淺談Cisco ASA的基礎
阿新 • • 發佈:2019-05-07
conf 遠程管理 執行 化工 ati cisco 網絡防火墻 authent 技術分享 軟件防火墻和硬件防火墻
1)軟件防火墻
系統防火墻,TMG防火墻,IP tables防火墻,處理數據速度慢,穩定性差
2)硬件防火墻
ASA,深信服,華為都屬於硬件防火墻,穩定性強,處理數據速度快
ASA5500系列的安全設備
ASA 5505小型企業使用,ASA 5510中型企業使用,ASA 5520中型企業使用,具有模塊化, ASA 5540大中型企業使用, ASA 5550大型企業和服務提供商使用, ASA 5580用於大型企業,數據中心,運營商使用
防火墻功能分類
1)應用防火墻
代理使用
2)網絡防火墻
識別網絡傳輸的數據包
3)狀態化防火墻
硬件防火墻都屬於狀態化防火墻,自動識別傳輸的數據包
狀態化防火墻的原理
1)狀態化防火墻的conn表包含的信息
目標IP或者網絡
協議 端口號
2)icmp的特點
icmp協議不屬於狀態化防火墻
默認不能穿越防火墻通信
3)conn表的特點
conn表支持的協議可以轉發
不支持不能被防火墻轉發
ASA安全算法原理
1)查詢ACL
訪問控制列表是否允許
2)查詢conn表
檢查conn表是否允許
3)操作引擎
引擎不需要管理員配置
引擎能夠識別傳輸的數據包‘
不識別無法執行操作指令
簡單配置ASA
1.配置主機名
ciscoasa#config t
ciscoasa#hostname ASA
ASA(config)#
2.配置密碼
1)配置特權密碼
ASA(config)#enable password [email protected]
ASA(config)#password [email protected]
接口的概念與配置
1)物理接口
協商工作模式,協商通信速率
2)邏輯接口
配置命令
3)常見的邏輯接口
inside 內部接口,優先級默認100
outside 外部接口,優先級默認為0
dmz 非軍事化區,保存對外提供服務的服務器,安全級別在inside和outside之間,優先級低於inside,高於outside
4)不同優先級遵循的規則
低不能訪問高,低安全級別不能訪問高安全級別
高可以訪問低,高安全級別可以訪問低
相同安全級別不能訪問,端口優先級相同不能訪問
低訪問高,需要配置訪問控制列表
簡單配置接口
ASA(config-if)#nameif inside ,配置邏輯名稱inside
1)軟件防火墻
系統防火墻,TMG防火墻,IP tables防火墻,處理數據速度慢,穩定性差
2)硬件防火墻
ASA,深信服,華為都屬於硬件防火墻,穩定性強,處理數據速度快
ASA 5505小型企業使用,ASA 5510中型企業使用,ASA 5520中型企業使用,具有模塊化, ASA 5540大中型企業使用, ASA 5550大型企業和服務提供商使用, ASA 5580用於大型企業,數據中心,運營商使用
1)應用防火墻
代理使用
2)網絡防火墻
識別網絡傳輸的數據包
3)狀態化防火墻
硬件防火墻都屬於狀態化防火墻,自動識別傳輸的數據包
1)狀態化防火墻的conn表包含的信息
目標IP或者網絡
協議 端口號
2)icmp的特點
icmp協議不屬於狀態化防火墻
默認不能穿越防火墻通信
3)conn表的特點
conn表支持的協議可以轉發
不支持不能被防火墻轉發
1)查詢ACL
訪問控制列表是否允許
2)查詢conn表
檢查conn表是否允許
3)操作引擎
引擎不需要管理員配置
引擎能夠識別傳輸的數據包‘
不識別無法執行操作指令
1.配置主機名
ciscoasa#config t
ciscoasa#hostname ASA
ASA(config)#
2.配置密碼
1)配置特權密碼
ASA(config)#enable password [email protected]
ASA(config)#password [email protected]
1)物理接口
協商工作模式,協商通信速率
2)邏輯接口
配置命令
3)常見的邏輯接口
inside 內部接口,優先級默認100
outside 外部接口,優先級默認為0
dmz 非軍事化區,保存對外提供服務的服務器,安全級別在inside和outside之間,優先級低於inside,高於outside
4)不同優先級遵循的規則
低不能訪問高,低安全級別不能訪問高安全級別
高可以訪問低,高安全級別可以訪問低
相同安全級別不能訪問,端口優先級相同不能訪問
低訪問高,需要配置訪問控制列表
ASA(config-if)#nameif inside ,配置邏輯名稱inside
| ASA(config-if)#security-level 100 | 修改接口優先級100 |
|---|---|
| ASA(config-if)#ip add 192.168.10.254 255.255.255.0 | ASA(config-if)#no shut |
ASA#show interface ip brief ,查看接口信息
ASA#show conn detail ,查看conn表
- 配置靜態和默認
ASA(config)#route inside 192.168.10.0 255.255.255.0 192.168.20.1 配置靜態
ASA(config)#route outside 0.0.0.0 0.0.0.0 192.168.30.1 配置默認,默認只能有一條
ASA#show route 查看路由表
ASA(config)#fixup protocol icmp 添加狀態化連接 - 配置ACL(訪問控制列表)
ASA(config)#access-list out-to-in permit tcp 192.168.40.0 255.255.255.0 host 192.168.20.1 eq 23 允許主機訪問telnet
ASA(config)#int et 0/1 進入接口
ASA(config)#access-group out-to-in in interface outside ACL應用在outside接口為進方向 - ASA遠程管理的方式
1)telnet
內部管理使用,沒有被加密,Cisco設備直接支持,安全性差
2)ssh
安全性強,適合廣域網管理,傳輸數據加密,需要配置AAA認證
3)ASDM
Cisco提供的圖形化配置設備使用,使用的是HTTPS協議加密 - 簡單配置telnet遠程管理
1)配置允許192.168.10.0網絡通過inside遠程管理設備
ASA(config)#telnet 192.168.10.0 255.255.255.0 inside
2)允許任意網絡通過inside訪問
ASA(config)#telnet 0 0 inside
3)telnet保持時間5分鐘
ASA(config)#telnet timeout 5 - 簡單配置SSH遠程管理
1)創建域名
ASA(config)#domain-name benet.com
2)使用加密算法rsa長度為1024
ASA(config)#crypto key generate rsa modulus 1024
3)允許192.168.20.0通過outside接口ssh遠程管理
ASA(config)#ssh 192.168.20.0 255.255.255.0 outside
4)修改版本
ASA(config)#ssh version 2
5)創建ssh賬戶和密碼
ASA(config)#username cisco password [email protected] privilege 15
6)開啟AAA驗證
ASA(config)#aaa authentication ssh console LOCAL
7)配置ssh保持時間
ASA(config)#ssh timeout 10 - 配置ASDM圖形化工具管理
1)開啟http功能
ASA(config)#http server enable
2)指定asdm客戶端位置
ASA(config)#asdm image disk0:/asdm - 649.bin
3)允許外網使用asdm管理
ASA(config)#http 192.168.20.0 255.255.255.0 outside
4)創建asdm賬戶和密碼
ASA(config)#username cisco password [email protected] privilege 15
淺談Cisco ASA的基礎