Стояло завдання налаштувати
для дозволу роботи серверів та користувачів локальної мережіпідприємства.
сервери мають білі
(Інтернетівські типу 62.ххх) адреси та працюють через
Дані ж користувачів пропускаємо через
Сервера мають дві мережеві карти: одна - в локальній мережі, інша - Інтернет, і керуються через локальну мережу. Тому доступ з локальної мережі до DMZ не налаштований, тому що не потрібний.
Зразок конфігурації наведено нижче.
ASA Version 8.2(1)
Домен. Потрібно для SSH
domain-name strui.ru
Пароль для enable.
enable password 4аоoLOxxxxxxjMx encrypted
passwd k0a6sN9ExxxxxxxxzV encrypted
Опис інтерфейсу, що дивиться в Інтернет
interface Ethernet0/0
description Internet
security-level 0
ip address 213.xxx.xxx.194 255.255.255.240
Опис інтерфейсу, що дивиться в локальну мережу
interface Ethernet0/1
description Local
security-level 100
ip address 10.10.10.20 255.255.255.0
Опис інтерфейсу, що дивиться в мережу серверів (DMZ)
interface Ethernet0/2
security-level 50
ip address 62.xxx.xxx.177 255.255.255.240
Цей інтерфейс вимкнено
interface Ethernet0/3
no security-level
Цей інтерфейс вимкнено (не прив'язаний до локальної мережі). Використовувався при
Початкове налаштування Cisco
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
ftp mode passive
Виставляємо зону та час. Потрібно для логів.
clock timezone MSK/MDD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
Аркуш доступу до деміліторизованої зони до серверів. Вхідний трафік.
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq ftp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq ftp-data
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq ftp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq ftp-data
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.178 eq domain
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq smtp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq pop3
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq imap4
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq 8081
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.185 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq ftp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq ftp-data
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.189 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq domain
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq https
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq smtp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq pop3
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq imap4
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.187 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.188 eq www
Аркуш доступу для серверів із деміліторизованої зони. Вихідний трафік.
access-list acl_out_dmz extended permit tcp any any
access-list acl_out_dmz extended permit udp any any
access-list acl_out_dmz extended permit icmp any any
access-list acl_out_dmz extended deny tcp host 62.xxx.19.76 host 213.xxx.36.194 eq 135
access-list acl_out_dmz extended deny tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp
Аркуш доступу для користувачів локальної мережі.
Дозволено все для вихідного трафіку.
access-list acl_out_inside extended permit tcp 10.10.10.0 255.255.255.0 any
access-list acl_out_inside extended permit tcp 10.10.20.0 255.255.255.0 any
access-list acl_out_inside extended permit tcp 10.10.40.0 255.255.255.0 any
access-list acl_out_inside extended permit tcp 10.10.50.0 255.255.255.0 any
access-list acl_out_inside extended permit tcp 10.10.110.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 10.10.10.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 10.10.110.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 10.10.20.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 10.10.50.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.10.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.20.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.110.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.50.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.40.0 255.255.255.0 any
Налаштування логування
logging timestamp
logging trap notifications
logging asdm informational
logging host inside 10.10.10.4
mtu outside 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
Налаштування global
global (outside) 1 interface
Налаштування NAT для локальної мережі
nat (inside) 1 0.0.0.0 0.0.0.0
Налаштування static для серверів
nat (dmz) 0 0.0.0.0 0.0.0.0
static (dmz,outside) 62.xxx.xxx.180 62.xxx.xxx.180 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.181 62.xxx.xxx.181 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.178 62.xxx.xxx.178 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.179 62.xxx.xxx.179 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.184 62.xxx.xxx.184 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.185 62.xxx.xxx.185 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.186 62.xxx.xxx.186 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.189 62.xxx.xxx.189 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.187 62.xxx.xxx.187 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.188 62.xxx.xxx.188 netmask 255.255.255.255
Прив'язуємо access-list через access-group до інтерфейсів.
