ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

Documentos relacionados
Configurar um server público com Cisco ASDM

PIX/ASA 7.x e FWSM: Indicações NAT e de PANCADINHA

ASA 8.X e mais tarde: Adicionar ou altere uma lista de acessos com o exemplo da configuração GUI ASDM

ASA 8.2: Redirecionamento de porta (transmissão) com nat, o global, o estático, e comandos access-list que usam o ASDM

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Túnel VPN de Lan para Lan entre duas PIXes usando o exemplo de configuração PDM

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

Utilização de Números de Porta FTP Não- Padrão com NAT

ASA/PIX 7.X: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo nãopadrão

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

Configurar a transmissão da porta da versão ASA 9.x com NAT

PIX/ASA 7.x e later/fwsm: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Este documento não se restringe a versões de software e hardware específicas.

PIX/ASA 7.x e mais tarde: Exemplo de configuração do filtro VPN (porta específica ou protocolo da licença) para o L2L e o Acesso remoto

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

Filtros ACL no exemplo de configuração de Aironet AP

ACL no exemplo da configuração de controle do Wireless LAN

Exemplo de configuração do filtro ACL do ponto de acesso

Aplicação do aprimoramento de recursos ASA SNMP

ASA 8.3(x): Conecte três redes internas com o exemplo de configuração do Internet

Configurar o módulo de FirePOWER para a rede AMP ou o controle de arquivos com ASDM.

ACL no exemplo da configuração de controle do Wireless LAN

Conhecimento do Firewall da ferramenta de segurança (ASA) e do ASDM adaptáveis. Conhecimento do dispositivo da potência de fogo.

Função de balanceamento de carga IO NAT para duas conexões ISP

PIX/ASA 7.x e later/fwsm: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

ASA 8.3 e mais atrasado: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

Edição ASA 8.3: MSS excedido - Os clientes HTTP não podem consultar a alguns Web site

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Configuração de NAT básica ASA: Servidor de Web no DMZ na versão ASA 8.3 e mais atrasado

Exemplo transparente da configuração de firewall do módulo firewall service

Usando o Cisco IOS Firewall para permitir Java applets dos locais conhecidos ao negar outro

Configurando a tradução de endereço de rede: Getting Started

Criação de túnel redundante entre Firewall usando o PDM

Configuração de NAT básica ASA: Servidor de Web no DMZ na versão ASA 8.3 e mais atrasado

Configurando o PPTP através da PAT para um Microsoft PPTP Server

Função de balanceamento de carga IO NAT com roteamento de extremidade aperfeiçoado para duas conexões com o Internet

Exemplo de configuração da característica do desvio do estado ASA 8.2.X TCP

Troubleshooting da configuração da tradução de endereço de rede ASA

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Transferência de arquivo ASA com exemplo de configuração FXP

Utilizando NAT em redes sobrepostas

FTD: Como permitir a configuração do desvio do estado TCP usando a política de FlexConfig

Exclusão do tráfego ASA da inspeção CWs com exemplo de configuração FQDN

Configurando o Cisco VPN Client 3.5 e o Cisco Integrated Client para tráfego não criptografado seguro ao utilizar o tunelamento por divisão

PIX/ASA 7.x: Permita/comunicação do desabilitação entre relações

CS-MARS: Adicionar o sensor do ips Cisco como um dispositivo de relatório ao exemplo de configuração CS-MARS

PIX/ASA 7.x: Exemplo de Configuração de Habilitação de Serviços de FTP/TFTP

Pré-requisitos. Requisitos. Componentes Utilizados

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Índice. Introdução. As limitações da autenticação remota central UCS incluem:

Configurar a infraestrutura de software VRFciente (VASI) NAT em IOS-XE

IPSec/GRE com o NAT no exemplo de configuração do IOS Router

ASA 8.3 e mais atrasado: Exemplo de Configuração de Habilitação de Serviços de FTP/TFTP

Exemplo de configuração da autenticação LDAP para a central UCS

Configurando a tradução de endereço de rede: Introdução

Servidor DNS de Microsoft Windows 2003 para o exemplo de configuração da descoberta do controlador do Wireless LAN (WLC)

