0 Данная статья демонстрирует как правильно скофигурировать Cisco PIX Firewall, чтобы отделить и защитить корпоративную сеть предприятия или организации от Интернет. Рассмотрим внутреннюю сеть организации, которая содержит Web сервер, почтовый сервер и FTP сервер, к которым имеют доступ пользователи Интернет; весь остальной доступ к хостам внутренней сети закрыт от внешних пользователей.

Структура сети показана на сетевой диаграмме:

Адресацию серверов внутренней сети выполним следующим образом:

• Внутренний адрес Web сервера: 192.168.1.4; его Интернет адрес: 204.69.198.3
  
• Внутренний адрес Mail сервера: 192.168.1.15; его Интернет адрес: 204.69.198.4
  
• Внутренний адрес FTP сервера: 192.168.1.10; его Интернет адрес: 204.69.198.5
  

Всем пользователям внутренней сети разрешен неограниченный доступ в Интернет. Также пользователи могут пинговать узлы в Интернет, одако пользователи интернет не могут выполнять ping на узлы организации. ISP выделил Организации диапазон внешних адресов класса C: 204.69.198.0/24. Адреса 204.69.198.1 и 204.69.198.2 зарезервированы для внешнего роутера и внешнего интерфейса PIX (см. схему). Адреса диапазона 204.69.198.3 - 204.69.198.5 отведены для серверов, а адреса 204.69.198.4 - 204.69.198.14 зарезервированы для будущего использования.

PIX необходимо настроеть так, чтобы посылать syslog сообщения на SysLog-сервер во внутренней сети, с адресом 192.168.1.220 (Он не показан на диаграмме). Версия ПО используемая на ASA 8.0, на PIX: 6.3.5

Конфигурация для ASA 8.2 и ниже

ASA Version 8.0(2)
!
hostname ASA5520
!
interface Ethernet0 
  nameif outside 
  security-level 0 
  ip address 10.1.1.2 255.255.255.0
!
interface Ethernet1 
  nameif inside 
  security-level 100 
  ip address 192.168.1.1 255.255.255.0

!--- Создаем access-list разрешающий обратные ICMP пакеты
access-list 100 extended permit icmp any any echo-reply
access-list 100 extended permit icmp any any time-exceeded
access-list 100 extended permit icmp any any unreachable

!--- Разрешаем соединения к Web, Mail и FTP серверам из Интернет
access-list 100 extended permit tcp any host 10.1.1.3 eq www
access-list 100 extended permit tcp any host 10.1.1.4 eq smtp
access-list 100 extended permit tcp any host 10.1.1.5 eq ftp

!--- Включаем логирование и запись наиболее значимых сообщений в буфер
logging enable
logging buffered errors

!--- Посылаем логи уровня "уведомление" и выше на сервер 
syslog logging trap notifications

!--- Указываем что сервер syslog лежит за интерфейсом inside и его IP адрес
logging host inside 192.168.1.220

!--- Определим пул трансляции адресов (NAT), которые внутренние хосты испоьзуют
global (outside) 1 10.1.1.15-10.1.1.253

!--- Определим один адрес который будет использоватся в случае исчерпания NAT пула, режим  PAT
global (outside) 1 10.1.1.254

Нижеследующие замечания необходимо учитывать при конфигурации PIX/ASA:

• NAT пул и PAT должны содержать IP адреса, которые больше нигде не используются в сети, включая адреса для статических трансляций и адреса используемые на сетевых интерфейсах устройств.
  
• Вы должны явно разрешать доступ к вашим серверам. По умолчанию весь входной трафик на outside интерфейс запрещен.
  
• После любого листа доступа следует неявная команда deny ip any any
  
• Если DNS сервер раположен за outside интерфейсом, а внутренние пользователи хотят получать доступ к внутренним серверам по их DNS имени, вам необходимо использовать команду alias, чтобы PIX/ASA пролечил ответы от DNS сервера.