Практически. БКС практические. Перечень лабораторных работ
Скачать 1.44 Mb.
|
Шаг 2 - настраивает NAT для доступа к Web-серверу из ИнтернетаТеперь, когда хосты на внутренней части и интерфейсах DMZ могут выйти к Интернету, необходимо модифицировать конфигурацию так, чтобы пользователи в Интернете могли обратиться к нашему Web- серверу на порте TCP 80. В данном примере настройка состоит в том так, чтобы люди в Интернете могли подключить с другим IP-адресом интернет-провайдера, если, дополнительный IP-адрес мы владеем. Для данного примера используйте 198.51.100.101. С этой конфигурацией пользователи в Интернете будут в состоянии достигнуть Web-сервера DMZ путем доступа 198.51.100.101 на порте TCP 80. Используйте Объект NAT для этой задачи, и ASA будет порт 80 translate TCP на Web-сервере (192.168.1.100) для сходства с 198.51.100.101 на порте TCP 80 на внешней стороне. Так же к тому, что было сделано ранее, определите объект и определите правила трансляции для того объекта. Кроме того, определите второй объект для представления IP, которого вы преобразуете этот хост. Эта конфигурация выглядит подобной этому: object network webserver-external-ip host 198.51.100.101 ! object network webserver host 192.168.1.100 nat (dmz,outside) static webserver-external-ip service tcp www www Только для суммирования что, который правило NAT означает в данном примере: Когда хост, который совпадает с IP-адресом 192.168.1.100 насегментах DMZ, устанавливаетсоединение, полученное от порта TCP 80 (www) , и то соединение выходит внешний интерфейс,вы хотите преобразовать это, чтобы быть портом TCP 80 (www) на внешнем интерфейсе ипреобразоватьтотIP-адрес, чтобыбыть198.51.100.101. Это кажется немного нечетным... "полученный от порта TCP 80 (www)", но веб - трафик предназначен к порту 80. Важно понять, что эти правила NAT являются двунаправленными по своей природе. В результате можно зеркально отразить формулировку вокруг для перефразирования этого предложения. Результат имеет намного больше смысла: Когдахостынавнешнейсторонеустановятсоединениес198.51.100.101напорту80TCP-получателя (www), вы преобразуете IP - адрес назначения, чтобы быть 192.168.1.100, и порт назначениябудет портомTCP 80 (www) и передастемуDMZ. Это имеет больше смысла, когда формулируется этот путь. Затем, необходимо установить ACL. Шаг 3 - настраивает ACLNAT настроен, и конец этой конфигурации рядом. Помните, ACL на ASA позволяют вам отвергать безопасное поведение по умолчанию, которое является следующие: Трафик, который идет от интерфейса с более низким уровнем безопасности, запрещен, когда он переходит к интерфейсу с более высоким уровнем безопасности. Трафик, который идет от интерфейса с более высоким уровнем безопасности, позволен, когда он переходит к интерфейсу с более низким уровнем безопасности. Таким образом без добавления любых ACL к конфигурации, этот трафик в примере работает: Хосты на внутренней части (уровень безопасности 100) могут соединиться с хостами на DMZ (уровень безопасности 50). Хосты на внутренней части (уровень безопасности 100) могут соединиться с хостами на внешней стороне (уровень безопасности 0). Хосты на DMZ (уровень безопасности 50) могут соединиться с хостами на внешней стороне (уровень безопасности 0). Однако этот трафик запрещен: Хосты на внешней стороне (уровень безопасности 0) не могут соединиться с хостами на внутренней части (уровень безопасности 100). Хосты на внешней стороне (уровень безопасности 0) не могут соединиться с хостами на DMZ (уровень безопасности 50). Хосты на DMZ (уровень безопасности 50) не могут соединиться с хостами на внутренней части (уровень безопасности 100). Поскольку трафик от внешней стороны до сети DMZ запрещен ASA с его текущей конфигурацией, пользователи в Интернете не могут достигнуть Web-сервера несмотря на конфигурацию NAT в шаге 2. Необходимо явно разрешить этот трафик. В 8.3 и код следующих версий необходимо использовать Реального IP хоста в ACL а не преобразованного IP. Это означает потребности конфигурации разрешить трафик, предназначенный к 192.168.1.100 и НЕ трафик, предназначенный к 198.51.100.101 на порту 80. Для пользы простоты объекты, определенные в шаге 2, будут использоваться для этого ACL также. Как только ACL создан, необходимо применить его входящий на внешний интерфейс. Вот то, на что похожи те команды настройки: access-list outside_acl extended permit tcp any object webserver eq www ! access-group outside_acl in interface outside Состояния линии access-list: Трафикразрешенияотлюбого(где)кхосту,представленномуобъектнымвеб-сервером (192.168.1.100)на порту80. Важно, чтобы конфигурация использовала любое ключевое слово здесь. Поскольку IP - адрес источника клиентов не известен, поскольку он достигает вашего веб-сайта, задайте любое значение 'Любой IP-адрес'. Что относительно трафика от сегмента DMZ, предназначенного к хостам на сегменте внутренней сети? Например, сервер на внутренней сети, с которой должны соединиться хосты на DMZ. Как ASA может позволить только, что определенный трафик, предназначенный к внутреннемусерверу и, блокирует все остальное предназначенное к внутреннему сегменту от DMZ? В данном примере предполагается, что существует сервер DNS на внутренней сети в IP-адресе 192.168.0.53, к которому хосты на DMZ должны обратиться для Разрешения DNS. Вы создаете необходимый ACL и применяете его к интерфейсу DMZ, таким образом, ASA может отвергнуть то безопасное поведение по умолчанию, упомянутое ранее, для трафика, который вводит тот интерфейс. Вот то, на что похожи те команды настройки: object network dns-server host 192.168.0.53 ! access-list dmz_acl extended permit udp any object dns-server eq domain access-list dmz_acl extended deny ip any object inside-subnet access-list dmz_acl extended permit ip any any ! access-group dmz_acl in interface dmz ACL более сложен, чем простое разрешение что трафик к серверу DNS на порту 53 UDP. Если все, что мы сделали, - то, которые сначала 'разрешают' линию, то весь трафик был бы заблокирован от DMZ до хостов в Интернете. ACL имеют неявное, 'deny ip any any' в конце ACL. В результате ваши хосты DMZ не были бы в состоянии выйти в Интернет. Даже при том, что трафик от DMZ до внешней стороны разрешен по умолчанию с приложением ACL к интерфейсу DMZ, то безопасное поведение по умолчанию для интерфейса DMZ больше не в действительности, и необходимо явно разрешить трафик в интерфейсном ACL. Шаг 4 - тестирует конфигурацию с пакетной функцией трассировщикаТеперь, когда конфигурация завершена, необходимо протестировать ее, чтобы удостовериться, что она работает. Наилегчайший метод должен использовать фактические хосты (если это - ваша сеть). Однако в интересах тестирования этого от CLI и дальнейшего исследования некоторых программных средств ASA, используйте пакетный трассировщик, чтобы протестировать и потенциально отладить любые проблемы, с которыми встречаются. Пакетный трассировщик работает путем моделирования пакета на основе серии параметров и введения того пакета к интерфейсному каналу передачи данных, подобному способу, которым был бы реальный пакет, если это было взято от провода. Этот пакет придерживается через несметное число проверок и процессов, которые сделаны, поскольку это проходит через межсетевой экран, и пакетный трассировщик обращает внимание на результат. Моделируйте внутренний хост, выходящий в хост в Интернете. Команда ниже сообщает межсетевому экрану к: Моделируйте пакет TCP, прибывающий во внутренний интерфейс от IP-адреса 192.168.0.125 наисходномпорте12345 предназначенныхкIP-адресу203.0.113.1напорту80. ciscoasa# packet-tracer input inside tcp 192.168.0.125 12345 203.0.113.1 80 Контрольные вопросы: Описание технологии Object NAT Описание технологии PAT |