企业网组网设计与仿真实现
FW(config)# no access-list outside permit ip any any
以下进行对E0口进入方向的流量进行严格控制,只有经过网关路由器Gateway转换,并在DMZ区域存在的地址方能进入。
FW(config)# access-list outside permit tcp any 192.168.70.2 255.255.255.255 eq 110
FW(config)# access-list outside permit tcp any 192.168.70.2 255.255.255.255 eq 110
FW(config)# access-list outside permit tcp any 192.168.70.3 255.255.255.255 eq 20
FW(config)# access-list outside permit tcp any 192.168.70.3 255.255.255.255 eq 21
FW(config)# access-list outside permit tcp any 192.168.70.4 255.255.255.255 eq 80
FW(config)# access-list outside permit udp any 192.168.70.3 255.255.255.255 eq 69
FW(config)# access-group outside in interface outside
到目前这里位置,防火墙将只放行ACL条目所定义的条目,这样并不能使网络正常运行,因为要继续对防火墙进行配置。
2、内网出站流量控制
Cisco防火墙除了ASA算法用来限制流量进出之外,还有就是Inspection技术的应用。Inspection有2个作用,一个是对一些具有多端口号的协议进行跟踪,能自动放回一些返回的流量,第二个是安全监控,对于DNS以及HTTP等这些单端口的协议,可以对协议里的一些协议字段进行匹配来实现安全防护。
Inspection技术是里用MPF(模块化策略架构)来进行配置。MPF由ACL匹配单条流量项目、Class-map把相同功能的ACL或相关业务归类起来、Policy-map进行流量策略的定义,并把Policy-map应用在接口方向或全局上。
ASA上全局上有默认Policy-map缺省定义,里面的定义条目非常有用,我们只需要在默认Policy-map上增减自己需要的流量策略即可。默认全局Policy-map缺省对以下协议进行Inspect(视乎ASA的IOS版本不同,默认定义会可能有所不同):
inspect dns migrated_dns_map_1
30
企业网组网设计与仿真实现
inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp
根据实际需要,我们只需增加或修改我们所需要的协议参数即刻。以下为增加对HTTP和ICMP协议的Inspect。
FW(config)# policy-map global_policy FW(config-pmap)# class inspection_default FW(config-pmap-c)# inspect icmp FW(config-pmap-c)# inspect http
以上配置之后既可以初步内网对外网访问进行限制。更多的安全防护将在安全加固模块进行介绍和配置。
4.3 远程接入模块设计
远程接入包括一系列技术,主要分为两类:有线传输接入和无线传输接入。有线传输接入包括拨号接入、ISDN接入、ADSL接入和Cable Modem接入、软件接入、VPN接入、SDH接入;无线传输接入包括802.11b 、WiFi和Blue Tooth等。远程接入技术允许家庭用户、移动用户和远程办公用户访问一个公司网络或在ISP情况下的因特网上的资源。远程接入方法应该允许远程用户就像直接连接到网络上一样并使用相同的协议访问某个网络。
31
企业网组网设计与仿真实现
本模块主要针对的是便于移动办公和分支机构接入总部的VPN接入方案。VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。虚拟专用网被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
家庭办公分支机构总部VPN移动办公
图4.10 VPN概览
在本节要实现的是分支结构对总部的VPN连接,以及临时移动办公对总部的VPN接入。将使用端对端IPsec VPN来实现分支结构的VPN接入业务,建立一条安全的隧道,在总部和分支之间传输业务信息;而对于临时移动办公,将选择使用RemoteVPN来建立VPN,访问内网资源。
4.3.1 分支机构VPN配置
IPsec VPN是网络层的VPN技术,它独立于应用程序,以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSEC建立加密隧道后,就可以实现各种
32
企业网组网设计与仿真实现
类型的连接,如Web、电子邮件、文件传输、VoIP等,每个传输直接对应到VPN网关之后的相关服务器上。IPSEC是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议,对应用层协议完全透明,这是IPSEC VPN的最大优点之所在。
1、Site-to-site IPsec VPN设计
假设分支公司是电信ADSL接入互联网,其公网IP并不是固定的,因而每次重新获得IP的时候,VPN隧道都要重新建立,并且只能由分支公司主动发起VPN连接。分支公司内网IP为192.168.200.0/24,其利用VPN只能访问内部服务器群,并不能跟其他部门单位进行传输。分支公司用网关路由器作为VPN网关,总部既用ASA作为VPN网关。但因为存在NAT地址转换设备(Gateway网关),必须要使用NAT-T(NAT穿越技术)来确保总部端能建立VPN并工作正常。Gateway将用59.42.177.230作为分支机构发起VPN连接的目的地址。图4.11表示这次设计的简化示意图。
Core1分支机构内网192.168.200.0内部服务器群192.168.60.0SW4FWCore2Gateway
图4.11 端到端VPN设计拓扑
2、VPN配置
首先以正常情况下的IPsec VPN配置,先忽略Gateway网关的NAT转换。 (1)在防火墙FW下配置IPsec VPN。命令如下:
FW(config)# access-list l2l per ip 192.168.60.0 255.255.255.0 192.168.200.0 255.255.255.0
FW(config)# crypto ipsec transform-set l2l esp-3des esp-md5-hmac FW(config)# crypto dynamic-map dyl2l 10 set transform-set l2l FW(config)# crypto dynamic-map dyl2l 10 set reverse-route FW(config)# crypto map vpn 10 ipsec-isakmp dynamic dyl2l FW(config)# crypto map vpn interface outside
FW(config)# crypto isakmp policy 10
33
企业网组网设计与仿真实现
FW(config-isakmp-policy)# authentication pre-share FW(config-isakmp-policy)# ncryption 3des FW(config-isakmp-policy)# hash md5 FW(config-isakmp-policy)# group 2
FW(config-isakmp-policy)#crypto isakmp enable outside
FW(config)# tunnel-group DefaultL2LGroup ipsec-attributes FW(config-tunnel-ipsec)# pre-shared-key gdin_alex (2)在分支机构网关路由配置IPsec VPN。命令如下:
Router(config)#access-list 101 permit icmp 192.168.200.0 0.0.0.255 192.168.60.0 0.0.0.255
Router(config)#crypto isakmp policy 10 Router(config-isakmp)#encr 3des Router(config-isakmp)#hash md5
Router(config-isakmp)#authentication pre-share Router(config-isakmp)#group 2
Router(config)#crypto isakmp key alex_gdin address 59.42.177.230 Router(config)#crypto ipsec transform-set l2l esp-3des esp-md5-hmac
Router(config)#crypto map l2l 10 ipsec-isakmp Router(config-crypto-map)#set peer 59.42.177.230 Router(config-crypto-map)#set transform-set l2l Router(config-crypto-map)#match address 101
Router(config)#interface FastEthernet0/0 Router(config-if)#crypto map l2l
到此基础IPsec VPN配置完毕,下一步就是把NAT设备考虑进去,对IPsec VPN配置和NAT配置进行调整。
34