PIX/ASA 7.x e mais tarde: Conectando redes internas múltiplas com o exemplo de configuração do Internet

PIX/ASA 7.x e mais tarde com exemplo de configuração do Syslog

Configurando IPSec entre três roteadores usando endereços privados

CSA 5.1 com o exemplo de configuração remoto do servidor SQL

O endereço IP de Um ou Mais Servidores Cisco ICM NT é obstruído ou põr pela inteligência de Segurança de um sistema de Cisco FireSIGHT

IPS 5.X e later/idsm2: Modo Inline dos pares VLAN usando o exemplo de configuração CLI e IDM

Como configurar ICD em CRA 2.2(1)

Índice. Introdução. Pré-requisitos. Requisitos

Encaixe da importação VNC de Cisco ASA 8.x para o uso com WebVPN

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

ASA/PIX: Exemplo de Configuração de Habilitação do Tunelamento Dividido for VPN Clients no ASA

S TP e inspeção de conexões ESMTP com exemplo de configuração do Cisco IOS Firewall

Configurar IP de uso geral ACL

Permita o acesso ao Internet para o módulo ips ASA 5500-X

Configurando o NAT Estático e o NAT Dinâmico Simultaneamente

Configuração de Tradução de Endereço de Rede e Tradução de Endereço de Porta Estática para Suportar um Servidor Interno de Web

Gerente unificado da interação da Web e do Servidor de Web em um exemplo da configuração DMZ

ASA 8.3: Estabeleça e pesquise defeitos a Conectividade através do dispositivo do Cisco Security

Configurar a infraestrutura de software VRFciente (VASI) NAT em IOS-XE

Gerente unificado da interação da Web e do Servidor de Web em um exemplo da configuração DMZ

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

Troubleshooting da configuração da tradução de endereço de rede ASA

Tráfego em linha do Multi-jogador de Xbox Live (túnel UDP 3544 do Teredo) obstruído por FTD

Este documento descreve como configurar a autenticação da Web a fim trabalhar com uma instalação do proxy.

Traçando chamadas VoIP de partida aos portos de voz digitais específicos

Switches do 3550/3560 Series do catalizador usando o exemplo de configuração com base na porta do controle de tráfego

Balanceamento de Carga de NAT no IOS para Duas Conexões de ISP

Backup da fineza e configuração da elevação com SFTP

PIX/ASA: Autenticação de Kerberos e de servidor de autorização LDAP grupos para usuários de cliente VPN através do exemplo de configuração ASDM/CLI

Configuração de exemplo utsando o comando ip nat outside source static

PIX/ASA 7.x: Mova Redirection(Forwarding) com nat, o global, estática e comandos access-list

ACS 5.x: Exemplo de configuração do servidor ldap

IPS 6.X e later/idsm2: A relação Inline emparelha o modo usando o exemplo de configuração IDM

Configurar configurações de firewall básicas no roteador do RV34x Series

Configurar o Access point de pouco peso como um suplicante do 802.1x

Configurar a característica do desvio do estado TCP no 5500 Series ASA

Usando VNC para instalar o CallManager da Cisco em um servidor remoto

O ISE com estática reorienta para o exemplo de configuração isolado das redes de convidado

Transcrição:

