如圖所示：?

inside主機基本配置

inside>en

inside#conf t

inside(config)#int f0/0

inside(config-if)#ip add 10.1.1.2 255.255.255.0

inside(config-if)#no shutdown

inside(config-if)#exit

inside(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

inside(config)#enable password cisco

inside(config)#line vty 0 4

inside(config-line)#pass

inside(config-line)#password cisco

inside(config-line)#login

inside(config-line)#exit

inside(config)#

outside主機基本配置

outside>en

outside#conf t

outside(config)#int f0/0

outside(config-if)#ip add 20.1.1.2 255.255.255.0

outside(config-if)#no shutdown

outside(config-if)#exit

outside(config)#ip route 0.0.0.0 0.0.0.0 20.1.1.1

outside(config)#enable pass cisco

outside(config)#line vty 0 4

outside(config-line)#password cisco

outside(config-line)#login

outside(config-line)#exit

outside(config)#

CISCO ASA配置

ciscoasa> en

Password:

ciscoasa# conf t

ciscoasa(config)# int e0/0

ciscoasa(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

ciscoasa(config-if)# security-level 100

ciscoasa(config-if)# ip add 10.1.1.1 255.255.255.0

ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int e0/1

ciscoasa(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

ciscoasa(config-if)# security-level 0

ciscoasa(config-if)# ip add 20.1.1.1 255.255.255.0

ciscoasa(config-if)# no shutdown

ciscoasa(config-if)#

基本測試

inside#ping 10.1.1.1

?

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 8/27/52 ms

inside#

outside#ping 20.1.1.1

?

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 20.1.1.1, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 12/34/64 ms

outside#

inside主機和outside主機都能ping通網關。

inside主機向outside主機發起telnet連接

inside#telnet 20.1.1.2

Trying 20.1.1.2 ... Open

?

User Access Verification

?

Password:

outside>en

Password:

outside#

ASA默認從高安全級別到低安全級別的訪問是允許的，telnet連接屬于tcp 連接，

ciscoasa# show conn detail

1 in use, 1 most used

Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,

???????B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump,

???????E - outside back connection, F - outside FIN, f - inside FIN,

???????G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,

???????i - incomplete, J - GTP, j - GTP data, K - GTP t3-response

???????k - Skinny media, M - SMTP data, m - SIP media, n - GUP

???????O - outbound data, P - inside back connection, q - SQL*Net data,

???????R - outside acknowledged FIN,

???????R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,

???????s - awaiting outside SYN, T - SIP, t - SIP transient, U - up

???????X - inspected by service module

TCP outside:20.1.1.2/23 inside:10.1.1.2/11001 flags UIO

outside#show users

????Line ??????User ??????Host(s) ?????????????Idle ??????Location

* ?0 con 0 ???????????????idle ????????????????00:00:00 ??

?130 vty 0 ???????????????idle ????????????????00:00:15 10.1.1.2

?

??Interface ???User ??????????????Mode ????????Idle ????Peer Address

從低安全級別到高安全級別的訪問，其結果是無法訪問。

outside#telnet 10.1.1.2

Trying 10.1.1.2 ...

% Connection timed out; remote host not responding

如果讓outside主機能夠訪問inside主機，需在防火墻上寫入站規則：

ciscoasa(config)# access-list out-to-in permit ip host 20.1.1.2 host 10.1.1.2

ciscoasa(config)# access-group out-to-in in interface outside

ciscoasa(config)#

測試

outside#telnet 10.1.1.2

Trying 10.1.1.2 ... Open

User Access Verification

?

Password:

inside>en

Password:

inside#

入站規則也可以這樣寫

ciscoasa(config)# access-list out-to-in permit tcp?host 20.1.1.2 host 10.1.1.2?eq 23

ciscoasa(config)# access-group out-to-in in interface outside

如果在ASA防火墻上做控制出站的規則，可以這樣寫

ciscoasa(config)# access-list in-to-out deny ip 10.1.1.0 255.255.255.0 any

ciscoasa(config)# access-list in-to-out permit ip any any

ciscoasa(config)# access-group in-to-out in interface inside

測試

inside#telnet 20.1.1.2

Trying 20.1.1.2 ...

% Connection refused by remote host

關于ICMP報文穿越ASA防火墻的實驗

?

從內部主機ping防火墻inside接口

R1#ping 10.1.1.1

?

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 4/20/36 ms

R1#

關閉到inside接口的ping

ciscoasa(config)# icmp deny any echo inside

測試

R1#ping 10.1.1.1

?

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

從內部主機，ping到ASA防火墻的inside接口，由于使用了ICMP ACL,所以導致ping失敗

?

查看ICMP的ACL

ciscoasa# show run icmp

??icmp unreachable rate-limit 1 burst-size 1

??icmp deny any echo inside

ciscoasa#

開啟到ASA防火墻的inside接口的ping

ciscoasa(config)# clear configure icmp

檢查是否可以再次ping到防火墻的inside接口

R1#ping 10.1.1.1

?

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 12/20/28 ms

R1#

配置防火墻的outside接口，使它拒絕所有Ping請求，而允許所有不可達的消息

ciscoasa(config)# icmp deny any echo outside

ciscoasa(config)# icmp permit any unreachable outside

測試

R2#ping 20.1.1.1

?

