1. 程式人生 > >Cisco—ASA的基本思路和應用

Cisco—ASA的基本思路和應用

ASA PNAT ACL 基本

ASA-防火墻-cisco
ASA防火墻的作用
1、在網絡中隔離危險流量,不分地點。
ASA防火墻的原理
1、通過安全級別區分不同的區域:內部區域、外部區域、非軍事化區域。
默認情況下: 高級別的流量可以去低級別的,
低級別的流量不可以去高級別的,
同級別的不可同信。
Inside 默認安全級別為 100 名字唯一
Outside 默認安全幾倍為 0 名字唯一
MDZ(非軍事化區域) 默認安全級別為0 名字唯一
2、部署
在需要進行安全防護或者流量隔離的地方部署。
經典部署方案
ISP ----- FW ---- GW ---- Core-Router ---- Core-Switch
ISP ----- GW -- outside--- FW -- inside-- Core-Router ---- Core-Switch

DMZ(Server)
ISP ----- GW -- outside -- FW --
-- FW ----- Core-Router -- Core-Switch
                             DMZ(server)

3、防火墻接口的配置
1、要配以接口名字(邏輯名字):nameif xxx
2、要配以接口安全級別 security-level 0~100
3、要配以接口IP ip address xxxx

ASA流量轉發
1、流量轉發方式
出站流量:從高安全級別的地方去往低級別的流量。
入站流量:從低安全級別的地方去往高級別的流量。
2、轉發處理流量的方式,工作過程。
a、只對TCP和UDP的流量,對其他流量統統幹掉。
b、從高安全級別發向低安全級別的工作過程。
先匹配本地ASA的路由表,如果匹配則先確定出端口,轉發出去,並在conn表內形成一個條目。
匹配不成功則丟棄。
c、當收到發送出去的流量的回包,則先查看conn表,有條目則在查看路由表,轉發出去。
沒有條目則丟棄。
實驗結果
ping不通
telnet通
想要ping通,則在ping包的回端口上調用acl
技術分享圖片

驗證命令:
ASA:
show interface ip brief <---查看接口的狀態和IP地址;

show route <---查看 ASA 上面的路由表
show run interface gi0 <----查看某一個接口的配置
ASA(config)# clear config all <----清除正在運行的配置文件
Router:
show ip interface brief
show ip route

ACL和conn表的對比。
技術分享圖片

實驗基本環境 :
Inside 安全等級100
Outside 安全等級 0
Dmz 安全等級 50
R1可以telnetR2和R4,R4可以telnetR2。
1、在e2的接口上調用一個允許R4訪問R1的ACL,能不能訪問,會不會形成conn表。
ASA(config)# access-list R1 permit tcp host 192.168.3.1 host 192.168.1.1 eq 23
ASA(config)# access-group R1 in interface DMZ
在R4telnetR1之前
ASA# show conn
0 in use, 1 most usedDMZ#telnet 192.168.1.1
R4telnetR1
Trying 192.168.1.1 ... Open
User Access Verification
Password:
Inside>enable
Password:
Inside#
telnet之後
1 in use, 2 most used
TCP DMZ 192.168.3.1:21477 inside 192.168.1.1:23, idle 0:00:54, bytes 163, flags UIOB
結論:主動流量不管從高到低,還是低到高,如果端口有acl放行規則,則查找路由表,確定出端口,轉發出去,同時形成conn表。(註意順序,不可變)。

2、R1能telnet到R2
a、如果e0調用一個出項acl,會不會通。
b、如果e1條用一個入項acl,會不會通。
ASA(config)# access-list Gdtel deny tcp host 192.168.1.1 eq 23 (註意數據回去的時候的端口)
host 192.168.2.1
ASA(config)# access-list Gdtel permit ip any any 取消最後一條acl的默認拒絕的影響
ASA(config)# access-group Gdtel in interface outside 調用入項
ASA(config)# access-group Gdtel out interface inside 調用出項

Inside#telnet 192.168.2.1
Trying 192.168.2.1 ... Open
Outside>
Outside>en
Outside>enable
Password:
Outside#
結論,只要是從高安全級別出去的流量,形成了conn表,在數據返回時,就相當於多了一道免死金牌,不會被幹掉

3、R1能telnet到R2
a、如果在e0調用入項的拒絕acl,會不會通。
b、如果在e1調用出項的拒絕acl,會不會通。
結論,對於a條件,那是必然不通的
對於b條件,也是不同的,且沒有conn表。
原因:如果在e1調用出項的拒絕acl,那麽數據是可以進入ASA中,並查看路由表,路由表中,包含著R1的telnetR2的路怎麽走,從哪個端口出去,這時就要查看這個出端口有沒有acl,一查有一個出項的acl,那麽這個數據直接被pass,並且不會形成conn表。
如圖》》》》
技術分享圖片
ASA應用 PNAT
8.4版本以後系統中的一種新型配置。
技術分享圖片
PNAT
內網訪問外網
ASA(config)# object network NAT(隨意起) 為NAT定義一個對象類型(network)。
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0 相當於創建acl
ASA(config-network-object)# nat (inside(內網端口),outside(外網端口)) dynamic interface 相當於調 用acl

Cisco—ASA的基本思路和應用