Ang gawain ay itakda
upang payagan ang mga server at user na gumana lokal na network mga negosyo.
puti ang mga server
(Internet type 62.xxx) na mga address at gawin ito
Ang data ng gumagamit ay ipinasa
Ang mga server ay may dalawang network card: ang isa ay nasa lokal na network, ang isa ay nasa Internet, at kinokontrol sa pamamagitan ng lokal na network. Samakatuwid, ang pag-access mula sa lokal na network sa DMZ ay hindi naka-configure, dahil hindi ito kinakailangan.
Ang isang sample na configuration ay ibinigay sa ibaba.
ASA Bersyon 8.2(1)
Domain. Kailangan para sa SSH
domain-name strui.ru
Password para paganahin.
paganahin ang password na 4aeeoLOxxxxxxjMx na naka-encrypt
passwd k0a6sN9ExxxxxxxxxzV na naka-encrypt
Paglalarawan ng interface na tumitingin sa Internet
interface Ethernet0/0
paglalarawan sa Internet
antas ng seguridad 0
ip address 213.xxx.xxx.194 255.255.255.240
Paglalarawan ng interface na tumitingin sa lokal na network
interface Ethernet0/1
paglalarawan Lokal
antas ng seguridad 100
ip address 10.10.10.20 255.255.255.0
Paglalarawan ng interface na tumitingin sa network ng mga server (DMZ)
interface Ethernet0/2
antas ng seguridad 50
ip address 62.xxx.xxx.177 255.255.255.240
Ang interface na ito ay hindi pinagana
interface Ethernet0/3
walang antas ng seguridad
Ang interface na ito ay hindi pinagana (hindi nakatali sa lokal na network). Ginagamit para sa
paunang pag-setup ng Cisco
Pamamahala ng interface0/0
nameif pamamahala
antas ng seguridad 100
ip address 192.168.1.1 255.255.255.0
ftp mode passive
Itakda ang zone at oras. Kinakailangan para sa mga log.
time zone MSK/MDD 3
orasan sa tag-araw na MSK/MDD na umuulit noong nakaraang Linggo Mar 2:00 noong nakaraang Linggo Okt 3:00
dns server-group DefaultDNS
Listahan ng access sa demilitorized zone sa mga server. papasok na trapiko.
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq www
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.180 eq ftp
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.180 eq ftp-data
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq www
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.181 eq ftp
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.181 eq ftp-data
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.178 eq domain
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.179 eq smtp
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.179 eq pop3
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.179 eq imap4
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq 8081
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.185 eq www
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.186 eq ftp
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.186 eq ftp-data
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.189 eq www
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.179 eq domain
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq https
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.182 eq smtp
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.182 eq pop3
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.182 eq imap4
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.187 eq www
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.188 eq www
Listahan ng access para sa mga server mula sa DMZ. papalabas na trapiko.
access-list acl_out_dmz pinalawig na permit tcp anumang anuman
access-list acl_out_dmz pinalawig na permit udp anumang anuman
access-list acl_out_dmz pinalawig na permit icmp anumang anuman
access-list acl_out_dmz extended deny tcp host 62.xxx.19.76 host 213.xxx.36.194 eq 135
access-list acl_out_dmz extended deny tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp
Listahan ng access para sa mga gumagamit ng lokal na network.
Lahat ay pinapayagan para sa papalabas na trapiko.
