» » PIX/ASA - Настройка таймоутов на соединения через ACL

Лаборатория Сетей Cisco
 
 
 

PIX/ASA - Настройка таймоутов на соединения через ACL

Автор: HunSolo от 7-07-2013, 14:22, посмотрело: 3349

0 Этот документ описывает простейшую конфигурацию для PIX/ASA 8.0(2) или позднее, которая позволяет настроить таймаут соединения для определенных приложений. Данная конфигурация использует новую Модульную Архитектуру построения политик введенную в PIX 7.0. Однако, данная возможность не приемлема в среде IPSEC VPN.

PIX/ASA - Настройка таймоутов на соединения через ACL


В этой простой конфигурации, ASA Firewall настраивается таким образом,чтобы разрешить рабочей станции (172.16.1.1) выполнять Telnet доступ на удаленный сервер (10.1.1.1), находящийся за роутером. Для Telnet трафика конфигурируется отдельный таймаут соединения. Всему остальному TCP трафику назначается обычное значение через timeout conn 1:00:00

Конфигурация PIX/ASA

ASA Version - 8.2(1)
!
!--- Назначаем адрес внешнего интерфейса
interface Ethernet0
 nameif outside
 security-level 0
 ip address 192.168.200.1 255.255.255.0
!
!--- Выставляем адрес внутреннего интерфейса
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.16.5.10 255.255.0.0
!
access-list outside extended permit icmp any any
access-list nonat extended permit ip 172.16.0.0 255.255.0.0 any

!--- Определим трафик которой должен попасть в класс  для которого выставляем таймаут.
!--- В данном примере определяется Telnet. 

access-list 101 extended permit tcp 172.16.0.0 255.255.0.0 any eq telnet
access-list OUT extended permit ip any any

nat (inside) 0 access-list nonat
access-group OUT in interface outside
access-group 101 out interface outside

route outside 0.0.0.0 0.0.0.0 192.168.200.2 1

!--- Значение по умолчанию для таймоута в 1 час применимо для всех TCP приложений
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

!--- Определяем класс  телнет, чтобы классифицировать telnet трафик при использовании
!--- модульной архитектуры создания политик для конфигурации функции безопасности 
!--- Назначаемые параметры соответствуют классу телнет 

class-map telnet
 description telnet
 match access-list 101

class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect skinny
  inspect esmtp

!--- Используем предопределенный класс  telnet в политике. 
!--- TCP трафик со значением порта  23 может классифицироваться как Telnet трафик.

policy-map telnet

!--- Устанавливаем таймоут соединения в режиме конфигурации класса в котором не занятые
!--- (idle)  TCP (Telnet) соединения разрываются. 
!--- В этом примере устанавливается значение в 10 минут. 
!--- Минимально возможное значение - 5 минут.

 class telnet
  set connection timeout tcp 00:10:00 reset
!
!
service-policy global_policy global


!--- Применям созданную политику на интерфейс.
!--- Вы можете применить команду  service-policy  к любому интерфейсу 
!--- котрый определяется командой nameif

service-policy telnet interface outside


Чтобы проверить созданную конфигурацию выполните команду show service-policy interface outside
ASA#show service-policy interface outside
  Interface outside:
	Service-policy: telnet
    Class-map: telnet
    Set connection policy:
    Set connection timeout policy:
    tcp 0:05:00 reset



Команда show service-policy flow показывает, что определенный трафик попадает под сервисную политику.

Вывод этой команды показан ниже:

ASA#show service-policy flow tcp host 172.16.1.1 host 10.1.1.2 eq 23
   Global policy:
   Service-policy: global_policy
   Interface outside:
   Service-policy: telnet
   Class-map: telnet
   Match: access-list 101
   access rule: permit tcp 172.16.0.0 255.255.0.0 any eq telnet
   Action:
   Input flow:  set connection timeout tcp 0:10:00 reset




Категория: Безопасность и VPN

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Имя первой женщины в мире, освоившей летательный аппарат
Ответ:*
Введите два слова, показанных на изображении: *