ASA 防火墙 工作原理与配置实例
2015-12-30 07:56
836 查看
ASA是状态化防火墙,会建立一个用户信息连接表(Conn),连接表中包含的相关信息有源IP地址、目的IP地址、IP协议(如TCP或UDP)、IP协议信息(如TCP/UDP的端口号、TCP序列号和TCP控制位)
一.工作原理
ASA安全算法原理会执行三项基本操作
1.访问控制列表—基于特定网络、主机和服务控制网络访问,有两个作用:允许入站连接和控制出站的流量
2.连接表—维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果conn表中没有将会丢弃
3.检查引擎—执行状态检查和应用层检查
工作原理:
二.ASA接口的安全级别
1.每个接口都会有一个安全级别,范围是0~100,数值越大安全级别越高。inside默认是100、outside默认是0。
不同安全级别接口直接访问遵从三项默认规则
允许出站—允许从高安全级别接口到低安全级别接口的流量通过
禁止入站—禁止从低安全级别接口到高安全级别接口的流量通过
禁止相同安全级别的接口直接通信
2.DMZ区的概念
DMZ俗称“隔离区”,也叫“非军事化区”,是位于企业内部网络和外部网络之间的一个网络区域,这个区域可以放置一些必须公开的服务器,如公司的WEB服务器或论坛等等
DMZ区的安全级别介于inside和outside之前,有6条默认访问规则,所以配置DMZ区时候就要配置安全级别了
inside可以访问outside
inside可以范围DMZ
DMZ可以访问outside
DMZ不能访问inside
outside可以访问DMZ
outside不能访问inside
三.ASA基本配置
配置主机名和特权密码都与思科路由器一样
配置远程登录密码:asa(config)# passwd mima
配置接口的名称:asa(config-if)# nameif name
说明:name为接口名称inside、outside或DMZ等
配置接口安全级别:asa(config-if)# security-level number
说明:number代表安全级别的范围数值0~100
如图所示:配置接口名称、安全级别、IP、静态路由和ACL的方法
四.ASA的远程管理
1.telnet方式可以实现内网到ASA的远程管理,如果是外网访问将无法通过telnet的方式进行管理
配置命令:asa(config)# telnet (network|ip-address) mask
interface-name
举例1:asa(config)# telnet 192.168.1.0 255.255.255.0 inside
表示允许192.168.1.0网段的客户机可以进行telnet管理
举例2:asa(config)# telnet 192.168.1.1 255.255.255.255 inside
表示只有192.168.1.1这个IP地址可以进行管理
2.SSH方式可以实现对ASA进行安全的远程管理,可实现通过外网连接管理,需要使用Secure CRT软件区连接
配置命令:asa(config)# host asa
配置主机名为asa
asa(config)# domain-name asadomain.com
配置域名asadomain.com
asa(config)# crypto key generate rsa modulus
1024 生成RSA密钥对,默认是1024位
asa(config)# ssh (network|ip-address) mask
interface-name
配置ssh允许接入
asa(config)# ssh 0 0 outside
表示可以从外部接口接入
asa(config)# ssh timeout 30
配置空闲超时时间,表示空闲30分钟就会退出,可以不配置
asa(config)# ssh version version-number
配置SSH版本,默认是同时支持版本1和版本2的
实验
实验步骤:
1.配置各个设备的IP地址、静态路由,这里路由器不讲解了,说一下ASA的配置
2.配置ASA访问规则
3.验证
五.ASA上NAT的应用
在ASA上NAT分4种类型:动态NAT、动态PAT静态NAT和静态PAT
1.动态NAT配置语法
asa(config)# nat (interface-name) nat-id local-ip mask
asa(config)# global (interface-name) nat-id
global-ip-global-ip
interface-name : 代表是要转换的接口是inside还是DMZ等等
nat-id:代表当前这个nat的名称,当配置nat转换的时候同一个转换关系nat-id必须相同
local-ip:表示要进行nat转换的内部局部地址的网段
mask:内部局部地址的掩码
global-ip-global-ip:表示内部全局地址池的范围
配置实验:
实验步骤:路由、IP地址这里不进行演示,下面说下配置动态NAT
2.动态PAT配置语法
asa(config)# nat (interface-name) nat-id local-ip mask
asa(config)# global (interface-name) nat-id interface
这里与动态NAT唯一的不同是不用写内部全局地址池的范围,因为是多个内部局部地址转换到一个内部全局地址,所以这里将转换直接应用到接口即可
配置实验:
实验步骤:路由、IP地址这里不进行演示,下面说下配置动态NAT
3.静态NAT配置语法
asa(config)# static (local-name,global-name)
global-ip local-ip
并且需要创建相应的ACL访问规则配置实验:
实验步骤:路由、IP地址这里不进行演示,下面说下配置静态NAT
4.静态PAT配置语法
asa(config)# static (local-name,global-name) {tcp|udp}
global-ip global-port
local-ip local-port
tcp|udp:代表要使用的是tcp协议还是udp协议
global-port:代表对应的协议端口号,内部全局地址和内部局部地址的协议端口号要一致
并且需要创建相应的ACL访问规则
实验步骤:路由、IP地址这里不进行演示,下面说下配置静态PAT
一.工作原理
ASA安全算法原理会执行三项基本操作
1.访问控制列表—基于特定网络、主机和服务控制网络访问,有两个作用:允许入站连接和控制出站的流量
2.连接表—维护每个连接状态信息,在已建立的连接中有效转发数据流量,入站流量如果conn表中没有将会丢弃
