浅谈Cisco ASA的基础

原创

俊伟祺i 2019-05-07 11:40:21 博主文章分类：Cisco ASA ©著作权

©著作权归作者所有：来自51CTO博客作者俊伟祺i的原创作品，请联系作者获取转载授权，否则将追究法律责任

软件防火墙和硬件防火墙 1）软件防火墙系统防火墙，TMG防火墙，IP tables防火墙，处理数据速度慢，稳定性差 2）硬件防火墙 ASA，深信服，华为都属于硬件防火墙，稳定性强，处理数据速度快
ASA5500系列的安全设备 ASA 5505小型企业使用，ASA 5510中型企业使用，ASA 5520中型企业使用，具有模块化， ASA 5540大中型企业使用， ASA 5550大型企业和服务提供商使用， ASA 5580用于大型企业，数据中心，运营商使用
防火墙功能分类 1）应用防火墙代理使用 2）网络防火墙识别网络传输的数据包 3）状态化防火墙硬件防火墙都属于状态化防火墙，自动识别传输的数据包
状态化防火墙的原理 1）状态化防火墙的conn表包含的信息源IP或者网络目标IP或者网络协议端口号 2）icmp的特点 icmp协议不属于状态化防火墙默认不能穿越防火墙通信 3）conn表的特点 conn表支持的协议可以转发不支持不能被防火墙转发
ASA安全算法原理 1)查询ACL 访问控制列表是否允许 2)查询conn表检查conn表是否允许 3）操作引擎引擎不需要管理员配置引擎能够识别传输的数据包‘ 不识别无法执行操作指令
简单配置ASA 1.配置主机名 ciscoasa#config t ciscoasa#hostname ASA ASA(config)# 2.配置密码 1）配置特权密码 ASA(config)#enable password pwd@123 2）配置远程登录密码 ASA(config)#password pwd@123
接口的概念与配置 1）物理接口协商工作模式，协商通信速率 2）逻辑接口配置命令 3）常见的逻辑接口 inside 内部接口，优先级默认100 outside 外部接口，优先级默认为0 dmz 非军事化区，保存对外提供服务的服务器，安全级别在inside和outside之间，优先级低于inside，高于outside 4）不同优先级遵循的规则低不能访问高，低安全级别不能访问高安全级别高可以访问低，高安全级别可以访问低相同安全级别不能访问，端口优先级相同不能访问低访问高，需要配置访问控制列表
简单配置接口 ASA(config)#int et 0/0，进入物理接口 ASA(config-if)#nameif inside ，配置逻辑名称inside

ASA(config-if)#security-level 100	修改接口优先级100
ASA(config-if)#ip add 192.168.10.254 255.255.255.0	ASA(config-if)#no shut

ASA#show interface ip brief ，查看接口信息 ASA#show conn detail ，查看conn表

配置静态和默认 ASA（config）#route inside 192.168.10.0 255.255.255.0 192.168.20.1 配置静态 ASA（config）#route outside 0.0.0.0 0.0.0.0 192.168.30.1 配置默认，默认只能有一条 ASA#show route 查看路由表 ASA（config）#fixup protocol icmp 添加状态化连接
配置ACL（访问控制列表） ASA（config）#access-list out-to-in permit tcp 192.168.40.0 255.255.255.0 host 192.168.20.1 eq 23 允许主机访问telnet ASA（config）#int et 0/1 进入接口 ASA（config）#access-group out-to-in in interface outside ACL应用在outside接口为进方向
ASA远程管理的方式 1）telnet 内部管理使用，没有被加密，Cisco设备直接支持，安全性差 2）ssh 安全性强，适合广域网管理，传输数据加密，需要配置AAA认证 3）ASDM Cisco提供的图形化配置设备使用，使用的是HTTPS协议加密
简单配置telnet远程管理 1）配置允许192.168.10.0网络通过inside远程管理设备 ASA（config）#telnet 192.168.10.0 255.255.255.0 inside 2）允许任意网络通过inside访问 ASA（config）#telnet 0 0 inside 3）telnet保持时间5分钟 ASA（config）#telnet timeout 5
简单配置SSH远程管理 1）创建域名 ASA（config）#domain-name benet.com 2）使用加密算法rsa长度为1024 ASA（config）#crypto key generate rsa modulus 1024 3)允许192.168.20.0通过outside接口ssh远程管理 ASA（config）#ssh 192.168.20.0 255.255.255.0 outside 4）修改版本 ASA（config）#ssh version 2 5）创建ssh账户和密码 ASA（config）#username cisco password pwd@123 privilege 15 6)开启AAA验证 ASA（config）#aaa authentication ssh console LOCAL 7)配置ssh保持时间 ASA（config）#ssh timeout 10
配置ASDM图形化工具管理 1）开启http功能 ASA（config）#http server enable 2）指定asdm客户端位置 ASA（config）#asdm image disk0:/asdm - 649.bin 3）允许外网使用asdm管理 ASA（config）#http 192.168.20.0 255.255.255.0 outside 4)创建asdm账户和密码 ASA（config）#username cisco password pwd@123 privilege 15