Cisco?ASA防火墻基礎

1.Cisco?防火墻簡介:

硬件與軟件防火墻:

.軟件防火墻：

• Cisco新版本的IOS軟件提供了IOS防火墻特性集,它具有應用層智能狀態監測防火墻引擎.

• Cisco?IOS防火墻特性集提供了一個綜合的、內部的安全解決方案，被廣泛使用在基于IOS軟件的設備上。

.硬件防火墻：

硬件防火墻的優點：

• 硬件防火墻功能強大，且明確是為了抵御威脅而設計的；

• 硬件防火墻比軟件防火墻的漏洞少。

Cisco硬件防火墻技術應用于以下三個領域：

• PIX?500系列安全設備；

• ASA?5500系列自適應安全設備；

• Catalyst?6500系統交換機和Cisco?7600系統路由器的防火墻服務模塊（FWSM，Firewall?Services?Module）；

ASA安全設備:

Cisco?ASA?系列5500系列自適應安全設備室最新的cisco防火墻技術產品，它提供了整合防火墻，***保護系統（IPS，Intrusion?Prevention?System）、高級自適應威脅防御服務，其中包括應用安全和簡化網絡安全解決方案的***服務。

2.ASA的安全算法:

狀態化防火墻：ASA?是一個狀態化防火墻，狀態化防火墻維護一個關于用戶信息的連接表，稱為Conn表。

表中的關鍵信息：

• 源IP地址。

• 目的IP地址。

• IP協議（eg：TCP?或UDP）。

• IP協議信息（eg：TCP/UDP端口號,TCP序列號，TCP控制位）

默認情況下，ASA對TCP和UDP協議提供狀態化連接，但ICMP協議是非狀態化的。

狀態化防火墻進行狀態化處理的過程：

如果在Conn表中查找到匹配的連接信息，則流量被允許。

如果在Conn表中找不到匹配的連接信息，則流量被丟棄。

安全算法的原理:

ASA使用安全算法執行以下三項基本操作：

• 訪問控制列表：基于特定的網絡、主機和服務（TCP/UDP端口號）控制網絡訪問。

• 連接表：維護每個連接的狀態信息。安全算法使用此信息在已建立的連接中有效轉發流量。

• 檢測引擎：執行狀態檢測。檢測規則集是預先定義的，來驗證應用是否遵從每個RFC和其他標準。

穿越過程：

一個新來的TCP?SYN報文到達ASA,試圖建立一個新的連接;

ASA檢查訪問列表,確定是否允許連接;

ASA執行路由查詢,如果路由正確,ASA使用必要的會話信息在連接表(XLATE和CONN)中創建一個新條目;

ASA在檢測引擎中檢查預定義的一套規則,如果是已知應用,則進一步執行應用層檢測;

ASA根據檢測引擎確定是否轉發或丟棄報文.如果允許轉發,則將報文轉發到目的主機;

目的主機響應該報文;

ASA接收返回報文并進行檢測,在連接數據庫中查詢連接,確定會話信息與現有連接是否匹配;

ASA轉發屬于已建立的現有會話的報文

【ASA的應用層檢測是通過檢查報文的IP頭和有效載荷的內容，對應用層協議流量執行深層檢測，檢查應用層協議是否遵守RFC標準，從而檢測出應用層數據中的惡意行為】

3.ASA的基本配置:

配置主機名和密碼:

配置主機名：

ciscoasa>?enable

ciscoasa#?config?terminal

ciscoasa(config)#?hostname?ASA

配置密碼：

ASA(config)#?enable?password?xxx?????——配置特權密碼

ASA(config)#?passwd?xxx?????????????????????——配置遠程登錄密碼

接口的概念與配置:

接口的名稱：

• 物理名稱：物理名稱與路由器接口的名稱類似，通常用來配置接口的速率、雙工和IP地址

• 邏輯名稱：邏輯名稱用來描述安全區域。

接口的安全級別：

ASA的每個接口都有一個安全級別，范圍是0~100，數值越大其安全級別越高。

不同安全級別的接口之間互相訪問時，遵循的規則：

• 允許出站連接：即允許從高安全級別接口道低安全級別接口的流量通過，eg：從inside到outside時允許的；

• 禁止入站連接：即禁止從低安全級別接口到高安全級別接口的流量通過，eg：從outside到inside是禁止的；

• 禁止相同安全級別的接口之間通信。

接口的配置：

配置接口的名稱：

ciscoasa(config-if)#?nameif??name

配置接口的安全級別：

ciscoasa(config-if)#?security-level??number

number的范圍：?0~100

配置實例：

Ethernet?0/0接口的配置：

ciscoasa(config)#?int?e0/0

ciscoasa(config-if)#?nameif?outside

INFO:?Security?level?for?"outside"?set?to?0?by?default.

