27.思科防火墙(ASA)

防火墙分软件防火墙与硬件防火墙。

v 软件防火墙:运行在IOS系统之上的一个应用,通过应用指定出入网规则。

v 硬件防火墙:功能更强大,漏洞少,状态化。

状态化可以理解为当用户通过该防火墙连接,那么防火墙会在本地生成一张连接表,当下次再来连接直接允许或拒绝。更快的通过防火墙,省去了一条一条查规则过的繁琐过程。

ASA是思科的防火墙产品,它是一台状态化防火墙。

默认情况下,ASA对TCP、UDP协议提供状态化连接,但ICMP是非状态化,不缓存。

ASA安全优先:状态换>ACL访问控制>默认策略。

ASA将防火墙默认将网络划分成三个区域:

v Inside区域:内网入口,优先级默认为100。

v Outside区域:外网入口,优先级模默认为0。

v DMZ区域:非军事化区域,优先级默认为50。一般用于存放WEB服务器。

默认策略:

v Inside区域可以访问DMZ区域和Outside区域网络。

v DMZ区域可以访问Outside区域网络。不可访问Inside区域网络。要想实现访问需要借助ACL。

v Outside区域不可访问Inside区域和DMZ区域网络。要想实现访问需要借助ACL。

ASA命令与交换路由设备命令区别:

区别

Telnet和SSH远程管理

必须定义允许网段

接口地址配置

必须定义接口名,和安全级别,默认inside为内接口,安全级别为100。Outside为外接口,安全级别为0。

路由

根据接口名定义方向。

ACL

需要命令ACL,在全局模式应用于接口。掩码都为正掩码。

NAT

根据内接口定义内网,根据外接口转换到外网。必须相同编号,编号0表示NAT豁免。

SSH默认账号密码

账号:pix 密码:passwd配置的密码。

思科ASA相关命令:

命令

描述

(config)# hostname 主机名

配置主机名

(config)# telnet 192.168.0.0 255.255.255.0 inside

允许该网段Telnet远程防火墙

(config)# telnet timeout 5

配置Telnet的超时时间

(config)# domain-name asa.com

配置SSH的域名

(config)# crypto key generate rsa modalus 1024

配置SSH的密钥算法强度

(config)# ssh 192.168.0.0 255.255.255.0 inside

允许该网段SSH远程防火墙

(config)# ssh verion 2

配置SSH的版本

(config)# enable password 123

配置Enable密码

(config)# passwd 123

配置远程登录密码

(config-if)# nameif outside

配置接口名

(config-if)# sercurity-level 100

配置接口安全级别

(config-if)# ip add 地址 掩码

配置接口地址

(config)# access-list 名字 permit 源IP 掩码

配置标准ACL

(config)# access-list 名字 permit 协议 源IP 掩码 目标IP 掩码 eq 端口号

配置扩展ACL

(config)# access-group 名字 in interface接口名

应用ACL到接口

(config)# route接口名 目标网段 掩码 下一跳地址

配置静态路由

(config)# route outside 0 0

配置默认路由

(config)# nat((inside) 1 192.168.1.0 255.255.255.0

定义要NAT的私网地址

(config)# global (outside) 1 202.96.134.10-202.96.134.100

动态NAT

(config)# global (outside) 1 interface(外网接口)

PAT

(config)# static (dmz,outside) 202.96.134.1 192.168.1.1

静态NAT

(config)# static (dmz,outside) tcp interface 80 192.168.1.1 80

静态PAT(一般用于WEB发布)

(config)# nat-control

开启NAT控制

(config)# nat (inside) 0 access-list 名字

NAT豁免

# show xlate

查看NAT转换情况

# clear xlate

清除NAT转换情况

# show conn detail

查看防火墙缓存表(conn表)

# write memory

保存配置到NV

# write erase

清除NV的配置

(config)# clear configure all

清除running所有配置

(config)# clear configure access-list

清除所有ACL的配置

注:

NAT控制:当网络经过防火墙时必须进行NAT转换。

NAT豁免:当开启NAT控制时,为了避免NAT控制,根据ACL定义来自某网段的流量经过防火墙时无需进行NAT转换。

思科防火墙的WEB管理方式叫做ASDM。

ASDM是一种图形化管理防火墙的方式。

部署ASDM步骤:

v 从TFTP服务器导入ASDM的镜像

# copy tftp flash

v 启动防火墙HTTPS服务

# http server enable

v 允许HTTPS接入

# http 192.168.1.0 255.255.255.0

v 指定ASDM镜像位置

(config)# asdm image disk 0:/asdm-602.bin

v 配置客户端远程登录用户名和密码

(config)# username a password 123 privilege 15

v PC安装JAVA环境,安装Fille,然后通过浏览器访问ASA即可。

思科设备日志收集步骤:

本地日志收集:

命令

描述

(config)# clock timezone peking 8

配置时区

(config)# clock set 10:39:00 21 june 2017

配置本地时间

(config)# logging enable

开启日志记录

(config)# logging buffered informational

设定日志记录的信息级别

# show logging

查看日志

# clear logging buffer

清除日志

配置ASDM日志:

命令

描述

(config)# logging enable

开启日志记录

(config)# logging asdm informational

定义ASDM日志的信息级别

(config)# clear logging asdm

清除ASDM的日志

配置日志服务器:可以使用客户端软件查看收集日志。

命令

描述

(config)# username ren password 123

定义用户名和密码

(config)# logging enable

开启日志记录

(config)# logging timestamp

启动时间戳

(config)# logging trap infomational

定义日志记录的信息级别

(config)# logging host insdie 192.168.1.1

定义客户端主机地址

PC安装firewall analyzer工具,输入相应的用户名和密码即可。

本文转自   触动的风   51CTO博客,原文链接:http://blog.51cto.com/10978134/1904203

上一篇:探讨防火墙内核监听模式:ISA2006系列之十六
下一篇:iptables(linux防火墙)