27.思科防火墙(ASA)
防火墻分軟件防火墻與硬件防火墻。
v?軟件防火墻:運行在IOS系統(tǒng)之上的一個應用,通過應用指定出入網規(guī)則。
v?硬件防火墻:功能更強大,漏洞少,狀態(tài)化。
狀態(tài)化可以理解為當用戶通過該防火墻連接,那么防火墻會在本地生成一張連接表,當下次再來連接直接允許或拒絕。更快的通過防火墻,省去了一條一條查規(guī)則過的繁瑣過程。
ASA是思科的防火墻產品,它是一臺狀態(tài)化防火墻。
默認情況下,ASA對TCP、UDP協(xié)議提供狀態(tài)化連接,但ICMP是非狀態(tài)化,不緩存。
ASA安全優(yōu)先:狀態(tài)換>ACL訪問控制>默認策略。
?
?
ASA將防火墻默認將網絡劃分成三個區(qū)域:
v?Inside區(qū)域:內網入口,優(yōu)先級默認為100。
v?Outside區(qū)域:外網入口,優(yōu)先級模默認為0。
v?DMZ區(qū)域:非軍事化區(qū)域,優(yōu)先級默認為50。一般用于存放WEB服務器。
默認策略:
v?Inside區(qū)域可以訪問DMZ區(qū)域和Outside區(qū)域網絡。
v?DMZ區(qū)域可以訪問Outside區(qū)域網絡。不可訪問Inside區(qū)域網絡。要想實現訪問需要借助ACL。
v?Outside區(qū)域不可訪問Inside區(qū)域和DMZ區(qū)域網絡。要想實現訪問需要借助ACL。
ASA命令與交換路由設備命令區(qū)別:
項 | 區(qū)別 |
Telnet和SSH遠程管理 | 必須定義允許網段 |
接口地址配置 | 必須定義接口名,和安全級別,默認inside為內接口,安全級別為100。Outside為外接口,安全級別為0。 |
路由 | 根據接口名定義方向。 |
ACL | 需要命令ACL,在全局模式應用于接口。掩碼都為正掩碼。 |
NAT | 根據內接口定義內網,根據外接口轉換到外網。必須相同編號,編號0表示NAT豁免。 |
SSH默認賬號密碼 | 賬號:pix 密碼:passwd配置的密碼。 |
思科ASA相關命令:
命令 | 描述 |
(config)# hostname 主機名 | 配置主機名 |
(config)# telnet 192.168.0.0 255.255.255.0 inside | 允許該網段Telnet遠程防火墻 |
(config)# telnet timeout 5 | 配置Telnet的超時時間 |
(config)# domain-name asa.com | 配置SSH的域名 |
(config)# crypto key generate rsa modalus 1024 | 配置SSH的密鑰算法強度 |
(config)# ssh 192.168.0.0 255.255.255.0 inside | 允許該網段SSH遠程防火墻 |
(config)# ssh verion 2 | 配置SSH的版本 |
(config)# enable password 123 | 配置Enable密碼 |
(config)# passwd 123 | 配置遠程登錄密碼 |
(config-if)# nameif outside | 配置接口名 |
(config-if)# sercurity-level 100 | 配置接口安全級別 |
(config-if)# ip add 地址 掩碼 | 配置接口地址 |
(config)# access-list 名字 permit 源IP 掩碼 | 配置標準ACL |
(config)# access-list 名字 permit 協(xié)議 源IP 掩碼 目標IP 掩碼 eq 端口號 | 配置擴展ACL |
(config)# access-group 名字 in interface 接口名 | 應用ACL到接口 |
(config)# route接口名 目標網段 掩碼 下一跳地址 | 配置靜態(tài)路由 |
(config)# route outside 0 0 | 配置默認路由 |
(config)# nat((inside) 1 192.168.1.0 255.255.255.0 | 定義要NAT的私網地址 |
(config)# global (outside) 1 202.96.134.10-202.96.134.100 | 動態(tài)NAT |
(config)# global (outside) 1 interface(外網接口) | PAT |
(config)# static (dmz,outside) 202.96.134.1 192.168.1.1 | 靜態(tài)NAT |
(config)# static (dmz,outside) tcp interface 80 192.168.1.1 80 | 靜態(tài)PAT(一般用于WEB發(fā)布) |
(config)# nat-control | 開啟NAT控制 |
(config)# nat (inside) 0 access-list 名字 | NAT豁免 |
# show xlate | 查看NAT轉換情況 |
# clear xlate | 清除NAT轉換情況 |
# show conn detail | 查看防火墻緩存表(conn表) |
# write memory | 保存配置到NV |
# write erase | 清除NV的配置 |
(config)# clear configure all | 清除running所有配置 |
(config)# clear configure access-list | 清除所有ACL的配置 |
注:
NAT控制:當網絡經過防火墻時必須進行NAT轉換。
NAT豁免:當開啟NAT控制時,為了避免NAT控制,根據ACL定義來自某網段的流量經過防火墻時無需進行NAT轉換。
思科防火墻的WEB管理方式叫做ASDM。
ASDM是一種圖形化管理防火墻的方式。
部署ASDM步驟:
v?從TFTP服務器導入ASDM的鏡像
# copy tftp flash
v?啟動防火墻HTTPS服務
# http server enable
v?允許HTTPS接入
# http 192.168.1.0 255.255.255.0
v?指定ASDM鏡像位置
(config)# asdm p_w_picpath disk 0:/asdm-602.bin
v?配置客戶端遠程登錄用戶名和密碼
(config)# username a password 123 privilege 15
v?PC安裝JAVA環(huán)境,安裝Fille,然后通過瀏覽器訪問ASA即可。
思科設備日志收集步驟:
本地日志收集:
命令 | 描述 |
(config)# clock timezone peking 8 | 配置時區(qū) |
(config)# clock set 10:39:00 21 june 2017 | 配置本地時間 |
(config)# logging enable | 開啟日志記錄 |
(config)# logging buffered informational | 設定日志記錄的信息級別 |
# show logging | 查看日志 |
# clear logging buffer | 清除日志 |
配置ASDM日志:
命令 | 描述 |
(config)# logging enable | 開啟日志記錄 |
(config)# logging asdm informational | 定義ASDM日志的信息級別 |
(config)# clear logging asdm | 清除ASDM的日志 |
配置日志服務器:可以使用客戶端軟件查看收集日志。
命令 | 描述 |
(config)# username ren password 123 | 定義用戶名和密碼 |
(config)# logging enable | 開啟日志記錄 |
(config)# logging timestamp | 啟動時間戳 |
(config)# logging trap infomational | 定義日志記錄的信息級別 |
(config)# logging host insdie 192.168.1.1 | 定義客戶端主機地址 |
PC安裝firewall analyzer工具,輸入相應的用戶名和密碼即可。 | |
轉載于:https://blog.51cto.com/10978134/1904203
總結
以上是生活随笔為你收集整理的27.思科防火墙(ASA)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Excel行与列怎么相互转换
- 下一篇: Python资源