В этой простой конфигурации, ASA Firewall настраивается таким образом,чтобы разрешить рабочей станции (172.16.1.1) выполнять Telnet доступ на удаленный сервер (10.1.1.1), находящийся за роутером. Для Telnet трафика конфигурируется отдельный таймаут соединения. Всему остальному TCP трафику назначается обычное значение через timeout conn 1:00:00
Конфигурация PIX/ASA
ASA Version - 8.2(1)
!
!--- Назначаем адрес внешнего интерфейса
interface Ethernet0
nameif outside
security-level 0
ip address 192.168.200.1 255.255.255.0
!
!--- Выставляем адрес внутреннего интерфейса
interface Ethernet1
nameif inside
security-level 100
ip address 172.16.5.10 255.255.0.0
!
access-list outside extended permit icmp any any
access-list nonat extended permit ip 172.16.0.0 255.255.0.0 any
!--- Определим трафик которой должен попасть в класс для которого выставляем таймаут.
!--- В данном примере определяется Telnet.
access-list 101 extended permit tcp 172.16.0.0 255.255.0.0 any eq telnet
access-list OUT extended permit ip any any
nat (inside) 0 access-list nonat
access-group OUT in interface outside
access-group 101 out interface outside
route outside 0.0.0.0 0.0.0.0 192.168.200.2 1
!--- Значение по умолчанию для таймоута в 1 час применимо для всех TCP приложений
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
!--- Определяем класс телнет, чтобы классифицировать telnet трафик при использовании
!--- модульной архитектуры создания политик для конфигурации функции безопасности
!--- Назначаемые параметры соответствуют классу телнет
class-map telnet
description telnet
match access-list 101
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect skinny
inspect esmtp
!--- Используем предопределенный класс telnet в политике.
!--- TCP трафик со значением порта 23 может классифицироваться как Telnet трафик.
policy-map telnet
!--- Устанавливаем таймоут соединения в режиме конфигурации класса в котором не занятые
!--- (idle) TCP (Telnet) соединения разрываются.
!--- В этом примере устанавливается значение в 10 минут.
!--- Минимально возможное значение - 5 минут.
class telnet
set connection timeout tcp 00:10:00 reset
!
!
service-policy global_policy global
!--- Применям созданную политику на интерфейс.
!--- Вы можете применить команду service-policy к любому интерфейсу
!--- котрый определяется командой nameif
service-policy telnet interface outside
Чтобы проверить созданную конфигурацию выполните команду show service-policy interface outside
ASA#show service-policy interface outside
Interface outside:
Service-policy: telnet
Class-map: telnet
Set connection policy:
Set connection timeout policy:
tcp 0:05:00 reset
Команда show service-policy flow показывает, что определенный трафик попадает под сервисную политику.
Вывод этой команды показан ниже:
ASA#show service-policy flow tcp host 172.16.1.1 host 10.1.1.2 eq 23
Global policy:
Service-policy: global_policy
Interface outside:
Service-policy: telnet
Class-map: telnet
Match: access-list 101
access rule: permit tcp 172.16.0.0 255.255.0.0 any eq telnet
Action:
Input flow: set connection timeout tcp 0:10:00 reset