ASA防火墙

接口的名称
    -物理名称
    -逻辑名称   用来描述安全区域,例如inside、outside


1、接口的配置
        1)逻辑名称(把接口加入到一个安全区域-zone)
        2)安全级别
             范围(0-100)
              
    不同安全级别的接口之间访问时,遵从的默认规则
            允许出站(outbound)连接,从一个高安全级别的区域到一个低安全级别区域的访问
            禁止入站(inbound)连接,从低到高
            禁止相同安全级别的接口之间通信
3)ip地址
interface gigabitEthernet0
nameif inside
security-level 100
ip address 192.168.123.200 255.255.255.0


show nameif 查看接口摘要
show conn  查看连接状态表

流量不通  1、packet tracer模拟一个数据包穿越ASA的数据通道,并且跟踪ASA对这个数据包的整个处理过程
 2、对丢包进行debug,显示这个包具体被哪一个策略所拒绝
 3、提供可能丢包的原因
 4、可以在asdm和cli中工作

从内到位的Telnet会话是允许的,但为什么icmp不可以
因为ASA默认对icmp不提供状态化连接
ASA1(config)packet-tracer input inside icmp 192.168.123.1 8 0 196.1.1.1

能不能放行外部的流量
解决:使用acl
配置acl有两个作用
允许入站连接
控制出站连接的流量
(1)标准列表
access-list 名称 【standard】{permit|deny}目标地址 掩码 (正)
access-list wton standard permit 196.1.1.0 255.255.255.0

在接口上只能添加扩展列表
(2)扩展列表
access-list 名称 [extended]{permit|deny}协议 源地址 掩码 目标地址 掩码 [操作符]

access-list wton02 extended permit icmp 196.1.1.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list wton02 extended permit tcp196.1.1.0 255.255.255.0 192.168.123.0 255.255.255.0 eq telnet 

(3)调用列表



ASA的系统管理部分





(一)设备的基本管理
1、常规配置
1)主机名

2)域名后缀
domain-name xhlab.cn
3)域名和DNS服务器
    
    domain-name xhlab.cn
    【小提醒】
      ASA1(config)# show run dns
        DNS server-group DefaultDNS
        domain-name xhlab.cn

    ASA1(config)# dns domain-lookup dmz (先配置)--在DMZ区域启用DNS解析
    ASA1(config)# dns name-server 172.16.123.100
    ASA1(config)# sh run dns
        dns domain-lookup dmz
        DNS server-group DefaultDNS
        name-server 172.16.123.100
        domain-name xhlab.cn


4)时区

ASA1(config)# clock timezone Beijing +8  【东八区,加八个时区】
ASA1(config)# clock set 09:51:00 Mar 12 2016
ASA1(config)# show clock                    

远程连接-Telnet
 Telnet 192.168.123.0 255.255.255.0 inside
注意:在outside接口启用Telnet是不允许的
默认使用特权模式密码作为登录口令
查看到达ASA的流量

enable password *********
5)使用NTP同步时间

ntp可用来同步系统时间(不同步时区)  使用udp的123号端口  sntp:simple ntp ,无安全  ntpv3

ntp server 172.16.123.200 key 1 source dmz
ntp authentication-key 1 md5 cisco
ntp trusted-key 1
ntp authenticate

show ntp status

ASA1(config)# show clock detail


ntp server 配置
(config)clock timezone GMT +8
#clock set 20:30:40 31 oct 2016
(config)ntp master
ntp client 配置
(config)clock timezone GMT +8
(config) ntp server 192.168.0.1
ntpv3 支持认证


Linux中怎样同步系统时间:  ntpdate cn.pool.ntp.org ;hwclock-w同步时间并写入BIOS硬件时间
crontab -e 设置任务计划每天零点同步一次




6)ASA文件系统的管理

 

7)配置ASA启动时使用的OS

ASA1(config)# boot system disk0:/asa842-k8.bin

ASA1(config)# asdm image disk0:/asdm-645-206.bin

ASA1(config)# boot config disk0:/boottest.cfg      //配置启动时使用的配置文件



(二)管理事件和会话日志

1、日志系统介绍

(二)管理事件和会话日志

1、日志系统介绍
【提醒】ASA的日志默认是关闭的
    ASA1(config)# sh run logging 
  打开ASA的日志功能
    ASA1(config)# logging enable 

