1 Cisco ASA基礎

Cisco ASA基礎

一 防火牆概述

·防火牆的概念

防火牆(英文：firewall)是一項協助確保信息安全的設備，會依照特定的規則，容許或是限制傳輸的數據經過。防火牆能夠是一臺專屬的硬件也能夠是架設在通常硬件上的一套軟件

一種位於內部網絡與外部網絡之間的網絡安全系統

·防火牆的種類

從工做模式分爲：

1路由模式防火牆：有路由功能，可充當網關

2透明模式防火牆：有交換功能，不能充當網關

從工做原理分爲：常見的防火牆類型

1應用代理型防火牆：通常都是軟件防火牆；如思科的IOS+ACL、ISA等

2包過濾型防火牆：徹底根據ACL進行訪問控制；ACL容許就放行，不容許就丟棄

3狀態監測型防火牆：是包過濾型防火牆的補充；根據Conn表進行訪問控制；如ASA

二 Cisco硬件防火牆簡介

·Cisco硬件防火牆系列

Cisco硬件防火牆技術應用於如下三個領域

1 PIX 500系列安全設備

2 ASA 5500系列自適應安全設備

3 Catalyst 6500系列交換機和Cisco 7600系列路由器的防火牆服務模塊

·ASA安全設備

Cisco ASA 5500系列安全設備室最新的Cisco防火牆技術產品；它提供了整合防火牆、***保護系統（IPS）、高級自適應威脅防護服務，其中包括應用安全和簡化網絡安全解決方案的×××服務

常見型號：

ASA 5505：適用於小型企業、分公司和企業遠程辦公環境，設備成本低，易於部署，集成八個10/100端口快速以太網交換機

ASA 5510：適用於中型企業、分公司企業環境，設備成本低，易於部署，具備高級安全和網絡服務

ASA 5520：適用於中型企業，具備模塊化、高性能網絡中的高可用性主動/主動服務，並能鏈接千兆以太網設備

ASA 5540：爲大中型企業和服務提供商提供高密度、主動/主動高可用性服務和千兆以太網鏈接，設備具備高可靠性和高性能

ASA 5550：用於大型企業和服務提供商網絡的高性能設備，千兆級提供高達1.2Gb/s的防火牆吞吐量，具備主動/主動高可用性服務、光纖和千兆位以太網鏈接性

ASA 5580：用於大型企業、數據中心和運營商網絡，提供萬兆位以太網鏈接；分爲ASA 5580-20和ASA 5580-40

·ASA的安全算法

狀態防火牆

ASA是一個狀態防火牆；狀態防火牆維護一個關於用戶信息的鏈接表，稱爲Conn表；默認狀況下，ASA對TCP和UDP協議提供狀態化鏈接，但對ICMP協議時非狀態化的；狀態防火牆使用安全算法處理數據包

安全算法的原理

ASA使用安全算法執行如下三項基本操做

1訪問控制列表：基於特定的網絡、主機和服務（TCP/UDP端口號）控制網絡訪問

2鏈接表：維護每一個鏈接的狀態信息；安全算法使用此信息在已創建的鏈接中有效轉發流量

檢測引擎

3執行狀態檢測和應用層檢測：檢測規則集是預先定義的，來驗證應用是否聽從每一個RFC和其餘標準

數據報文穿越ASA的過程

如圖

1 PC發送一個TCP SYN報文到達ASA，試圖創建一個新的鏈接

2 ASA檢查訪問列表，肯定是否容許鏈接

3 ASA執行路由查詢，若是路由正確，ASA使用必要的會話信息在鏈接表（xlate和conn表）中建立一個新條目

4 ASA在檢測引擎中檢查預約義的一套規則，若是是已知應用，則進一步執行應用層檢測

5 ASA根據檢測引擎肯定是否轉發或丟棄報文。若是容許轉發，則將報文轉發到目的主機

6目的主機響應該報文

7 ASA接收返回報文並進行檢測，查詢鏈接肯定會話信息與現有鏈接是否匹配

8 ASA轉發屬於已創建的現有會話的報文；不會再檢查訪問列表

三 ASA的基本配置

ASA設備的配置與交換機、路由器的配置基本相似；也分爲用戶模式、特權模式、全局配置模式、接口模式；首次配置實用console線與PC連接，並使用終端鏈接進行配置

·使用GNS3模擬ASA

這裏使用GNS3模擬器進行演示；有關GNS3的使用，詳見http://blog.sina.com.cn/itit0

添加ASA設備

打開GNS3，點擊編輯，選擇首選項

選擇圖中所示選項，添加ASA模塊和內核，最後單擊OK

設置好後ASA設備能夠拖進工做區了

雙擊ASA，將接口配置爲pcnet

而後單擊開機後彈出以下圖所示，不要關閉，最小化便可

最後再雙擊ASA，彈出配置好的終端鏈接窗口能夠開始配置了

·配置主機名和密碼

·接口的概念與配置

A接口的名稱：ASA的一個接口一般有兩種名稱

1物理名稱

物理名稱與路由器接口名稱相似，如Ethernet0/0、Ethernet0/1等，簡寫爲E0/0、E0/1；一般用來配置接口的速率、雙工、和IP地址等

ASA 5510及以上型號還有專門的管理接口用於管理目的。如management0/0

2邏輯名稱

邏輯名稱用於大多數配置命令，如配置ACL、配置路由等使用的命令中都有用到邏輯名稱；邏輯名稱用來描述安全區域

B接口的安全級別：ASA的每一個接口都有一個安全級別，範圍是0-100，數值越大其安全級別越高；當接口邏輯名稱配置爲inside時，其安全級別自動設置爲100；而配置其餘接口名稱時，安全級別都爲0，固然能夠手動指定安全級別