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Produtos Relacionados Convenções Configurar Diagrama de Rede Obstruindo a configuração das portas Abrindo a configuração das portas Configuração com o ASDM Verificar Troubleshooting Informações Relacionadas Introdução Este documento fornece uma configuração de exemplo para abrir ou bloquear as portas para vários tipos de tráfego, como http ou ftp, no Security Appliance. Nota: Os termos que abrem a porta e que permitem a porta entregam o mesmo significado. Similarmente, obstruir a porta e restringir a porta igualmente entregam o mesmo significado. Pré-requisitos Requisitos Este documento supõe que o PIX/ASA está configurado e trabalha corretamente. Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: A ferramenta de segurança adaptável do Cisco 5500 Series (ASA) essa executa a versão 8.2(1) Versão 6.3(5) do Cisco Adaptive Security Device Manager (ASDM)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Produtos Relacionados Esta configuração pode igualmente ser usada com o dispositivo do PIX Firewall do Cisco 500 Series com versão de software 6.x e acima. Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos. Configurar Cada relação deve ter um nível de segurança de 0 (mais baixo) a 100 (o mais altamente). Por exemplo, você deve atribuir sua rede mais segura, tal como a rede do host interno, ao nível 100. Quando a rede externa que está conectada ao Internet puder ser o nível 0, outras redes, tais como DMZ, podem ser posicionadas in-between. Você pode atribuir interfaces múltiplas ao mesmo nível de segurança. Àrevelia, todas as portas são obstruídas na interface externa (nível de segurança 0), e todas as portas estão abertas na interface interna (nível de segurança 100) da ferramenta de segurança. Desta maneira, todo o tráfego de saída pode passar através da ferramenta de segurança sem nenhuma configuração, mas o tráfego de entrada pode ser permitido pela configuração da lista de acessos e dos comandos static na ferramenta de segurança. Nota: Geralmente, todas as portas são obstruídas da zona de Segurança mais baixa à zona de segurança mais elevada, e todas as portas estão abertas da zona de segurança mais elevada à zona de Segurança mais baixa que fornece que a inspeção stateful está permitida para ambos tráfego de entrada e de saída. Esta seção consiste nas subseções como mostrado: Diagrama de Rede Obstruindo a configuração das portas Abrindo a configuração das portas Nesta seção, você encontrará informações para configurar os recursos descritos neste documento. Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção. Diagrama de Rede Este documento utiliza a seguinte configuração de rede:

Obstruindo a configuração das portas A ferramenta de segurança permite todo o tráfego de saída a menos que for obstruída explicitamente por uma lista de acesso extendida. Uma lista de acessos é composta de umas ou várias entradas de controle de acesso. Dependente em cima do tipo da lista de acessos, você pode especificar os endereços de rementente e destinatário, o protocolo, as portas (para o TCP ou o UDP), o tipo ICMP (para o ICMP), ou o Ethertype. Nota: Para protocolos sem conexão, tais como o ICMP, a ferramenta de segurança estabelece sessões unidirecionais, assim que você ou precisa Listas de acesso de permitir o ICMP nos ambos sentidos (pelo aplicativo das Listas de acesso à fonte e às interfaces de destino), ou você precisa de permitir o motor da inspeção de ICMP. O motor da inspeção de ICMP trata sessões ICMP como conexões bidirecional. Termine estas etapas a fim obstruir as portas, que se aplicam geralmente para traficar aquela originam do interior (zona de segurança mais elevada) ao DMZ (mais baixa zona de Segurança) ou ao DMZ à parte externa. 1. Crie um Access Control List de tal maneira que você obstrui o tráfego da porta especificada.access-list <name> extended deny <protocol> <source-network/source IP><sourcenetmask> <destination-network/destination IP><destinamtion-netmask> eq <port number>accesslist <name> extended permit ip any any 2. Ligue então a lista de acesso com o comando access-group a fim ser ativo.access-group

<access list name> in interface <interface name> Exemplos: 1. Obstrua o tráfego da porta de HTTP: A fim obstruir a rede interna 10.1.1.0 do acesso ao HTTP (servidor de Web) com IP 172.16.1.1 colocado na rede do DMZ, crie um ACL como mostrado:ciscoasa(config)#access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.1 eq 80ciscoasa(config)#access-list 100 extended permit ip any anyciscoasa(config)#access-group 100 in interface inside Nota: Use o nenhum seguido pelos comandos de lista de acesso a fim remover a obstrução da porta. 2. Obstrua o tráfego da porta FTP: A fim obstruir a rede interna 10.1.1.0 do acesso ao FTP (servidor de arquivo) com IP 172.16.1.2 colocado na rede do DMZ, crie um ACL como mostrado:ciscoasa(config)#access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.2 eq 21ciscoasa(config)#access-list 100 extended permit ip any anyciscoasa(config)#access-group 100 in interface inside Nota: Refira portas IANA a fim aprender mais informação sobre atribuições de porta. A configuração passo a passo para executar isto com o ASDM é mostrada nesta seção. 1. Vá às regras da configuração > do Firewall > do acesso. O clique adiciona a regra do acesso para criar a lista de acesso. 2. Defina a fonte e o destino e a ação da acesso-regra junto com a relação que esta regra do acesso será associada. Selecione os detalhes escolher a porta específica