ciscoasa(config-if)#?security-level?0

ciscoasa(config-if)#?ip?add?172.16.1.1?255.255.255.0

ciscoasa(config-if)#?no?sh

Ethernet?0/1接口的配置：

ciscoasa(config)#?int?e0/1

ciscoasa(config-if)#?nameif?inside

INFO:?Security?level?for?"inside"?set?to?100?by?default.

ciscoasa(config-if)#?security-level?100

ciscoasa(config-if)#?ip?add?10.1.1.1?255.255.255.0

ciscoasa(config-if)#?no?sh

查看Conn表：

【最后一行信息表示一條TCP連接，其標志UIO表示該連接是“UP”并且允許入站和出戰雙向通信。】

配置ACL:

在ASA上配置ACL有兩個作用：一是允許入站連接；二是控制出戰連接的流量。

標準ACL：

asa（config）#access-list????acl-name???[standrad]???{permit?|?deny?}???ip_addr????mask

擴展ACL：

Asa（config）#access-list???acl_name???[extended]??{permit?|?deny?}???protocol???src_ip_addr???src_mask???dst_ip_addr??dst_mask???[operator???port]

將ACL應用到接口：

asa（config）#access-group???acl_name???{in?|?out}???interface???interface_name

路由器上的ACL使用反碼，而ASA上的ACL使用正常的掩碼。

標準ACL過濾流量時不能應用到接口，它應用在其他場合，eg：遠程訪問***中分離隧道的配置。

允許入站連接：

ciscoasa(config)#?access-list?out_to_in?permit?ip?host?172.16.1.1?host?10.1.1.1

ciscoasa(config)#?access-group?out_to_in?in?int?outside

控制出站連接的流量：

ciscoasa(config)#?access-list??in_to_out??deny??ip?10.1.1.0??255.255.255.0??any

ciscoasa(config)#?access-list??in_to_out??permit??ip??any??any

ciscoasa(config)#?access-group??in_to_out??in??int??inside

配置靜態路由:

命令格式：

Ciscoasa（config）#route????interface-name????network????mask????next-hop-address（嚇一跳地址）

其他配置:

ICMP協議：默認情況下，禁止ICMP報文穿越ASA是基本的安全性考慮。

• 保存running?configuration?配置到startup?configuration?：

ciscoasa(config)#?write?memory

ciscoasa(config)#?copy?running-config?startup-config

• 清除running?configuration?所有的配置

ciscoasa(config)#?clear?configure?all

• 清除running?configuration中指定命令的配置：

eg：清除所有access-list命令的配置：

• ciscoasa(config)#?clear?configure?access-list

eg：只刪除access-listin_to_out的配置：

ciscoasa(config)#?clear?configure?access-list?in_to_out

• 刪除startup-config配置文件：

ciscoasa#?write?erase

4.多安全區域:

DMZ區域概述:

• DMZ：稱為“隔離區”，也稱“非軍事化區”，是位于企業內部網絡和外部網絡之間的一個網絡區域。

• DMZ內通常放置一些不含機密信息的公用服務器，這樣來自外網的訪問DMZ中的服務，但不能訪問內網中的公司機密等信息。

DMZ的默認訪問規則：

• Inside可以訪問outside；

• Inside可以訪問DMZ；

• DMZ可以訪問outside；

• DMZ不能訪問inside；

• Outside不能訪問inside；

• Outside不能訪問DMZ

DMZ區域的基本配置:

配置接口（要點提示）：

分別配置R1、R2和R3模擬PC并啟用Telnet，驗證R1上可以Telnet到R2和R3，在R3上可以Telnet到R2但不能Telnet到R1，在R2上不能Telnet到R1和R3。

配置ACL實現R2能夠Telnet到R3。

使用show????conn????detail?命令查看conn表。

使用show????route?命令查看路由表。

總結

以上是生活随笔為你收集整理的Cisco ASA防火墙基础的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。