Grundlegende ASA NAT-Konfiguration: Webserver in der DMZ in ASA Version 8.3 und höher

(1)

Grundlegende ASA NAT-Konfiguration:

Webserver in der DMZ in ASA Version 8.3 und höher

Inhalt

Einführung

Voraussetzungen Anforderungen

Verwendete Komponenten Übersicht

Ziele

Übersicht über Zugriffskontrolllisten NAT-Übersicht

Konfigurieren Erste Schritte Topologie

Schritt 1: Konfigurieren von NAT, damit Hosts ins Internet gehen können Schritt 2: Konfigurieren der NAT für den Internetzugriff auf den Webserver Schritt 3: Konfigurieren von ACLs

Schritt 4: Testen der Konfiguration mit der Packet Tracer-Funktion Überprüfen

Fehlerbehebung Schlussfolgerung

Einführung

Dieses Dokument bietet ein einfaches und einfaches Beispiel für die Konfiguration von Network Address Translation (NAT) und Access Control Lists (ACLs) auf einer ASA-Firewall, um sowohl ausgehende als auch eingehende Verbindungen zu ermöglichen. Dieses Dokument wurde mit einer Adaptive Security Appliance (ASA) 5510-Firewall geschrieben, die die ASA-Codeversion 9.1(1) nicht ausführt. Dies kann jedoch problemlos auf jede andere ASA-Firewall-Plattform angewendet werden. Wenn Sie eine Plattform wie die ASA 5505 verwenden, die VLANs anstelle einer physischen Schnittstelle verwendet, müssen Sie die Schnittstellentypen entsprechend ändern.

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

(2)

Die Informationen in diesem Dokument basieren auf einer ASA 5510-Firewall, die den ASA-Code Version 9.1(1) ausführt.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten

Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Übersicht

Ziele

In dieser Beispielkonfiguration können Sie die erforderliche NAT- und ACL-Konfiguration für den eingehenden Zugriff auf einen Webserver in der DMZ einer ASA-Firewall sowie für ausgehende Verbindungen von internen und DMZ-Hosts überprüfen. Dies lässt sich wie folgt

zusammenfassen:

Hosts innerhalb und DMZ können ausgehende Verbindungen zum Internet zulassen.

1.

Erlauben Sie Hosts im Internet, auf einen Webserver in der DMZ mit der IP-Adresse 192.168.1.100 zuzugreifen.

2.

Bevor Sie die Schritte ausführen, die zur Erreichung dieser beiden Ziele erforderlich sind, wird in diesem Dokument kurz erläutert, wie ACLs und NAT mit den neueren Versionen von ASA-Code (Version 8.3 und höher) funktionieren.

Übersicht über Zugriffskontrolllisten

Zugriffskontrolllisten (Zugriffslisten oder ACLs für kurze Zeit) sind die Methode, mit der die ASA- Firewall bestimmt, ob Datenverkehr zugelassen oder abgelehnt wird. Standardmäßig wird Datenverkehr, der von einer niedrigeren zu einer höheren Sicherheitsstufe verläuft, abgelehnt.

Dies kann durch eine ACL überschrieben werden, die auf diese niedrigere Sicherheitsschnittstelle angewendet wird. Außerdem erlaubt die ASA standardmäßig den Datenverkehr von höheren zu niedrigeren Sicherheitsschnittstellen. Dieses Verhalten kann auch mit einer ACL überschrieben werden.

In früheren Versionen des ASA-Codes (8.2 und älter) verglich die ASA eine eingehende

Verbindung oder ein eingehendes Paket mit der ACL an einer Schnittstelle, ohne zuvor das Paket zu übersetzen. Mit anderen Worten, die ACL musste das Paket zulassen, als ob Sie es auf der Schnittstelle erfassen würden. In Version 8.3 und neueren Codes übersetzt die ASA dieses Paket, bevor sie die Schnittstellen-ACLs überprüft. Das bedeutet, dass für 8.3 und höheren Code und dieses Dokument der Datenverkehr an die tatsächliche IP-Adresse des Hosts und nicht an die übersetzte IP-Adresse des Hosts zulässig ist.

Siehe den Abschnitt "Zugriffsregeln konfigurieren" in Buch 2: CLI-Konfigurationsleitfaden für Firewall-Konfigurationen der Cisco ASA-Serie, 9.1 für weitere Informationen zu ACLs.

