淺談Cisco ASA的基礎

• 軟件防火墻和硬件防火墻
  1）軟件防火墻
  系統防火墻，TMG防火墻，IP tables防火墻，處理數據速度慢，穩定性差
  2）硬件防火墻
  ASA，深信服，華為都屬于硬件防火墻，穩定性強，處理數據速度快
• ASA5500系列的安全設備
  ASA 5505小型企業使用，ASA 5510中型企業使用，ASA 5520中型企業使用，具有模塊化， ASA 5540大中型企業使用， ASA 5550大型企業和服務提供商使用， ASA 5580用于大型企業，數據中心，運營商使用
• 防火墻功能分類
  1）應用防火墻
  代理使用
  2）網絡防火墻
  識別網絡傳輸的數據包
  3）狀態化防火墻
  硬件防火墻都屬于狀態化防火墻，自動識別傳輸的數據包
• 狀態化防火墻的原理
  
  
  
  
  1）狀態化防火墻的conn表包含的信息
  源IP或者網絡
  目標IP或者網絡
  協議 端口號
  2）icmp的特點
  icmp協議不屬于狀態化防火墻
  默認不能穿越防火墻通信
  3）conn表的特點
  conn表支持的協議可以轉發
  不支持不能被防火墻轉發
• ASA安全算法原理
  
  1)查詢ACL
  訪問控制列表是否允許
  2)查詢conn表
  檢查conn表是否允許
  3）操作引擎
  引擎不需要管理員配置
  引擎能夠識別傳輸的數據包‘
  不識別無法執行操作指令
• 簡單配置ASA
  1.配置主機名
  ciscoasa#config t
  ciscoasa#hostname ASA
  ASA(config)#
  2.配置密碼
  1）配置特權密碼
  ASA(config)#enable password pwd@123
  2）配置遠程登錄密碼
  ASA(config)#password pwd@123
• 接口的概念與配置
  1）物理接口
  協商工作模式，協商通信速率
  2）邏輯接口
  配置命令
  3）常見的邏輯接口
  inside 內部接口，優先級默認100
  outside 外部接口，優先級默認為0
  dmz 非軍事化區，保存對外提供服務的服務器，安全級別在inside和outside之間，優先級低于inside，高于outside
  4）不同優先級遵循的規則
  低不能訪問高，低安全級別不能訪問高安全級別
  高可以訪問低，高安全級別可以訪問低
  相同安全級別不能訪問，端口優先級相同不能訪問
  低訪問高，需要配置訪問控制列表
• 簡單配置接口
  ASA(config)#int et 0/0， 進入物理接口
  ASA(config-if)#nameif inside ，配置邏輯名稱inside

ASA#show interface ip brief ，查看接口信息
ASA#show conn detail ，查看conn表

• 配置靜態和默認
  ASA（config）#route inside 192.168.10.0 255.255.255.0 192.168.20.1 配置靜態
  ASA（config）#route outside 0.0.0.0 0.0.0.0 192.168.30.1 配置默認，默認只能有一條
  ASA#show route 查看路由表
  ASA（config）#fixup protocol icmp 添加狀態化連接
• 配置ACL（訪問控制列表）
  ASA（config）#access-list out-to-in permit tcp 192.168.40.0 255.255.255.0 host 192.168.20.1 eq 23 允許主機訪問telnet
  ASA（config）#int et 0/1 進入接口
  ASA（config）#access-group out-to-in in interface outside ACL應用在outside接口為進方向
• ASA遠程管理的方式
  1）telnet
  內部管理使用，沒有被加密，Cisco設備直接支持，安全性差
  2）ssh
  安全性強，適合廣域網管理，傳輸數據加密，需要配置AAA認證
  3）ASDM
  Cisco提供的圖形化配置設備使用，使用的是HTTPS協議加密
• 簡單配置telnet遠程管理
  1）配置允許192.168.10.0網絡通過inside遠程管理設備
  ASA（config）#telnet 192.168.10.0 255.255.255.0 inside
  2）允許任意網絡通過inside訪問
  ASA（config）#telnet 0 0 inside
  3）telnet保持時間5分鐘
  ASA（config）#telnet timeout 5
• 簡單配置SSH遠程管理
  1）創建域名
  ASA（config）#domain-name benet.com
  2）使用加密算法rsa長度為1024
  ASA（config）#crypto key generate rsa modulus 1024
  3)允許192.168.20.0通過outside接口ssh遠程管理
  ASA（config）#ssh 192.168.20.0 255.255.255.0 outside
  4）修改版本
  ASA（config）#ssh version 2
  5）創建ssh賬戶和密碼
  ASA（config）#username cisco password pwd@123 privilege 15
  6)開啟AAA驗證
  ASA（config）#aaa authentication ssh console LOCAL
  7)配置ssh保持時間
  ASA（config）#ssh timeout 10
• 配置ASDM圖形化工具管理
  1）開啟http功能
  ASA（config）#http server enable
  2）指定asdm客戶端位置
  ASA（config）#asdm image disk0:/asdm - 649.bin
  3）允許外網使用asdm管理
  ASA（config）#http 192.168.20.0 255.255.255.0 outside
  4)創建asdm賬戶和密碼
  ASA（config）#username cisco password pwd@123 privilege 15