3. obstruir. Escolha o HTTP da lista de portos disponíveis, a seguir clique a APROVAÇÃO para reverter de volta ao indicador da regra do acesso adicionar. 4. Clique a APROVAÇÃO para terminar a configuração da regra do

5. acesso. Clique a inserção em seguida para adicionar uma regra do acesso à mesma lista de acesso. 6. Permita o tráfego de a impedir o implícito negam. Então, APROVAÇÃO do clique para terminar adicionar esta regra do

acesso. 7. A lista de acesso configurada pode ser considerada na aba das regras do acesso. O clique aplica-se para enviar esta configuração à ferramenta de segurança. A configuração enviada do ASDM conduz a este conjunto de comandos no comando line

8. interface(cli) do ASA.access-list inside_access_in extended deny tcp host 10.1.1.0 host 172.16.1.1 eq wwwaccess-list inside_access_in extended permit ip any anyaccess-group inside_access_in in interface insidecom estas etapas, o exemplo 1 foi executado com o ASDM para obstruir a rede de 10.1.1.0 de alcançar o servidor de Web, 172.16.1.1. O exemplo 2 pode igualmente ser conseguido da mesma forma para obstruir a rede inteira de 10.1.1.0 de alcançar o servidor FTP, 172.16.1.2. A única diferença estará no ponto de escolher a porta.nota: Esta configuração por exemplo 2 da regra do acesso é suposta para ser uma configuração de atualização. Defina a regra do acesso para obstruir o tráfego FTP, a seguir clique a aba dos detalhes para escolher a porta do destino. 9. Escolha a porta ftp e clique a APROVAÇÃO para reverter de volta ao indicador da regra do acesso adicionar.

10. Clique a APROVAÇÃO para terminar a configuração da regra do

acesso. 11. Adicionar uma outra regra do acesso para permitir todo o outro tráfego. Se não, o implícitos negam a regra obstruirão todo o tráfego nesta

relação. 12. A configuração de lista de acesso completa olha como esta sob a aba das regras do acesso.

