Este documento fornece uma configuração de exemplo para o Cisco Adaptive Security Appliance (ASA) com versão 8.3(1) ou posterior de um tempo limite que é específico para alguma aplicação em particular, como SSH/Telnet/HTTP, diferente de um que se aplica a toda aplicações. Este exemplo de configuração usa a Estrutura de Política Modular (MPF - Modular Policy Framework), que foi introduzida no Cisco Adaptive Security Appliance (ASA) versão 7.0. Consulte Utilização da Estrutura de Política Modular para obter mais informações.
Nesta configuração de exemplo, o Cisco ASA é configurado para permitir que a estação de trabalho (10.77.241.129) execute telnet/SSH/HTTP para o servidor remoto (10.1.1.1) atrás do roteador. Um intervalo de conexão separado para tráfego Telnet/SSH/HTTP também é configurado. Todo o tráfego TCP restante continua a ter o valor de tempo limite de conexão normal associado com timeout conn 1:00:00.
Consulte PIX/ASA 7.x e posterior/FWSM: Exemplo de Configuração de Timeout para Conexão SSH/Telnet/HTTP Usando MPF para obter a mesma configuração no Cisco ASA com versões 8.2 e anteriores.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas no software Cisco ASA Security Appliance versão 8.3(1) com Adaptive Security Device Manager (ASDM) 6.3.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Nota:Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.
Este documento utiliza a seguinte configuração de rede:
Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918, que foram usados em um ambiente de laboratório.
Este documento utiliza as seguintes configurações:
Observação: essas configurações de CLI e ASDM são aplicáveis ao Firewall Service Module (FWSM).
Configuração do ASA 8.3(1) |
---|
ASA Version 8.3(1) ! hostname ASA domain-name nantes-port.fr enable password S39lgaewi/JM5WyY level 3 encrypted enable password 2KFQnbNIdI.2KYOU encrypted passwd 1mZfSd48bl0UdPgP encrypted no names dns-guard ! interface Ethernet0/0 nameif outside security-level 0 ip address 192.168.200.1 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.77.241.142 255.255.255.0 boot system disk0:/asa831-k8.bin ftp mode passive dns domain-lookup outside !--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map. object-group service DM_INLINE_TCP_1 tcp port-object eq www port-object eq ssh port-object eq telnet access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 pager lines 24 mtu inside 1500 mtu outside 1500 no failover no asdm history enable arp timeout 14400 nat (inside) 0 access-list inside_nat0_outbound access-group 101 in interface outside route outside 0.0.0.0 0.0.0.0 192.168.200.2 1 timeout xlate 3:00:00 !--- The default connection timeout value of one hour is applicable to !--- all other TCP applications. timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! !--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map. class-map Cisco-class match access-list outside_mpc class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp !--- Use the pre-defined class map Cisco-class in the policy map. policy-map Cisco-policy !--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes. class Cisco-class set connection timeout idle 0:10:00 reset ! ! service-policy global_policy global !--- Apply the policy-map Cisco-policy on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command. service-policy Cisco-policy interface outside end |
Conclua estas etapas para configurar o timeout de conexão TCP para tráfego Telnet, SSH e HTTP usando o ASDM como mostrado.
Observação: Consulte Permitindo o Acesso HTTPS para ASDM para obter as configurações básicas para acessar o PIX/ASA através do ASDM.
Selecione Configuration > Firewall > Service Policy Rules e clique em Add para configurar a regra Service Policy como mostrado.
Na janela Add Service Policy Rule Wizard - Service Policy, escolha o botão de opção ao lado de Interface na seção Create a Service Policy and Apply To. Agora, escolha a interface desejada na lista suspensa e forneça um Policy Name. O nome da política usado neste exemplo é Cisco-policy. Em seguida, clique em Avançar.
Crie um nome de mapa de classe Cisco-class e marque a caixa de seleção Source and Destination IP address (uses ACL) nos Traffic Match Criteria. Em seguida, clique em Avançar.
Na janela Add Service Policy Rule Wizard - Traffic Match - Source and Destination Address, escolha o botão de opção ao lado de Match e forneça os endereços de origem e destino como mostrado. Clique no botão suspenso ao lado de Service para escolher os serviços necessários.
Selecione os serviços necessários, como telnet, ssh e http. Em seguida, clique em OK.
Configure os tempos limite. Clique em Next.
Escolha Connection Settings para configurar o TCP Connection Timeout como 10 minutos. Além disso, marque a caixa de seleção Send reset to TCP endpoints before timeout. Clique em Finish.
Clique em Apply para aplicar a configuração ao Security Appliance.
Isso conclui a configuração.
Uma conexão embrionária é a conexão que está meio aberta ou, por exemplo, o handshake triplo não foi concluído para ela. É definido como tempo limite SYN no ASA. Por padrão, o tempo limite de SYN no ASA é de 30 segundos. Veja a seguir como configurar o Tempo Limite Embrionário:
access-list emb_map extended permit tcp any any class-map emb_map match access-list emb_map policy-map global_policy class emb_map set connection timeout embryonic 0:02:00 service-policy global_policy global
Se você descobrir que o tempo limite da conexão não funciona com o MPF, verifique a conexão de início do TCP. O problema pode ser uma inversão do endereço IP origem e destino ou um endereço IP configurado incorretamente na lista de acesso não corresponde no MPF para definir o novo valor de tempo limite ou para alterar o tempo limite padrão do aplicativo. Crie uma entrada de lista de acesso (origem e destino) de acordo com o início da conexão para definir o tempo limite da conexão com o MPF.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
13-Jun-2011 |
Versão inicial |