浅谈CiscoASA的基础
- 软件防火墙和硬件防火墙
1)软件防火墙
系统防火墙,TMG防火墙,IP tables防火墙,处理数据速度慢,稳定性差
2)硬件防火墙
ASA,深信服,华为都属于硬件防火墙,稳定性强,处理数据速度快 - ASA5500系列的安全设备
ASA 5505小型企业使用,ASA 5510中型企业使用,ASA 5520中型企业使用,具有模块化, ASA 5540大中型企业使用, ASA 5550大型企业和服务提供商使用, ASA 5580用于大型企业,数据中心,运营商使用 - 防火墙功能分类
1)应用防火墙
代理使用
2)网络防火墙
识别网络传输的数据包
3)状态化防火墙
硬件防火墙都属于状态化防火墙,自动识别传输的数据包 - 状态化防火墙的原理
1)状态化防火墙的conn表包含的信息
源IP或者网络
目标IP或者网络
协议 端口号
2)icmp的特点
icmp协议不属于状态化防火墙
默认不能穿越防火墙通信
3)conn表的特点
conn表支持的协议可以转发
不支持不能被防火墙转发 - ASA安全算法原理
1)查询ACL
访问控制列表是否允许
2)查询conn表
检查conn表是否允许
3)操作引擎
引擎不需要管理员配置
引擎能够识别传输的数据包‘
不识别无法执行操作指令 - 简单配置ASA
1.配置主机名
ciscoasa#config t
ciscoasa#hostname ASA
ASA(config)#
2.配置密码
1)配置特权密码
ASA(config)#enable password pwd@123
2)配置远程登录密码
ASA(config)#password pwd@123 - 接口的概念与配置
1)物理接口
协商工作模式,协商通信速率
2)逻辑接口
配置命令
3)常见的逻辑接口
inside 内部接口,优先级默认100
outside 外部接口,优先级默认为0
dmz 非军事化区,保存对外提供服务的服务器,安全级别在inside和outside之间,优先级低于inside,高于outside
4)不同优先级遵循的规则
低不能访问高,低安全级别不能访问高安全级别
高可以访问低,高安全级别可以访问低
相同安全级别不能访问,端口优先级相同不能访问
低访问高,需要配置访问控制列表 - 简单配置接口
ASA(config)#int et 0/0, 进入物理接口
ASA(config-if)#nameif inside ,配置逻辑名称inside
ASA(config-if)#security-level 100 | 修改接口优先级100 |
---|---|
ASA(config-if)#ip add 192.168.10.254 255.255.255.0 | ASA(config-if)#no shut |
ASA#show interface ip brief ,查看接口信息
ASA#show conn detail ,查看conn表
创新互联公司专注于南宁网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供南宁营销型网站建设,南宁网站制作、南宁网页设计、南宁网站官网定制、重庆小程序开发服务,打造南宁网络公司原创品牌,更为您提供南宁网站排名全网营销落地服务。
- 配置静态和默认
ASA(config)#route inside 192.168.10.0 255.255.255.0 192.168.20.1 配置静态
ASA(config)#route outside 0.0.0.0 0.0.0.0 192.168.30.1 配置默认,默认只能有一条
ASA#show route 查看路由表
ASA(config)#fixup protocol icmp 添加状态化连接 - 配置ACL(访问控制列表)
ASA(config)#access-list out-to-in permit tcp 192.168.40.0 255.255.255.0 host 192.168.20.1 eq 23 允许主机访问telnet
ASA(config)#int et 0/1 进入接口
ASA(config)#access-group out-to-in in interface outside ACL应用在outside接口为进方向 - ASA远程管理的方式
1)telnet
内部管理使用,没有被加密,Cisco设备直接支持,安全性差
2)ssh
安全性强,适合广域网管理,传输数据加密,需要配置AAA认证
3)ASDM
Cisco提供的图形化配置设备使用,使用的是HTTPS协议加密 - 简单配置telnet远程管理
1)配置允许192.168.10.0网络通过inside远程管理设备
ASA(config)#telnet 192.168.10.0 255.255.255.0 inside
2)允许任意网络通过inside访问
ASA(config)#telnet 0 0 inside
3)telnet保持时间5分钟
ASA(config)#telnet timeout 5 - 简单配置SSH远程管理
1)创建域名
ASA(config)#domain-name benet.com
2)使用加密算法rsa长度为1024
ASA(config)#crypto key generate rsa modulus 1024
3)允许192.168.20.0通过outside接口ssh远程管理
ASA(config)#ssh 192.168.20.0 255.255.255.0 outside
4)修改版本
ASA(config)#ssh version 2
5)创建ssh账户和密码
ASA(config)#username cisco password pwd@123 privilege 15
6)开启AAA验证
ASA(config)#aaa authentication ssh console LOCAL
7)配置ssh保持时间
ASA(config)#ssh timeout 10 - 配置ASDM图形化工具管理
1)开启http功能
ASA(config)#http server enable
2)指定asdm客户端位置
ASA(config)#asdm image disk0:/asdm - 649.bin
3)允许外网使用asdm管理
ASA(config)#http 192.168.20.0 255.255.255.0 outside
4)创建asdm账户和密码
ASA(config)#username cisco password pwd@123 privilege 15
当前名称:浅谈CiscoASA的基础
分享地址:http://myzitong.com/article/pdcgie.html