13. O clique aplica-se para enviar a configuração ao ASA. A configuração de CLI equivalente olha como esta:access-list inside_access_in extended deny tcp host 10.1.1.0 host 172.16.1.1 eq ftpaccess-list inside_access_in extended permit ip any anyaccess-group inside_access_in in interface inside Abrindo a configuração das portas A ferramenta de segurança não permite nenhum tráfego de entrada a menos que for permitida explicitamente por uma lista de acesso extendida. Se você quer permitir que um host exterior alcance um host interno, você pode aplicar uma lista de acessos de entrada na interface externa. Você precisa de especificar o endereço traduzido do host interno na lista de acessos porque o endereço traduzido é o endereço que pode ser usado na rede externa. Termine estas etapas a fim abrir as portas da zona de Segurança mais baixa à zona de segurança mais elevada. Por exemplo, permita o tráfego da parte externa (mais baixa zona de Segurança) à interface interna (zona de segurança mais elevada) ou do DMZ à interface interna. 1. O NAT estático cria uma tradução fixa de um endereço real a um endereço traçado. Este endereço traçado é um endereço que hospede no Internet e possa ser usado para alcançar o server de aplicativo no DMZ sem a necessidade de conhecer o endereço real do server.static (real_ifc,mapped_ifc) mapped_ip {real_ip [netmask mask] access-list access_list_name interface} Refira a seção do NAT estático da referência de comandos para o PIX/ASA a fim aprender mais informação. 2. Crie um ACL a fim permitir o tráfego específico da porta.access-list <name> extended permit <protocol> <source-network/source IP> <source-netmask> <destination-network/destination IP><destinamtion-netmask> eq <port number> 3. Ligue a lista de acesso com o comando access-group a fim ser ativo.access-group <accesslist name> in interface <interface name> Exemplos: 1. Abra o tráfego da porta S TP: Abra a porta tcp 25 a fim permitir que os anfitriões da parte externa (Internet) alcancem o mail server colocado na rede do DMZ.O comando static traça o endereço exterior 192.168.5.3 ao endereço real 172.16.1.3 DMZ.ciscoasa(config)#static (DMZ,Outside) 192.168.5.3 172.16.1.3 netmask 255.255.255.255ciscoasa(config)#access-list 100 extended permit tcp any host 192.168.5.3 eq 25ciscoasa(config)#access-group 100 in interface outside 2. Abra o tráfego da porta HTTPS: Abra a porta tcp 443 a fim permitir que os anfitriões da parte externa (Internet) alcancem o servidor de Web (seguro) colocado na rede do 3. DMZ.ciscoasa(config)#static (DMZ,Outside) 192.168.5.5 172.16.1.5 netmask 255.255.255.255ciscoasa(config)#access-list 100 extended permit tcp any host 192.168.5.5 eq 443ciscoasa(config)#access-group 100 in interface outside Permita o tráfego DNS: Abra o UDP 53 da porta a fim permitir que os anfitriões da parte externa (Internet) alcancem o servidor DNS (seguro) colocado na rede do DMZ.ciscoasa(config)#static (DMZ,Outside) 192.168.5.4 172.16.1.4 netmask 255.255.255.255ciscoasa(config)#access-list 100 extended permit udp any host 192.168.5.4 eq 53ciscoasa(config)#access-group 100 in interface outside Nota: Refira portas IANA a fim aprender mais informação sobre atribuições de porta. Configuração com o ASDM Uma aproximação passo a passo para executar as tarefas acima mencionadas com o ASDM é

mostrada nesta seção. 1. Crie a regra do acesso para permitir o tráfego smtp ao server de 192.168.5.3. 2. Defina a fonte e o destino da regra do acesso, e a relação ligamentos desta regra com. Também, defina a ação como a licença. 3. Escolha o S TP como a porta, a seguir clique a

APROVAÇÃO. 4. Clique a APROVAÇÃO para terminar configurar a regra do

acesso. 5. Configurar o NAT estático a fim traduzir 172.16.1.3 a 192.168.5.3Vai à configuração > ao Firewall > às regras NAT a regra do NAT estático do > Add a fim adicionar uma entrada NAT estática. Selecione a fonte original e o endereço IP de Um ou Mais Servidores Cisco ICM NT traduzido junto com suas relações associadas, a seguir clique a APROVAÇÃO para terminar configurar a regra do NAT

estático. imagem descreve todas as três regras estáticas que são alistadas na seção dos exemplos: Esta Esta imagem descreve todas as três regras do acesso que são alistadas na seção dos exemplos:

Verificar Você pode verificar com determinados comandos de exibição, como mostrado: mostre o xlate? indique a informação da tradução atual mostre a lista de acesso? indique contadores de acertos para políticas de acesso mostre o registro? indique entra o buffer. A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show. Troubleshooting Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração. Informações Relacionadas PIX/ASA 7.x: Permita/comunicação do desabilitação entre relações PIX 7.0 e porta adaptável Redirection(Forwarding) da ferramenta de segurança com nat, o global, o estático, a conduíte, e os comandos access-list Utilização nat, global, estática, conduíte, e comandos access-list e redirecionamento de porta (transmissão) no PIX PIX/ASA 7.x: Exemplo de Configuração de Habilitação de Serviços de FTP/TFTP PIX/ASA 7.x: Permita o exemplo de configuração dos serviços de VoIP (SIP,MGCP,H323,SCCP) PIX/ASA 7.x: Acesso do mail server no exemplo da configuração DMZ

Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback