibilitate ridicată (în seria 5500 a fost posibil). Dacă ați făcut acest lucru pe platforma anterioară, asigurați-vă că ați transferat setările de configurare ale acestui port de gestionare pe unul dintre porturile de date Gigabit cu un număr mai mare de G0 / 3 la migrare. Următoarele arată cum se face acest lucru folosind exemplul de migrare de la ASA 5520 la ASA 5525-X.
Configurare ASA 5520
Interfață Management0/0
nici un numeif
nici un nivel de securitate
fara adresa ip
nu numai management
fara oprire!
! Subinterfețe pe interfața M0/0
Managementul interfeței0/0.120
vlan 1222
nameif fw-out
nivelul de securitate 50
adresa ip 172.16.61.1 255.255.255.0
Configurație ASA 5515-X
! Interfață de management dedicată
Interfață Management0/0
nici un numeif
nici un nivel de securitate
fara adresa ip
numai de management
nicio oprire
! Interfața de management a fost migrată la GigabitEthernet0/3
interfață GigabitEthernet0/3
nici un numeif
nici un nivel de securitate
fara adresa ip
nicio oprire
! Subinterfețe pe interfața G0/3
interfață GigabitEthernet0/3.1201
vlan 1222
nameif fw-out
nivelul de securitate 50
adresa ip 172.16.61.1 255.255.255.0
Cisco ASA 5500 nu are o interfață GigabitEthernet0/3, așa că atunci când faceți upgrade la o versiune ulterioară, configurațiile nu ar trebui să intre în conflict între ele.
În mod similar, dacă ați folosit anterior interfața de gestionare pentru configurarea failoverului, migrați-o la o interfață 5500-X nouă, nefolosită.
Cum se migrează corect serviciile ASA și IPS? Există mai multe opțiuni aici, deoarece, așa cum am menționat mai sus, serviciile IPS și firewall-ul din 5500-X au acum un singur port de management comun, în timp ce înainte foloseau unul diferit. , vă recomandăm să le studiați cu atenție și să o alegeți pe cea potrivită.
Direct când transferați manual fișierul de configurare IPS, nu va trebui să schimbați nimic dacă ați finalizat toate pregătirile necesare descrise mai sus. Pentru orice eventualitate, verificați din nou dacă portul de gestionare este configurat corect.
Nu uitați că IPS este activat în doi pași, pentru care veți avea nevoie de o licență nu numai pentru dispozitivul ASA, ci și pentru serviciul IPS în sine.
După cum puteți vedea, migrarea de la dispozitivele din seria ASA 5500 la ASA 5500-X se realizează în mai multe etape, unele dintre ele sunt automatizate, iar altele vor trebui făcute manual.
Am încercat să descriem pașii principali, în ce ordine să o faceți și la ce ar trebui să acordați atenție, astfel încât, după tranziție, noul echipament să funcționeze corect și să îndeplinească funcțiile care îi sunt atribuite.
În această parte, ne vom uita la lucrul în ROMMON.
Lucrul cu ROMMON este mai mult un loc de muncă de urgență.
Accidentele tipice sunt o imagine a sistemului de operare coruptă sau ștearsă din greșeală sau când pur și simplu au uitat parola.
Dacă vrem să simulăm această situație, vom șterge fișierul OS și, de asemenea, vom reseta configurația:
configurație implicită din fabrică
Suntem conectați prin consolă la ASA.
Intrăm în modul ROMMON - în timpul cronometrului, apăsați Esc.
! rommon: interfață ethernet0/0 adresa 10.0.0.1 server 10.0.0.2 fișier asa842-k8.bin tftpdnld
În acest caz, ASA va porni sistemul de operare direct de pe tftp, iar noi vom avea controlul asupra dispozitivului deja în modul „normal”.
După pornirea în acest mod, parola de activare va fi goală (apăsați enter)
Vom face setări suplimentare în conformitate cu schema:
Deci, în conformitate cu schema, vom configura interfața internă:
interfață gigabitethernet 2 la nivel de securitate 100 nume dacă în interiorul adresei IP 192.168.2.253 255.255.255.0 fără oprire
Aici, pe interfață, setăm următorii parametri:
nivelul de securitate 100- Deoarece această interfață este internă, o setăm la cel mai înalt nivel de securitate, de exemplu. avem cea mai mare încredere în el.
nameif înăuntru- Definit un nume pentru interfață. Acesta este un parametru important, deoarece acest nume va fi folosit frecvent în setările ulterioare.
Verificarea adresei IP:
Puteți verifica setările de adresare IP pe interfețele:
arată ip-ul de configurare în curs de utilizare
Sau ping:
Apropo, puțin despre consolă:
Cu o configurație goală, parola permite gol - doar apăsați enter.
După cum se știe pe routerul de comandă spectacol poate fi introdus doar în modul privilegiat. Dacă suntem în modul de configurare atunci ar trebui dată comanda arata.