NAT-Übersicht

NAT auf ASA ab Version 8.3 ist in zwei Typen unterteilt, die als Auto NAT (Object NAT) und Manual NAT (Twice NAT) bezeichnet werden. Der erste von beiden, Object NAT, wird innerhalb der Definition eines Netzwerkobjekts konfiguriert. Ein Beispiel dafür finden Sie weiter unten in

(3)

diesem Dokument. Ein Hauptvorteil dieser NAT-Methode besteht darin, dass die ASA die Verarbeitungsregeln automatisch anordnet, um Konflikte zu vermeiden. Dies ist die einfachste Form von NAT, jedoch mit dieser Leichtigkeit eine Einschränkung der Konfigurationgranularität.

Beispielsweise können Sie keine Übersetzungsentscheidung basierend auf dem Ziel im Paket treffen, wie dies bei der zweiten Art von NAT, Manual Nat, der Fall ist. Manuelle NAT ist im Detail robuster, erfordert jedoch, dass die Leitungen in der richtigen Reihenfolge konfiguriert werden, damit das richtige Verhalten erreicht werden kann. Dies kompliziert diesen NAT-Typ und wird daher in diesem Konfigurationsbeispiel nicht verwendet.

Siehe den Abschnitt Informationen zu NAT in Buch 2: Cisco Firewall CLI Configuration Guide der ASA-Serie, 9.1 für weitere Informationen zu NAT.

Konfigurieren

Erste Schritte

Die grundlegende ASA-Konfiguration besteht aus drei Schnittstellen, die mit drei

Netzwerksegmenten verbunden sind. Das ISP-Netzwerksegment ist mit der Ethernet0/0- Schnittstelle verbunden und außen mit der Sicherheitsstufe 0 gekennzeichnet. Das interne Netzwerk wurde mit Ethernet0/1 verbunden und als innen gekennzeichnet mit einer

Sicherheitsstufe von 100. Das DMZ-Segment, in dem sich der Webserver befindet, ist mit Ethernet0/2 verbunden und als DMZ mit einer Sicherheitsstufe von 50 gekennzeichnet.

Die Schnittstellenkonfiguration und die IP-Adressen für das Beispiel finden Sie hier:

interface Ethernet0/0 nameif outside

security-level 0

ip address 198.51.100.100 255.255.255.0

!

interface Ethernet0/1 nameif inside

security-level 100

ip address 192.168.0.1 255.255.255.0

!

interface Ethernet0/2 nameif dmz

security-level 50

ip address 192.168.1.1 255.255.255.0

!

route outside 0.0.0.0 0.0.0.0 198.51.100.1

Hier sehen Sie, dass die interne Schnittstelle der ASA mit der IP-Adresse 192.168.0.1 festgelegt ist und dass sie das Standard-Gateway für die internen Hosts ist. Die externe Schnittstelle der ASA wird mit einer vom ISP erhaltenen IP-Adresse konfiguriert. Es ist eine Standardroute vorhanden, die den Next-Hop als ISP-Gateway festlegt. Wenn Sie DHCP verwenden, wird dies automatisch bereitgestellt. Die DMZ-Schnittstelle wird mit der IP-Adresse 192.168.1.1 konfiguriert und ist das Standard-Gateway für Hosts im DMZ-Netzwerksegment.

Topologie

Es folgt eine visuelle Ansicht zur Verkabelung und Konfiguration:

(4)

Schritt 1: Konfigurieren von NAT, damit Hosts ins Internet gehen können

In diesem Beispiel wird Object NAT, auch AutoNAT genannt, verwendet. Als Erstes müssen die NAT-Regeln konfiguriert werden, die es den Hosts in den internen und DMZ-Segmenten

ermöglichen, eine Verbindung zum Internet herzustellen. Da diese Hosts private IP-Adressen verwenden, müssen Sie diese in eine im Internet routbare Datei übersetzen. In diesem Fall übersetzen Sie die Adressen so, dass sie wie die externe IP-Adresse der ASA aussehen. Wenn sich Ihre externe IP-Adresse häufig ändert (möglicherweise aufgrund von DHCP), ist dies die einfachste Methode, dies einzurichten.

Um diese NAT zu konfigurieren, müssen Sie ein Netzwerkobjekt erstellen, das das interne Subnetz sowie das DMZ-Subnetz darstellt. Konfigurieren Sie in jedem dieser Objekte eine

dynamische NAT-Regel, die diese Clients beim Übergeben von ihren jeweiligen Schnittstellen an die externe Schnittstelle PAT (Port Address Translation) verwendet.

