Ключевые слова:cisco, pix, firewall, (найти похожие документы)
From: Alexander HunSolo <a.hunsolo@gmail.com.>
Newsgroups: http://www.ciscolab.ru/
Date: Mon, 5 Dec 2006 14:31:37 +0000 (UTC)
Subject: Cisco PIX Firewall как защита корпоративной сети
Оригинал: http://www.ciscolab.ru/2006/12/06/pix_corporatiive_conf.html
Данная статья демонстрирует как правильно скофигурировать Cisco PIX
Firewall, чтобы отделить и защитить корпоративную сеть предприятия или
организации от Интернет. Рассмотрим внутреннюю сеть организации,
которая содержит Web сервер, почтовый сервер и FTP сервер, к которым
имеют доступ пользователи Интернет; весь остальной доступ к хостам
внутренней сети закрыт от внешних пользователей.
Стуруктура сети показана на сетевой диаграмме:
Адресацию серверов внутренней сети выполним следующим образом:
* Внутренний адрес Web сервера: 192.168.1.4; его Интернет адрес: 204.69.198.3
* Внутренний адрес Mail сервера: 192.168.1.15; его Интернет адрес: 204.69.198.4
* Внутренний адрес FTP сервера: 192.168.1.10; его Интернет адрес: 204.69.198.5
Всем пользователям внутренней сети разрешен неограниченный доступ в
Интернет. Также пользователи могут пинговать узлы в Интернет, одако
пользователи интернет не могут выполнять ping на узлы организации. ISP
выделил Организации диапазон внешних адресов класса C:
204.69.198.0/24. Адреса 204.69.198.1 и 204.69.198.2 зарезервированы
для внешнего роутера и внешнего интерфейса PIX (см. схему). Адреса
диапазона 204.69.198.3 - 204.69.198.5 отведены для серверов, а адреса
204.69.198.4 - 204.69.198.14 зарезервирован ыдля будущего
использования.
PIX необходимо настроеть так, чтобы посылать syslog сообщения на
SysLog-сервер во внутренней сети, с адресом 192.168.1.220 (Он не
показан на диаграмме). Версия ПО используемая на PIX: 6.3.5
Конфигурация PIX
nameif gb-ethernet0 outside security0
nameif gb-ethernet1 inside security100
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
names
!--- Создаем access list чтобы разрешить вырускать ping и принимать ответы
access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any time-exceeded
access-list 100 permit icmp any any unreachable
!--- Разрешаем всем пользователям в Интернет подсоединяться к Web, Mail, и FTP серверам.
access-list 100 permit tcp any host 204.69.198.3 eq www
access-list 100 permit tcp any host 204.69.198.4 eq smtp
access-list 100 permit tcp any host 204.69.198.5 eq ftp
!--- Включам логгирование.
logging on
no logging timestamp
no logging standby
no logging console
no logging monitor
!--- Сохраняем сообщениям об ошибках и более критичные в локальный буфер
logging buffered errors
!---Посылаем уведомления на syslog сервер
logging trap notifications
no logging history
logging facility 20
logging queue 512
!--- Указываем syslog сервер на внутренней сети.
logging host inside 192.168.1.220
!--- Все интерфейсы выключены по умолчанию. Включаем их.
interface gb-ethernet0 1000auto
interface gb-ethernet1 1000auto
!--- Назначаем адреса на интерфейсы
ip address outside 204.69.198.2 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0
!---Определим пул трансляции адресов (NAT), которые внутренние хосты испоьзуют
!--- когда выходят в Интернет
global (outside) 1 204.69.198.15-204.69.198.253
!--- Определим один адрес который будет использоватся когда
!--- NAT пула будет уже не хватать (PAT)
global (outside) 1 204.69.198.254
!--- Разрешаем всем внутренним хостам использовать NAT или PAT определнные ранее
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
!--- Определяем статическую трансляцию для внутреннего web-сервера,
!--- чтобы он был доступен из Интернет
static (inside,outside) 204.69.198.3 192.168.1.4 netmask 255.255.255.255 0 0
!--- Определяем статическую трансляцию для внутреннего почтового сервера,
!--- чтобы он был доступен из Интернет
static (inside,outside) 204.69.198.4 192.168.1.15 netmask 255.255.255.255 0 0
!--- Аналогично выполняем действия и для FTP сервера
static (inside,outside) 204.69.198.5 192.168.1.10 netmask 255.255.255.255 0 0
!--- Применяем access list 100 к outside интерфейсу.
access-group 100 in interface outside
!--- Назначаем default route на роутер ISP.
route outside 0.0.0.0 0.0.0.0 204.69.198.1 1
!--- Разрешаем хосту 192.168.1.254 поключаться к PIX по телнет
telnet 192.168.1.254 255.255.255.255 inside
telnet timeout 5
Нижеследующие замечания необходимо учитывать при конфигурации PIX:
* NAT пул и PAT должны содержать IP адреса, которые больше нигде не
используются в сети, включая адреса для статических трансляций и
адреса используемые на сетевых интерфейсах устройств.
* Вы должны явно разрешать доступ к вашим серверам. По умолчанию
весь входной трафик на outside интерфейс запрещен.
* После любого листа доступа следует неявная команда deny ip any any
* Если DNS сервер раположен за outside интерфейсом, а внутренние
пользователи хотят получать доступ к внутренним серверам по их DNS
имени, вам необходимо использовать команду alias, чтобы PIX
пролечил ответы от DNS сервера.