27.思科防火墙(ASA)
防火墙分软件防火墙与硬件防火墙。
v 软件防火墙:运行在IOS系统之上的一个应用,通过应用指定出入网规则。
v 硬件防火墙:功能更强大,漏洞少,状态化。
状态化可以理解为当用户通过该防火墙连接,那么防火墙会在本地生成一张连接表,当下次再来连接直接允许或拒绝。更快的通过防火墙,省去了一条一条查规则过的繁琐过程。
ASA是思科的防火墙产品,它是一台状态化防火墙。
默认情况下,ASA对TCP、UDP协议提供状态化连接,但ICMP是非状态化,不缓存。
ASA安全优先:状态换>ACL访问控制>默认策略。
ASA将防火墙默认将网络划分成三个区域:
v Inside区域:内网入口,优先级默认为100。
v Outside区域:外网入口,优先级模默认为0。
v DMZ区域:非军事化区域,优先级默认为50。一般用于存放WEB服务器。
默认策略:
v Inside区域可以访问DMZ区域和Outside区域网络。
v DMZ区域可以访问Outside区域网络。不可访问Inside区域网络。要想实现访问需要借助ACL。
v Outside区域不可访问Inside区域和DMZ区域网络。要想实现访问需要借助ACL。
ASA命令与交换路由设备命令区别:
|
项 |
区别 |
|
Telnet和SSH远程管理 |
必须定义允许网段 |
|
接口地址配置 |
必须定义接口名,和安全级别,默认inside为内接口,安全级别为100。Outside为外接口,安全级别为0。 |
|
路由 |
根据接口名定义方向。 |
|
ACL |
需要命令ACL,在全局模式应用于接口。掩码都为正掩码。 |
|
NAT |
根据内接口定义内网,根据外接口转换到外网。必须相同编号,编号0表示NAT豁免。 |
|
SSH默认账号密码 |
账号:pix 密码:passwd配置的密码。 |
思科ASA相关命令:
|
命令 |
描述 |
|
(config)# hostname 主机名 |
配置主机名 |
|
(config)# telnet 192.168.0.0 255.255.255.0 inside |
允许该网段Telnet远程防火墙 |
|
(config)# telnet timeout 5 |
配置Telnet的超时时间 |
|
(config)# domain-name asa.com |
配置SSH的域名 |
|
(config)# crypto key generate rsa modalus 1024 |
配置SSH的密钥算法强度 |
|
(config)# ssh 192.168.0.0 255.255.255.0 inside |
允许该网段SSH远程防火墙 |
|
(config)# ssh verion 2 |
配置SSH的版本 |
|
(config)# enable password 123 |
配置Enable密码 |
|
(config)# passwd 123 |
配置远程登录密码 |
|
(config-if)# nameif outside |
配置接口名 |
|
(config-if)# sercurity-level 100 |
配置接口安全级别 |
|
(config-if)# ip add 地址 掩码 |
配置接口地址 |
|
(config)# access-list 名字 permit 源IP 掩码 |
配置标准ACL |
|
(config)# access-list 名字 permit 协议 源IP 掩码 目标IP 掩码 eq 端口号 |
配置扩展ACL |
|
(config)# access-group 名字 in interface 接口名 |
应用ACL到接口 |
|
(config)# route接口名 目标网段 掩码 下一跳地址 |
配置静态路由 |
|
(config)# route outside 0 0 |
配置默认路由 |
|
(config)# nat((inside) 1 192.168.1.0 255.255.255.0 |
定义要NAT的私网地址 |
|
(config)# global (outside) 1 202.96.134.10-202.96.134.100 |
动态NAT |
|
(config)# global (outside) 1 interface(外网接口) |
PAT |
|
(config)# static (dmz,outside) 202.96.134.1 192.168.1.1 |
静态NAT |
|
(config)# static (dmz,outside) tcp interface 80 192.168.1.1 80 |
静态PAT(一般用于WEB发布) |
|
(config)# nat-control |
开启NAT控制 |
|
(config)# nat (inside) 0 access-list 名字 |
NAT豁免 |
|
# show xlate |
查看NAT转换情况 |
|
# clear xlate |
清除NAT转换情况 |
|
# show conn detail |
查看防火墙缓存表(conn表) |
|
# write memory |
保存配置到NV |
|
# write erase |
清除NV的配置 |
|
(config)# clear configure all |
清除running所有配置 |
|
(config)# clear configure access-list |
清除所有ACL的配置 |
注:
NAT控制:当网络经过防火墙时必须进行NAT转换。
NAT豁免:当开启NAT控制时,为了避免NAT控制,根据ACL定义来自某网段的流量经过防火墙时无需进行NAT转换。
思科防火墙的WEB管理方式叫做ASDM。
ASDM是一种图形化管理防火墙的方式。
部署ASDM步骤:
v 从TFTP服务器导入ASDM的镜像
# copy tftp flash
v 启动防火墙HTTPS服务
# http server enable
v 允许HTTPS接入
# http 192.168.1.0 255.255.255.0
v 指定ASDM镜像位置
