Cisco ASA基础(一)

今天介绍一下目前Cisco ASA 5500系统常见的六种型号:

ASA首先是一个状态化防火墙,用于维护一个关于用户信息的连接表,称为Conn表。表的关键信息:

状态化防火墙进行状态化处理的过程:

①:pc向web服务器发送一个HTTP请求;
②:HTTP请求到达防火墙,防火墙将连接信息添加到Conn表中;
③:防火墙将HTTP请求转发给web服务器。
流量返回时,状态化防火墙处理的过程如下所述;
①:web服务器相应HTTP请求,返回相应的数据流量;
②:防火墙拦截该流量,检查其连接信息:
如果在Conn表中查找到匹配的连接信息,则流量被允许;
如果在Conn表中找不到匹配的连接信息,则流量被拒绝。
ASA使用安全算法执行以下三项基本操作:
访问控制列表;
连接表;
检测引擎。
数据报文穿越ASA的过程:

①:一个新来的TCP SYN报文到达ASA,试图建立一个新的连接;
②:ASA检查访问控制列表,确定是否允许连接;
③:ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接表中创建一个新条目;
④:ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进行下一步应用层检测;
⑤:ASA根据检测引擎确定是否转发或丢弃报文;
⑥:目的主机相应报文;
⑦:ASA接收返回报文并进行检测,在连接数据库中查询连接,确定会话信息与现有连接是否匹配;
⑧:ASA转发属于已建立地现有会话的报文。
ASA对原始报文的处理过程:

接口的名称:
物理名称:用于设置IP地址、双工、速率等信息;
逻辑名称:用来描述安全区域。
安全级别之间互相访问时,默认遵守的规则:
允许出站:允许从高安全级别区域访问低安全级别区域;
禁止入站:不允许低安全级别区域访问高安全级别区域;
禁止同安全级别的区域之间进行通信。
下面我们结合一个实验实例来了解一下如何配置:

下面进行防火墙(ASA)的配置

ciscoasa(config)# hostname ASA
#修改主机名ASA
ASA(config)# int e0/0
ASA(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
#配置e0/0接口的区域为inside区域,默认安全级别是100
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
#配置IP地址
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
#配置e0/0接口的区域为outside区域,默认安全级别是0
ASA(config-if)# ip add 192.168.2.1 255.255.255.0
ASA(config-if)# no sh
#配置IP地址

现在ASA防火墙就已经启动了默认的规则了。
接下来我们配置各个路由器并使用Telnet的方式进行试验效果(状态化防火墙对于ICMP协议不是状态化的)

R2(config)#int f0/0
R2(config-if)#ip add 192.168.1.2 255.255.255.0
R2(config-if)#no sh
R2(config)#line vty 0 4
R2(config-line)#password 123
R2(config-line)#login
#开启Telnet功能
R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
#使用路由器充当PC进行验证,所以得指定默认网关

剩下的每个路由器都配置一样;所以就……

接下来在ASA上设置ACL规则
ASA(config)# access-list out_to_in permit ip any any
#设置ACL规则(out_to_in名字自己随便定义)
 允许所有基于IP协议的数据包
ASA(config)# access-group out_to_in in int outside
#把ACL规则应用到outside的入方向上。
ASA(config)# access-list 100 permit icmp any any
ASA(config)# access-group 100 in int outside
#允许拼包通过

测试

R2#telnet 192.168.2.2
Trying 192.168.2.2 ... Open

User Access Verification

Password: 

R2#ping 192.168.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!

测试完成!

