ASA 8.3及更高版本:使用MPF设置SSH/Telnet/HTTP连接超时的配置示例

下载选项

  • PDF     (504.6 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (262.0 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (570.6 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2011 年 6 月 17 日
文档 ID:113051

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档为使用 8.3(1) 及更高版本软件的思科自适应安全设备 (ASA) 提供一个超时的配置示例,此超时配置特定于 SSH/Telnet/HTTP 等特定应用,而非适用于所有应用。此配置示例使用 7.0 版本的思科自适应安全设备 (ASA) 中引入的模块化策略框架 (MPF)。有关详细信息,请参阅使用模块化策略框架。

在此配置示例中,思科 ASA 配置为允许工作站 (10.77.241.129) 通过 Telnet/SSH/HTTP 连接到路由器后部的远程服务器 (10.1.1.1)。还配置了单独的 Telnet/SSH/HTTP 数据流连接超时。所有其他 TCP 流量继续使用与 timeout conn 1:00:00 关联的正常连接超时值。

有关在8.2及更低版本的Cisco ASA上进行的相同配置,请参阅PIX/ASA 7.x及更高版本/FWSM:使用MPF设置SSH/Telnet/HTTP连接超时配置示例

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息以采用 Adaptive Security Device Manager (ASDM) 6.3 的思科 ASA 安全设备软件版本 8.3(1) 为基础。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档约定的更多信息,请参考 Cisco 技术提示约定。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意:要获取有关本部分中所使用命令的更多信息,可使用命令查找工具(仅限已注册客户)。

网络图

本文档使用以下网络设置:

asa83x-mpf-config-01.gif

注意:此配置中使用的IP编址方案在Internet上不能合法路由。这些地址是在实验室环境中使用的 RFC 1918 地址。

配置

本文档使用以下配置:

注意:这些CLI和ASDM配置适用于防火墙服务模块(FWSM)。

CLI 配置

ASA 8.3(1) 配置 
ASA Version 8.3(1) 
!
hostname ASA
domain-name nantes-port.fr
enable password S39lgaewi/JM5WyY level 3 encrypted
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 1mZfSd48bl0UdPgP encrypted
no names

dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.200.1 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
ip address 10.77.241.142 255.255.255.0
 

boot system disk0:/asa831-k8.bin
ftp mode passive
dns domain-lookup outside


!--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map.


object-group service DM_INLINE_TCP_1 tcp
 port-object eq www
 port-object eq ssh
 port-object eq telnet

access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 


pager lines 24
mtu inside 1500
mtu outside 1500
no failover
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_nat0_outbound
access-group 101 in interface outside

route outside 0.0.0.0 0.0.0.0 192.168.200.2 1
timeout xlate 3:00:00


!--- The default connection timeout value of one hour is applicable to !--- all other TCP applications.

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!


!--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map.


class-map Cisco-class
 match access-list outside_mpc

class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp


!--- Use the pre-defined class map Cisco-class in the policy map. 


policy-map Cisco-policy


!--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes.


 class Cisco-class
  set connection timeout idle 0:10:00 reset
!
!
service-policy global_policy global


!--- Apply the policy-map Cisco-policy on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command.

service-policy Cisco-policy interface outside
end

ASDM 配置

请完成以下步骤,以便使用 ASDM 为 Telnet、SSH 和 HTTP 流量设置 TCP 连接超时,如下显示。

注意:请参阅允许ASDM的HTTPS访问以了解基本设置,以通过ASDM访问PIX/ASA。

  1. 选择 Configuration > Firewall > Service Policy Rules ,然后点按 Add,以便配置服务策略规则,如下所示。

    asa83x-mpf-config-02.gif

  2. Add Service Policy Rule Wizard - Service Policy 窗口,选择 Create a Service Policy and Apply To 下面的 Interface 旁边的单选按钮。现在请从下拉列表中选择所需的接口并且提供策略名称。此示例中使用的策略名称是 Cisco-policy。然后单击 Next

    asa83x-mpf-config-03.gif

  3. 创建类映射名称 Cisco-class 并在 Traffic Match Criteria 中选中 Source and Destination IP address (uses ACL) 复选框。然后单击 Next

    asa83x-mpf-config-04.gif

  4. Add Service Policy Rule Wizard - Traffic Match - Source and Destnation Address 窗口,选择 Match 提供所示的源地址和目标地址。点击 Service 旁边的下拉按钮,选择所需的服务。

    asa83x-mpf-config-05.gif

  5. 选择所需的服务,例如 telnetssh 和 http。然后,单击OK

    asa83x-mpf-config-06.gif

  6. 配置超时。单击 Next

    asa83x-mpf-config-07.gif

  7. 选择 Connection Settings,以便将 TCP 连接超时设置为 10分钟。此外,请选中 Send reset to TCP endpoints before timeout 复选框。单击 完成

    asa83x-mpf-config-08.gif

  8. 点击 Apply,以便将此配置应用于安全设备。

    这样就完成了配置。

    asa83x-mpf-config-09.gif

初期超时

初期连接是半打开的连接,例如,尚未为其完成三方握手的连接。初期连接定义为 ASA 上的 SYN 超时。默认情况下,ASA 上的 SYN 超时是 30 秒。以下是初期超时的配置方法: 

access-list emb_map extended permit tcp any any 
 
class-map emb_map
match access-list emb_map
  
policy-map global_policy
class emb_map
set connection timeout embryonic 0:02:00
 
service-policy global_policy global

故障排除

如果发现连接超时对 MPF 无效,请检查 TCP 启动连接。造成该问题的原因可能是源 IP 地址与目标 IP 地址颠倒,或者是访问列表中错误配置的 IP 地址与 MPF 中的不匹配,无法为应用设置新超时值或更改默认超时值。按照连接启动创建访问控制列表条目(源和目标),以使用 MPF 设置连接超时。

相关信息

修订历史记录

版本 发布日期 备注
1.0
13-Jun-2011
初始版本

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品