我确信互联网上都有这个问题的答案,但我已经尝试了好几天,但我就是无法得到它。也许我是思科阅读障碍症。
我有一个简单的家庭连接,假设我的外部网络 IP 地址是 1.2.3.4,在我的 asa5505 网络中,我有一个在虚拟机中运行的网络服务器,我想将它公开给互联网以用于 HTTPS 和 RDP。假设该服务器的内部 IP 是 10.0.0.98
网络的其余部分位于域上,但此网络服务器未加入域,并且我已启用 Windows 防火墙。
由于它是一个虚拟机,我无法将其插入 ASA5505 上的单独端口。
我可以向 5505 发出哪些命令以安全地为该机器公开 HTTPS 和 RDP,同时保持网络的其余部分安全且不禁用家庭工作人员所需的 vpn?
asdm 中的帮助提供: Cisco Adaptive Security Appliance Software Version 8.3(1) Device Manager Version 6.3(1)
TIA
如果您不熟悉 cisco pix 规则和 ASA 配置,我强烈建议您使用 asdm。该过程可以非常简单......如前所述,确保在 ASA 上创建一个 NAT 规则以允许流量,然后将此 Web 服务器对象嵌套在具有非常具体的规则的组中,这将允许所需的流量而不允许不受欢迎的。asdm 还内置了一项功能,一旦规则到位,您就可以测试流量。它将通过必要的跳跃,让你去或不去=)。高层次的总结,但祝你好运,如果有必要的话,也许我可以更具体一些。
最基本的答案在于 NAT。您必须将外部 HTTPS 和 RDP 端口 NAT 到服务器的内部主机地址。您还必须有一个规则,允许从外部到 HTTPS 端口上的内部主机地址的所有 IP。
不过,我强烈建议不要让 RDP 对互联网开放。
答案会有所不同,具体取决于您使用的是 ASDM 还是 CLI,但以下 Cisco TAC 文档应为您指明正确的方向:
具有多个 ASA 防火墙和 DMZ 区域的简单 Visio,带有 NAT 和没有 NAT。希望这会有所帮助,这是一个实际的生产环境。
interface Ethernet0/0
nameif outside
security-level 0
ip address 198.51.100.100 255.255.255.0 // Your Global IP
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
object network inside-subnet
subnet 192.168.0.0 255.255.255.0
nat (inside,outside) dynamic interface
object network webserver
host 192.168.0.100
nat (inside,outside) static webserver-external-ip service tcp www www
access-list outside_acl_in extended permit tcp any object webserver eq www
!
access-group outside_acl_in in interface outside
route outside 0.0.0.0 0.0.0.0 198.51.100.1 //your ISP Gateway