access-list acl_out_inside pinalawig na permit tcp 10.10.10.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit tcp 10.10.20.0 255.255.255.0 anuman
access-list acl_out_inside extended permit tcp 10.10.40.0 255.255.255.0 any
access-list acl_out_inside pinalawig na permit tcp 10.10.50.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit tcp 10.10.110.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit icmp 10.10.10.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit icmp 10.10.110.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit icmp 10.10.20.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit icmp 10.10.50.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit udp 10.10.10.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit udp 10.10.20.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit udp 10.10.110.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit udp 10.10.50.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit udp 10.10.40.0 255.255.255.0 anuman
Setup ng pag-log
timestamp sa pag-log
mga notification sa pag-log trap
logging asdm informational
logging host sa loob ng 10.10.10.4
mtu sa labas ng 1500
pamamahala ng mtu 1500
icmp unreachable rate-limit 1 burst-size 1
walang asdm history enable
arp timeout 14400
pandaigdigang setting
global (sa labas) 1 interface
Pagse-set up ng NAT para sa isang lokal na network
nat (sa loob) 1 0.0.0.0 0.0.0.0
Pagtatakda ng static para sa mga server
nat (dmz) 0 0.0.0.0 0.0.0.0
static (dmz, labas) 62.xxx.xxx.180 62.xxx.xxx.180 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.181 62.xxx.xxx.181 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.178 62.xxx.xxx.178 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.179 62.xxx.xxx.179 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.184 62.xxx.xxx.184 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.185 62.xxx.xxx.185 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.186 62.xxx.xxx.186 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.189 62.xxx.xxx.189 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.187 62.xxx.xxx.187 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.188 62.xxx.xxx.188 netmask 255.255.255.255
Binibinhi namin ang access-list sa pamamagitan ng access-group sa mga interface.
access-group acl_in_dmz sa interface sa labas
access-group acl_out_inside sa interface sa loob
access-group acl_out_dmz sa interface dmz
Nagrerehistro kami ng pagruruta para sa mga interface.
ruta sa labas 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
ruta sa loob ng 10.10.20.0 255.255.255.0 10.10.10.10 1
ruta sa loob ng 10.10.40.0 255.255.255.0 10.10.10.10 1
ruta sa loob ng 10.10.50.0 255.255.255.0 10.10.10.10 1
ruta sa loob ng 10.10.110.0 255.255.255.0 10.10.10.10 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 ganap
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
Pinapayagan namin ang trabaho sa pamamagitan ng mukha ng WEB mula sa lokal na network.
paganahin ang http server
http 10.10.10.0 255.255.255.0 sa loob
walang lokasyon ng snmp-server
walang snmp-server contact
snmp-server paganahin ang traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
Pinapayagan namin ang telnet at ssh na gumana sa lokal na network.
telnet 10.10.10.0 255.255.255.0 sa loob
timeout ng telnet 5
ssh 10.10.10.0 255.255.255.0 sa loob
ssh 10.10.10.71 255.255.255.255 sa loob
timeout ng console 0
dhcpd address 192.168.1.2-192.168.1.254 pamamahala
pagbabanta-detection basic-threat
listahan ng access sa mga istatistika ng pag-detect ng pagbabanta
walang mga istatistika ng pagbabanta-detection tcp-intercept
Time server at user para sa WEB muzzle.
ntp server 10.10.10.3 source sa loob
username admin password trAp5eVxxxxxxnv naka-encrypt na pribilehiyo 15
class-map inspection_default
tumugma sa default-inspeksyon-trapiko
uri ng policy-map siyasatin ang dns preset_dns_map
maximum na haba ng mensahe 512
policy-map global_policy
class inspection_default
siyasatin ang dns preset_dns_map
siyasatin ang h323 h225
siyasatin ang h323 ras
service-policy global_policy global
agarang konteksto ng hostname
Cryptochecksum:58da28923df5a5f8d5192125f9b1796f
Sa artikulong ito, ipapaliwanag namin kung paano lumipat mula sa Cisco ASA 5500 na mga firewall (ASA 5510, ASA 5520, ASA 5540 at ASA 5550) patungo sa mas modernong ASA 5500-X (5512-X, 5515-X, 5525-X, 5545) X , 5555-X), anong paunang paghahanda ang kakailanganin, anong mga punto ang dapat bigyang pansin.
Narito ang isang tinatayang pagsusulatan sa pagitan ng mga device ng dalawang linyang ito para sa paglipat.