原文地址:https://blog.51cto.com/14157628/2399308

时间: 2024-10-13 02:43:56

Cisco ASA基础(一)的相关文章

cisco ASA ios升级或恢复

cisco ASA ios升级或恢复 一.升级前准备工作 1.准备好所要升级的IOS文件及对应的ASDM文件 2.在一台电脑上架设好tftp,设置好目录,与防火墙进行连接(假设电脑IP为192.168.1.2) 二.升级步骤 1.telnet上ASA ASA>en                  //进入特权模式 ASA#conft                 //进入配置模式 2.查看ASA上的文件.版本信息及启动文件 ASA(config)#dir           //查看asa上

Cisco asa 5510升级IOS和ASDM

asa asa(config)# dir //显示文件目录 copy disk0:/asa707-k8.bin tftp://192.168.1.149/ asa707-k8.bin //将原有IOS文件备份到TFTP服务器上 copy disk0:/asdm507.bin tftp://192.168.1.149/asdm507.bin //将原有asdm文件备份到TFTP服务器上 copy tftp://192.168.1.149/asa803-k8.bin disk0:/asa803-k8

Cisco ASA使用证书加密

使用ASDM配置HTTPS证书加密anyconnect连接 一.在没有使用证书的情况下每次连接VPN都会出现如下提示 命令 在 ASA 上,可以在命令行中使用若干 show 命令以验证证书的状态. show crypto ca certificates命令用于查看关于您的证书.CA证书和所有注册机关(RA)证书的信息. 命令 show crypto ca trustpoints 用于验证信任点配置. 命令 show crypto key mypubkey rsa 用于显示 ASA 的 RSA 公

Cisco ASA 高级配置

Cisco ASA 高级配置 一.防范IP分片攻击 1.Ip分片的原理: 2.Ip分片的安全问题: 3.防范Ip分片. 这三个问题在之前已经详细介绍过了,在此就不多介绍了.详细介绍请查看上一篇文章:IP分片原理及分析. 二.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1) 创建class-map (类映射),识别传输流量. (2) 创建policy-map (策略映射),关联class-map.

在Cisco ASA上实验 使用RRI的全互连Site to Site IPSec VPN

拓扑图如上. 说明:ASA1.2.3模拟分支边界网关,并启用PAT.R1.2.3模拟各内网设备. 要求:在ASA1.2.3上配置Site to Site VPN,实现全互联并配置反向路由注入(RRI),R1.2.3可以使用私有IP加密通信,不要求使用loopback IP通信:R1.2.3上有去往各私网的路由(通过RRI). 配置如下: ASA1: ciscoasa>en   ciscoasa# conf t //基本配置部分 ciscoasa(config)# hostname ASA1 AS

Cisco ASA 部署日志服务器

如不明白或有疑问请点击此处:Cisco ASA 部署日志服务器:理论知识+实验教程

CISCO ASA 如何选择出接口

CISCO路由器什么时候路由优先,什么时候NAT优先可能大家都知道,INSIDE进先路由,OUTSIDE进先NAT. 好了,那么对于CISCO ASA却不是这样的情况,大部分上还是先查找路由如果数据从inside进,在两种情况下NAT会优先路由去确认出接口. 做了目的NAT转换 static NAT session存在 知道这个功能后,我们再来看下如下两个CASE CISCO ASA虽然没有PBR功能,但是依然能做到双线分流 ASA 8.3以上版本做了L2L VPN后无法通过隧道管理防火墙,即管

CISCO ASA NAT 回流解决方案

实际案例中也不少碰到此类问题,客户内网有台服务器映射在互联网上,外网用户访问Global-IP没问题,但是内网用户想要访问Global-IP就会不通,典型的就是用户将内网服务器做了公网DNS A记录,无论内外网均通过域名访问. JUNIPER系列设备包括Netscreen/ISG/SSG没有这类问题,直接通过普通的DIP即可实现,后续产品SRX防火墙也需通过双向NAT来解决,下面通过CISCO ASA来解决这个CASE,JUNIPER SRX解决原理类似. 假想拓扑如下: ASA内网网段192.

Cisco ASA firewall Active/Standby failover

In this article, I will briefly explain the active/standby failover configuration on the cisco ASA. The lab is done in GNS3. Physical Topology: configuration:ciscoasa/act/pri(config)# sh run failoverfailoverfailover lan unit primaryfailover lan inter