În cazul ASA, comanda show va funcționa în orice mod.
Anulați executarea comenzii (de ex. arată rularea-config) se poate face prin butonul " q".
sistemul de pornire flash:/asa914-5-k8.bin
Fără această comandă, prima imagine disponibilă va fi încărcată. sistem de operare.
Verificarea imaginii pentru a porni:
Noi mustrăm
Deci, ne-am asigurat că interfața internă este configurată corect, iar ping-ul trece și el.
Deci acum avem o conexiune complet configurată la rețeaua internă și acum putem configura capacitatea de a gestiona Administra ASA-ul nostru.
Managementul ASA se poate face în mai multe moduri:
În cazul nostru particular de lucru cu GNS3, folosim compatibil între ele și cu GNS3:
Versiunea ASA 8.4(2)
Versiunea ASDM 6.4(3)
Pentru ca ASDM să funcționeze, vom copia și fișierul său în flash:
asdm imagine flash:/asdm-643.bin
Verificarea imaginii de lucru ASDM:
Pentru a rezuma, pentru ca ASA să funcționeze corect, trebuie să existe două fișiere pe flash:
Introduceți numele gazdei:
Setați parola de activare
activați parola mysecretpassword
Creăm un utilizator admin și activăm autentificarea prin baza de date locală pentru metodele SSH și HTTP.
nume de utilizator asaadmin parola adminpassword privilegiu 15 aaa autentificare ssh console LOCAL aaa autentificare http console LOCAL
Aici, apropo, nu am inclus aaa pentru telnet. În acest caz, parola principală pentru telnet va fi determinată de comanda:
Generăm cheia RSA necesară pentru ca SSH să funcționeze:
cheia cripto generează modul rsa 1024
Pentru ca ASDM să funcționeze, activați suportul https:
server http activare http 192.168.2.0 255.255.255.0 în interiorul ssh 192.168.2.0 255.255.255.0 în interior
Aici, prima comandă pornește serverul, iar a doua determină pe cine să îngăduiască.
După cum știți, HTTPS necesită un certificat pentru a funcționa. În acest caz, ASA va utiliza . Aceasta înseamnă că la fiecare repornire certificatul va fi regenerat.
În general, putem configura 3 tipuri de certificate pentru ASA:
Vom reveni la asta mai târziu.
Pentru comoditate, să creștem timpul de expirare pentru SSH:
Verificarea setărilor HTTP, SSH, TELNET
show running-config aaa show running-config http arată running-config ssh arată running-config telnet
Versiunea ASA 8.2(1)
!
!Numele Cisco
nume de gazdă asa
!Domeniu. Necesar pentru SSH
nume-domeniu strui.ru
!Parola pentru activare.
activați parola 4aeeoLOxxxxxxjMx criptată
passwd k0a6sN9ExxxxxxxxxzV criptat
nume
! Descrierea interfeței cu privire la Internet.
interfață Ethernet0/0
descriere Internet
nume dacă este în afara
nivelul de securitate 0
adresa IP 213.xxx.xxx.194 255.255.255.240
! Descrierea interfeței care se uită în rețeaua locală.
interfață Ethernet0/1
descriere Local
nameif înăuntru
nivelul de securitate 100
adresa ip 10.10.10.20 255.255.255.0
!
! Descrierea interfeței care caută în rețeaua de servere (DMZ)
interfață Ethernet0/2
descriere DMZ
nameif dmz
nivelul de securitate 50
adresa IP 62.xxx.xxx.177 255.255.255.240
!Această interfață este dezactivată
interfață Ethernet0/3
închide
nici un numeif
nici un nivel de securitate
fara adresa ip
!Această interfață este dezactivată (nu este legată de rețeaua locală). Folosit pentru
!configurare inițială Cisco
Interfață Management0/0
managementul nameif
nivelul de securitate 100
adresa ip 192.168.1.1 255.255.255.0
numai de management
!
modul ftp pasiv
! Setați zona și ora. Necesar pentru jurnalele.
fus orar ceas MSK/MDD 3
ceas la ora de vară MSK/MDD recurent ultima duminică martie 2:00 ultima duminică oct 3:00
dns server-group DefaultDNS
! Lista accesului la servere în zona demilitorizată. trafic de intrare.
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.180 eq www
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.180 eq ftp
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.180 eq ftp-data
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.181 eq www
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.181 eq ftp
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.181 eq ftp-data
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.178 eq domain
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.179 eq smtp
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.179 eq pop3
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.179 eq imap4
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.184 eq 8081
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.184 eq www
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.185 eq www
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.186 eq ftp
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.186 eq ftp-data
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.186 eq www
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.189 eq www
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.179 eq domain
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.179 eq https
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.182 eq smtp
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.182 eq pop3
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.182 eq imap4
lista de acces acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.187 eq www
access-list acl_in_dmz permis extins tcp orice gazdă 62.xxx.xxx.188 eq www
! Lista de acces pentru serverele din DMZ. trafic de ieșire.
access-list acl_out_dmz extins permis tcp any any
access-list acl_out_dmz extins permis udp any any
access-list acl_out_dmz extins permis icmp any any
lista de acces acl_out_dmz extins deny tcp gazdă 62.xxx.19.76 gazdă 213.xxx.36.194 eq 135
lista de acces acl_out_dmz extins deny tcp gazdă 87.xxx.95.11 gazdă 213.xxx.36.194 eq ftp
!Lista de acces pentru utilizatorii LAN.
