1 Cisco ASA基础

Cisco ASA基础

一 防火墙概述

·防火墙的概念

防火墙(英文：firewall)是一项协助确保信息安全的设备，会依照特定的规则，容许或是限制传输的数据经过。防火墙能够是一台专属的硬件也能够是架设在通常硬件上的一套软件

一种位于内部网络与外部网络之间的网络安全系统

·防火墙的种类

从工做模式分为：

1路由模式防火墙：有路由功能，可充当网关

2透明模式防火墙：有交换功能，不能充当网关

从工做原理分为：常见的防火墙类型

1应用代理型防火墙：通常都是软件防火墙；如思科的IOS+ACL、ISA等

2包过滤型防火墙：彻底根据ACL进行访问控制；ACL容许就放行，不容许就丢弃

3状态监测型防火墙：是包过滤型防火墙的补充；根据Conn表进行访问控制；如ASA

二 Cisco硬件防火墙简介

·Cisco硬件防火墙系列

Cisco硬件防火墙技术应用于如下三个领域

1 PIX 500系列安全设备

2 ASA 5500系列自适应安全设备

3 Catalyst 6500系列交换机和Cisco 7600系列路由器的防火墙服务模块

·ASA安全设备

Cisco ASA 5500系列安全设备室最新的Cisco防火墙技术产品；它提供了整合防火墙、***保护系统（IPS）、高级自适应威胁防护服务，其中包括应用安全和简化网络安全解决方案的×××服务

常见型号：

ASA 5505：适用于小型企业、分公司和企业远程办公环境，设备成本低，易于部署，集成八个10/100端口快速以太网交换机

ASA 5510：适用于中型企业、分公司企业环境，设备成本低，易于部署，具备高级安全和网络服务

ASA 5520：适用于中型企业，具备模块化、高性能网络中的高可用性主动/主动服务，并能链接千兆以太网设备

ASA 5540：为大中型企业和服务提供商提供高密度、主动/主动高可用性服务和千兆以太网链接，设备具备高可靠性和高性能

ASA 5550：用于大型企业和服务提供商网络的高性能设备，千兆级提供高达1.2Gb/s的防火墙吞吐量，具备主动/主动高可用性服务、光纤和千兆位以太网链接性

ASA 5580：用于大型企业、数据中心和运营商网络，提供万兆位以太网链接；分为ASA 5580-20和ASA 5580-40

·ASA的安全算法

状态防火墙

ASA是一个状态防火墙；状态防火墙维护一个关于用户信息的链接表，称为Conn表；默认状况下，ASA对TCP和UDP协议提供状态化链接，但对ICMP协议时非状态化的；状态防火墙使用安全算法处理数据包

安全算法的原理

ASA使用安全算法执行如下三项基本操做

1访问控制列表：基于特定的网络、主机和服务（TCP/UDP端口号）控制网络访问

2链接表：维护每一个链接的状态信息；安全算法使用此信息在已创建的链接中有效转发流量

检测引擎

3执行状态检测和应用层检测：检测规则集是预先定义的，来验证应用是否听从每一个RFC和其余标准

数据报文穿越ASA的过程

如图

1 PC发送一个TCP SYN报文到达ASA，试图创建一个新的链接

2 ASA检查访问列表，肯定是否容许链接

3 ASA执行路由查询，若是路由正确，ASA使用必要的会话信息在链接表（xlate和conn表）中建立一个新条目

4 ASA在检测引擎中检查预约义的一套规则，若是是已知应用，则进一步执行应用层检测

5 ASA根据检测引擎肯定是否转发或丢弃报文。若是容许转发，则将报文转发到目的主机

6目的主机响应该报文

7 ASA接收返回报文并进行检测，查询链接肯定会话信息与现有链接是否匹配

8 ASA转发属于已创建的现有会话的报文；不会再检查访问列表

三 ASA的基本配置

ASA设备的配置与交换机、路由器的配置基本相似；也分为用户模式、特权模式、全局配置模式、接口模式；首次配置实用console线与PC连接，并使用终端链接进行配置

·使用GNS3模拟ASA

这里使用GNS3模拟器进行演示；有关GNS3的使用，详见http://blog.sina.com.cn/itit0

添加ASA设备

打开GNS3，点击编辑，选择首选项

选择图中所示选项，添加ASA模块和内核，最后单击OK

设置好后ASA设备能够拖进工做区了

双击ASA，将接口配置为pcnet

而后单击开机后弹出以下图所示，不要关闭，最小化便可

最后再双击ASA，弹出配置好的终端链接窗口能够开始配置了

·配置主机名和密码

·接口的概念与配置

A接口的名称：ASA的一个接口一般有两种名称

1物理名称

物理名称与路由器接口名称相似，如Ethernet0/0、Ethernet0/1等，简写为E0/0、E0/1；一般用来配置接口的速率、双工、和IP地址等

ASA 5510及以上型号还有专门的管理接口用于管理目的。如management0/0

2逻辑名称

逻辑名称用于大多数配置命令，如配置ACL、配置路由等使用的命令中都有用到逻辑名称；逻辑名称用来描述安全区域

B接口的安全级别：ASA的每一个接口都有一个安全级别，范围是0-100，数值越大其安全级别越高；当接口逻辑名称配置为inside时，其安全级别自动设置为100；而配置其余接口名称时，安全级别都为0，固然能够手动指定安全级别

