浅谈Cisco ASA的基础

  • 软件防火墙和硬件防火墙
    1)软件防火墙
    系统防火墙,TMG防火墙,IP tables防火墙,处理数据速度慢,稳定性差
    2)硬件防火墙
    ASA,深信服,华为都属于硬件防火墙,稳定性强,处理数据速度快
  • ASA5500系列的安全设备
    ASA 5505小型企业使用,ASA 5510中型企业使用,ASA 5520中型企业使用,具有模块化, ASA 5540大中型企业使用, ASA 5550大型企业和服务提供商使用, ASA 5580用于大型企业,数据中心,运营商使用
  • 防火墙功能分类
    1)应用防火墙
    代理使用
    2)网络防火墙
    识别网络传输的数据包
    3)状态化防火墙
    硬件防火墙都属于状态化防火墙,自动识别传输的数据包
  • 状态化防火墙的原理




    1)状态化防火墙的conn表包含的信息
    源IP或者网络
    目标IP或者网络
    协议 端口号
    2)icmp的特点
    icmp协议不属于状态化防火墙
    默认不能穿越防火墙通信
    3)conn表的特点
    conn表支持的协议可以转发
    不支持不能被防火墙转发
  • ASA安全算法原理

    1)查询ACL
    访问控制列表是否允许
    2)查询conn表
    检查conn表是否允许
    3)操作引擎
    引擎不需要管理员配置
    引擎能够识别传输的数据包‘
    不识别无法执行操作指令
  • 简单配置ASA
    1.配置主机名
    ciscoasa#config t
    ciscoasa#hostname ASA
    ASA(config)#
    2.配置密码
    1)配置特权密码
    ASA(config)#enable password [email protected]
    2)配置远程登录密码
    ASA(config)#password [email protected]
  • 接口的概念与配置
    1)物理接口
    协商工作模式,协商通信速率
    2)逻辑接口
    配置命令
    3)常见的逻辑接口
    inside 内部接口,优先级默认100
    outside 外部接口,优先级默认为0
    dmz 非军事化区,保存对外提供服务的服务器,安全级别在inside和outside之间,优先级低于inside,高于outside
    4)不同优先级遵循的规则
    低不能访问高,低安全级别不能访问高安全级别
    高可以访问低,高安全级别可以访问低
    相同安全级别不能访问,端口优先级相同不能访问
    低访问高,需要配置访问控制列表
  • 简单配置接口
    ASA(config)#int et 0/0, 进入物理接口
    ASA(config-if)#nameif inside ,配置逻辑名称inside
    • ASA(config-if)#security-level 100 修改接口优先级100
    ASA(config-if)#ip add 192.168.10.254 255.255.255.0 ASA(config-if)#no shut

    ASA#show interface ip brief ,查看接口信息
    ASA#show conn detail ,查看conn表

    • 配置静态和默认
      ASA(config)#route inside 192.168.10.0 255.255.255.0 192.168.20.1 配置静态
      ASA(config)#route outside 0.0.0.0 0.0.0.0 192.168.30.1 配置默认,默认只能有一条
      ASA#show route 查看路由表
      ASA(config)#fixup protocol icmp 添加状态化连接
    • 配置ACL(访问控制列表)
      ASA(config)#access-list out-to-in permit tcp 192.168.40.0 255.255.255.0 host 192.168.20.1 eq 23 允许主机访问telnet
      ASA(config)#int et 0/1 进入接口
      ASA(config)#access-group out-to-in in interface outside ACL应用在outside接口为进方向
    • ASA远程管理的方式
      1)telnet
      内部管理使用,没有被加密,Cisco设备直接支持,安全性差
      2)ssh
      安全性强,适合广域网管理,传输数据加密,需要配置AAA认证
      3)ASDM
      Cisco提供的图形化配置设备使用,使用的是HTTPS协议加密
    • 简单配置telnet远程管理
      1)配置允许192.168.10.0网络通过inside远程管理设备
      ASA(config)#telnet 192.168.10.0 255.255.255.0 inside
      2)允许任意网络通过inside访问
      ASA(config)#telnet 0 0 inside
      3)telnet保持时间5分钟
      ASA(config)#telnet timeout 5
    • 简单配置SSH远程管理
      1)创建域名
      ASA(config)#domain-name benet.com
      2)使用加密算法rsa长度为1024
      ASA(config)#crypto key generate rsa modulus 1024
      3)允许192.168.20.0通过outside接口ssh远程管理
      ASA(config)#ssh 192.168.20.0 255.255.255.0 outside
      4)修改版本
      ASA(config)#ssh version 2
      5)创建ssh账户和密码
      ASA(config)#username cisco password [email protected] privilege 15
      6)开启AAA验证
      ASA(config)#aaa authentication ssh console LOCAL
      7)配置ssh保持时间
      ASA(config)#ssh timeout 10
    • 配置ASDM图形化工具管理
      1)开启http功能
      ASA(config)#http server enable
      2)指定asdm客户端位置
      ASA(config)#asdm image disk0:/asdm - 649.bin
      3)允许外网使用asdm管理
      ASA(config)#http 192.168.20.0 255.255.255.0 outside
      4)创建asdm账户和密码
      ASA(config)#username cisco password [email protected] privilege 15

    原文地址:https://blog.51cto.com/14156658/2390272

    时间: 2024-10-28 23:32:57

    浅谈Cisco ASA的基础的相关文章

    浅谈Cisco ASA应用NAT

    NAT的类型ASA上的NAT配置相对路由器来说要复杂一些,ASA上的NAT有动态NAT,动态PAT,静态NAT和静态PAT四种类型 动态NAT:多对多的转换,将多个私网映射到多个公网 动态 PAT:多对一的转换,将多个私网映射到一个公网地址,使用比较广泛 静态NAT:一对一的转换将一个私网映射到另一个公网地址,隐藏内部地址 静态PAT:一对一的转换,将一个IP地址和端口映射到另一个IP地址和端口,发布内部服务器 简单配置动态NAT1)指定需要进行地址转换的网段ASA(config)#nat (i