! Totul este permis pentru traficul de ieșire.
lista de acces acl_out_inside permis extins tcp 10.10.10.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins tcp 10.10.20.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins tcp 10.10.40.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins tcp 10.10.50.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins tcp 10.10.110.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins icmp 10.10.10.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins icmp 10.10.110.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins icmp 10.10.20.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins icmp 10.10.50.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins udp 10.10.10.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins udp 10.10.20.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins udp 10.10.110.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins udp 10.10.50.0 255.255.255.0 orice
lista de acces acl_out_inside permis extins udp 10.10.40.0 255.255.255.0 orice
! Configurare înregistrare
activare înregistrare
marcaj temporal de înregistrare
înregistrarea notificărilor capcane
logging asdm informational
gazdă de înregistrare în interiorul 10.10.10.4
mtu afara 1500
mtu în interiorul 1500
mtu dmz 1500
mtu management 1500
fără failover
icmp rată-limită de neatins 1 burst-size 1
nu este activat istoricul asdm
arp timeout 14400
! setari globale
global (exterior) 1 interfață
! Configurarea NAT pentru o rețea locală
nat (în interior) 1 0.0.0.0 0.0.0.0
! Setarea statică pentru servere
nat (dmz) 0 0.0.0.0 0.0.0.0
static (dmz,exterior) 62.xxx.xxx.180 62.xxx.xxx.180 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.181 62.xxx.xxx.181 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.178 62.xxx.xxx.178 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.179 62.xxx.xxx.179 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.184 62.xxx.xxx.184 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.185 62.xxx.xxx.185 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.186 62.xxx.xxx.186 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.189 62.xxx.xxx.189 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.187 62.xxx.xxx.187 mască de rețea 255.255.255.255
static (dmz,exterior) 62.xxx.xxx.188 62.xxx.xxx.188 mască de rețea 255.255.255.255
! Legăm lista de acces prin grupul de acces la interfețe.
access-group acl_in_dmz în interfața din exterior
acces-grup acl_out_inside în interfața din interior
grup de acces acl_out_dmz în interfața dmz
! Înregistrăm rutarea pentru interfețe.
traseu exterior 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
traseu interior 10.10.20.0 255.255.255.0 10.10.10.10 1
traseu interior 10.10.40.0 255.255.255.0 10.10.10.10 1
traseu interior 10.10.50.0 255.255.255.0 10.10.10.10 1
traseu interior 10.10.110.0 255.255.255.0 10.10.10.10 1
timeout xlate 3:00:00
timeout conn 1:00:00 semiînchis 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolut
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
! Permitem lucrul prin fața WEB din rețeaua locală.
activare server http
http 10.10.10.0 255.255.255.0 interior
nicio locație de server snmp
nici un contact snmp-server
snmp-server activa capcane autentificare snmp linkup linkdown coldstart
crypto ipsec securitate-asociare de viață secunde 28800
crypto ipsec asociere de securitate durata de viață kilobytes 4608000
! Permitem telnet și ssh să funcționeze în rețeaua locală.
telnet 10.10.10.0 255.255.255.0 interior
expirare telnet 5
ssh 10.10.10.0 255.255.255.0 interior
ssh 10.10.10.71 255.255.255.255 interior
ssh timeout 30
timeout console 0
adresa dhcpd 192.168.1.2-192.168.1.254 management
!
amenințare-detecție amenințare de bază
lista de acces la statisticile de detectare a amenințărilor
fără statistici de detectare a amenințărilor tcp-intercept
! Server de timp și utilizator pentru bot WEB.
ntp server 10.10.10.3 sursă în interior
webvpn
nume utilizator parolă admin trAp5eVxxxxxxnv privilegiu criptat 15
!
clasa-hartă inspecție_default
potriviți implicit-inspecție-trafic
!
!
tipul de hartă-politică inspectați dns preset_dns_map
parametrii
lungimea mesajului maxim 512
politică-hartă global_policy
clasa inspection_default
inspectați dns preset_dns_map
inspectați ftp
inspectați h323 h225
inspectați h323 ras
inspectați rsh
inspectați rtsp
inspectați esmtp
inspectați sqlnet
inspectează slab
inspectați sunrpc
inspecteaza xdmcp
inspectați înghițitură
inspectați netbio-urile
inspectați tftp
!
service-policy global_policy global
contextul numelui de gazdă prompt
Cryptochecksum:
: Sfârşit