Upang ang paglipat ay mangyari nang mabilis at walang mga problema, kailangan mong maingat na maghanda para dito - suriin kung ang mga kinakailangan para sa hardware at software ay natutugunan.
Sinusuri namin ang sumusunod:
Kakailanganin mo ang mga sumusunod na hakbang upang maghanda para sa paglipat mula sa cisco 500 series:
Bilang kahalili, maaari mong gamitin ang web-based NAT migration tool, makipag-ugnayan sa TAC o customer support para dito. Binibigyang-daan ka ng tool na ito na magsumite ng umiiral nang configuration mula sa lokal na computer para sa pagproseso, pagkatapos ay magsagawa ng mga pagbabagong-anyo at sa wakas ay nagbibigay sa user ng na-update na configuration na maaaring kopyahin at i-save sa isang file. Bago gamitin ang tool na ito, mangyaring basahin nang mabuti ang mga limitasyon nito.
Naturally, ang arkitektura ng mga bagong device ay medyo naiiba. Biswal, mapapansin mo ang mga sumusunod na pagkakaiba:
Dahil sa mga pagkakaibang ito, kakailanganin mong manual na baguhin ang ilang bagay sa 5500 series configuration file. Tingnan sa ibaba para sa mga detalye.
Ang lahat ng mga kinatawan ng ASA 5500 ay may mga Gigabit port, ang kanilang pagsasaayos ay nakarehistro na at walang kailangang baguhin. Ang pagbubukod ay ang ASA 5510 na walang lisensya ng SecPlus, kung saan walang ganoong port. Samakatuwid, kung ililipat namin ang configuration mula sa 5510, kakailanganin naming baguhin ang lahat ng pangalan ng mga interface at subinterface upang ipakita na ang bagong device ay may mga Gigabit port.
Narito ang isang halimbawa kung paano ito ginagawa (mula 5510 hanggang 5515-X).
Configuration ng ASA 5510
! pisikal na interface
interface Ethernet0/1
walang nameif
walang antas ng seguridad
walang ip address
walang shutdown
! Paglikha ng mga Subinterface sa interface E0/1 (dalawang lohikal na network)
interface Ethernet0/1.120
vlan 1222
nameif fw-out
antas ng seguridad 50
Ang muling pagsasaayos ng ASA 5515-X
! pisikal na interface
interface GigabitEthernet0/1
walang nameif
walang antas ng seguridad
walang ip address
walang shutdown
! Paglikha ng mga Subinterface sa interface G0/1 (dalawang lohikal na network)
interface GigabitEthernet0/1.1201
vlan 1222
nameif fw-out
antas ng seguridad 50
ip address 172.16.61.1 255.255.255.0
Ang isang makabuluhang pagkakaiba sa platform ng ASA 5500-X ay ang mga serbisyo ng IPS at firewall ay may isang karaniwang port ng pamamahala, ngunit hindi ito magagamit para sa anumang iba pang layunin. Pakitandaan na pagkatapos ng paglipat, hindi ito posibleng gamitin bilang data port o bilang elemento ng pagsasaayos na may mataas na accessibility (sa 5500 series ito ay posible). Kung ginawa mo ito sa nakaraang platform, tiyaking ilipat ang mga setting ng configuration ng management port na ito sa isa sa mga Gigabit data port na may numerong mas mataas kaysa sa G0 / 3 kapag lumilipat. Ipinapakita ng sumusunod kung paano ito ginagawa gamit ang halimbawa ng paglipat mula sa ASA 5520 patungo sa ASA 5525-X.
Configuration ng ASA 5520
Pamamahala ng interface0/0
walang nameif
walang antas ng seguridad
walang ip address
walang pamamahala-lamang
walang shutdown!