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 20.1.1.1, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

保存配置

??ciscoasa(config)# write memory

注意在GNS3上模擬ASA，保存配置的命令不可用。

默認情況下，禁止ICMP報文穿越ASA防火墻，在本拓撲中R1 ping R2是不通的，防火墻在outside接口上拒絕返回的ICMP報文。默認情況下，ASA對icmp協議無狀態化處理，即不會將ICMP流量存在Conn表中。

如果需要做排錯或維護任務，可暫時允許ICMP報文穿越ASA防火墻。

?

ciscoasa(config)# access-list aclicmp permit icmp any any

ciscoasa(config)# access-group aclicmp in interface outside

測試

R1#ping 20.1.1.2

?

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 20.1.1.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/56 ms

R1#

?

?

如何在ASA防火墻上配置靜態路由

ASA支持靜態和默認路由，動態路由

?

R1#conf t

R1(config)#int f0/0

R1(config-if)#ip add 10.1.1.2 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#enable password cisco

R1(config)#line vty 0 4

R1(config-line)#password cisco

R1(config-line)#login

R1(config-line)#exit

R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

R2>en

R2#conf t

R2(config)#interface f1/0

R2(config-if)#ip add 30.1.1.2 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#int f0/0

R2(config-if)#ip add 20.1.1.1 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#

R2(config)#enable password cisco

R2(config)#line vty 0 4

R2(config-line)#password cisco

R2(config-line)#login

R2(config-line)#exit

R3#conf t

R2(config)#ip route 0.0.0.0 0.0.0.0 30.1.1.1

?

?

R3(config)#int f0/0

R3(config-if)#ip add 20.1.1.2 255.255.255.0

R3(config-if)#no shu

R3(config-if)#no shutdown

R3(config-if)#exit

R3(config)#enable password cisco

R3(config)#line vty 0 4

R3(config-line)#password cisco

R3(config-line)#login

R3(config-line)#exit

R3(config)#ip route 0.0.0.0 0.0.0.0 20.1.1.1

測試

R1#telnet 30.1.1.2

Trying 30.1.1.2 ... Open

R1#telnet 20.1.1.2

Trying 20.1.1.2 ...

% Connection timed out; remote host not responding

連接R3主機，失敗。原因是ASA不知道20.1.1.0/24網段

在ASA防火墻上寫靜態路由

ciscoasa(config)# route outside 20.1.1.0 255.255.255.0 30.1.1.2

測試

R1#telnet 20.1.1.2

Trying 20.1.1.2 ... Open

?

User Access Verification

?

Password:

如果在防火墻上寫默認路由可以這樣寫

ciscoasa(config)# route outside?0 0 30.1.1.2

按照以上理論測試帶有DMZ區域的實驗。

總結：

防火墻技術分為三種：包過濾防火墻，代理防火墻，狀態包過濾；

包過濾防火墻：使用ACL控制進入或離開的網絡流量，ACL可以匹配包的類型或其他參數（如源IP地址，目的ip地址，端口號等）來制定。該類防火墻有以下不足，ACL制定和維護都比較困難；可以使用IP欺騙很容易繞過ACL;

代理防火墻：也叫做代理服務器。他在OSI的高層檢查數據包，然后和制定的規則相比較，如果數據包的內容符合規則并且被允許，那么代理服務器就代替源主機向目的地址發送請求，從外部主機收到請求后，在轉發給被保護的源請求主機。代理防火墻的缺點就是性能問題，由于代理防火墻會對每個經過它的包都會做深度檢查，即使這個包以前檢查過，所以對系統和網絡的性能都有很大的影響。

狀態包過濾防火墻：Cisco?ASA就是使用的狀態包過濾防火墻，該防火墻會維護每個會話的狀態信息，這些狀態信息寫在狀態表里，狀態表的條目有源地址，目的地址，端口號，TCP序列號信息以及每個tcp或udp的其他的標簽信息。所有進入或外出的流量都會和狀態表中的連接狀態進行比較，只有狀態表中的條目匹配的時候才允許流量通過。防火墻收到一個流量后，首先查看是否已經存在于連接表中，如果沒有存在，則看這個連接是否符合安全策略，如果符合，則處理后將該連接寫入狀態表；如果不符合安全策略，那么就將包丟棄。狀態表也叫Fast path，防火墻只處理第一個包，后續的屬于該連接的包都會直接按照Fast Path轉發，因此性能就有很高的提升。

防火墻功能和許可證：

防火墻出廠的時候自帶有一些基本的功能，如果需要增加一些額外的功能，那么就需要購買許可證（license）激活相應的功能。可以使用show version命令查看目前防火墻擁有的功能列表：

?