Diese Konfiguration ähnelt der folgenden Konfiguration:

object network inside-subnet subnet 192.168.0.0 255.255.255.0 nat (inside,outside) dynamic interface

!

object network dmz-subnet

subnet 192.168.1.0 255.255.255.0 nat (dmz,outside) dynamic interface

(5)

Wenn Sie sich die aktuelle Konfiguration an dieser Stelle ansehen (mit der Ausgabe des Befehls show run), sehen Sie, dass die Objektdefinition in zwei Teile der Ausgabe aufgeteilt ist. Der erste Teil gibt nur an, was im Objekt enthalten ist (Host/Subnetz, IP-Adresse usw.), während der zweite Abschnitt zeigt, dass die NAT-Regel an dieses Objekt gebunden ist. Wenn Sie den ersten Eintrag in der vorherigen Ausgabe übernehmen:

Wenn Hosts, die dem Subnetz 192.168.0.0/24 entsprechen, von der internen Schnittstelle zur externen Schnittstelle übertragen werden, möchten Sie diese dynamisch in die externe

Schnittstelle übersetzen.

Schritt 2: Konfigurieren der NAT für den Internetzugriff auf den Webserver

Da die Hosts innerhalb und DMZ-Schnittstellen ins Internet gelangen können, müssen Sie die Konfiguration so ändern, dass Benutzer im Internet über TCP-Port 80 auf unseren Webserver zugreifen können. In diesem Beispiel wird so konfiguriert, dass Internetnutzer eine Verbindung zu einer anderen IP-Adresse herstellen können, die der ISP bereitgestellt hat - eine zusätzliche IP- Adresse, die wir besitzen. Verwenden Sie für dieses Beispiel 198.51.100.101. Mit dieser

Konfiguration können Benutzer im Internet den DMZ-Webserver über den TCP-Port 80 erreichen, indem sie auf 198.51.100.101 zugreifen. Verwenden Sie Object NAT für diese Aufgabe, und die ASA übersetzt den TCP-Port 80 auf dem Webserver (192.168.1.100), um wie 198.51.100.101 auf dem TCP-Port 80 außen auszusehen. Definieren Sie ähnlich wie zuvor ein Objekt, und definieren Sie Übersetzungsregeln für dieses Objekt. Definieren Sie außerdem ein zweites Objekt, um die IP darzustellen, in die Sie diesen Host übersetzen möchten.

Diese Konfiguration ähnelt der folgenden Konfiguration:

object network webserver-external-ip host 198.51.100.101

!

object network webserver host 192.168.1.100

nat (dmz,outside) static webserver-external-ip service tcp www www

Zusammenfassend lässt sich die Bedeutung dieser NAT-Regel in diesem Beispiel zusammenfassen:

Wenn ein Host, der der IP-Adresse 192.168.1.100 in den DMZ-Segmenten entspricht, eine Verbindung herstellt, die von TCP-Port 80 (www) stammt und diese Verbindung über die externe Schnittstelle verläuft, müssen Sie diesen TCP-Port 8 übersetzen. Diese IP-Adresse lautet

198.51.100.101.

Das scheint etwas merkwürdig ... "stammt von TCP-Port 80 (www)", aber Web-Datenverkehr ist für Port 80 bestimmt. Es ist wichtig zu verstehen, dass diese NAT-Regeln bidirektionalen

Charakter haben. Als Ergebnis können Sie die Formulierung umdrehen, um diesen Satz umzuschreiben. Das Ergebnis macht viel mehr Sinn:

Wenn Hosts außerhalb eine Verbindung mit dem 198.51.100.101 an Ziel-TCP-Port 80 (www) herstellen, wird die Ziel-IP-Adresse in 192.168.1.100 umgewandelt, und der Ziel-Port ist 8 0 (www), und senden Sie sie an die DMZ.

Das ist sinnvoller, wenn man so formuliert. Als Nächstes müssen Sie die Zugriffskontrolllisten einrichten.

(6)

Schritt 3: Konfigurieren von ACLs

NAT ist konfiguriert, und das Ende dieser Konfiguration ist nahe. Denken Sie daran, dass Sie mit ACLs auf der ASA das folgende Standardsicherheitsverhalten überschreiben können:

Datenverkehr von einer niedrigeren Sicherheitsschnittstelle wird abgelehnt, wenn er zu einer höheren Sicherheitsschnittstelle wechselt.