access-group acl_in_dmz в interface outside
access-group acl_out_inside in interface inside
access-group acl_out_dmz in interface dmz
Прописуємо маршрутизацію для інтерфейсів.
route outside 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
route inside 10.10.20.0 255.255.255.0 10.10.10.10 1
route inside 10.10.40.0 255.255.255.0 10.10.10.10 1
route inside 10.10.50.0 255.255.255.0 10.10.10.10 1
route inside 10.10.110.0 255.255.255.0 10.10.10.10 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
Дозволяємо роботу через WEB морду з локальної мережі.
http server enable
http 10.10.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
Дозволяємо роботу telnet та ssh по локальній мережі.
telnet 10.10.10.0 255.255.255.0 inside
telnet timeout 5
ssh 10.10.10.0 255.255.255.0 inside
ssh 10.10.10.71 255.255.255.255 inside
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
Сервер часу та користувач для WEB морди.
ntp server 10.10.10.3 source inside
username admin password trAp5eVxxxxxxnv encrypted privilege 15
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect h323 h225
inspect h323 ras
service-policy global_policy global
prompt hostname context
Cryptochecksum:58da28923df5a5f8d5192125f9b1796f
У цій статті ми розповімо, як мігрувати з міжмережевих екранів Cisco ASA 5500 (ASA 5510, ASA 5520, ASA 5540 та ASA 5550) на більш сучасні ASA 5500-X (5512-Х, 5515-Х, 5555-Х, , 5555-Х), яку попередню підготовку доведеться провести, на які моменти звернути увагу.
Ось приблизна відповідність пристроїв цих двох лінійок для переходу.
Для того, щоб міграція відбулася швидко і без проблем, необхідно ретельно підготуватись до неї – перевірити, чи виконуються вимоги до обладнання та ПЗ.
Перевіряємо наступне:
Від вас будуть потрібні такі дії з підготовки до переходу з cisco 500 series:
Також, як альтернатива, можна скористатися веб-інструментом міграції NAT, за ним звертайтеся в ТАС або клієнтську підтримку. Цей інструмент дозволяє відправити на обробку існуючу конфігурацію з локального комп'ютера, потім виконує перетворення і надає користувачеві оновлену конфігурацію, яку можна просто скопіювати і зберегти у файл. Перед використанням цього інструмента уважно ознайомтеся з його обмеженнями
Природно, що архітектура нових пристроїв дещо відрізняється. Візуально ви зможете помітити такі відмінності:
Через ці відмінності вам знадобиться щось змінити вручну в конфігураційному файлі серії 5500. Нижче читайте, що саме.
Всі представники ASA 5500 мають порти Gigabit, їх конфігурація вже прописана і змінювати нічого не потрібно. Виняток становить ASA 5510 без ліцензії SecPlus, де такого порту немає. Тому якщо переносимо конфігурацію саме з 5510, потрібно буде змінити всі імена інтерфейсів і підінтерфейсів, щоб відобразити, що в новому пристрої порти Gigabit є.
Ось приклад, як це робиться (переходимо із 5510 на 5515-Х).
Конфігурація ASA 5510
! Physical Interface
interface Ethernet0/1
no nameif
no security-level
no ip address
не shutdown
! Creating Subinterfaces on interface E0/1 (дві logical networks)
interface Ethernet0/1.120
vlan 1222
nameif fw-out
security-level 50
Змінена конфігурація ASA 5515-X
! Physical Interface
interface GigabitEthernet0/1
no nameif
no security-level
no ip address
не shutdown
! Creating Subinterfaces on interface G0/1 (дві logical networks)
interface GigabitEthernet0/1.1201
vlan 1222
nameif fw-out
security-level 50
ip address 172.16.61.1 255.255.255.0
Істотна відмінність платформи ASA 5500-X полягає в тому, що у служб IPS та міжмережевого захисту є загальний порт управління, але більше його ні для яких цілей використовувати не можна. Враховуйте, що після переходу його не вдасться використовувати як порт даних або як елемент конфігурації з high-accesibility (5500 серії це було можливо). Якщо на попередній платформі ви так робили, при міграції обов'язково переносіть конфігураційні налаштування цього порту керування на один із портів даних Gigabit з номером вище G0/3. Нижче показано, як це робиться, на прикладі міграції з ASA 5520 на ASA 5525-X.
