Security (1027395), страница 31
Текст из файла (страница 31)
Этот межсетевой экраннастраивается для взаимодействия с удаленными подразделениями и доступа по ВЧС удаленных пользователей.Настройки внешнего интерфейса.ip address outside 172.16.144.3 255.255.255.0access-group 103 in interface outsideРазрешение зашифрованного трафика удаленных подразделений и пользователей:access-list 103 permit ip 10.5.0.0 255.255.0.0 10.4.0.0 255.255.0.0access-list 103 permit ip 10.6.0.0 255.255.0.0 10.4.0.0 255.255.0.0access-list 103 permit ip 10.4.3.0 255.255.255.0 10.4.0.0 255.255.0.0Фильтрование в соответствии с RFC 1918. Примечание: сеть 172.16.x.x не включена в список, потому что использовалась как сеть Интернет-провайдера в данном примере.access-list 103 deny ip 10.0.0.0 255.0.0.0 anyaccess-list 103 deny ip 192.168.0.0 255.255.0.0 anyРазрешить доступ к публичным серверам для приложений DNS, FTP, HTTP SSL и почты:access-listaccess-listaccess-listaccess-listaccess-list103103103103103permitpermitpermitpermitpermitudptcptcptcptcpanyanyanyanyanyhosthosthosthosthost172.16.144.50172.16.144.50172.16.144.50172.16.144.50172.16.144.50eqeqeqeqeqdomainftpwww443smtpРазрешить ответные пакеты ICMP на инициированные из внутренней сети запросы:78access-list 103 permit icmp any 172.16.144.0 255.255.255.0 echo-replyРазрешить пакеты ICMP, необходимые для работы path MTU discovery (PMTUD):access-list 103 permit icmp any 172.16.144.0 255.255.255.0 unreachableРазрешить протоколы управления syslog, TFTP и TACACS+ от удаленных подразделений:access-listaccess-listaccess-listaccess-listaccess-listaccess-list103103103103103103permitpermitpermitpermitpermitpermitudpudptcpudpudptcphosthosthosthosthosthost172.16.128.2172.16.128.2172.16.128.2172.16.128.5172.16.128.5172.16.128.5hosthosthosthosthosthost172.16.144.51172.16.144.51172.16.144.51172.16.144.51172.16.144.51172.16.144.51eqeqeqeqeqeqsyslogtftptacacssyslogtftptacacsНастройки внутреннего интерфейса.ip address inside 10.4.1.1 255.255.255.0access-group 109 in interface insideРазрешить ICMP echo от внутренних устройств:access-list 109 permit icmp any any echoРазрешить взаимодействие внешнего сервера DNS и внешнего почтового сервера с соответствующими внутреннимисерверами:access-list 109 permit udp host 10.4.1.201 host 10.4.2.50 eq domainaccess-list 109 permit tcp host 10.4.1.201 host 10.4.2.50 eq smtpРазрешить доступ от внутренних устройств к публичным серверам по протоколам HTTP, FTP и SSL:access-list 109 permit tcp 10.4.0.0 255.255.0.0 host 10.4.2.50 eq wwwaccess-list 109 permit tcp 10.4.0.0 255.255.0.0 host 10.4.2.50 eq ftpaccess-list 109 permit tcp 10.4.0.0 255.255.0.0 host 10.4.2.50 eq 443Разрешить доступ по протоколу Telnet от станции управления к коммутатору sCAT-1:access-list 109 permit tcp host 10.4.1.253 host 10.4.2.4 eq telnetБлокировать весь остальной доступ в публичный сегмент:access-list 109 deny ip any 10.4.2.0 255.255.255.0Разрешить выход из внутренней сети в Интернет:access-list 109 permit ip 10.4.0.0 255.255.0.0 anyНастройки публичного (DMZ) интерфейса.ip address pss 10.4.2.1 255.255.255.0access-group 105 in interface pssРазрешить передачу пакетов ICMP echo-reply через межсетевой экран:access-list 105 permit icmp 10.4.2.0 255.255.255.0 10.4.1.0 255.255.255.0 echo-replyРазрешить доступ по протоколам TACACS+, TFTP и syslog от коммутатора sCAT-1 на станцию управления:access-list 105 permit tcp host 10.4.2.4 host 10.4.1.253 eq tacacsaccess-list 105 permit udp host 10.4.2.4 host 10.4.1.253 eq tftpaccess-list 105 permit udp host 10.4.2.4 host 10.4.1.253 eq syslogРазрешить трафик управления от хостовых систем обнаружения вторжений, установленных на публичных серверах,к станции управления:access-list 105 permit tcp host 10.4.2.50 host 10.4.1.253 eq 5000Разрешить взаимодействие между публичным и внутренним почтовыми серверами:access-list 105 permit tcp host 10.4.2.50 host 10.4.1.201 eq smtpБлокировать весь остальной доступ из этого сегмента во внутреннюю сеть:access-list 105 deny ip any 10.4.0.0 255.255.0.0Разрешить доступ от публичных серверов в Интернет для почты и службы имен (DNS):access-list 105 permit tcp host 10.4.2.50 any eq smtpaccess-list 105 permit udp host 10.4.2.50 any eq domainНастройки функций обнаружения вторжений.ipipipipipipipipauditauditauditauditauditauditauditauditname full info action alarmname fullb attack action alarm dropinterface outside fullinterface outside fullbinterface inside fullinterface inside fullbinterface pss fullinterface pss fullbНастройка трансляции сетевых адресов.