2. 日志信息的格式
日志的不同输出目的地


1)把严重级别为“errors”的日志输出到本地缓存
    loggin buffered errors
2)把严重级别为“errors”的日志输出到trap(日志服务器)
    ASA1(config)# logging host dmz 172.16.123.30
    ASA1(config)# loggin trap errors 
3)把严重级别为“errors”的日志输出到ASDM
    ASA1(config)# logging asdm errors

Event-List事件过滤技术

创建Event-List
ASA1(config)# logging list xhlabtest level errors
ASA1(config)# logging list  xhlabtest level informational class ids
使用Event-List技术对输出到console口的日志进行过滤
logging console xhlabtest


禁用日志106002  并且修改严重级别到errors
no logging message 106002
logging message 106002 level errors


给设备添加别名:(config)#alias exec asa telnet 172.16.123.200

让Telnet支持本地认证:
用本地用户认证的配置如下:
username admin password cisco123 privilege 15
aaa authentication telnet console local

ssh网管
hostname asafw
domain-name
crypto key generate rsa
SSH 10.1.1.1 255.255.255.255 Inside
SSH 0 0 DMZ 用本地用户认证的配置如下
username localadmin password cisco privilege 15
aaa authentication SSh console LOCAL

https网管
启用https网管
http server enable 
http 10.1.1.0 255.255.255.0 outside
仅仅只能使用asdm
asa需要一个服务器的证书
客户认证的可以使任何密码或者aaa的一次性密码
客户也可以使用证书认证在加上一次性密码
指定asdm image disk0:、asdm-*.bin
http tcp 80
https tcp 443

route outside 100.1.1.0 255.2555.255.0 196.1.1.1
route outside




router ospf 1
area 0
natwork 196.1.1.0 255.255.255.0 area 0



清空配置
     write erase  清空 startup config(启动配置文件)
     clear config  all  清空running config(当前加载的配置)

config模式下
ciscoasa# copy startup-config running-config(把启动配置加载到内存)
   reload重启ASA

创建子接口并启用VLAN封装
interface g0/0.1
vlan 4
nameif MDZ
security-level 50
ip address 192.168.1.100 255.255.255.0







ASA上配置nat(网络地址转换)
1基于对象(object)的nat
对象:主机、一个子网、地址范围、域名
对象可以多次调用,可以使配置更灵活
2、nat的分类

snat(源nat)---内网访问外网(共享上网)
dnat(目标nat)---服务器的发布(让外网用户访问内网架设的服务器)


为一个本地ip地址到一个全局ip地址创建一个临时的转换

CLI中 
object network xhlab-isp
range 196.1.1.210 196.1.1.220
object network xhlab-office
subnet 192.168.123.0 255.255.255.0
nat(inside,outside)dynamic xhlab-isp

静态(static)NAT

dynamic inside pat 动态内部pat,创建一个临时的动态转换,把一个本地地址和端口转换到一个全局地址和全局端口启用nat使内部用户能上网



object network LAN
nat (inside,outside)dynamic interface



静态(static)NAT
步骤1:设置ACL允许入站流量,访问指定的服务
access-list wton02 extended permit tcp any host 172.16.123.30 eq www 
步骤2:把列表调用到接口
access-group wton02 in interface outside
步骤3:对发布的服务器定义一个对象
object network WEB
        host 172.16.123.30
步骤4:对服务器对象做静态NAT
   object network WEB
        nat (dmz,outside) static interface service tcp 80 80 

遵循“原始包”与“转换包"的模式










版权声明:若无特殊注明,本文皆为《hornets's blog 飘落的黄蜂》原创,转载请保留文章出处。
本文链接:ASA防火墙http://hornets.pw/?post=5
正文到此结束

发表吐槽

你肿么看?

你还可以输入 250 / 250 个字

嘻嘻 大笑 可怜 吃惊 害羞 调皮 鄙视 示爱 大哭 开心 偷笑 嘘 奸笑 委屈 抱抱 愤怒 思考 日了狗

评论信息框

吃奶的力气提交吐槽中...

赶紧抢沙发咯