ASA 防火墙

ASA是状态化防火墙,会建立一个用户信息连接表(Conn),连接表中包含的相关信息有源IP地址、目的IP地址、IP协议(如TCP或UDP)、IP协议信息(如TCP/UDP的端口号、TCP序列号和TCP控制位)。

ASA安全算法原理会执行三项基本操作

1.访问控制列表—基于特定网络、主机和服务控制网络访问,有两个作用允许入站连接和控制出站的流量

2.连接表—维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果conn表中没有将会丢弃

3.检查引擎—执行状态检查和应用层检查

工作原理:

ASA接口的安全级别

每个接口都会有一个安全级别,范围是0~100,数值越大安全级别越高。inside默认是100、outside默认是0。

不同安全级别接口直接访问遵从三项默认规则

1.允许出站—允许从高安全级别接口到低安全级别接口的流量通过

2.禁止入站—禁止从低安全级别接口到高安全级别接口的流量通过

3.禁止相同安全级别的接口直接通信

DMZ区的概念
DMZ俗称“隔离区”,也叫“非军事化区”,是位于企业内部网络和外部网络之间的一个网络区域,这个区域可以放置一些必须公开的服务器,如公司的WEB服务器或论坛等等
DMZ区的安全级别介于inside和outside之前,有6条默认访问规则,所以配置DMZ区时候就要配置安全级别了
1.inside可以访问outside
2.inside可以范围DMZ
3.DMZ可以访问outside
4.DMZ不能访问inside
5.outside可以访问DMZ
6.outside不能访问inside

ASA基本配置

配置主机名和特权密码都与思科路由器一样,配置远程登录密码不一样asa(config)# passwd mima

配置接口的名称:asa(config-if)# nameif name
 解释name为接口名称inside、outside或DMZ等

配置接口安全级别:asa(config-if)# security-level number
解释number代表安全级别的范围数值0~100

如图所示:配置接口名称、安全级别、IP、静态路由和ACL的方法


ASA的远程管理
telnet方式可以实现内网到ASA的远程管理,如果是外网访问将无法通过telnet的方式进行管理
配置命令:asa(config)# telnet (network | ip-address) mask
interface-name 
举例1:asa(config)# telnet 192.168.1.0 255.255.255.0 inside
表示允许192.169.1.0网段telnet管理
举例2:asa(config)# telnet 192.168.1.1 255.255.255.255 inside
表示只有1.1这个IP地址可以管理

SSH方式可以实现对ASA进行安全的远程管理,可实现通过外网连接管理,需要使用Secure CRT软件区连接
配置命令:asa(config)# hostruiuri    
配置主机名 我这里的名字叫ruirui
ruirui(config)# domain-nameruirui.com   
配置域名  这里的域名叫ruirui.com
ruirui(config)# crypto key generate rsa modulus
1024   
生成RSA密钥对,默认是1024
ruirui(config)# ssh (network | ip-address) mask
interface-name 
配置ssh允许接入    
ruirui(config)# ssh 0 0 outside 
表示可以从外部接口接入
ruirui(config)# ssh timeout 30 
配置空闲超时时间,表示空闲30分钟就会退出,可以不配置
ruirui(config)# ssh version version-number
配置SSH的版本,默认是同时支持版本1和版本2的

实验

实验步骤:
1.配置各个设备的IP地址、静态路由,这里路由器不讲解了,说一下ASA的配置

2.配置ASA访问规则

3.验证

ASA上NAT的应用
在ASA上NAT分4种类型:动态NAT、动态PAT静态NAT和静态PAT

动态NAT配置语法
asa(config)# nat (interface-name) nat-id local-ip mask
asa(config)# global(interface-name) nat-id
global-ip-global-ip
interface-name : 代表是要转换的接口是inside还是DMZ等等
nat-id:代表当前这个nat的名称,当配置nat转换的时候同一个转换关系nat-id必须相同
local-ip:表示要进行nat转换的内部局部地址的网段
mask:内部局部地址的掩码
global-ip-global-ip:表示内部全局地址池的范围
配置实验:

实验步骤:路由、IP地址这里不进行演示,下面说下配置动态NAT

动态PAT配置语法
asa(config)# nat (interface-name) nat-id local-ip mask
asa(config)# global(interface-name) nat-id interface
这里与动态NAT唯一的不同是不用写内部全局地址池的范围,因为是多个内部局部地址转换到一个内部全局地址,所以这里将转换直接应用到接口即可
配置实验:

实验步骤:路由、IP地址这里不进行演示,下面说下配置动态NAT

静态NAT配置语法
asa(config)# static(local-name,global-name)
global-ip  local-ip
并且需要创建相应的ACL访问规则
配置实验:

实验步骤:路由、IP地址这里不进行演示,下面说下配置静态NAT

静态PAT配置语法
asa(config)# static(local-name,global-name) {tcp | udp}
global-ip  global-port local-ip local-port
tcp | udp:代表要使用的是tcp协议还是udp协议
global-port:代表对应的协议端口号,内部全局地址和内部局部地址的协议端口号要一致
并且需要创建相应的ACL访问规则

实验步骤:路由、IP地址这里不进行演示,下面说下配置静态PAT

时间: 2024-11-06 22:03:29

ASA 防火墙的相关文章

ASA防火墙穿越NAT设备与路由器做ipsecVPN

一. 实验任务及思路: 1.  使用GNS3搭建拓扑(拓扑如下),R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问,要求ASA防火墙与R3之间建立IPSec VPN,连接穿过NAT设备,配置实现两端对等体建立IPSec VPN连接. 2. C1与C2先后互ping,比较ipsecVPN连接情况 二.  实验拓扑: 三.  IP地址规划:    C1 192.168.10.10/24 ASA1 e0/1 192.168.10.1/24 e0/0 172.16.11.

ASA防火墙应用技术:配置PAT

如不明白或有疑问请点击此处:ASA防火墙应用技术:配置PAT:理论知识+实验教程

配置Cisco的ASA防火墙(三个区域)

配置Cisco的ASA防火墙(三个区域),布布扣,bubuko.com

ASA防火墙 (一)

ASA防火墙实验(一) SW1: interface FastEthernet1/0 ! interface FastEthernet1/1 switchport access vlan 2 spanning-tree portfast ! interface FastEthernet1/2 switchport access vlan 3 spanning-tree portfast ! interface FastEthernet1/3 switchport access vlan 4 sp

ASA防火墙基本配置

全局模式下 asa(config)#int e0/0                 //进入接口// asa(config-if)#nameif 名字           //配置接口名称// asa(config-if)#security-leve 0-100       //配置接口安全级别,0-100表示安全级别// asa(config-if)#ip add 192.168.1.1 255.255.255.0   //配置接口ip地址// asa(config)#access-list

ASA防火墙之三-屏蔽内网访问某些域名

在公司有时候老板可能不想让自己的员工,在上班时间上淘宝,QQ空间的之类的网站,影响工作的质量,所以,会叫技术员屏蔽掉这些域名.在这里,我采用思科ASA防火墙实现这个效果. 实验要求: 100.1.1.1作为外网WEB服务,内网的192.168.1.1用户能够获得"163.COM"的域名解析,但无法获得"taobao.com"的域名解析. conf t hostname ASA int e0/0 nameif inside ip add 192.168.1.5 255

ASA防火墙配置案例(一)

实验目标: 1.配置静态路由,实现全网互通. 2.R1能telnet到R3,R4,R3被拒绝ACL规则telnet到R4,R4无法telnet到R1和R3. ASA en conf t int e0/1 nameif inside security-level 100 ip add 10.1.1.10 255.255.255.0 no sh int e0/2 nameif dmz security-level 50 ip address 192.168.1.10 255.255.255.0 no

基于ASA防火墙的NAT地址转换和SSH远程登录实验

实验环境:使用两台linux虚拟机,linux-3是作为外网的apache网站服务器,另外一台linux-1属于内网DMZ(非军事化区域)的apache服务器,再搭建一个DNS服务来解析IP地址.然后客户端使用本地的一个回环网卡进行连接. 实验要求:通过实验在ASA防火墙上进行配置,来证明NAT地址转换和做ACL入站连接. 首先是配置交换机和路由器上面的部分,在两台交换机上面只要关闭路由功能就行了. 在R3路由器上需要做IP地址的配置,以及一条默认路由就OK了. 下面是设置启用防火墙的配置文件.

ASA防火墙基础

实验配置简单的ASA防火墙 实验步骤: 1.允许R1远程R2和ping通R2 首先配置R1,R2,的ip地址,在配置静态路由 ASA防火墙先要初始化一下,在配置ASA的接口的名称和ip地址, 远程访问R2必须设置远程密码和特权密码 在进入到R1上远程访问R2 能远程,但不能ping通,是因为没有开启入站连接 配置允许入站连接, 然后ping下 2.在这里我要在ASA防火墙上配置静态路由实验,我就不用路由,直接在R1和R2上添加loopback 首先在R1和R2上配置loopback地址 ASA配

PIX或者ASA防火墙开放内网连接外网VPN权限

声明 作者:昨夜星辰 博客:http://yestreenstars.blog.51cto.com/ 本文由本人创作,如需转载,请注明出处,谢谢合作! 目的 修改配置文件使内网能够使用PPTP或者L2TP连接VPN服务器. 环境 默认的PIX或者ASA防火墙都是禁止内网使用PPTP或者L2TP连接的,我们必须手动开启才能使用. 防火墙配置 进入全局配置模式(configure terminal): 依次输入policy-map global_policy.class inspection_def