ASA防火墙配置注意事项
注意:
- 防火墙默认封装dot1q
- 有nat-control这条命令的如果不做nat就不会通
- ASA防火墙只有子网掩码,不支持反掩码
- 做实验为了能看到效果在outside接口关联一个permit any any的ACL,但现实环境一定不能这样做,否则,这个防火墙没有任何意义。
- 防火墙对到达自己的流量不起作用,只对初始化流量起作用,也就是说ACL并不能拒绝流量的到达防火墙,对返回的流量也不起作用,因为返回的流量不是初始化流量,防火墙就不会查看访问控制列表,只看状态话信息。(比如说在outside接口in方向关联一个permit any any的ACL,然后在inside接口的in方向关联一个deny any any 的ACL,这时候也是可以通的,因为一旦穿越了防火墙,防火墙就有了它的状态化信息,就不会再看ACL)
既然ACL不能控制抵达防火墙的流量,那么可以通过以下命令进行控制
Icmp permit anyecho-reply------用来对ping包的控制
6.由于防火墙是查看状态化信息来放行TCP和UDP流量的,所以像ICMP,ESP,GRE这些没有状态化信息的协议流量是回不来的
ACL
清除ACL计数器--clear access-list xxx counters
基于时间的ACL--time-range xxx
-绝对时间absolute
-相对时间periodic
然后关联到相关的ACL上
在编辑ACL时,access-list aaa line 1 (/remark后面可以跟标记信息)extendedpermit ….
access-list aaa line 2 extended permit ….
access-list aaa line 3 extended permit ….
如果要在2和3中间插一条,只需写一条line3就可以代替之前的line3然后依次后推
NAT
ASA防火墙9以上的版本抛弃了以前的NAT配置命令,改成了object-nat 和 twice-nat两种
Object-nat(又叫做自动NAT)
objectnetwork insidehost
hostx.x.x.x
nat (inside,outside) staticy.y.y.y-----------------------------静态NAT
所有从内到外的来自主机x.x.x.x的流量地址会转化成y.y.y.y
objectnetwork insidenet
subnetx.x.x.x n.n.n.n
nat (inside,outside) dynamic interface--------------------------PAT过载
相当于PAT过载,所有来自x.x.x.x n.n.n.n网段的内部流量都会被动态nat以外部的接口地址访问
Twice-nat(又叫做手动NAT)-----更加强大
objectnetwork insidenet2
range192.168.1.3 192.168.1.6
object-groupnetwork outsideaddresses2
network-object172.16.1.1
networkobject 172.16.1.5
network-object172.16.1.3
network-object172.16.1.10
nat (inside,outside)source static insidenet2 outsideaddresses2 ---------地址池NAT
这里内部的insidenet2的网络地址都会被按序一一转化成outsideaddress2中的地址
object-groupnetwork target-real
network-object62.48.88.0 255.255.255.248
network-object62.48.88.12 255.255.255.252
nat(inside,outside) source static insidenet2 outsideaddresses2 destination statictarget-real targetreal
这里会将insidenet2的地址静态转化成outsideaddress2(但这里只会将目的地址是 target-real 的流量做地址转换)
object-groupnetwork target-mapped
network-object10.48.88.0 255.255.255.248
network-object10.48.88.8 255.255.255.252
nat(inside,outside) source static insidenet2 outsideaddresses2 destinationstatic target-mapped target-real
这里会将insidenet2的地址静态转化成outsideaddress2。目的地址也会被做出相应的转换
交换
防火墙与交换机相连,接口需要封装dot1q和相应的VLAN,由于防火墙默认封装dot1q,所以只需要在接口下注明VLAN即可
路由
静态路由:route outside/inside(指定出接口) 0.0.0.0 0.0.0.0 192.168.1.1
Rip: 和路由器配置一样
rip认证
路由器端:
全局先配置钥匙链----key-chain asa
配置key-id---------------key 1
设置key------------key-string cisco
在接口上设置认证模式:ip rip authentication mode md5
在接口上设置认证钥匙链:ip rip authentiaction key-chainasa
防火墙端:
在接口上设置认证模式:ripauthentication mode md5
在接口上启用key-id和钥匙:ripauthentication key cisco key_id 1
OSPF(路由的配置和路由器一样)
认证
路由器端配置
在接口下选择MD5:ip ospf authentication message-digest
在接口下配置MD5密钥:ip ospf message-digest-key 1md5 cisco
防火墙端的配置:
在接口下配置MD5密钥:ospfmessage-digest-key 1 md5 cisco
在接口下选择MD5:ospfauthentication message-digest
视频中的配置有误,配置完成后过一会OSPF邻接关系会自动DOWN掉,应该是没有指定具体key-id,防火墙默认选择了key-id=0和路由器的1不匹配的原因。
state changes from FULL to DOWN reason Dead timer expired虽然提示的原因是失效计时器到时了,但不是因为hello和dead时间间隔的原因,还是认证失效后,无法继续建立邻接关系,失效时间一到就、down掉了。
在路由器上telnet时现在的高版本的ISO映像需要加一条transport input命令