安全基础知识

CISCO ASA防火墙

CIsco防火墙简介:

硬件防火墙优势:

1,.硬件防火墙功能更强大,且明确是为抵御威胁而设计的。

2.硬件防火墙比软件防火墙的漏洞少。

CISCO硬件防火墙技术应用于以下三个领域:

1.pix 500 系列安全设备

2.ASA 5500系列自适应安全设备

3.catalyst 6500系列交换机和cisco7600系列路由器的防火墙服务模块。

ASA安全设备的基本配置:

配置主机名,

hostname asa802

配置域名为asadomain.com

domain-name asadomain.com

配置特权密码:

enable password asa802

配置远程登录密码

password cisco

配置接口名字:

nameif name

安全级别:

security-level number

(number范围为0-100,值越大表示安全级别越高)

例如,配置接口E0/1的名字为inside ,安全级别为100,IP地址为10.1.1.1 /24

int e0/1

nameif inside

security-level 100

ip add 10.1.1.1 255.255.255.0

no shut

exit

配置路由

route interface-name network mask next-hop-address

配置远程管理接入:

1)

配置telnet接入:

telnet {network | ip -address } mask interface-name

配置空闲超时时间:

telnet timeoout minutes

2)配置SSH接入

1.为防火墙分配一个主机名和域名

2.生产RSA密钥对

crypto key generate rsa modulus 1024

可以指定modulus的大小为512,768,1024,2048,默认是1024,表示生产密钥对的长度

3.配置防火墙允许SSH接入

ssh 192.168.0.0 255.255.255.0  inside

ssh outside 0 0

4,配置其他可选

版本

ssh version 2 

ASA默认的用户名PIX 密码cisco

3)配置ASDM接入、

要使用asdm,首先要保证ASA的flash中有asdm映像,可以通过命令查看,dir

在ASA上配置使用ASDM的步骤如下

1.启用防火墙饿HTTPS服务器的功能

http server enable [port]

默认端口是443,允许指定另外的端口

2.配置防火墙允许HTTPS接入

http {network | ip-address} mask interface_name

3.指定ASDM映像的位置

asdm p_w_picpath disk0:/asdmfile

4.配置客户端登录使用的用户名和密码

username user password password privilege 15

客户端使用ASDM的步骤如下:

(1)从网站www.sun.com下载并安装JAVA  runtime environment (jre),这里下载的文件时jre-6u10-windows-i586-p.exe

(2)在主机PC1上启动IE浏览器,然后输入https://+地址进行访问,

使用Asdm有两种方式

1.以应用程序的方式,单击install asdm launcher and run asdm 按钮,将下载文件保存,安装

2.以web方式,单击run asdm 或 run startup wizard按钮,访问

 

为出站流量配置网络地址转换

从高安全级别访问低安全级别需要配置动态NAT和GLOBAL命令

动态NAT是单向的,指定什么流量需要被转换

nat (interface_name)id local-ip mask

如果为所有地址实施NAT,配置命令为

nat (inside) 1 0  0

使用OUT接口的IP地址进行PAT转换

global (outside) 1 int

配置ACL

ASA防火墙使用ACL控制流量

标准ACL

access-list acl_name standard {peimit |deny} ip_addr mask

扩展ACL

access-list acl_name extended{permit |deny} protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port ]

将ACL应用于接口

access-group acl-name {in | out } interface interface-name

例如:禁止inside区域内部分主机192.168.0.1-192.168.0.15 访问outside

access-list in_to_out deny ip 192.168.0.0 255.255.255.240 any

access-list in_to_out permit ip any any

access-group in_to_out in int inside

因为启用了nat-control命令,从低安全级别访问高安全级别接口必须配置NAT,通常是静态STATIC(nat),静态nat是双向的

static (real_interface ,mapped_interface)mapped_ip real_ip

 

例如,DMZ区web主机IP地址192.168.1.1 映射为公网IP200.1.1.253

static (dmz,outside)200.1.1.253 192.168.1.1

要使外网的NAT主机能够访问DMZ区的web站点,配置ACL和Static NAT如下,

static (dmz,outside) 200.1.1.253 192.168.1.1

access-list out_to_dmz permit tcp any host 200.1.1.253 eq www

access-group out_to_dmz in int outside

 

全国客服电话: 400-001-7880
值班技术:
13330159245

                       

扫一扫,咨询客服