2024年5月31日发(作者:)
ASA复习笔记
一、 Cisco防火墙
1. 软件防火墙
用在基于IOS软件的设备上,一般客户机上
具有应用层智能的状态检测防火墙引擎
占CPU、内存资源(可以定期升值)
2. 硬件防火墙(更有优势)
应用在一般企业外部网络:PIX 500系列安全设备、ASA 5500系列自适应安全设备、Catalyst 6500
系列交换机和Cisco 7600 系列路由器的防火墙服务模块(不可以定期升值)
二、 Cisco ASA
1常见型号:
型 号
ASA
5505
ASA
5510
ASA
5520
ASA
5540
ASA
5550
ASA
5580
规模 作用
交换机接小型企业、分公司和企业设备成本低,易于部署、集成8个10/100端口快速
口 远程办公环境 以太网交换机
中型企业、分公司企业环设备成本低,易于部署,具有高级安全和网络服务
境
中型企业 具有模块化、高性能网络中的高可用性主动/主动服
路
(小凡模拟器) 务,并能连接千兆以太网设备
由
大中型企业,服务提供商 提供高密度,主动/主动高可用性服务和千兆以太网连
器
接,设备具有高可靠性和高性能
接
大型企业、服务提供商网千兆级提供高达1.2Gb/s的防火墙吞吐量,具有主动
口
络的高性能设备 /主动高可用性服务、光纤和千兆位以太网连接性
大型企业、数据中心、和提供王兆位以太网连接
运营商网络 型号为ASA 5580-20、ASA 5580-40
2.基本配置
配置主机名:
ciscoasa>en
ciscoasa#cinf t
ciscoasa(config)#hostname asa802
域名:
asa802(config)#domain-name
特权密码:
asa802(config)#enable password 123
Telnet或SSH密码:
asa802(config)#passwd cisco
ASA接口名字和安全级别
asa802(config-if)#nameif inside(不起名,ping不通)
asa802(config-if)#security-level 100(取值0—100 ,值越大,安全级越高)
//默认情况下,outside口安全级别为0,inside口安全级别为100,防火墙允许数据从高安全级别流
向低安全级别的接口,但不允许流量从低安全级别流向高安全级别的接口,若要放行,必须做策略,ACL
放行;若接口的安全级别相同,那么它们之间不允许通信,绝对不允许,但有时有这个需要,故意把它们
设成一样。
#show interface inside
接口地址:
asa802(config-if)#ip address 10.0.0.0.1 255.255.255.0
asa802(config-if)#no shut
查看接口地址:
asa802(config)#show ip address
(备注:在5505中不支持在物理接口上直接进行配置,必须将将接口加入vlan,进vlan配置,在
vlan没no shu时,接口也不可以no shu)
配置路由:
asa802(config)#route outside(端口名称) 0.0.0.0 0.0.0.0 (目的网段)20.0.0.1(下一跳)
可简写asa802(config)#route outside(端口名称)0 0(目的网段) 20.0.0.1(下一跳)
asa802#show route 查看路由表
3. ASA支持3种主要的远程管理接入方式:Telnet、SSH和ASDM。
①配置允许Telnet接入:
asa802(config)#telnet 192.168.0.0 255.255.255.0 inside 允许某个网段通过inside口进行telnet
asa802(config)#telnet 192.168.0.1 255.255.255.255 inside 允许某台主机通过inside口进行telnet
asa802(config)#telnet 0.0 inside 允许所有主机通过inside口进行telnet
配置空闲超时时间asa802(config)#telnet timeout 15 (1—1440分钟,默认是5分钟)
telnet时可用show run telnet 查看运行的telnet命令
使用Telnet远程管理是不安全的,所以一般禁止从外部接口使用Telnet接入。
②配置SSH的接入:四步
第一步:给防火墙配置主机名和域名
第二步:生成RSA密钥对(RSA是一种算法)
asa802(config)#crypto key generate rsa modulue 1024(密钥长度,大小为512、768、1024 、
2048,默认是1024)
第三步:配置防火墙允许SSH接入
asa802(config)#ssh 192.168.0.0 255.255.255.0 inside 允许某个网段通过inside口进行ssh
asa802(config)#ssh 192.168.0.1 255.255.255.255 inside 允许某台主机通过inside口进行ssh
asa802(config)#ssh 0.0 outside 允许所有主机通过outside口进行ssh ( 更安全)
配置空闲超时时间asa802(config)#ssh timeout 15 (1—1440分钟,默认是5分钟)
配置SSH版本:
asa802(config)#ssh version 1(版本号,有1和2两个版本,不兼容,防火墙与客户机的版本需要
保持一致)
配置完成后,在主机上用Putty登陆ASA的相应接口ASA默认用户名是pix,密码是自己设置的
在ASA上查看SSH会话:asa802#show ssh session
③配置ASDM(自适应安全设备管理器,一种GUI远程管理方式)接入
使用前提:ASA的Flash中有ASDM映像,可以查看asa802#dir
第一步:启用防火墙HTTPS服务器功能
asa802(config)#http server enable [prot]
默认端口是443,可以指定端口
第二步:配置防火墙允许HTTP接入
asa802(config)#http 192.168.0.0 255.255.255.0 inside
允许某个网段通过inside口进行HTTP接入
第三步:指定ASDM映像的位置(也可用show disk查看)
asa802(config)#asdm image disk0:/
第四步:登陆时用户名和密码
asa802(config)#username gaoyue(用户名)password 123 privilege(权限) 15(最大)
第五步:在客户端安装Jave Runtime Environment(JRE),可以在上下载
访问时在浏览器输入地址——运行ASDM(web方式运行)——进入图形界面
4.为出战流量配置nat
从高安全级别接口(Inside)访问低安全级别接口(Outside),一般需要配置动态网络地址转换,
nat和global命令。
启用:asa802(config)#nat-control
配置动态nat:
asa802(config)#nat (inside)1(编号,0-21亿) 192.168.0.0 255.255.255.0
asa802(config)#nat (inside) 1 0 0 对所有地址实施nat
(编号为0指定不需要被转换的流量,一般应用在VPN的配置中)
定义一个全局地址池:
asa802(config)#global (outside) 1 200.1.1.100-200.0.0.110
asa802(config)#global (outside) 1 int (int指该接口地址)
在ASA上show xlate可以查看地址转换条目
5ASA.配置ACL控制流量
标准ACL:asa802(config)#access-list out-to-dmz standard {permit | deny} ip-add mask
扩展ACL:asa802(config)#access-list acl-name extended {permit | deny} protocol src-ip-add
src-mask dst-ip-add dst-mask [operator port]
将ACL应用到接口:
asa802(config)#access-group acl-name {in| to} interface intface-name
以上掩码均为正码
从低安全级别接口(Outside)访问高安全级别接口(Inside),
通常是配置静态NAT和ACL。
asa802(config)#static (dmz,outside)200.1.1.253 192.168.1.1
发布评论