ASA 8.3及更高版本:使用MPF設定SSH/Telnet/HTTP連線超時配置示例

下載選項

  • PDF     (515.6 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (262.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (570.8 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2011 年 6 月 17 日
文件 ID:113051

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔提供適用於8.3(1)及更高版本思科自適應安全裝置(ASA)的示例配置,該配置針對特定應用(例如SSH/Telnet/HTTP)超時,而不是適用於所有應用的超時。本配置示例使用思科自適應安全裝置(ASA)版本7.0中引入的模組化策略架構(MPF)。有關詳細資訊,請參閱使用模組化策略架構

在此示例配置中,Cisco ASA配置為允許工作站(10.77.241.129)透過Telnet/SSH/HTTP連線到路由器後面的遠端伺服器(10.1.1.1)。還配置了Telnet/SSH/HTTP流量的單獨連線超時。所有其他TCP流量繼續使用與timeout conn 1:00:00關聯的正常連線超時值。

有關在8.2及更低版本的Cisco ASA上進行的相同配置,請參閱PIX/ASA 7.x及更高版本/FWSM:使用MPF設定SSH/Telnet/HTTP連線超時的配置示例

必要條件

需求

本文件沒有特定需求。

採用元件

本文檔中的資訊基於採用自適應安全裝置管理器(ASDM) 6.3的Cisco ASA安全裝置軟體版本8.3(1)。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

設定

本節提供用於設定本文件中所述功能的資訊。

注意:使用命令查詢工具(僅限註冊客戶)可以獲取有關本部分使用的命令的更多資訊。

網路圖表

此文件使用以下網路設定:

asa83x-mpf-config-01.gif

注意:此配置中使用的IP編址方案在Internet上無法合法路由。這些地址是在實驗室環境中使用的RFC 1918地址。

組態

本檔案使用下列組態:

注意:這些CLI和ASDM配置適用於防火牆服務模組(FWSM)。

CLI配置

ASA 8.3(1)配置 
ASA Version 8.3(1) 
!
hostname ASA
domain-name nantes-port.fr
enable password S39lgaewi/JM5WyY level 3 encrypted
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 1mZfSd48bl0UdPgP encrypted
no names

dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.200.1 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
ip address 10.77.241.142 255.255.255.0
 

boot system disk0:/asa831-k8.bin
ftp mode passive
dns domain-lookup outside


!--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map.


object-group service DM_INLINE_TCP_1 tcp
 port-object eq www
 port-object eq ssh
 port-object eq telnet

access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 


pager lines 24
mtu inside 1500
mtu outside 1500
no failover
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_nat0_outbound
access-group 101 in interface outside

route outside 0.0.0.0 0.0.0.0 192.168.200.2 1
timeout xlate 3:00:00


!--- The default connection timeout value of one hour is applicable to !--- all other TCP applications.

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!


!--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map.


class-map Cisco-class
 match access-list outside_mpc

class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp


!--- Use the pre-defined class map Cisco-class in the policy map. 


policy-map Cisco-policy


!--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes.


 class Cisco-class
  set connection timeout idle 0:10:00 reset
!
!
service-policy global_policy global


!--- Apply the policy-map Cisco-policy on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command.

service-policy Cisco-policy interface outside
end

ASDM配置

完成以下步驟,以便使用ASDM為Telnet、SSH和HTTP流量設定TCP連線超時,如下所示。

注意:請參閱允許ASDM的HTTPS訪問瞭解基本設定,以透過ASDM訪問PIX/ASA。

  1. 選擇Configuration > Firewall > Service Policy Rules,並按一下Add以配置服務策略規則,如下所示。

    asa83x-mpf-config-02.gif

  2. Add Service Policy Rule Wizard - Service Policy 窗口,選擇Create a Service Policy and Apply To下面的Interface旁邊的單選按鈕。現在請從下拉選單中選擇所需的介面並且提供策略名稱。本示例中使用的策略名稱是Cisco-policy。然後按一下Next

    asa83x-mpf-config-03.gif

  3. 建立類對映名稱Cisco-class,然後選中Traffic Match Criteria中的Source and Destination IP address (uses ACL)覈取方塊。然後按一下Next

    asa83x-mpf-config-04.gif

  4. Add Service Policy Rule Wizard - Traffic Match - Source and Destnation Address窗口中,選擇Match旁邊的單選按鈕,然後提供所示的源地址和目標地址。點選Service旁邊的下拉按鈕,選擇所需的服務。

    asa83x-mpf-config-05.gif

  5. 選擇所需的服務,例如telnetsshhttp。然後按一下OK

    asa83x-mpf-config-06.gif

  6. 配置超時。按「Next」(下一步)。

    asa83x-mpf-config-07.gif

  7. 選擇Connection Settings,以便將TCP連線超時設定為10分鐘。此外,請選中Send reset to TCP endpoints before timeout覈取方塊。按一下「Finish」(結束)。

    asa83x-mpf-config-08.gif

  8. 按一下Apply,以便將此配置應用於安全裝置。

    配置到此結束。

    asa83x-mpf-config-09.gif

初期超時

初期連線是指半開連線,或者例如尚未完成三次握手。它被定義為ASA上的SYN超時。預設情況下,ASA上的SYN超時為30秒。以下是如何配置Embryonic Timeout: 

access-list emb_map extended permit tcp any any 
 
class-map emb_map
match access-list emb_map
  
policy-map global_policy
class emb_map
set connection timeout embryonic 0:02:00
 
service-policy global_policy global

疑難排解

如果您發現連線超時對MPF不起作用,請檢查TCP發起連線。此問題可能是來源和目標IP地址的反轉,或者訪問清單中配置的IP地址在MPF中不匹配,以設定新的超時值或更改應用程式的預設超時。根據連線啟動建立訪問清單條目(源和目標),以便使用MPF設定連線超時。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
13-Jun-2011
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品