不一样安全级别的接口之间互相访问时，有一下默认规则

1容许出站（outbound）链接，即容许从高安全级别接口到低安全级别接口的流量经过

2禁止入站（inbound）链接，即禁止从低安全级别接口到高安全级别接口的流量经过

3禁止相同安全级别的接口之间通讯（经过设置能够更改默认，容许通讯）

C接口的配置

1配置命令语法

配置接口的名称： nameif name

配置接口的安全级别：security-level number

查看接口名称：show nameif

查看接口信息(ip)：show int ip bri

查看Conn表：show conn摘要信息、或show conn detail详细信息

注：show命令在任何模式下均可以使用

2配置实例

如图：分别开启R1和R2的telnet，R1能够链接R2，但R2不能链接R1

Ethernet0/0接口的配置：高级别

Ethernet0/1接口的配置：低级别

注意：若是ASA的型号是5505，则不支持在物理接口上直接进行以上配置，必须经过VLAN虚接口来配置

配置R一、R2的telnet

分别测试链接，发现只能R1链接R2

分析：根据禁止入站链接规则，禁止从低安全级别接口到高安全级别接口的流量经过；所以R2没法链接到R1

·配置ACL

配置ACL有两个做用：容许入站链接、控制出站链接的流量

ACL命令

ACL的配置命令与路由器上的配置相似，可是有如下区别

1不区分数字名称：即没有路由器上0-99和100-199这样的数字区别

2只针对初始化起做用：即只针对发起链接的数据包，回应包不受限制

3只针对穿越ASA的数据包起做用：即不对指向本身的数据包起做用

4标准ACL不能应用到接口：即出站接口或入站接口只能使用扩展ACL；标准ACL应用在×××等应用中

5使用正常的掩码：路由器上使用的是反码

可使用show access-list查看已配置的ACL条目

配置实例

仍是使用前面的实例，要求经过配置ACL，让R2能够telnet到R1，阻止R1链接到R2

1配置容许入站链接

配置完成后，R2就能够链接R1了

2控制出站链接

最后进行测试

·配置静态路由和默认路由

ASA支持静态和默认路由、动态路由（OSPF）等；

1配置静态路由的命令

# route interface-name network mask next-hop-address

如：

2配置默认路由

如：asa(config)# route outside 0 0 192.168.3.1或route outside 0.0.0.0 0.0.0.0 192.168.3.1

3查看ASA的路由表命令

asa(config)# show route

·其余配置及命令

1 ICMP协议

默认状况下，禁止CCMP报文穿越ASA，为了方便调试可以使用ACL来容许（调试完建议禁止）

2保存配置

asa(config)# copy running-config startup-config

或

asa(config)# write memory

3清除配置

清除未保存的全部配置，即running-config中的全部配置

asa(config)# clear configure all

清除running-config中指定的配置

asa(config)# clear configure access-group ping

清除access-list中全部的配置

asa(config)# clear configure access-list

清除access-list中指定的配置

asa(config)# clear configure access-list ping

直接删除startup-config文件

asa(config)# write erase

三 多安全区域

目前只学习了inside和outside两个安全区域，实际中ASA能够配置多个安全区域，比较经常使用的有DMZ区域

·DMZ区域概述

1 DMZ的概念：DMZ（DeMilitarized Zone）称为"隔离区"，也称"非军事化区"；位于企业内部网络和外部网络之间的一个网络区域；

2 DMZ的做用：能够放置一些必须公开的服务器，例如Web服务器、FTP服务器和论坛等；因为DMZ区域的安全级别低于inside区域，因此即便DMZ区域被***，也不会影响到inside区域（在实际应用中，一般须要配置访问规则和地址转换容许outside访问DMZ）

3 ASA的访默认问规则

inside能够访问DMZ和outside

DMZ能够访问outside，但不能访问inside

outside不能访问inside和DMZ

·DMZ区域的基本配置

如图

在ASA上配置e0/1接口方向的区域为DMZ，实际就是给其配置一个逻辑接口名称，并设置安全级别为0-100之间

四多区域的ASA配置模拟实验

实验目的：配置多区域的ASA环境，使其能正常通讯

实验环境：如图，（这里使用路由器模拟PC）

实验要求：

1全网互相能ping通

2 R2与R三、R3与R4能互相使用telnet链接

实验步骤

1配置R二、R三、R4的IP地址，并开启telnet

R2的配置

R三、R4略

2配置R1的IP和默认路由

3配置ASA

基本配置，接口和安全级别

配置ACL，实现全网互通，并测试（略）

配置ACL，实现R二、R三、R4之间的telnet链接，并测试（略）