! Mga subinterface sa interface M0/0
Pamamahala ng interface0/0.120
vlan 1222
nameif fw-out
antas ng seguridad 50
ip address 172.16.61.1 255.255.255.0
Configuration ng ASA 5515-X
! Nakatuon sa Pamamahala ng Interface
Pamamahala ng interface0/0
walang nameif
walang antas ng seguridad
walang ip address
pamamahala-lamang
walang shutdown
! Na-migrate ang Management Interface sa GigabitEthernet0/3
interface GigabitEthernet0/3
walang nameif
walang antas ng seguridad
walang ip address
walang shutdown
! Mga subinterface sa interface G0/3
interface GigabitEthernet0/3.1201
vlan 1222
nameif fw-out
antas ng seguridad 50
ip address 172.16.61.1 255.255.255.0
Ang Cisco ASA 5500 ay walang GigabitEthernet0/3 interface, kaya kapag nag-upgrade sa isang mas bagong bersyon, ang mga pagsasaayos ay hindi dapat magkasalungat sa isa't isa.
Katulad nito, kung ginamit mo dati ang interface ng pamamahala para sa configuration ng failover, i-migrate ito sa isang bago, hindi nagamit na 5500-X na interface.
Paano tama ang paglipat ng mga serbisyo ng ASA at IPS? Mayroong ilang mga pagpipilian dito, dahil, tulad ng nabanggit sa itaas, ang mga serbisyo ng IPS at ang firewall sa 5500-X ay mayroon na ngayong isang karaniwang port ng pamamahala, habang bago sila gumamit ng iba. , inirerekomenda namin na pag-aralan mong mabuti ang mga ito at piliin ang naaangkop.
Direkta kapag inililipat nang manu-mano ang file ng pagsasaayos ng IPS, hindi mo kailangang baguhin ang anuman kung nakumpleto mo na ang lahat ng kinakailangang paghahanda na inilarawan sa itaas. Kung sakali, i-double check kung ang management port ay na-configure nang tama.
Huwag kalimutan na ang IPS ay isinaaktibo sa dalawang hakbang, kung saan kakailanganin mo ng isang lisensya hindi lamang para sa ASA device, kundi pati na rin para sa serbisyo ng IPS mismo.
Gaya ng nakikita mo, ang paglipat mula sa ASA 5500 series na device patungo sa ASA 5500-X ay isinasagawa sa ilang yugto, ang ilan sa mga ito ay awtomatiko, at ang ilan ay kailangang gawin nang manu-mano.
Sinubukan naming ilarawan ang mga pangunahing hakbang, sa anong pagkakasunud-sunod na gawin ito, at kung ano ang dapat mong bigyang pansin upang pagkatapos ng paglipat, ang bagong kagamitan ay gagana nang tama at maisagawa ang mga pag-andar na itinalaga dito.
Sa bahaging ito, titingnan natin ang pagtatrabaho sa ROMMON.
Ang pagtatrabaho sa ROMMON ay higit pa sa isang emergency na trabaho.
Ang mga karaniwang aksidente ay isang sira o maling tinanggal na imahe ng OS, o kapag nakalimutan lang nila ang password.
Kung gusto naming gayahin ang sitwasyong ito, tatanggalin namin ang OS file, at i-reset din ang configuration:
config factory-default
Kami ay konektado sa pamamagitan ng console sa ASA.
Pumunta kami sa ROMMON mode - sa panahon ng timer, pindutin ang Esc.
! rommon: interface ethernet0/0 address 10.0.0.1 server 10.0.0.2 file asa842-k8.bin tftpdnld
Sa kasong ito, direktang i-boot ng ASA ang OS mula sa tftp, at magkakaroon kami ng kontrol sa device na nasa "normal" na mode na.
