asa基本應用和配置

1、ASA基本應用和配置,本講要點,1.ASA防火墻基本配置（ASDM與SSH）2.NAT與ACL3.VPN配置（remote vpn）,1.ASA防火墻基本配置,ASDM的安裝與使用利用ASDM來配置SSH配置ASA的基本參數(shù),1.1 ASDM的安裝與使用,配置內(nèi)部接口和IP 地址設置允許用圖形界面來管理 ASA防火墻打開瀏覽器，訪問防火墻內(nèi)部接口的 IP 地址登陸ASDM,配置內(nèi)部接口和IP 地址,設置允許用圖形界面

2、來管理 ASA防火墻,打開瀏覽器，輸入防火墻內(nèi)部接口的 IP 地址,開始安裝過程,登陸ASA 防火墻,1.2 利用ASDM來配置SSH,允許SSH方式登陸防火墻添加SSH用戶定義SSH用本地數(shù)據(jù)庫驗證,允許ssh 方式登錄防火墻,增加用戶,,定義ssh 用本地數(shù)據(jù)庫驗證,1.3 配置ASA的基本參數(shù),配置接口參數(shù)配置路由參數(shù),接口配置,路由配置,單擊 Routing->Static Route->Add,2.

3、NAT與ACL,NAT原理及分類靜態(tài)NAT的配置方法動態(tài)NAT與PAT的配置方法,2.1 NAT原理及分類,ACL定義NAT原理,Firewall Overview,防火墻技術分為三種：包過濾防火墻、代理服務器和狀態(tài)包過濾；包過濾防火墻，使用 ACL 控制進入或離開網(wǎng)絡的流量，ACL 可以根據(jù)匹配包的類型或其他參數(shù)（如：源 IP地址、目的 IP地址、端口號等）來制定； 該類防火墻有以下不足，ACL 制定的維護比較困難；可以使用

4、 IP欺騙很容易的繞過 ACL； 代理防火墻，也叫做代理服務器。它在 OSI 的高層檢查數(shù)據(jù)包，然后和制定的規(guī)則相比較，如果數(shù)據(jù)包的內(nèi)容符合規(guī)則并且被允許，那么代理服務器就代替源主機向目的地址發(fā)送請求，從外部主機收到請求后，再轉(zhuǎn)發(fā)給被保護的源請求主機。 代理防火墻的主要缺點就是性能問題，由于代理防火墻會對每個經(jīng)過它的包都會深度檢查，即使這個包以前檢查過，所以說對系統(tǒng)和網(wǎng)絡的性能都有很大的影響。,Firewall Overview,狀

5、態(tài)包過濾防火墻，Cisco ASA就是使用的狀態(tài)包過濾防火墻，該防火墻會維護每個會話的狀態(tài)信息，狀態(tài)信息寫在狀態(tài)表里，狀態(tài)表的條目有：源地址、目的地址、端口號、TCP 序列號信息以及每個 TCP 或 UDP的額外的標簽信息。所有進入或外出的流量都會和狀態(tài)表中的連接狀態(tài)進行比較，只有狀態(tài)表中的條目匹配的時候才允許流量通過。 防火墻收到一個流量后，首先查看是否已經(jīng)存在于連接表中，如果沒有存在，則看這個連接是否符合安全策略，如果符合，則處理

6、后將該連接寫入狀態(tài)表；如果不符合安全策略，那么就將包丟棄。 狀態(tài)表，也叫 Fast Path，防火墻只處理第一個包，后續(xù)的屬于該連接的包都會直接按照 Fast Path 轉(zhuǎn)發(fā)，因此性能就有很高的提升,ACL,一個 ACL 是由多個訪問控制條目（Access Control Entries，ACE）組成一個 ACE 指明一個 permit 或 deny規(guī)則，可以根據(jù)協(xié)議、指定的源地址和目的地址、端口號、ICMP 類型等來定義ACE

7、的執(zhí)行是按照順序執(zhí)行的，一旦發(fā)現(xiàn)匹配的 ACE，那么就不會再繼續(xù)往下匹配,三種主要的訪問列表,標準訪問控制列表 擴展訪問控制列表 命名訪問控制列表,標準訪問控制列表,標準訪問列表（standard access lists）：只使用源IP地址來做過濾決定 access-list vpn_acl standard permit 192.168.142.0 255.255.255.0,擴展訪問控制列表,擴展訪問列表（extended

8、 access lists）：比較源IP地址和目標IP地址，三層的協(xié)議字段，四層端口號來做過濾決定。access-list dmz-edi extended permit tcp host 192.168.151.11 host 192.168.132.18 eq www,命名訪問控制列表,命名訪問列表（named access lists）：主要優(yōu)點是：1、解決ACL號碼不足的問題；2、可以自由的刪除ACL中的一條語句，而不必刪

9、除整個ACL。命名的ACL的主要不足之處在于無法實現(xiàn)在任意位置加入新的ACL條目。,NAT（Network Address Translation）,Static NAT（靜態(tài)地址轉(zhuǎn)換）Dynamic NAT（動態(tài)地址轉(zhuǎn)換）PAT（端口地址轉(zhuǎn)換）,Static NAT（靜態(tài)地址轉(zhuǎn)換）,將內(nèi)部本地地址與內(nèi)部全局地址進行一對一的明確轉(zhuǎn)換主要用在內(nèi)部網(wǎng)絡中有對外提供服務的服務器，如WEB、MAIL服務器時服務器的IP地址必須采用靜