●

Datenverkehr, der von einer höheren Sicherheitsschnittstelle übertragen wird, ist zulässig, wenn er zu einer niedrigeren Sicherheitsschnittstelle wechselt.

●

Ohne ACLs zur Konfiguration hinzuzufügen, funktioniert dieser Datenverkehr im Beispiel:

Hosts innen (Sicherheitsstufe 100) können eine Verbindung zu Hosts in der DMZ (Sicherheitsstufe 50) herstellen.

●

Hosts innen (Sicherheitsstufe 100) können eine Verbindung zu Hosts außerhalb herstellen (Sicherheitsstufe 0).

●

Hosts in der DMZ (Sicherheitsstufe 50) können eine Verbindung zu Hosts außerhalb herstellen (Sicherheitsstufe 0).

●

Dieser Datenverkehr wird jedoch abgelehnt:

Hosts an der Außenseite (Sicherheitsstufe 0) können keine Verbindung zu Hosts an der Innenseite herstellen (Sicherheitsstufe 100).

●

Hosts an der Außenseite (Sicherheitsstufe 0) können keine Verbindung zu Hosts der DMZ (Sicherheitsstufe 50) herstellen.

●

Hosts in der DMZ (Sicherheitsstufe 50) können keine Verbindung zu Hosts innerhalb (Sicherheitsstufe 100) herstellen.

●

Da der Datenverkehr von außen zum DMZ-Netzwerk von der ASA mit ihrer aktuellen

Konfiguration abgelehnt wird, können Benutzer im Internet trotz der NAT-Konfiguration in Schritt 2 den Webserver nicht erreichen. Sie müssen diesen Datenverkehr explizit zulassen. In 8.3 und höheren Versionen von Code müssen Sie die tatsächliche IP des Hosts in der ACL und nicht die übersetzte IP verwenden. Dies bedeutet, dass die Konfiguration Datenverkehr zulassen muss, der für 192.168.1.100 und NICHT für 198.51.100.101 auf Port 80 bestimmt ist. Aus Gründen der Einfachheit werden die in Schritt 2 definierten Objekte auch für diese ACL verwendet. Nachdem die ACL erstellt wurde, müssen Sie sie eingehend auf die externe Schnittstelle anwenden.

So sehen diese Konfigurationsbefehle aus:

access-list outside_acl extended permit tcp any object webserver eq www

!

access-group outside_acl in interface outside

In der Zugriffsliste werden folgende Status angezeigt:

Zulassen von Datenverkehr von jedem (wo) zum Host, der durch den Objekt-Webserver (192.168.1.100) an Port 80 dargestellt wird.

Es ist wichtig, dass in der Konfiguration das Any-Schlüsselwort verwendet wird. Da die Quell-IP- Adresse der Clients nicht bekannt ist, wie sie Ihre Website erreicht, geben Sie eine beliebige Bedeutung "Any IP address" an.

Wie sieht es mit dem Datenverkehr aus dem DMZ-Segment für Hosts im internen

Netzwerksegment aus? Beispiel: Ein Server im internen Netzwerk, mit dem die Hosts der DMZ

(7)

eine Verbindung herstellen müssen. Wie kann die ASA nur den für den internen Server

bestimmten Datenverkehr zulassen und alle anderen für das interne Segment bestimmten Daten von der DMZ blockieren?

In diesem Beispiel wird davon ausgegangen, dass ein DNS-Server im internen Netzwerk unter der IP-Adresse 192.168.0.53 vorhanden ist, auf den die Hosts in der DMZ zugreifen müssen, um DNS aufzulösen. Sie erstellen die erforderliche ACL und wenden sie auf die DMZ-Schnittstelle an, sodass die ASA das zuvor erwähnte Standardsicherheitsverhalten für Datenverkehr, der diese Schnittstelle erreicht, überschreiben kann.

So sehen diese Konfigurationsbefehle aus:

object network dns-server host 192.168.0.53

!

access-list dmz_acl extended permit udp any object dns-server eq domain access-list dmz_acl extended deny ip any object inside-subnet

access-list dmz_acl extended permit ip any any

!

access-group dmz_acl in interface dmz

Die ACL ist komplexer, als einfach den Datenverkehr zum DNS-Server auf dem UDP-Port 53 zuzulassen. Wenn wir nur die erste "Zulassen"-Leitung verwenden, würde der gesamte

Datenverkehr von der DMZ zu Hosts im Internet blockiert. ACLs verfügen am Ende der ACL über eine implizite "deny ip any any any". Daher können Ihre DMZ-Hosts nicht ins Internet gehen.