Pagkatapos mag-boot sa mode na ito, ang password ay magiging walang laman (pindutin ang enter)
Gagawa kami ng karagdagang mga setting alinsunod sa scheme:
Kaya, alinsunod sa scheme, i-configure namin ang panloob na interface:
interface gigabitethernet 2 antas ng seguridad 100 nameif sa loob ng ip address 192.168.2.253 255.255.255.0 walang shutdown
Dito sa interface itinakda namin ang mga sumusunod na parameter:
antas ng seguridad 100- Dahil panloob ang interface na ito, itinakda namin ito sa pinakamataas na antas ng seguridad, ibig sabihin. higit kaming nagtitiwala sa kanya.
nameif sa loob- Tinukoy ang isang pangalan para sa interface. Ito ay isang mahalagang parameter, dahil ang pangalang ito ay madalas na gagamitin sa karagdagang mga setting.
Pagsusuri ng IP address:
Maaari mong suriin ang mga setting ng IP addressing sa mga interface:
ipakita ang running-config ip
O i-ping:
Sa pamamagitan ng paraan, kaunti tungkol sa console:
Sa isang walang laman na config, ang password paganahin walang laman - pindutin lamang ang enter.
Tulad ng kilala sa command router palabas pwede lang ipasok privileged mode. Kung tayo ay nasa mode ng pagsasaayos pagkatapos ay dapat ibigay ang utos magpakita ka.
Sa kaso ng ASA, gagana ang show command sa anumang mode.
Itigil ang pagpapatupad ng utos (hal. ipakita ang running-config) ay maaaring gawin sa pamamagitan ng pindutan " q".
flash ng boot system:/asa914-5-k8.bin
Kung wala ang command na ito, mailo-load ang unang available na larawan. operating system.
Sinusuri ang imahe upang mag-boot:
Saway namin
Kaya, tiniyak namin na ang panloob na interface ay na-configure nang tama, at ang ping ay dumadaan din.
Kaya ngayon ay mayroon na tayong ganap na naka-configure na koneksyon sa panloob na network at ngayon ay maaari na nating i-configure ang kakayahang pamahalaan Pamahalaan ang ating ASA.
Ang pamamahala ng ASA ay maaaring gawin sa maraming paraan:
Sa aming partikular na kaso ng pagtatrabaho sa GNS3, ginagamit namin ang tugma sa isa't isa at sa GNS3:
ASA Bersyon 8.4(2)
ASDM Bersyon 6.4(3)
Para gumana ang ASDM, kokopyahin din namin ang file nito para mag-flash:
flash ng larawan ng asdm:/asdm-643.bin
Sinusuri ang gumaganang imahe ng ASDM:
Upang buod, para gumana nang maayos ang ASA, dapat mayroong dalawang file sa flash:
Ilagay ang hostname:
Itakda ang paganahin ang password
paganahin ang password mysecretpassword
Gumagawa kami ng admin user at pinapagana ang pagpapatunay sa pamamagitan ng lokal na database para sa mga pamamaraan ng SSH at HTTP.
username asaadmin password adminpassword privilege 15 aaa authentication ssh console LOCAL aaa authentication http console LOCAL
Dito pala, hindi namin sinama ang aaa para sa telnet. Sa kasong ito, ang pangunahing password para sa telnet ay matutukoy ng command:
Binubuo namin ang RSA key na kinakailangan para gumana ang SSH:
Ang crypto key ay bumubuo ng rsa modulus 1024
Para gumana ang ASDM, paganahin ang suporta sa https:
Paganahin ng http server ang http 192.168.2.0 255.255.255.0 sa loob ng ssh 192.168.2.0 255.255.255.0 sa loob
Dito, i-on ng unang command ang server, at tinutukoy ng pangalawa kung sino ang hahayaan.
Tulad ng alam mo, ang HTTPS ay nangangailangan ng isang sertipiko upang gumana. Sa kasong ito, gagamitin ng ASA . Nangangahulugan ito na sa bawat pag-reboot ang sertipiko ay muling bubuo.
Sa pangkalahatan, maaari naming i-configure ang 3 uri ng mga sertipiko para sa ASA:
Babalik tayo dito mamaya.