10、態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務該方法的缺點是需要獨占寶貴的合法IP地址。即，如果某個合法IP地址已經(jīng)被NAT靜態(tài)地址轉(zhuǎn)換定義，即使該地址當前沒有被使用，也不能被用作其它的地址轉(zhuǎn)換。,Dynamic NAT（動態(tài)地址轉(zhuǎn)換）,動態(tài)地址轉(zhuǎn)換也是將內(nèi)部本地地址與內(nèi)部全局地址進行一對一的轉(zhuǎn)換。從內(nèi)部全局地址池中動態(tài)地選擇一個未使用的地址對內(nèi)部本地地址進行轉(zhuǎn)換該地址是由未被使用的地址組成的地址池中在定義時排在最前面的一個當數(shù)據(jù)傳輸

11、完畢后，路由器、防火墻將把使用完的內(nèi)部全局地址放回到地址池中，以供其它內(nèi)部本地地址進行轉(zhuǎn)換。但是在該地址被使用時，不能用該地址再進行一次轉(zhuǎn)換。,PAT（端口地址轉(zhuǎn)換）,端口地址轉(zhuǎn)換（Port Address Translation，PAT）首先是一種動態(tài)地址轉(zhuǎn)換。路由器、防火墻將通過記錄地址、應用程序端口等唯一標識一個轉(zhuǎn)換。通過這種轉(zhuǎn)換，可以使多個內(nèi)部本地地址同時與同一個內(nèi)部全局地址進行轉(zhuǎn)換并對外部網(wǎng)絡進行訪問。對于只申請到少量I

12、P地址甚至只有一個合法IP地址，卻經(jīng)常有很多用戶同時要求上網(wǎng)的情況，這種轉(zhuǎn)換方式非常有用。,2.2 靜態(tài)NAT的配置方法,靜態(tài)NAT,hostname(config)# static (inside,outside) tcp 209.165.201.3 ftp 10.1.2.27 ftp netmask 255.255.255.255 hostname(config)# static (inside,outside) tcp

13、209.165.201.3 http 10.1.2.28 http netmask 255.255.255.255 hostname(config)# static (inside,outside) tcp 209.165.201.3 smtp 10.1.2.29 smtp netmask 255.255.255.255,2.3 動態(tài)NAT,動態(tài)NAT,hostname(config)# nat (inside) 1 1

14、0.1.2.0 255.255.255.0 hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10,2.3 PAT的配置方法,PAT,hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0 hostname(config)# global (outside) 1 209.165.201.3-

15、209.165.201.4 hostname(config)# global (outside) 1 209.165.201.5,3.VPN配置（remote vpn）,VPN原理與常用VPN技術分類配置VPN服務器（remote vpn）vpn客戶端連接與調(diào)試,3.1 VPN原理與常用VPN技術分類,VPN（Virtual Private Network）在公用網(wǎng)絡中,按照相同的策略和安全規(guī)則, 建立的私有網(wǎng)絡連接遠程

16、訪問的VPN站點到站點的VPNSSL VPNVPN=加密＋隧道,3.2配置VPN服務器（remote vpn）,Configuring InterfacesConfiguring ISAKMP PoliciesConfiguring an Address PoolAdding a UserCreating a Transform SetDefining a Tunnel GroupCreating a Dynamic

17、Crypto Map Creating a Crypto Map Entry to Use the Dynamic Crypto Map,Configuring Interfaces,hostname(config)# interface ethernet0hostname(config-if)# ip address 10.10.4.200 255.255.0.0hostname(config-if)# nameif outsi

18、de,Configuring ISAKMP Policies,hostname(config)# isakmp policy 1 authentication pre-sharehostname(config)# isakmp policy 1 encryption 3deshostname(config)# isakmp policy 1 hash shahostname(config)# isakmp policy 1 gro

19、up 2hostname(config)# isakmp policy 1 lifetime 43200hostname(config)# isakmp enable outside,Configuring an Address Pool,hostname(config)# ip local pool testpool 192.168.0.10-192.168.0.15,Adding a User,hostname(config)#

20、 username testuser password 12345678,Creating a Transform Set,hostname(config)# crypto ipsec transform set FirstSet esp-3des esp-md5-hmac,Defining a Tunnel Group,hostname(config)# tunnel-group testgroup type ipsec-raho

21、stname(config)# tunnel-group testgroup general-attributeshostname(config-general)# address-pool testpoolhostname(config)# tunnel-group testgroup ipsec-attributeshostname(config-ipsec)# pre-shared-key 12345678,Creating

22、 a Dynamic Crypto Map,hostname(config)# crypto dynamic-map dyn1 1 set transform-set FirstSethostname(config)# crypto dynamic-map dyn1 1 set reverse-route,Creating a Crypto Map Entry to Use the Dynamic Crypto Map,hostnam