(config)# asdm p_w_picpath disk 0:/asdm-602.bin
v 配置客户端远程登录用户名和密码
(config)# username a password 123 privilege 15
v PC安装JAVA环境,安装Fille,然后通过浏览器访问ASA即可。
思科设备日志收集步骤:
本地日志收集:
|
命令 |
描述 |
|
(config)# clock timezone peking 8 |
配置时区 |
|
(config)# clock set 10:39:00 21 june 2017 |
配置本地时间 |
|
(config)# logging enable |
开启日志记录 |
|
(config)# logging buffered informational |
设定日志记录的信息级别 |
|
# show logging |
查看日志 |
|
# clear logging buffer |
清除日志 |
配置ASDM日志:
|
命令 |
描述 |
|
(config)# logging enable |
开启日志记录 |
|
(config)# logging asdm informational |
定义ASDM日志的信息级别 |
|
(config)# clear logging asdm |
清除ASDM的日志 |
配置日志服务器:可以使用客户端软件查看收集日志。
|
命令 |
描述 |
|
(config)# username ren password 123 |
定义用户名和密码 |
|
(config)# logging enable |
开启日志记录 |
|
(config)# logging timestamp |
启动时间戳 |
|
(config)# logging trap infomational |
定义日志记录的信息级别 |
|
(config)# logging host insdie 192.168.1.1 |
定义客户端主机地址 |
|
PC安装firewall analyzer工具,输入相应的用户名和密码即可。 |
|
转载于:https://blog.51cto.com/10978134/1904203
27.思科防火墙(ASA)相关推荐
- 思科防火墙ASA配置案例
思科防火墙ASA配置案例 拓扑图 要求:通过思科防火墙ASA使用内网用户可以访问外网与DMZ中的服务器,DMZ中的服务器可以发布到网络中,供外网用户访问 一.思科模拟防火墙的使用 因为我们没有真实的设 ...
- 思科防火墙PIX ASA精华配置总结
思科防火墙 PIX ASA 配置总结一(基础): 思科防火墙已经从PIX发展到ASA了,IOS也已经从早期的6.0发展到7.2.但总体的配置思路并没有多少变化.只是更加人性化,更加容易配置和管理了. ...
- 思科防火墙ASA5520配置
思科防火墙ASA5520配置: 目的:1.内网可以上网 2.内网可以访问DMZ区域的服务器 3.外网可以通过公网IP访问DMZ区域的服务器 要求:1.内网的网段192.168.10.0 2.DMZ的网 ...
- 思科防火墙多端口映射多端口
分公司下面有一台思科防火墙因业务需要做多端口映射多端口,没有购置网页端,故配置起来有一些问题.最终算是解决了,大概是解决了,为什么大概?因为端口是通了,但是开发那端说有跟普通的端口映射有一些区别.ma ...
- 思科防火墙5510打开端口_输入验证问题打开了思科防火墙漏洞
思科防火墙5510打开端口 标准安全性实践是任何产品的基准,即使是最初级的软件开发人员也应了解任何项目的最低安全性要求. 然而,诸如缺少输入验证之类的简单问题仍然困扰着整个行业. 例如,在1.2.5之 ...
- 思科防火墙,h3c三层交换机配置笔记
h3c: 进入超级终端 system-view 进入配置模式 1.交换机默认有个一vlan vlanID 为1 2.vlan划分 用vlan {vlanID} 新建立一个vlan,进入相应vlan , ...
- 思科认证安全工程师一分钟学会思科防火墙的基本配置 实用收藏
思科认证安全工程师一分钟学会思科防火墙的基本配置 实用收藏 Internet成为功能强大的新技术焦点,极大地增强了企业与客户.供应商.合作伙伴及远程雇员的通信.用户必须确信网络业务,尤其是公共网络上的 ...
- 思科修复 ASA/FTD 防火墙高危缺陷,已遭利用
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 思科修复了一个高危且已遭利用的只读路径遍历漏洞 (CVE-2020-3452),它影响两款防火墙产品的 web 服务接口. 如遭成功利 ...
- CISCO ASA思科防火墙常用命令
CISCO ASA防火墙常用命令有:nameif.interface.ip address.nat.global.route.static等. global 指定公网地址范围:定义地址池. Globa ...
最新文章
- ICRA2021|嵌入式系统的鲁棒单目视觉惯性深度补全算法
- 全面工作总结的写作技巧和写作要点
- wxWidgets:wxAUI 概述
- 9、mysql数据表中数据的查询(1)
- 【2020年高被引学者】 韩家炜 伊利诺伊大学香槟分校
- 国家标准GB下载网站汇总
- 大地测量学白塞尔大地主题解算
- 四大国有银行股份制改革的确切时间
- hadoop功能测试
- java获取异常信息
- 饥荒中的聊天表情(Emoticons In Don‘t Starve Together)
- AQS——CLH队列维护方法详解
- kronecker delta函数
- SNARK Design
- 简化版SAAS——业务开单选择材料,选择的是库存是40的货品,实际出库的是-38的货品
- 2021计算机excel,excel2021版本
- Windows11 Docker-Compose 因为挂载问题报错
- 移动端滑动事件---实战笔记
- 【ABC算法】人工蜂群算法原理及代码
- 外包和直招的区别,谁能学到东西