不一樣安全級別的接口之間互相訪問時，有一下默認規則

1容許出站（outbound）鏈接，即容許從高安全級別接口到低安全級別接口的流量經過

2禁止入站（inbound）鏈接，即禁止從低安全級別接口到高安全級別接口的流量經過

3禁止相同安全級別的接口之間通訊（經過設置能夠更改默認，容許通訊）

C接口的配置

1配置命令語法

配置接口的名稱： nameif name

配置接口的安全級別：security-level number

查看接口名稱：show nameif

查看接口信息(ip)：show int ip bri

查看Conn表：show conn摘要信息、或show conn detail詳細信息

注：show命令在任何模式下均可以使用

2配置實例

如圖：分別開啓R1和R2的telnet，R1能夠鏈接R2，但R2不能鏈接R1

Ethernet0/0接口的配置：高級別

Ethernet0/1接口的配置：低級別

注意：若是ASA的型號是5505，則不支持在物理接口上直接進行以上配置，必須經過VLAN虛接口來配置

配置R一、R2的telnet

分別測試鏈接，發現只能R1鏈接R2

分析：根據禁止入站鏈接規則，禁止從低安全級別接口到高安全級別接口的流量經過；所以R2沒法鏈接到R1

·配置ACL

配置ACL有兩個做用：容許入站鏈接、控制出站鏈接的流量

ACL命令

ACL的配置命令與路由器上的配置相似，可是有如下區別

1不區分數字名稱：即沒有路由器上0-99和100-199這樣的數字區別

2只針對初始化起做用：即只針對發起鏈接的數據包，迴應包不受限制

3只針對穿越ASA的數據包起做用：即不對指向本身的數據包起做用

4標準ACL不能應用到接口：即出站接口或入站接口只能使用擴展ACL；標準ACL應用在×××等應用中

5使用正常的掩碼：路由器上使用的是反碼

可使用show access-list查看已配置的ACL條目

配置實例

仍是使用前面的實例，要求經過配置ACL，讓R2能夠telnet到R1，阻止R1鏈接到R2

1配置容許入站鏈接

配置完成後，R2就能夠鏈接R1了

2控制出站鏈接

最後進行測試

·配置靜態路由和默認路由

ASA支持靜態和默認路由、動態路由（OSPF）等；

1配置靜態路由的命令

# route interface-name network mask next-hop-address

如：

2配置默認路由

如：asa(config)# route outside 0 0 192.168.3.1或route outside 0.0.0.0 0.0.0.0 192.168.3.1

3查看ASA的路由表命令

asa(config)# show route

·其餘配置及命令

1 ICMP協議

默認狀況下，禁止CCMP報文穿越ASA，爲了方便調試可以使用ACL來容許（調試完建議禁止）

2保存配置

asa(config)# copy running-config startup-config

或

asa(config)# write memory

3清除配置

清除未保存的全部配置，即running-config中的全部配置

asa(config)# clear configure all

清除running-config中指定的配置

asa(config)# clear configure access-group ping

清除access-list中全部的配置

asa(config)# clear configure access-list

清除access-list中指定的配置

asa(config)# clear configure access-list ping

直接刪除startup-config文件

asa(config)# write erase

三 多安全區域

目前只學習了inside和outside兩個安全區域，實際中ASA能夠配置多個安全區域，比較經常使用的有DMZ區域

·DMZ區域概述

1 DMZ的概念：DMZ（DeMilitarized Zone）稱爲"隔離區"，也稱"非軍事化區"；位於企業內部網絡和外部網絡之間的一個網絡區域；

2 DMZ的做用：能夠放置一些必須公開的服務器，例如Web服務器、FTP服務器和論壇等；因爲DMZ區域的安全級別低於inside區域，因此即便DMZ區域被***，也不會影響到inside區域（在實際應用中，一般須要配置訪問規則和地址轉換容許outside訪問DMZ）

3 ASA的訪默認問規則

inside能夠訪問DMZ和outside

DMZ能夠訪問outside，但不能訪問inside

outside不能訪問inside和DMZ

·DMZ區域的基本配置

如圖

在ASA上配置e0/1接口方向的區域爲DMZ，實際就是給其配置一個邏輯接口名稱，並設置安全級別爲0-100之間

四多區域的ASA配置模擬實驗

實驗目的：配置多區域的ASA環境，使其能正常通訊

實驗環境：如圖，（這裏使用路由器模擬PC）

實驗要求：

1全網互相能ping通

2 R2與R三、R3與R4能互相使用telnet鏈接

實驗步驟

1配置R二、R三、R4的IP地址，並開啓telnet

R2的配置

R三、R4略

2配置R1的IP和默認路由

3配置ASA

基本配置，接口和安全級別

配置ACL，實現全網互通，並測試（略）

配置ACL，實現R二、R三、R4之間的telnet鏈接，並測試（略）