Para sa kaginhawahan, taasan natin ang timeout para sa SSH:
Sinusuri ang mga setting ng HTTP, SSH, TELNET
show running-config aaa show running-config http show running-config ssh show running-config telnet
ASA Bersyon 8.2(1)
!
!Pangalan ng Cisco
hostname asa
!Domain. Kailangan para sa SSH
domain-name strui.ru
!Password para paganahin.
paganahin ang password na 4aeeoLOxxxxxxjMx na naka-encrypt
passwd k0a6sN9ExxxxxxxxxzV na naka-encrypt
mga pangalan
! Paglalarawan ng interface na tumitingin sa Internet.
interface Ethernet0/0
paglalarawan sa Internet
pangalan kung nasa labas
antas ng seguridad 0
ip address 213.xxx.xxx.194 255.255.255.240
! Paglalarawan ng interface na tumitingin sa lokal na network.
interface Ethernet0/1
paglalarawan Lokal
nameif sa loob
antas ng seguridad 100
ip address 10.10.10.20 255.255.255.0
!
! Paglalarawan ng interface na tumitingin sa network ng mga server (DMZ)
interface Ethernet0/2
paglalarawan DMZ
nameif dmz
antas ng seguridad 50
ip address 62.xxx.xxx.177 255.255.255.240
!Ang interface na ito ay hindi pinagana
interface Ethernet0/3
pagsasara
walang nameif
walang antas ng seguridad
walang ip address
!Ang interface na ito ay hindi pinagana (hindi nakatali sa lokal na network). Ginagamit para sa
!paunang setup Cisco
Pamamahala ng interface0/0
nameif pamamahala
antas ng seguridad 100
ip address 192.168.1.1 255.255.255.0
pamamahala-lamang
!
ftp mode passive
! Itakda ang zone at oras. Kinakailangan para sa mga log.
time zone MSK/MDD 3
orasan sa tag-araw na MSK/MDD na umuulit noong nakaraang Linggo Mar 2:00 noong nakaraang Linggo Okt 3:00
dns server-group DefaultDNS
! Listahan ng access sa demilitorized zone sa mga server. papasok na trapiko.
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq www
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.180 eq ftp
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.180 eq ftp-data
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq www
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.181 eq ftp
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.181 eq ftp-data
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.178 eq domain
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.179 eq smtp
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.179 eq pop3
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.179 eq imap4
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq 8081
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.185 eq www
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.186 eq ftp
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.186 eq ftp-data
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.189 eq www
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.179 eq domain
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq https
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.182 eq smtp
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.182 eq pop3
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.182 eq imap4
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.187 eq www
access-list acl_in_dmz pinalawig na permit tcp anumang host 62.xxx.xxx.188 eq www
! Listahan ng access para sa mga server mula sa DMZ. papalabas na trapiko.
access-list acl_out_dmz pinalawig na permit tcp anumang anuman
access-list acl_out_dmz pinalawig na permit udp anumang anuman
access-list acl_out_dmz pinalawig na permit icmp anumang anuman
access-list acl_out_dmz extended deny tcp host 62.xxx.19.76 host 213.xxx.36.194 eq 135
access-list acl_out_dmz extended deny tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp
!Listahan ng access para sa mga gumagamit ng LAN.
! Lahat ay pinapayagan para sa papalabas na trapiko.