Obwohl der Datenverkehr von der DMZ zur Außenseite standardmäßig mit der Anwendung einer ACL zur DMZ-Schnittstelle zugelassen ist, sind diese Standardsicherheitsverhalten für die DMZ- Schnittstelle nicht mehr gültig und Sie müssen den Datenverkehr in der Schnittstelle-ACL explizit zulassen.

Schritt 4: Testen der Konfiguration mit der Packet Tracer-Funktion

Nachdem die Konfiguration abgeschlossen ist, müssen Sie sie testen, um sicherzustellen, dass sie funktioniert. Die einfachste Methode ist, tatsächliche Hosts zu verwenden (wenn dies Ihr

Netzwerk ist). Um dies jedoch von der CLI aus zu testen und einige der Tools der ASA genauer zu erkunden, verwenden Sie den Paket-Tracer, um etwaige Probleme zu testen und zu beheben.

Packet Tracer simuliert ein Paket anhand einer Reihe von Parametern und injiziert dieses Paket in den Schnittstellendatenpfad, ähnlich wie es bei einer Abnahme des Pakets aus dem Kabel für das tatsächliche Leben wäre. Auf dieses Paket folgen die unzähligen Prüfungen und Prozesse, die während der Durchquerung der Firewall durchgeführt werden, und die Paket-Ablaufverfolgung zeichnet das Ergebnis auf. Simulieren Sie den internen Host, der zu einem Host im Internet ausgeht. Der folgende Befehl weist die Firewall an,

Simulieren Sie ein TCP-Paket, das aus der IP-Adresse 192.168.0.125 in die interne Schnittstelle gelangt, auf dem Quellport 12345 für eine IP-Adresse von 203.0.113.1 auf Port 8.

ciscoasa# packet-tracer input inside tcp 192.168.0.125 12345 203.0.113.1 80 Phase: 1

Type: ACCESS-LIST Subtype:

Result: ALLOW Config:

(8)

Implicit Rule

Additional Information:

MAC Access list Phase: 2

Type: ROUTE-LOOKUP Subtype: input Result: ALLOW

Config: Additional Information:

in 0.0.0.0 0.0.0.0 outside Phase: 3 Type: NAT

Subtype:

object network inside-subnet

nat (inside,outside) dynamic interface Additional Information:

Dynamic translate 192.168.0.125/12345 to 198.51.100.100/12345 Phase: 4

Type: NAT

Subtype: per-session Result: ALLOW

Config:

Phase: 5

Type: IP-OPTIONS Subtype:

Phase: 6 Type: NAT

Config:

Phase: 7

Phase: 8

Type: FLOW-CREATION Subtype:

New flow created with id 1, packet dispatched to next module Result:

input-interface: inside input-status: up

input-line-status: up output-interface: outside output-status: up

output-line-status: up Action: allow

(9)

Das Endergebnis ist, dass der Datenverkehr zugelassen ist, d. h., er hat alle NAT- und ACL- Prüfungen in der Konfiguration bestanden und an die Ausgangsschnittstelle außerhalb gesendet wurde. Beachten Sie, dass das Paket in Phase 3 übersetzt wurde, und die Details dieser Phase zeigen an, welche Regel betroffen ist. Der Host 192.168.0.125 wird entsprechend der

Konfiguration dynamisch in 198.51.100.100 übersetzt.

Führen Sie es nun für eine Verbindung vom Internet zum Webserver aus. Beachten Sie, dass Hosts im Internet über die externe Schnittstelle eine Verbindung zu 198.51.100.101 herstellen, um auf den Webserver zuzugreifen. Auch dieser nächste Befehl hat folgende Auswirkungen:

Simulieren Sie ein TCP-Paket, das an der externen Schnittstelle von der IP-Adresse 192.0.2.123 an dem Quellport 12345 an die IP-Adresse 198.51.100.101 gesendet wird, an Port 8.

ciscoasa# packet-tracer input outside tcp 192.0.2.123 12345 198.51.100.101 80 Phase: 1