Конфігурація ASA 5520
interface Management0/0
no nameif
no security-level
no ip address
no management-only
no shutdown!
! Subinterfaces on interface M0/0
interface Management0/0.120
vlan 1222
nameif fw-out
security-level 50
ip address 172.16.61.1 255.255.255.0
Конфігурація ASA 5515-X
! Dedicated Management Interface
interface Management0/0
no nameif
no security-level
no ip address
management-only
не shutdown
! Management Interface Migrated to GigabitEthernet0/3
interface GigabitEthernet0/3
no nameif
no security-level
no ip address
не shutdown
! Subinterfaces on interface G0/3
interface GigabitEthernet0/3.1201
vlan 1222
nameif fw-out
security-level 50
ip address 172.16.61.1 255.255.255.0
У Cisco ASA 5500 відсутній інтерфейс GigabitEthernet0/3 тому, при переході на пізнішу версію, конфігурації конфліктувати між собою не повинні.
Так само, якщо раніше ви використовували інтерфейс керування для конфігурації перемикання при збоях, перенесіть його на будь-який новий інтерфейс 5500-X.
Як коректно переносити сервіси ASA та IPS? Тут можливі кілька варіантів, тому що, як згадувалося вище, для служб IPS та міжмережевого екрану в 5500-х тепер виділено один загальний порт управління, тоді як раніше використовувалися різні. рекомендуємо уважно вивчити їх і вибрати відповідний.
Безпосередньо при перенесенні файлу конфігурації IPS вручну міняти вже нічого не знадобиться, якщо ви провели всю необхідну, описану вище підготовку. Про всяк випадок ще раз перевірте ще раз, чи правильно налаштований порт управління.
Не забудьте, що IPS активується в два етапи, для яких вам знадобиться ліцензія не лише на пристрій ASA, а й на сервіс IPS.
Як бачите, міграція з пристроїв ASA серії 5500 на ASA 5500-X виконується в кілька етапів, частина з них автоматизована, а деякі доведеться виконати вручну.
Ми постаралися описати основні кроки, в якому порядку це робити і на що варто звернути увагу на те, щоб після переходу нове обладнання працювало коректно і виконувало покладені на нього функції.
У цій частині ми розглянемо роботу в ROMMON.
Робота З ROMMON це скоріше робота, пов'язана з аварійною ситуацією.
Типові аварійні випадки - це зіпсований або помилково віддалений образ OS, або коли просто забули пароль.
Якщо ми хочемо змоделювати цю ситуацію - видалимо файл OS, а також обнулимо конфігурацію:
config factory-default
Підключаємося консоллю до ASA.
Заходимо в режим ROMMON – під час таймера натиснемо Esc.
! rommon: interface ethernet0/0 address 10.0.0.1 server 10.0.0.2 file asa842-k8.bin tftpdnld
В даному випадку ASA завантажить OS безпосередньо з tftp, і у нас з'явиться керування над пристроєм вже у звичайному режимі.
Після завантаження в такому режимі пароль enable буде порожнім (натиснути клавішу enter)
Подальші налаштування ми будемо виконувати відповідно до схеми:
Отже, відповідно до схеми ми налаштуємо внутрішній інтерфейс:
interface gigabitethernet 2 security-level 100 nameif inside ip address 192.168.2.253 255.255.255.0 no shutdown
Тут на інтерфейсі ми виставили такі параметри:
security-level 100- Оскільки інтерфейс є внутрішнім, ми виставили в нього найвищий security-level, тобто. ми йому довіряємо найбільше.
nameif inside– Визначили ім'я для інтерфейсу. Це важливий параметр, оскільки в подальших налаштуваннях це ім'я часто використовуватиметься.