Создание пула публичных адресов, которые будут использоваться внутренними устройствами при выходе в Интернет.global (outside) 1 172.16.144.201-172.16.144.220!nat (inside) 0 access-list nonatnat (inside) 1 0.0.0.0 0.0.0.0 0 0nat (pss) 0 access-list nonatНастройка статической трансляции сетевых адресов для публичных серверов, доступных из Интернет.static!staticstaticstatic(pss,outside) 172.16.144.50 10.4.2.50 netmask 255.255.255.255 0 0(inside,pss) 10.4.1.253 10.4.1.253 netmask 255.255.255.255 0 0(inside,pss) 10.4.1.201 10.4.1.201 netmask 255.255.255.255 0 0(inside,outside) 172.16.144.51 10.4.1.253 netmask 255.255.255.255 0 0Список доступа nonat определяет, для каких адресов использовать трансляцию.access-listaccess-listaccess-listaccess-listaccess-listnonatnonatnonatnonatnonatpermitpermitpermitpermitpermitipipipipip10.4.0.010.4.0.010.4.1.010.4.2.010.4.1.0255.255.0.0 10.5.0.0 255.255.0.0255.255.0.0 10.6.0.0 255.255.0.0255.255.255.0 10.4.3.0 255.255.255.0255.255.255.0 10.4.3.0 255.255.255.0255.255.255.0 10.4.2.0 255.255.255.0Приведенные ниже настройки ВЧС используются для взаимодействия с удаленными подразделениями.no sysopt route dnatcrypto ipsec transform-set 3dessha esp-3des esp-sha-hmaccrypto ipsec transform-set remote1 esp-3des esp-sha-hmaccrypto dynamic-map vpnuser 20 set transform-set remote1crypto map ent1 30 ipsec-isakmpcrypto map ent1 30 match address 107crypto map ent1 30 set peer 172.16.128.2crypto map ent1 30 set transform-set remote1crypto map ent1 40 ipsec-isakmpcrypto map ent1 40 match address 108crypto map ent1 40 set peer 172.16.128.579crypto map ent1 40 set transform-set remote1crypto map ent1 50 ipsec-isakmp dynamic vpnusercrypto map ent1 client configuration address initiatecrypto map ent1 client authentication vpnauthcrypto map ent1 interface outside!access-list 107 permit ip 10.4.0.0 255.255.0.0 10.5.0.0 255.255.0.0access-list 107 permit ip host 172.16.144.51 host 172.16.128.2access-list 108 permit ip 10.4.0.0 255.255.0.0 10.6.0.0 255.255.0.0access-list 108 permit ip host 172.16.144.51 host 172.16.128.5!isakmp enable outsideisakmp key 7Q! r$y$+xE address 172.16.128.5 netmask 255.255.255.255isakmp key 7Q!r$y$+xE address 172.16.128.2 netmask 255.255.255.255isakmp key 7Q!r$y$+xE address 172.16.226.28 netmask 255.255.255.255isakmp key 7Q!r$y$+xE address 172.16.226.27 netmask 255.255.255.255isakmp policy 1 authentication pre-shareisakmp policy 1 encryption 3desisakmp policy 1 hash shaisakmp policy 1 group 2isakmp policy 1 lifetime 86400Настройки, используемые для подключения по ВЧС удаленныхпользователей.vpngroupvpngroupvpngroupvpngroupvpngroupip localVPN1VPN1VPN1VPN1VPN1pooladdress-pool vpnpooldns-server 10.4.1.201default-domain safe-small.comidle-time 1800password Y0eS)3/i6yvpnpool 10.4.3.1-10.4.3.254ä‡ÏÔÛÒÌ˚È ÏÓ‰ÛθИспользуемые продукты●●●●80Коммутатор уровня 2 Cisco Catalyst Layer (sCAT-2)CiscoSecure HOST IDSCisco Secure Access Control ServerКлиент SSH компании F-SecureêËÒÛÌÓÍ 85.
