CISCO ASA防火墙

CIsco防火墙简介：

硬件防火墙优势:

1,.硬件防火墙功能更强大，且明确是为抵御威胁而设计的。

2.硬件防火墙比软件防火墙的漏洞少。

CISCO硬件防火墙技术应用于以下三个领域：

1.pix 500 系列安全设备

2.ASA 5500系列自适应安全设备

3.catalyst 6500系列交换机和cisco7600系列路由器的防火墙服务模块。

ASA安全设备的基本配置：

配置主机名，

hostname asa802

配置域名为asadomain.com

domain-name asadomain.com

配置特权密码：

enable password asa802

配置远程登录密码

password cisco

配置接口名字：

nameif name

安全级别：

security-level number

（number范围为0-100，值越大表示安全级别越高）

例如，配置接口E0/1的名字为inside ，安全级别为100，IP地址为10.1.1.1 /24

int e0/1

nameif inside

security-level 100

ip add 10.1.1.1 255.255.255.0

no shut

exit

配置路由

route interface-name network mask next-hop-address

配置远程管理接入：

1）

配置telnet接入：

telnet {network | ip -address } mask interface-name

配置空闲超时时间：

telnet timeoout minutes

2）配置SSH接入

1.为防火墙分配一个主机名和域名

2.生产RSA密钥对

crypto key generate rsa modulus 1024

可以指定modulus的大小为512,768,1024,2048，默认是1024，表示生产密钥对的长度

3.配置防火墙允许SSH接入

ssh 192.168.0.0 255.255.255.0  inside

ssh outside 0 0

4，配置其他可选

版本

ssh version 2 

ASA默认的用户名PIX 密码cisco

3）配置ASDM接入、

要使用asdm，首先要保证ASA的flash中有asdm映像，可以通过命令查看，dir

在ASA上配置使用ASDM的步骤如下

1.启用防火墙饿HTTPS服务器的功能

http server enable [port]

默认端口是443，允许指定另外的端口

2.配置防火墙允许HTTPS接入

http {network | ip-address} mask interface_name

3.指定ASDM映像的位置

asdm p_w_picpath disk0:/asdmfile

4.配置客户端登录使用的用户名和密码

username user password password privilege 15

客户端使用ASDM的步骤如下：

（1）从网站www.sun.com下载并安装JAVA  runtime environment (jre）,这里下载的文件时jre-6u10-windows-i586-p.exe

（2）在主机PC1上启动IE浏览器，然后输入https://+地址进行访问，

使用Asdm有两种方式

1.以应用程序的方式，单击install asdm launcher and run asdm 按钮，将下载文件保存，安装

2.以web方式，单击run asdm 或 run startup wizard按钮，访问

 

为出站流量配置网络地址转换

从高安全级别访问低安全级别需要配置动态NAT和GLOBAL命令

动态NAT是单向的，指定什么流量需要被转换

nat （interface_name）id local-ip mask

如果为所有地址实施NAT，配置命令为

nat (inside) 1 0  0

使用OUT接口的IP地址进行PAT转换

global (outside) 1 int

配置ACL

ASA防火墙使用ACL控制流量

标准ACL

access-list acl_name standard {peimit |deny} ip_addr mask

扩展ACL

access-list acl_name extended{permit |deny} protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port ]

将ACL应用于接口

access-group acl-name {in | out } interface interface-name

例如：禁止inside区域内部分主机192.168.0.1-192.168.0.15 访问outside

access-list in_to_out deny ip 192.168.0.0 255.255.255.240 any

access-list in_to_out permit ip any any

access-group in_to_out in int inside

因为启用了nat-control命令，从低安全级别访问高安全级别接口必须配置NAT，通常是静态STATIC（nat),静态nat是双向的

static (real_interface ,mapped_interface）mapped_ip real_ip

 

例如，DMZ区web主机IP地址192.168.1.1 映射为公网IP200.1.1.253

static (dmz,outside)200.1.1.253 192.168.1.1

要使外网的NAT主机能够访问DMZ区的web站点，配置ACL和Static NAT如下，

static (dmz,outside) 200.1.1.253 192.168.1.1

access-list out_to_dmz permit tcp any host 200.1.1.253 eq www

access-group out_to_dmz in int outside