Перевірка IP адресації:
Налаштування IP адресації на інтерфейсах можна перевірити:
show running-config ip
Або ж виконати ping:
До речі трохи про консоль:
При порожньому конфізі пароль enableпорожній - просто натисніть клавішу enter.
Як відомо на роутері команди showможуть вводитися тільки в privileged mode. Якщо ж ми знаходимося в configuration modeто слід дати команду do show.
У випадку з ASA команда show спрацьовуватиме в будь-якому режимі.
Перервати виконання команди (наприклад show running-config) можна через кнопку " q".
boot system flash:/asa914-5-k8.bin
Без цієї команди завантажуватиметься перший образ, що попався. операційної системи.
Перевірка способу завантаження:
Ребутаємося
Отже, ми переконалися, що внутрішній інтерфейс налаштований правильно, а також проходить ping.
Таким чином, тепер ми маємо повністю налаштоване підключення до внутрішньої мережі і тепер ми можемо налаштувати можливість управління Manageнашої ASA.
Управління ASA може бути виконане декількома способами:
У нашому конкретному випадку роботи з GNS3 ми використовуємо сумісні і один з одним, і GNS3:
ASA Version 8.4(2)
ASDM Version 6.4(3)
Для роботи ASDM ми також скопіюємо файл на flash:
asdm image flash:/asdm-643.bin
Перевірка робочого образу ASDM:
Підсумовуючи, для нормальної роботи ASA, на flash має бути два файли:
Введемо ім'я хоста:
Налаштовуємо enable password
enable password mysecretpassword
Створюємо користувача-адміна та включаємо аутентифікацію через локальну БД для методів SSH та HTTP.
username asaadmin password adminpassword privilege 15 aaa authentication ssh console LOCAL aaa authentication http console LOCAL
Тут ми до речі не включили aaa для telnet. У цьому випадку первинний пароль для мережі буде визначатися командою:
Генеруємо RSA key, необхідний для роботи SSH:
crypto key generate rsa modulus 1024
Для роботи ASDM увімкнемо підтримку https:
http server enable http 192.168.2.0 255.255.255.0 inside ssh 192.168.2.0 255.255.255.0 inside
Тут перша команда включає сервер, а друга визначає, кого пускати.
Як відомо, для роботи HTTPS потрібний сертифікат. У цьому випадку ASA використовуватиме . Це означає, що при кожному ребуті сертифікат буде генеруватися заново.
Взагалі для ASA ми можемо налаштувати 3 типи сертифікатів:
До цього ми ще повернемося згодом.
Для зручності збільшимо таймаут для SSH:
Перевірка налаштувань HTTP, SSH, TELNET
show running-config aaa show running-config http show running-config ssh show running-config telnet
ASA Version 8.2(1)
!
!Ім'я Cisco
hostname asa
!Домен. Потрібно для SSH
domain-name strui.ru
!Пароль для enable.
enable password 4аоoLOxxxxxxjMx encrypted
passwd k0a6sN9ExxxxxxxxzV encrypted
names
! Опис інтерфейсу, що дивиться в Інтернет.
interface Ethernet0/0
description Internet
nameif outside
security-level 0
ip address 213.xxx.xxx.194 255.255.255.240
! Опис інтерфейсу, що дивиться в локальну мережу.
interface Ethernet0/1
description Local
nameif inside
security-level 100
ip address 10.10.10.20 255.255.255.0
!