防火墻的許可證類型有：

Unrestricted（UR）--無限制的許可證使得該防火墻所能支持的所有特性全部打開。如無限制的活動連接數，打開防火墻所支持的所有端口，可以使用防火墻的Failover（故障切換功能）等等。

Restricted（R）--限制版，限制防火墻開啟的特性，比如限制活動連接數，使防火墻不支持Failover，限制防火墻支持的最大接口數等；

Failover（FO）--該版本使得防火墻可以作為Secondary設備參與Failover（故障切換）；

Failover-active/active（FO-AA）--該版本使得防火墻可以作為secondary設備參與active/active Failover ,同時還要求另一個防火墻使用UR版。

Cisco ASA 安全算法

ASA 處理TCP連接的安全算法

1.?一個內部主機的第一個IP數據包導致一個轉換槽的產生，這個信息會被保留在內存中，用來檢查以后的數據包，做地址轉換，然后防火墻利用TCP內的相關信息來建立一個連接槽

2.?這個連接被標記為“未完成”是一個TCP的半開連接。

3.?防火墻隨機產生一個用于連接的初始序列號，，并且將數據包轉發到外連接口。

4.?在這一步，防火墻期待從目的主機收到一個同步確認包（syn/ack）,然后防火墻將收到的包的相關信息依照連接槽內存儲的信息進行匹配，計算信息的先后順序，并將返回的數據包轉發到內部主機。

5.?內部主機通過發送一個ACK完成了連接建立和3次握手。

6.?防火墻上的連接槽被標記為connected或者active-established。這時就可以發送數據了。連接的“未完成”計數器也將被重置。

以上是防火墻處理TCP連接的安全算法。

ASA處理UDP連接的安全算法

1.?防火墻從內部主機收到第一ip數據包，在檢驗已經配置好的轉換設置后，防火墻將會創建一個轉換槽，它將保存這個信息在內存中用來檢查以后的數據包流。然后，防火墻利用UDP內的相關信息建立一個UDP連接槽。

2.?在用戶配置的UDP timeout時間內，防火墻將會維護這個UDP連接槽。但是當UDP連接槽的idle時間超出所配置的UDP timeout時間，就會從連接表中刪除。

3.?在UDP的timeout周期內，防火墻執行適應性安全算法（ASA）對 從目的主機收到的UDP數據包進行全狀態檢查。

4.?如果返回的UDP數據包完全匹配并且沒有超時，那么這個數據將被傳回內部主機。

最后要注意，ASA的所有安全策略都是應用到狀態連接中，因此要首先生成一個連接表，然后才會比較安全策略等內容。

UDP的一些特性

1.?UDP是一個不可靠（無連接的），但卻很高效的傳輸協議，其不可靠體現在它不提供傳輸的確認。

2.?偽造UDP數據包很容易，因為他沒有握手和序列的機制。由于沒有狀態機制，所以傳輸的發起者或者當前的狀態經常不確定。

3.?UDP不提供傳輸保障

4.?沒有連接的建立和中止。

5.?UDP沒有擁塞管理和避免機制

6.?使用UDP的服務通常被分為兩類：

?請求-回應，或稱之為乒乓服務。例如域名服務（DNS）

?流服務，例如視頻，VOIP，網絡文件系統（NFS）

配置接口參數：

1.?Security?level 對asa/pix來講，每個接口都必須有一個安全級別，安全級別是0到100之間的數字，0代表低安全級別，100代表高安全級別；

2.?默認情況下，所有從高安全級別接口到低安全級別接口的流量都是允許的，所有從低安全級別接口到高安全級別接口的流量都是被拒絕的，都需要使用ACL來允許想要允許的流量；當然，高安全級別接口到低安全級別接口的流量也可以通過ACL來控制。

3.?默認情況下，相同安全級別接口之間不允許通信，可以使用命令：

Hostname(config)#same-security-traffic permit inter-interface

允許相同安全級別接口之間互相通信：

4.?對于防火墻的任何接口，都必須配置以下內容：

Name

Ip address

Security level

靜態路由

在防火墻模式下，ASA支持靜態和默認路由，ASA只支持RIP和OSPF，因此如果你的網絡運行的是其他的路由協議，那么就要使用靜態路由，使用靜態路由可以節省CPU的負載。ASA在相同的接口，最多支持3條等價靜態路由。

Hostname(config)#route 接口名稱?目標網段?掩碼 下一跳地址

配置ACL

一個ACL是由多個訪問控制條目（Access Control Entries,ACE）組成，一個ACE指明一個permit或deny規則，一個ACE可以根據協議，指定的源地址和目的地址、端口號、ICMP類型等來定義，ACE的執行是按照順序執行的，一旦發現匹配的ACE,那么就不會再繼續往下匹配。

對于TCP和UDP連接，不需要使用ACL來允許返回的流量進入，因為防火墻的安全算法會生成一個連接表來允許這些流量的返回；對于無連接流量，比如ICMP，需要使用ACL來明確允許返回的流量進入防火墻，或者可以打開ICMP審查引擎。

關于ACL相關命令參考書上的命令。

多區域默認的訪問規則:

Inside可以訪問outside。

Inside可以訪問dmz

Dmz可以訪問outside

Dmz不能訪問inside

Outside不能訪問inside

Outside不能訪問dmz.

?

?

轉載于:https://blog.51cto.com/lwm666/1918877

總結

以上是生活随笔為你收集整理的Gns3模拟器配置Cisco ASA防火墙的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。