Структура сети показана на сетевой диаграмме:

Адресацию серверов внутренней сети выполним следующим образом:
- Внутренний адрес Web сервера: 192.168.1.4; его Интернет адрес: 204.69.198.3
- Внутренний адрес Mail сервера: 192.168.1.15; его Интернет адрес: 204.69.198.4
- Внутренний адрес FTP сервера: 192.168.1.10; его Интернет адрес: 204.69.198.5
Всем пользователям внутренней сети разрешен неограниченный доступ в Интернет. Также пользователи могут пинговать узлы в Интернет, одако пользователи интернет не могут выполнять ping на узлы организации. ISP выделил Организации диапазон внешних адресов класса C: 204.69.198.0/24. Адреса 204.69.198.1 и 204.69.198.2 зарезервированы для внешнего роутера и внешнего интерфейса PIX (см. схему). Адреса диапазона 204.69.198.3 - 204.69.198.5 отведены для серверов, а адреса 204.69.198.4 - 204.69.198.14 зарезервированы для будущего использования.
PIX необходимо настроеть так, чтобы посылать syslog сообщения на SysLog-сервер во внутренней сети, с адресом 192.168.1.220 (Он не показан на диаграмме). Версия ПО используемая на ASA 8.0, на PIX: 6.3.5
Конфигурация для ASA 8.2 и ниже
ASA Version 8.0(2)
!
hostname ASA5520
!
interface Ethernet0
nameif outside
security-level 0
ip address 10.1.1.2 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!--- Создаем access-list разрешающий обратные ICMP пакеты
access-list 100 extended permit icmp any any echo-reply
access-list 100 extended permit icmp any any time-exceeded
access-list 100 extended permit icmp any any unreachable
!--- Разрешаем соединения к Web, Mail и FTP серверам из Интернет
access-list 100 extended permit tcp any host 10.1.1.3 eq www
access-list 100 extended permit tcp any host 10.1.1.4 eq smtp
access-list 100 extended permit tcp any host 10.1.1.5 eq ftp
!--- Включаем логирование и запись наиболее значимых сообщений в буфер
logging enable
logging buffered errors
!--- Посылаем логи уровня "уведомление" и выше на сервер
syslog logging trap notifications
!--- Указываем что сервер syslog лежит за интерфейсом inside и его IP адрес
logging host inside 192.168.1.220
!--- Определим пул трансляции адресов (NAT), которые внутренние хосты испоьзуют
global (outside) 1 10.1.1.15-10.1.1.253
!--- Определим один адрес который будет использоватся в случае исчерпания NAT пула, режим PAT
global (outside) 1 10.1.1.254
Нижеследующие замечания необходимо учитывать при конфигурации PIX/ASA:
- NAT пул и PAT должны содержать IP адреса, которые больше нигде не используются в сети, включая адреса для статических трансляций и адреса используемые на сетевых интерфейсах устройств.
- Вы должны явно разрешать доступ к вашим серверам. По умолчанию весь входной трафик на outside интерфейс запрещен.
- После любого листа доступа следует неявная команда deny ip any any
- Если DNS сервер раположен за outside интерфейсом, а внутренние пользователи хотят получать доступ к внутренним серверам по их DNS имени, вам необходимо использовать команду alias, чтобы PIX/ASA пролечил ответы от DNS сервера.