» » PIX и ASA Firewall как защита корпоративной сети

Лаборатория Сетей Cisco
 
 
 

PIX и ASA Firewall как защита корпоративной сети

Автор: HunSolo от 3-07-2013, 16:54, посмотрело: 3203

0 Данная статья демонстрирует как правильно скофигурировать Cisco PIX Firewall, чтобы отделить и защитить корпоративную сеть предприятия или организации от Интернет. Рассмотрим внутреннюю сеть организации, которая содержит Web сервер, почтовый сервер и FTP сервер, к которым имеют доступ пользователи Интернет; весь остальной доступ к хостам внутренней сети закрыт от внешних пользователей.

Структура сети показана на сетевой диаграмме:
PIX и ASA Firewall как защита корпоративной сети

Адресацию серверов внутренней сети выполним следующим образом:
  • Внутренний адрес Web сервера: 192.168.1.4; его Интернет адрес: 204.69.198.3
  • Внутренний адрес Mail сервера: 192.168.1.15; его Интернет адрес: 204.69.198.4
  • Внутренний адрес FTP сервера: 192.168.1.10; его Интернет адрес: 204.69.198.5

Всем пользователям внутренней сети разрешен неограниченный доступ в Интернет. Также пользователи могут пинговать узлы в Интернет, одако пользователи интернет не могут выполнять ping на узлы организации. ISP выделил Организации диапазон внешних адресов класса C: 204.69.198.0/24. Адреса 204.69.198.1 и 204.69.198.2 зарезервированы для внешнего роутера и внешнего интерфейса PIX (см. схему). Адреса диапазона 204.69.198.3 - 204.69.198.5 отведены для серверов, а адреса 204.69.198.4 - 204.69.198.14 зарезервированы для будущего использования.

PIX необходимо настроеть так, чтобы посылать syslog сообщения на SysLog-сервер во внутренней сети, с адресом 192.168.1.220 (Он не показан на диаграмме). Версия ПО используемая на ASA 8.0, на PIX: 6.3.5

Конфигурация для ASA 8.2 и ниже
ASA Version 8.0(2)
!
hostname ASA5520
!
interface Ethernet0 
  nameif outside 
  security-level 0 
  ip address 10.1.1.2 255.255.255.0
!
interface Ethernet1 
  nameif inside 
  security-level 100 
  ip address 192.168.1.1 255.255.255.0

!--- Создаем access-list разрешающий обратные ICMP пакеты
access-list 100 extended permit icmp any any echo-reply
access-list 100 extended permit icmp any any time-exceeded
access-list 100 extended permit icmp any any unreachable

!--- Разрешаем соединения к Web, Mail и FTP серверам из Интернет
access-list 100 extended permit tcp any host 10.1.1.3 eq www
access-list 100 extended permit tcp any host 10.1.1.4 eq smtp
access-list 100 extended permit tcp any host 10.1.1.5 eq ftp

!--- Включаем логирование и запись наиболее значимых сообщений в буфер
logging enable
logging buffered errors

!--- Посылаем логи уровня "уведомление" и выше на сервер 
syslog logging trap notifications

!--- Указываем что сервер syslog лежит за интерфейсом inside и его IP адрес
logging host inside 192.168.1.220

!--- Определим пул трансляции адресов (NAT), которые внутренние хосты испоьзуют
global (outside) 1 10.1.1.15-10.1.1.253

!--- Определим один адрес который будет использоватся в случае исчерпания NAT пула, режим  PAT
global (outside) 1 10.1.1.254


Нижеследующие замечания необходимо учитывать при конфигурации PIX/ASA:
  • NAT пул и PAT должны содержать IP адреса, которые больше нигде не используются в сети, включая адреса для статических трансляций и адреса используемые на сетевых интерфейсах устройств.
  • Вы должны явно разрешать доступ к вашим серверам. По умолчанию весь входной трафик на outside интерфейс запрещен.
  • После любого листа доступа следует неявная команда deny ip any any
  • Если DNS сервер раположен за outside интерфейсом, а внутренние пользователи хотят получать доступ к внутренним серверам по их DNS имени, вам необходимо использовать команду alias, чтобы PIX/ASA пролечил ответы от DNS сервера.




Категория: Безопасность и VPN

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Раскаленная стрела дуб свалила у села
Ответ:*
Введите два слова, показанных на изображении: *