    浅谈php之设计模式基础

    本人近期正在学习php,所以就以设计模式的基础来谈一下自己的一些看法 一:什么是设计模式 学习编程的应该很多都有听说过设计模式,经常是什么js的设计模式,php设计模式,那么什么是设计模式呢?通俗的讲,设计模式就是一套被反复使用,很多人都知晓的,代码设计经验的总结,更功利的说法是,设计模式是为了可重用代码,更容易让其他人理解,保证了代码的可靠性.其核心有四个部分组成,就是命名,问题,解决方案,效果.当然,这些空套话多说了也是无益,下面我就以一个循序渐进的例子来简要的谈下,设计模式是有多么重要.

    NLP系列(1)_从破译外星人文字浅谈自然语言处理的基础

    作者:龙心尘 &&寒小阳 时间:2016年1月. 出处: http://blog.csdn.net/longxinchen_ml/article/details/50543337, http://blog.csdn.net/han_xiaoyang/article/details/50545650 声明:版权所有,转载请联系作者并注明出处 1. 如果让你破译"三体"人文字你会怎么办? 我们试着开一下脑洞:假如你有一个优盘,里面存了大量"三体"人(刘慈

    浅谈群集与分布式基础知识

    长期以来对于做IT的人员来说可能会经常听见一个名词,群集,什么负载均衡群集,高可用群集,双活群集,这对于非相关人员来说根本不明白是什么意思,好像群集很神秘,很高大上,其实群集的概念并没有想象中那么复杂,本文老王会试着用比较简单的语言,来为大家分享我所学习了解的群集知识,尽量让只有简单服务器 网络基础的朋友也可以听懂,如果有说的不对的地方欢迎指正 什么是群集呢,简单来说,群集就是把一堆计算机组合起来做一件事情,把一堆计算机组合起来一起干活,它们就可以叫做群集,通常群集给人的感觉就好像是一个"整体计

    浅谈密码学中数论基础

    1.模运算(mod) 模运算也可以称为取余运算,例如 23≡11(mod12),因此如果a=kn+b,也可以表示为a ≡ b(mod n),运算规则: (a+b) mod n = ((a mod n) + (b mod n))mod n (a*b) mod n = ((a mod n) * (b mod n)) mod n 完全剩余集合 1~n-1构成了自然数n的完全剩余集合,对于任意一个整数m%n都存在于1~n的集合中. 构造加法链 在加密算法中,运用到了大量的取模运算,对于一个k位数模n,所

    浅谈PL/SQL语言基础

    在前面的学习中,我们大部分接触的都是SQL语言,但是,在实现复杂操作的时候,SQL语言就无能为力了,这时候就需要引入新的语言,PL/SQL语言就是对SQL语言的扩展,可以实现存储过程,函数等的创建.下面是我对PL/SQL语言的总结,和大家分享一下. 一.基本结构 1.PL/SQL是一种块结构的语言,它将一组语句放在一个块中,一次性发送给服务器,当PL/SQL引擎分析收到PL/SQL语句块中的内容,把其中的过程语句由PL/SQL引擎自身去执行,把PL/SQL语句块中的SQL语句交给服务器的SQL语

    【大话设计模式】——浅谈设计模式基础

    初学设计模式给我最大的感受是:人类真是伟大啊!单单是设计模式的基础课程就让我感受到了强烈的生活气息. 个人感觉<大话设计模式>这本书写的真好.让貌似非常晦涩难懂的设计模式变的生活化.趣味化. 以下浅谈一下对设计模式基础的理解,假设理解的不好.还请大家指正. 首先设计模式是对面向对象的更专业的诠释.面向对象的三大基本特征是继承.封装.多态. 继承: 1.子类继承父类非private的属性和功能. 个人理解:有几个老婆是私有属性,小明他爸有好几个老婆.小明呢.恰好赶上了国家颁布法律一夫一妻 制(怎

    浅谈自然语言处理基础(下)

    命名实体识别 命名实体的提出源自信息抽取问题,即从报章等非结构化文本中抽取关于公司活动和国防相关活动的结构化信息,而人名.地名.组织机构名.时间和数字表达式结构化信息的关键内容,所以需要从文本中去识别这些实体指称及其类别,即命名实体识别和分类. 21世纪以后,基于大规模语料库的统计方法成为自然语言处理的主流,以下是基于统计模型的命名实体识别方法归纳: 基于CRF的命名实体识别方法 基于CRF的命名实体识别方法简便易行,而且可以获得较好的性能,广泛地应用于人名.地名和组织机构等各种类型命名实体的识

    浅谈vr基础视频教程 改变技术革命

    对于VR技术的发展应用,是有目共睹的,一个新的技术领域的诞生,现在千锋给大家浅谈vr基础视频教程,改变技术革命. 认知革命发生在几万年前的上古时期,是一个很哲学的话题,聊起来很不接地气.这里讲的认知革命是人们对信息认知方式的革新,比如几千年前人类发明文字时,开启了除语言外的另一种交流工具,这就是认知革命;再如上个世纪互联网的诞生,这是一种通过虚拟介质进行信息交流的方式,也是认知革命. 人们把信息放在网络上,相比写在纸上,是一个跨越式的进步,因为并不是所有的信息.资料都能展现在像纸这样的实体材质上