3.检查引擎—执行状态检查和应用层检查
工作原理:
二.ASA接口的安全级别
1.每个接口都会有一个安全级别,范围是0~100,数值越大安全级别越高。inside默认是100、outside默认是0。
不同安全级别接口直接访问遵从三项默认规则
允许出站—允许从高安全级别接口到低安全级别接口的流量通过
禁止入站—禁止从低安全级别接口到高安全级别接口的流量通过
禁止相同安全级别的接口直接通信
2.DMZ区的概念
DMZ俗称“隔离区”,也叫“非军事化区”,是位于企业内部网络和外部网络之间的一个网络区域,这个区域可以放置一些必须公开的服务器,如公司的WEB服务器或论坛等等
DMZ区的安全级别介于inside和outside之前,有6条默认访问规则,所以配置DMZ区时候就要配置安全级别了
inside可以访问outside
inside可以范围DMZ
DMZ可以访问outside
DMZ不能访问inside
outside可以访问DMZ
outside不能访问inside
三.ASA基本配置
配置主机名和特权密码都与思科路由器一样
配置远程登录密码:asa(config)# passwd mima
配置接口的名称:asa(config-if)# nameif name
说明:name为接口名称inside、outside或DMZ等
配置接口安全级别:asa(config-if)# security-level number
说明:number代表安全级别的范围数值0~100
如图所示:配置接口名称、安全级别、IP、静态路由和ACL的方法
四.ASA的远程管理
1.telnet方式可以实现内网到ASA的远程管理,如果是外网访问将无法通过telnet的方式进行管理
配置命令:asa(config)# telnet (network|ip-address) mask
interface-name
举例1:asa(config)# telnet 192.168.1.0 255.255.255.0 inside
表示允许192.168.1.0网段的客户机可以进行telnet管理
举例2:asa(config)# telnet 192.168.1.1 255.255.255.255 inside
表示只有192.168.1.1这个IP地址可以进行管理
2.SSH方式可以实现对ASA进行安全的远程管理,可实现通过外网连接管理,需要使用Secure CRT软件区连接
配置命令:asa(config)# host asa
配置主机名为asa
asa(config)# domain-name asadomain.com
配置域名asadomain.com
asa(config)# crypto key generate rsa modulus
1024 生成RSA密钥对,默认是1024位
asa(config)# ssh (network|ip-address) mask
interface-name
配置ssh允许接入
asa(config)# ssh 0 0 outside
表示可以从外部接口接入
asa(config)# ssh timeout 30
配置空闲超时时间,表示空闲30分钟就会退出,可以不配置
asa(config)# ssh version version-number
配置SSH版本,默认是同时支持版本1和版本2的
实验
实验步骤:
1.配置各个设备的IP地址、静态路由,这里路由器不讲解了,说一下ASA的配置
2.配置ASA访问规则
3.验证
五.ASA上NAT的应用
在ASA上NAT分4种类型:动态NAT、动态PAT静态NAT和静态PAT
1.动态NAT配置语法
asa(config)# nat (interface-name) nat-id local-ip mask
asa(config)# global (interface-name) nat-id
global-ip-global-ip
interface-name : 代表是要转换的接口是inside还是DMZ等等
nat-id:代表当前这个nat的名称,当配置nat转换的时候同一个转换关系nat-id必须相同
local-ip:表示要进行nat转换的内部局部地址的网段
mask:内部局部地址的掩码
global-ip-global-ip:表示内部全局地址池的范围
配置实验:
实验步骤:路由、IP地址这里不进行演示,下面说下配置动态NAT
2.动态PAT配置语法
asa(config)# nat (interface-name) nat-id local-ip mask
asa(config)# global (interface-name) nat-id interface
这里与动态NAT唯一的不同是不用写内部全局地址池的范围,因为是多个内部局部地址转换到一个内部全局地址,所以这里将转换直接应用到接口即可
配置实验:
实验步骤:路由、IP地址这里不进行演示,下面说下配置动态NAT
3.静态NAT配置语法
asa(config)# static (local-name,global-name)
global-ip local-ip
并且需要创建相应的ACL访问规则配置实验:
实验步骤:路由、IP地址这里不进行演示,下面说下配置静态NAT
4.静态PAT配置语法
asa(config)# static (local-name,global-name) {tcp|udp}
global-ip global-port
local-ip local-port
tcp|udp:代表要使用的是tcp协议还是udp协议
global-port:代表对应的协议端口号,内部全局地址和内部局部地址的协议端口号要一致
并且需要创建相应的ACL访问规则
实验步骤:路由、IP地址这里不进行演示,下面说下配置静态PAT
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 谷歌 Project Zero 团队宣布新政策,漏洞披露前将有完整的 90 天缓冲期
- 春节长假安全手册
- 地震避险自救常识
- Vista 防火墙 Vista Firewall Control v1.0.11 下载
- 路由器安全有关的目录
- 打造个性_安全的电脑系统图文教程2第1/2页
- 路由器内的安全认证
- 收集的ROS防火墙脚本
- javascript asp教程第十课--global asa
- 加强php的安全之一
- http www安全必备知识
- AutoRun病毒专杀防火墙 V4.39 绿色版
- SQLServer 2008中的代码安全(一) 存储过程加密与安全上下文
- C语言安全编码之数值中的sizeof操作符
- PHP安全上传图片的方法
- C#实现线程安全的简易日志记录方法
- 安装防火墙的12个注意事项