Type: UN-NAT Subtype: static Result: ALLOW Config:

object network webserver

nat (dmz,outside) static webserver-external-ip service tcp www www Additional Information:

NAT divert to egress interface dmz

Untranslate 198.51.100.101/80 to 192.168.1.100/80 Phase: 2

Type: ACCESS-LIST Subtype: log Result: ALLOW Config:

access-group outside_acl in interface outside

access-list outside_acl extended permit tcp any object webserver eq www Additional Information:

Phase: 3 Type: NAT

Config:

Phase: 4

Phase: 5 Type: NAT

Subtype: rpf-check Result: ALLOW Config:

object network webserver

nat (dmz,outside) static webserver-external-ip service tcp www www Additional Information:

Phase: 6 Type: NAT

Subtype: per-session

(10)

Phase: 7

Phase: 8

Type: FLOW-CREATION Subtype:

New flow created with id 3, packet dispatched to next module Result:

input-interface: outside input-status: up

input-line-status: up output-interface: dmz output-status: up output-line-status: up Action: allow

Auch hier ist das Ergebnis, dass das Paket zugelassen ist. Die ACLs checken aus, die

Konfiguration sieht gut aus, und Benutzer im Internet (außerhalb) sollten über die externe IP auf diesen Webserver zugreifen können.

Überprüfen

Die Überprüfungsverfahren sind in Schritt 4 - Testkonfiguration mit der Packet Tracer-Funktion enthalten.

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

Schlussfolgerung

Die Konfiguration einer ASA für eine grundlegende NAT ist nicht so kompliziert. Das Beispiel in diesem Dokument kann an Ihr spezifisches Szenario angepasst werden, wenn Sie die in den Beispielkonfigurationen verwendeten IP-Adressen und Ports ändern. Die endgültige ASA- Konfiguration hierfür sieht bei der Kombination ähnlich wie bei der ASA 5510 aus:

ASA Version 9.1(1)

!

interface Ethernet0/0 nameif outside

security-level 0

ip address 198.51.100.100 255.255.255.0

(11)

!

interface Ethernet0/1 nameif inside

security-level 100

ip address 192.168.0.1 255.255.255.0

!

interface Ethernet0/2 nameif dmz

security-level 50

ip address 192.168.1.1 255.255.255.0

!

object network inside-subnet subnet 192.168.0.0 255.255.255.0 object network dmz-subnet

subnet 192.168.1.0 255.255.255.0 object network webserver

host 192.168.1.100

!

access-list outside_acl extended permit tcp any object webserver eq www access-list dmz_acl extended permit udp any object dns-server eq domain access-list dmz_acl extended deny ip any object inside-subnet

!

nat (inside,outside) dynamic interface object network dmz-subnet

nat (dmz,outside) dynamic interface object network webserver

nat (dmz,outside) static webserver-external-ip service tcp www www access-group outside_acl in interface outside

!

route outside 0.0.0.0 0.0.0.0 198.51.100.1 1

Auf einer ASA 5505, z. B. mit den zuvor verbundenen Schnittstellen (extern mit Ethernet0/0 verbunden, innen mit Ethernet0/1 verbunden und die DMZ mit Ethernet0/2 verbunden):

ASA Version 9.1(1)

!

interface Ethernet0/0

description Connected to Outside Segment switchport access vlan 2

!

description Connected to Inside Segment switchport access vlan 1

!

description Connected to DMZ Segment switchport access vlan 3

!

interface Vlan2 nameif outside security-level 0

ip address 198.51.100.100 255.255.255.0

!

interface Vlan1 nameif inside

(12)

security-level 100

ip address 192.168.0.1 255.255.255.0

!

interface Vlan3 nameif dmz

security-level 50

ip address 192.168.1.1 255.255.255.0

!

object network inside-subnet subnet 192.168.0.0 255.255.255.0 object network dmz-subnet

subnet 192.168.1.0 255.255.255.0 object network webserver

host 192.168.1.100

!

access-list outside_acl extended permit tcp any object webserver eq www access-list dmz_acl extended permit udp any object dns-server eq domain access-list dmz_acl extended deny ip any object inside-subnet

!

nat (inside,outside) dynamic interface object network dmz-subnet

nat (dmz,outside) dynamic interface object network webserver

nat (dmz,outside) static webserver-external-ip service tcp www www access-group outside_acl in interface outside

!

route outside 0.0.0.0 0.0.0.0 198.51.100.1 1