ÑËÁ‡ÈÌ Í‡ÏÔÛÒÌÓ„Ó ÏÓ‰ÛÎflëÂÚ¸ Ò‰ÌÂ„Ó Ô‰ÔËflÚËflПриводимые ниже конфигурации показывают пример настройки устройств всети среднего предприятия. Если не указано иное, приведены конфигурации дляцентральной сети предприятия.åÓ‰Ûθ àÌÚÂÌÂÚИспользуемые продукты●●●●●●●●Коммутаторы уровня 2 Cisco Catalys(mCAT-1 по mCAT-4)êËÒÛÌÓÍ 86. ÑËÁ‡ÈÌ ÏÓ‰ÛÎfl àÌÚÂÌÂÚМаршрутизаторы Cisco IOS Routers споддержкой ВЧС (mIOS-1 и mIOS-2)Сервер удаленного доступа Cisco IOS (mIOS-3)Концентратор ВЧС Cisco VPN 3000 (mVPN-1)Межсетевой экран Cisco Secure PIX Firewall (mPIX-1)Сетевая система обнаружения вторжений Cisco Secure IDS Sensors (mIDS-1 и mIDS-2)Хостовая система обнаружения вторжений CiscoSecure HOST IDSСистема фильтрации почты Baltimore MIMESweepermIOS-1Приведенная ниже конфигурация детализирует настройки списков доступа на граничном маршрутизаторе сети, контролирующем трафик между Интернет-провайдером и сетью предприятия.interface FastEthernet0/0ip address 172.16.240.2 255.255.255.0ip access-group 112 inno ip redirectsno cdp enable!interface Serial1/0ip address 172.16.131.2 255.255.255.0ip access-group 150 indsu bandwidth 44210framing c-bitno cdp enableФильтрование в соответствии с RFC 1918.
Примечание: сеть 172.16.x.x не включена в список, потому что использовалась как сеть Интернет-провайдера в данном примере.access-list 150 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 150 deny ip 192.168.0.0 0.0.255.255 anyПредотвращение использования внешними устройствами адресов, используемых внутри сети предприятия:access-list 150 deny ip 172.16.240.0 0.0.0.255 anyРазрешение передачи трафика протоколов ВЧС к устройствам ВЧС:access-listaccess-listaccess-listaccess-listaccess-listaccess-list150150150150150150permitpermitpermitpermitpermitpermitespudpespudpespudpany host 172.16.240.3any host 172.16.240.3 eq isakmphost 172.16.128.2 host 172.16.240.1host 172.16.128.2 host 172.16.240.1 eq isakmphost 172.16.128.5 host 172.16.240.1host 172.16.128.5 host 172.16.240.1 eq isakmpЗапрещение всех других типов взаимодействия, направленных на mIOS-1, mVPN-1, mPIX-1 и mCAT-1:access-listaccess-listaccess-listaccess-list150150150150denydenydenydenyipipipipanyanyanyanyhosthosthosthost172.16.240.3172.16.240.4172.16.240.2172.16.240.1Разрешить все остальные протоколы в сеть 172.16.240.0, так как адреса внутренних устройств транслируются в этусеть на межсетевом экране:access-list 150 permit ip any 172.16.240.0 0.0.0.255Блокировать и вести учет всего остального:access-list 150 deny ip any any logПриведенная далее конфигурация детализирует контроль трафика, идущего из сети предприятия к провайдеру.Разрешить соединения TCP, идущие от маршрутизатора к станциям управления.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
