27.思科防火墙(ASA)

防火墙分软件防火墙与硬件防火墙。

v 软件防火墙:运行在IOS系统之上的一个应用,通过应用指定出入网规则。

v 硬件防火墙:功能更强大,漏洞少,状态化。

状态化可以理解为当用户通过该防火墙连接,那么防火墙会在本地生成一张连接表,当下次再来连接直接允许或拒绝。更快的通过防火墙,省去了一条一条查规则过的繁琐过程。

ASA是思科的防火墙产品,它是一台状态化防火墙。

默认情况下,ASA对TCP、UDP协议提供状态化连接,但ICMP是非状态化,不缓存。

ASA安全优先:状态换>ACL访问控制>默认策略。

ASA将防火墙默认将网络划分成三个区域:

v Inside区域:内网入口,优先级默认为100。

v Outside区域:外网入口,优先级模默认为0。

v DMZ区域:非军事化区域,优先级默认为50。一般用于存放WEB服务器。

默认策略:

v Inside区域可以访问DMZ区域和Outside区域网络。

v DMZ区域可以访问Outside区域网络。不可访问Inside区域网络。要想实现访问需要借助ACL。

v Outside区域不可访问Inside区域和DMZ区域网络。要想实现访问需要借助ACL。

ASA命令与交换路由设备命令区别:



区别


Telnet和SSH远程管理


必须定义允许网段


接口地址配置


必须定义接口名,和安全级别,默认inside为内接口,安全级别为100。Outside为外接口,安全级别为0。


路由


根据接口名定义方向。


ACL


需要命令ACL,在全局模式应用于接口。掩码都为正掩码。


NAT


根据内接口定义内网,根据外接口转换到外网。必须相同编号,编号0表示NAT豁免。


SSH默认账号密码


账号:pix 密码:passwd配置的密码。

思科ASA相关命令:


命令


描述


(config)# hostname 主机名


配置主机名


(config)# telnet 192.168.0.0 255.255.255.0 inside


允许该网段Telnet远程防火墙


(config)# telnet timeout 5


配置Telnet的超时时间


(config)# domain-name asa.com


配置SSH的域名


(config)# crypto key generate rsa modalus 1024


配置SSH的密钥算法强度


(config)# ssh 192.168.0.0 255.255.255.0 inside


允许该网段SSH远程防火墙


(config)# ssh verion 2


配置SSH的版本


(config)# enable password 123


配置Enable密码


(config)# passwd 123


配置远程登录密码


(config-if)# nameif outside


配置接口名


(config-if)# sercurity-level 100


配置接口安全级别


(config-if)# ip add 地址 掩码


配置接口地址


(config)# access-list 名字 permit 源IP 掩码


配置标准ACL


(config)# access-list 名字 permit 协议 源IP 掩码 目标IP 掩码 eq 端口号


配置扩展ACL


(config)# access-group 名字 in interface 接口名


应用ACL到接口


(config)# route接口名 目标网段 掩码 下一跳地址


配置静态路由


(config)# route outside 0 0


配置默认路由


(config)# nat((inside) 1 192.168.1.0 255.255.255.0


定义要NAT的私网地址


(config)# global (outside) 1 202.96.134.10-202.96.134.100


动态NAT


(config)# global (outside) 1 interface(外网接口)


PAT


(config)# static (dmz,outside) 202.96.134.1 192.168.1.1


静态NAT


(config)# static (dmz,outside) tcp interface 80 192.168.1.1 80


静态PAT(一般用于WEB发布)


(config)# nat-control


开启NAT控制


(config)# nat (inside) 0 access-list 名字


NAT豁免


# show xlate


查看NAT转换情况


# clear xlate


清除NAT转换情况


# show conn detail


查看防火墙缓存表(conn表)


# write memory


保存配置到NV


# write erase


清除NV的配置


(config)# clear configure all


清除running所有配置


(config)# clear configure access-list


清除所有ACL的配置

注:

NAT控制:当网络经过防火墙时必须进行NAT转换。

NAT豁免:当开启NAT控制时,为了避免NAT控制,根据ACL定义来自某网段的流量经过防火墙时无需进行NAT转换。

思科防火墙的WEB管理方式叫做ASDM。

ASDM是一种图形化管理防火墙的方式。

部署ASDM步骤:

从TFTP服务器导入ASDM的镜像

# copy tftp flash

启动防火墙HTTPS服务

# http server enable

允许HTTPS接入

# http 192.168.1.0 255.255.255.0

指定ASDM镜像位置

(config)# asdm image disk 0:/asdm-602.bin

配置客户端远程登录用户名和密码

(config)# username a password 123 privilege 15

PC安装JAVA环境,安装Fille,然后通过浏览器访问ASA即可。

思科设备日志收集步骤:

本地日志收集:


命令


描述


(config)# clock timezone peking 8


配置时区


(config)# clock set 10:39:00 21 june 2017


配置本地时间


(config)# logging enable


开启日志记录


(config)# logging buffered informational


设定日志记录的信息级别


# show logging


查看日志


# clear logging buffer


清除日志

配置ASDM日志:


命令


描述


(config)# logging enable


开启日志记录


(config)# logging asdm informational


定义ASDM日志的信息级别


(config)# clear logging asdm


清除ASDM的日志

配置日志服务器:可以使用客户端软件查看收集日志。


命令


描述


(config)# username ren password 123


定义用户名和密码


(config)# logging enable


开启日志记录


(config)# logging timestamp


启动时间戳


(config)# logging trap infomational


定义日志记录的信息级别


(config)# logging host insdie 192.168.1.1


定义客户端主机地址


PC安装firewall analyzer工具,输入相应的用户名和密码即可。

时间: 2024-10-21 17:36:19

27.思科防火墙(ASA)的相关文章

思科防火墙ASA端口映射

ASA 端口映射: 将DMZ区内的主机192.168.169.2映射到防火墙outside接口的interface地址: 设置需要映射的主机 object network server1 host 192.168.169.2 设置需要映射的端口 ciscoasa(config)# object service 3389 ciscoasa(config-service-object)# service tcp source eq 3389 ciscoasa(config)# object serv

【思科防火墙】思科ASA防火墙企业网实例

前提:随着网络发展,网络安全成为当前重要的课题,越来越多的公司会选择将防火墙作为公司出口设备,相比于路由器,防火墙除了具有转发路由的功能外,还可以对内部.外部的流量进行过滤,从而进一步加强公司网络的安全性. 实验拓扑: 实验目的:如图,公司内网划分为两个vlan,vlan10和vlan 20,将三层交换机M1作为网关,将思科防火墙ASA1作为公司的出口设备,R1为运营商路由器,在R1环回口1.1.1.1/32模拟外网. 在ASA1上做PAT,使得内网主机可以上外网 在ASA1上做配置,使得R1可

GNS 3模拟防火墙ASA

[模拟环境] 所使用的GNS3版本为0.7.4,如果低于这个版本,有些版本会缺少些选项无法支持. [ASA]     ASA有2种模式的编译文件,分别为单模式和多模式,可选择使用.我使用的是单模式,我试用过多模式,不太好用. [配置] 打开GNS3,编辑→首选项→Qemu→ASA:     添加单模式:Identifier name:asa802-k8-sing(自己填名称,但不能是中文)RAM:256(使用默认的256)Number of NICs:6(网卡数量,默认是6)NIC model:

思科防火墙NAT穿越技术

拓扑图: 需求: R1作为局域网出口路由器,承担这PAT地址转换功能. ASA需要跟R3建立vpn R4作为局域网内部机器可以跟R3互联,并可以上外网 步骤: 给所有设备配置ip地址,地址规划如上图所示并默认路由 在R4上面配置ip地址配置默认路由 interface FastEthernet0/0 ip address 192.168.1.2 255.255.255.0no shutdown !ip route 0.0.0.0 0.0.0.0 192.168.1.1 在ASA1上面配置ip地址

VPN案例之二思科防火墙与router通信

实验拓扑图: 项目场景:公司总部是广州,内网里面有两个VLAN,分别是"kaifabu"-172.16.10.0/24和"yewubu"-172.16.20.0/24,c9上搭建了一个iis web服务器用来模拟公网,R4路由接入上海的分公司,内网网段10.10.33.0/24. 1.广州总公司的172.16.20.0.24需要做PAT地址转换访问外网. 2.要求广州vlan 20 "shiwubu" 可以访问c9的web,vlan10 &quo

思科防火墙基本配置思路及命令

修改防火墙名称 config# hostname xxxx 配置特权密码 config# enable password xxxx 远程登陆密码 config# password xxxx 配置接口名称 config-if # nameif xxxx 配置接口安全级别 config-if # security-level xxxx(0-100) 访问控制列表ACL分很多种,不同场合应用不同种类的ACL.其中最简单的就是<标准访问控制列表>,标准访问控制列表是通过使用IP包中的源IP地址进行过滤

CA防火墙ASA配置

ASA Version 7.2(4) !hostname wlgs-outsidedomain-name wlgs-outside.comenable password tsjKg7JHkl3qMaXK encryptedpasswd tsjKg7JHkl3qMaXK encryptednamesdns-guard!interface GigabitEthernet0/0nameif outsidesecurity-level 0ip address 111.111.107.193 255.25

思科ASA基础理论与配置

思科的ASA防火墙是一个状态化防火墙,维护一个关于用户信息的连接表(conn),默认情况下ASA对TCP和UDP的流量提供状态化连接,对ICMP协议是非状态化的. 思科ASA的报文穿越过程如下: 一个新来的TCP报文视图建立连接 1.ASA检查ACL是否允许连接 2.ASA执行路由查询如果有路由则ASA创建一个conn条目 3.ASA在检测引擎中检测预定义的一套规则,根据检测引擎检测结果确定是否转发 4.ASA接收到返回报文进行conn表比对是否有条目有就允许没有就丢弃 如果从安全级别低的端口要

ASA 防火墙基本配置命令

ASA 5505      ASA 5510     中小企业 5520   5540   5550     5580大型企业 ASA 是思科的产品,前身是PIX. ASA基本配置命令 命令名称 模式 具体命令 修改防火墙名称 config# hostname xxxx 配置特权密码 config# enable password xxxx 远程登陆密码 config# password xxxx 配置接口名称 config-if # nameif xxxx 配置接口安全级别 config-if