cisco ASA 防火墙安全算法原理和基本配置 (一)

一,ASA的安全算法

1)ASA就是一个状态化防火墙,其中有一个关于用户信息的连接表,称为conn表,表中的关键信息如

源ip地址

目的ip地址

ip协议(只针对Tcp和UDP,不对ICMP进行状态化检测,)

ip协议信息(tcp、udp的端口号,tcp序列号,tcp控制位)

2)安全算法的原理

原始报文--------ACL-----------XLATE、conn----------应用层检测--------返回报文

一个新来的报文到达ASA,ASA先检查ACL,确认是否允许,允许则通过,到达连接表conn,并在其中创建一个新条目,然后进行应用层检测,如果允许,则将报文转发给目的主机,这时目的主机进行响应,ASA接受到返回报文并进行检测,确定于conn表的信息匹配,则通过。

二,ASA的基本配置


145534590.jpg

1)连接防火墙登陆

与其他的 Cisco 设备一样,用 Console 线连接到防火墙,初始特权密码为空(配置了远程,则可以远程连接)

144253511.jpg

2)配置内部接口和 IP 地址

分别划分inside(内网)、outside(外网)、dmz(安全区)三个区域。

内网可访问外网及dmz内服务器(web),外网可访问dmz内服务器(web)

Dmz服务器分别开放80、21、3389端口。

145418646.jpg

3)配置路由和pc的远程连接

150508964.jpg

每个pc都配置vty,方便下面测试

默认是允许从高安全级别接口访问低安全级别接口的

禁止从低安全级别访问高安全级别的,例如 outside不能访问inside,因为outside级别最低,要 访问inside需要配置ACL。

禁止相同安全级别的接口之间通信。

用inside区域的pc1访问outside的pc3

151349310.jpg

用outside区域的pc3访问inside的pc1


152122901.jpg


不能访问吧,因为默认禁止低级别访问高级别,下面设置ACL后,就可以访问了

152213640.jpg

这下pc3接上了pc1

152340138.jpg

查看conn表

152544243.jpg

总结:ASA上配置ACL有连个作用:一是允许入站连接,二是控制出站连接的流量

3)动态NAT(使用于客户端)

指定需要进行地址转换的网段

asa(config)# nat (inside) 1 10.0.0.0 255.255.255.0

定义全局地址池

asa(config)# global (outside) 1 200.0.0.1-200.0.0.10

inside区域内的所有网段实施动态NAT 命令

asa(config)nat (inside) 1 0 0

153446703.jpg

4)动态PAT

指定需要进行地址转换的网段

asa(config)# nat (inside) 1 10.0.0.0 255.255.255.0

asa(config)# global (outside) 1 202.106.1.1

有是直接使用outside的接口ip地址进行转换

asa(config)# global (outside) 1 interface

154454784.jpg

154515701.jpg

5)静态NAT(发布内网的服务器,dmz区存放的是服务器,)

格式:static(源端口,目标端口)目标地址,源地址

static (dmz,outside) 201.10.10.10 192.168.2.2

access-list out_to_dmz permit ip host 172.16.16.2 host 201.10.10.10

access-group out_to_dmz in int outside

需要主意的是acl配置命令中的目的地址为映射的地址201.10.10.10 ,而不是真实的ip192.168.2.2,是一对一的固定转换,静态NAT发布到公网的服务器可以响应Internet客户端的连接,internet也可以向其发起连接。

160846127.jpg

6)静态PAT(多个服务器使用不同端口共享一个公网IP发布到Internet.

格式:static(源端口,目标端口)[tcp|upd] 目标地址 目标端口 源地址 源端口

static (dmz,outside) tcp 201.10.10.10 80 192.168.2.2 80

access-list out_to_dmz permit ip host 172.16.16.2 host 201.10.10.10

access-group out_to_dmz in int outside


161722843.jpg

161241103.jpg

你可能感兴趣的:(Cisco,asa,防火墙安全算法原理和基本配置)