! Опис інтерфейсу, що дивиться в мережу серверів (DMZ)
interface Ethernet0/2
description DMZ
nameif dmz
security-level 50
ip address 62.xxx.xxx.177 255.255.255.240
!Цей інтерфейс вимкнено
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!Цей інтерфейс вимкнено (не прив'язаний до локальної мережі). Використовувався при
!початковому налаштуванні Cisco
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
ftp mode passive
! Виставляємо зону та час. Потрібно для логів.
clock timezone MSK/MDD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
! Аркуш доступу до деміліторизованої зони до серверів. Вхідний трафік.
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq ftp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq ftp-data
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq ftp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq ftp-data
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.178 eq domain
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq smtp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq pop3
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq imap4
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq 8081
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.185 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq ftp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq ftp-data
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.189 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq domain
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq https
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq smtp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq pop3
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq imap4
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq rtsp
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.187 eq www
access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.188 eq www
! Аркуш доступу для серверів із деміліторизованої зони. Вихідний трафік.
access-list acl_out_dmz extended permit tcp any any
access-list acl_out_dmz extended permit udp any any
access-list acl_out_dmz extended permit icmp any any
access-list acl_out_dmz extended deny tcp host 62.xxx.19.76 host 213.xxx.36.194 eq 135
access-list acl_out_dmz extended deny tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp
!Аркуш доступу для користувачів локальної мережі.
! Дозволено все для вихідного трафіку.
access-list acl_out_inside extended permit tcp 10.10.10.0 255.255.255.0 any
access-list acl_out_inside extended permit tcp 10.10.20.0 255.255.255.0 any
access-list acl_out_inside extended permit tcp 10.10.40.0 255.255.255.0 any
access-list acl_out_inside extended permit tcp 10.10.50.0 255.255.255.0 any
access-list acl_out_inside extended permit tcp 10.10.110.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 10.10.10.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 10.10.110.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 10.10.20.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 10.10.50.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.10.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.20.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.110.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.50.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 10.10.40.0 255.255.255.0 any
! Налаштування логування
logging enable
logging timestamp
logging trap notifications
logging asdm informational
logging host inside 10.10.10.4
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu management 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
! Налаштування global
global (outside) 1 interface
! Налаштування NAT для локальної мережі
nat (inside) 1 0.0.0.0 0.0.0.0
! Налаштування static для серверів
nat (dmz) 0 0.0.0.0 0.0.0.0
static (dmz,outside) 62.xxx.xxx.180 62.xxx.xxx.180 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.181 62.xxx.xxx.181 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.178 62.xxx.xxx.178 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.179 62.xxx.xxx.179 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.184 62.xxx.xxx.184 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.185 62.xxx.xxx.185 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.186 62.xxx.xxx.186 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.189 62.xxx.xxx.189 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.187 62.xxx.xxx.187 netmask 255.255.255.255
static (dmz,outside) 62.xxx.xxx.188 62.xxx.xxx.188 netmask 255.255.255.255
! Прив'язуємо access-list через access-group до інтерфейсів.
access-group acl_in_dmz в interface outside
access-group acl_out_inside in interface inside
access-group acl_out_dmz in interface dmz
! Прописуємо маршрутизацію для інтерфейсів.
route outside 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
route inside 10.10.20.0 255.255.255.0 10.10.10.10 1
route inside 10.10.40.0 255.255.255.0 10.10.10.10 1
route inside 10.10.50.0 255.255.255.0 10.10.10.10 1
route inside 10.10.110.0 255.255.255.0 10.10.10.10 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
! Дозволяємо роботу через WEB морду з локальної мережі.
http server enable
http 10.10.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
! Дозволяємо роботу telnet та ssh по локальній мережі.
telnet 10.10.10.0 255.255.255.0 inside
telnet timeout 5
ssh 10.10.10.0 255.255.255.0 inside
ssh 10.10.10.71 255.255.255.255 inside
ssh timeout 30
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
! Сервер часу та користувач для WEB морди.
ntp server 10.10.10.3 source inside
webvpn
username admin password trAp5eVxxxxxxnv encrypted privilege 15
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:
: end