access-list acl_out_inside pinalawig na permit tcp 10.10.10.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit tcp 10.10.20.0 255.255.255.0 anuman
access-list acl_out_inside extended permit tcp 10.10.40.0 255.255.255.0 any
access-list acl_out_inside pinalawig na permit tcp 10.10.50.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit tcp 10.10.110.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit icmp 10.10.10.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit icmp 10.10.110.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit icmp 10.10.20.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit icmp 10.10.50.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit udp 10.10.10.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit udp 10.10.20.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit udp 10.10.110.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit udp 10.10.50.0 255.255.255.0 anuman
access-list acl_out_inside pinalawig na permit udp 10.10.40.0 255.255.255.0 anuman
! Setup ng pag-log
paganahin ang pag-log
timestamp sa pag-log
mga notification sa pag-log trap
logging asdm informational
logging host sa loob ng 10.10.10.4
mtu sa labas ng 1500
mtu sa loob ng 1500
mtu dmz 1500
pamamahala ng mtu 1500
walang failover
icmp unreachable rate-limit 1 burst-size 1
walang asdm history enable
arp timeout 14400
! pandaigdigang setting
global (sa labas) 1 interface
! Pagse-set up ng NAT para sa isang lokal na network
nat (sa loob) 1 0.0.0.0 0.0.0.0
! Pagtatakda ng static para sa mga server
nat (dmz) 0 0.0.0.0 0.0.0.0
static (dmz, labas) 62.xxx.xxx.180 62.xxx.xxx.180 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.181 62.xxx.xxx.181 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.178 62.xxx.xxx.178 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.179 62.xxx.xxx.179 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.184 62.xxx.xxx.184 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.185 62.xxx.xxx.185 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.186 62.xxx.xxx.186 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.189 62.xxx.xxx.189 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.187 62.xxx.xxx.187 netmask 255.255.255.255
static (dmz, labas) 62.xxx.xxx.188 62.xxx.xxx.188 netmask 255.255.255.255
! Binibinhi namin ang access-list sa pamamagitan ng access-group sa mga interface.
access-group acl_in_dmz sa interface sa labas
access-group acl_out_inside sa interface sa loob
access-group acl_out_dmz sa interface dmz
! Nagrerehistro kami ng pagruruta para sa mga interface.
ruta sa labas 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
ruta sa loob ng 10.10.20.0 255.255.255.0 10.10.10.10 1
ruta sa loob ng 10.10.40.0 255.255.255.0 10.10.10.10 1
ruta sa loob ng 10.10.50.0 255.255.255.0 10.10.10.10 1
ruta sa loob ng 10.10.110.0 255.255.255.0 10.10.10.10 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 ganap
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
! Pinapayagan namin ang trabaho sa pamamagitan ng mukha ng WEB mula sa lokal na network.
paganahin ang http server
http 10.10.10.0 255.255.255.0 sa loob
walang lokasyon ng snmp-server
walang snmp-server contact
snmp-server paganahin ang traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
! Pinapayagan namin ang telnet at ssh na gumana sa lokal na network.
telnet 10.10.10.0 255.255.255.0 sa loob
timeout ng telnet 5
ssh 10.10.10.0 255.255.255.0 sa loob
ssh 10.10.10.71 255.255.255.255 sa loob
ssh timeout 30
timeout ng console 0
dhcpd address 192.168.1.2-192.168.1.254 pamamahala
!
pagbabanta-detection basic-threat
listahan ng access sa mga istatistika ng pag-detect ng pagbabanta
walang mga istatistika ng pagbabanta-detection tcp-intercept
! Time server at user para sa WEB muzzle.
ntp server 10.10.10.3 source sa loob
webvpn
username admin password trAp5eVxxxxxxnv naka-encrypt na pribilehiyo 15
!
class-map inspection_default
tumugma sa default-inspeksyon-trapiko
!
!
uri ng policy-map siyasatin ang dns preset_dns_map
mga parameter
maximum na haba ng mensahe 512
policy-map global_policy
class inspection_default
siyasatin ang dns preset_dns_map
suriin ang ftp
siyasatin ang h323 h225
siyasatin ang h323 ras
siyasatin ang rsh
siyasatin ang rtsp
siyasatin ang esmtp
suriin ang sqlnet
siyasatin ang payat
siyasatin ang sunrpc
suriin ang xdmcp
siyasatin ang paghigop
suriin ang netbios
suriin ang tftp
!
service-policy global_policy global
agarang konteksto ng hostname
Cryptochecksum:
: wakas