cisco asa学习笔记

已于 2022-12-01 22:32:24 修改
阅读量1k 收藏 1
点赞数
分类专栏: cisco ASA学习笔记 GNS3学习笔记 文章标签: 服务器 网络 linux
于 2022-11-30 17:23:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OceanWaves1993/article/details/128118635
版权
本文档记录了在Cisco ASA防火墙上遇到的网络问题及解决方法。问题包括ASA接口无法响应ICMP请求,同安全级别接口间的通信限制,以及多路由器互联的ping不通情况。解决方案涉及开启全局的ICMP inspect策略和使用ACL允许ICMP流量。通过这些配置,可以实现不同安全级别接口间的基本通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

cisco asa学习笔记

一、网络模拟实验中的问题调试记录

1、ASA自身接口地址不能被ping通(从远端路由过来的主机)

Interfaces will not respond to ICMP from host routing by other interfaces.
ASA自身接口地址不回应icmp ping request(从远端路由过来的主机)。
直连的设备可以ping通ASA自身接口地址。

2、同安全级别的接口默认不能通信,怎么才能通信?

same-security-traffic permit inter-interfacesame-security-traffic-communiacte允许通安全级别的接口间通信

3、一个asa连接3个路由器,互联互通解决方案

默认情况下:
高安全级别接口到低安全级别接口:ping不通 (因为ping回包没有放行)
https://community.cisco.com/t5/security-blogs/cisco-asa-and-icmp-inspection/ba-p/3773485
https://networkdirection.net/articles/firewalls/icmpinspection/
https://www.tunnelsup.com/cisco-asa-order-of-operation/

低安全级别接口到低高安全级别接口:ping不通
一个asa连接3个路由器,互联互通解决方案

<1>方案1 全局开启policy-map inspect icmp流量

全局开启policy-map inspect icmp这样做的效果:
高安全级别接口到低安全级别接口:可以ping通
低安全级别接口到高安全级别接口:ping不通
为什么ping不通呢,因为inspect icmp使得icmp变成statuful从而可以被asa追踪-这有个条件(数据流中的第一个包需要满足安全策略的条件,低安全级别到高安全级别的流量默认是不允许的,所以ping不通),inspect 只会作用于建立起会话的数据流(流中的第2个包开始)。
ACL Evaluation
Please note that ICMP inspection does not bypass all ACLs. An ICMP packet will be allowed through the ASA without an ACL evaluation, only if it is part of an already established session. Like TCP or UDP, the first packet in the ICMP flow must still be evaluated against security policies, and allowed, in order for the flow to be established.

<2>方案2 所有接口开启acl允许icmp通过

所有接口开启acl允许icmp通过这样做的效果:
高安全级别接口到低安全级别接口:可以ping通
低安全级别接口到高安全级别接口:可以ping通

Cisco ASA基础——安全算法与基本配置
yj11290301的博客
11-30 3087
在目前大多数安全解决方案中,防火墙的实施是最为重要的需求,它是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能。导图本章主要讲解安全算法的原理和ASA的基本配置1.什么是防火墙专门用来检测和阻止外网攻击的硬件设备2.防火墙的作用检测和阻止外网攻击。
Cisco ASA 基础
m0_60093791的博客
01-29 2087
目录 1.Cisco封火墙简介 1.1软件与硬件封火墙 1.2 ASA安全设备 2.ASA的安全算法 2.1状态化封火墙 2.2安全算法的原理 3.ASA的基本配置 3.1配置主机名何密码 3.2配置ASA 1.Cisco封火墙简介 1.1软件与硬件封火墙 1.软件封火墙 Cisco新版本的iOS软件提供了iOS防火墙特性集,它具有应用层只能状态检测防火墙引擎。Cisco iOS防火墙特性集提供了一个综合的,内部的安全解决方案,它被广泛使用在基于iOS软件的设备上。 2.硬件..
ASA防火墙学习笔记1-基础篇
weixin_33875564的博客
05-24 471
防火墙技术分类防火墙技术分为三种:包过滤防火墙,代理防火墙,状态包过滤1、包过滤防火墙:使用ACL控制进入或离开的网络流量,ACL可以匹配包的类型或其他参数(如源IP地址,目的ip地址,端口号等)来制定。该类防火墙有以下不足:• ACL制定和维护都比较困难• 可以使用IP欺骗很容易绕过ACL2、代理防火墙:也叫做代理服务器。他在OSI的高层检查数据包,然后和制定的规则相比较,如果数据包的内容符合规...
Cisco ASA 9.23.1 - 思科自适应安全设备 (ASA) 软件
最新发布
sysin | SYStem INside
03-15 696
Cisco ASA 9.23.1 - 思科自适应安全设备 (ASA) 软件
Cisco ASA基础
weixin_34112208的博客
05-23 1072
今天介绍一下目前Cisco ASA 5500系统常见的六种型号: ASA首先是一个状态化防火墙,用于维护一个关于用户信息的连接表,称为Conn表。表的关键信息:状态化防火墙进行状态化处理的过程:①:pc向web服务器发送一个HTTP请求;②:HTTP请求到达防火墙,防火墙将连接信息添加到Conn表中;③:防火墙将HTTP请求转发给web服务器。流量返回时,状态化防火墙处理的过程如下所述;①:web...
ASA学习笔记
weixin_33834628的博客
02-02 284
ASA防火墙NAT类型动态NAT动态PAT静态NAT静态PAT 动态PATobject network inside(inside为自定义名称)subnet 10.1.1.0 255.255.255.0nat(inside,outside)dynamic 119.1.1.201(用于PAT转换的IP地址) 或者基于outside端口上网nat(inside,outside)dynamic inte...
Cisco ASA 9.2.1
12-07
Cisco ASA IOS asa921-k8.bin, Release Date:24-APR-2014, 29.02 MB Cisco Adaptive Security Appliance Software for the ASA 5505.
ASA思科防火墙学习笔记
06-24
ASA思科防火墙个人整理的文档,日常工作记录,希望对你们有帮助
思科学习笔记.zip
01-17
2. **防火墙技术**:CCSP学习笔记可能会深入讲解思科ASA(Adaptive Security Appliance)防火墙,包括配置、策略制定和日志管理等。 3. **IPS(Intrusion Prevention System)**:介绍如何使用思科的IPS设备来...
思科CCIE安全培训学习笔记
2302_80814292的博客
04-17 398
说明:这种需求极为少见,例如两个私网(A,B)中间隔了一个公网,A私网只想直接通过B私网的地址去访问,就需要把A的源地址转换成公网地址,并且把目的地址B也转换成公网地址。(5)Twice NAT可以调用object也可以调用object-group,而Network Object NAT只能在object中使用,不能在object-group中使用。但是在Network Object Nat中, nat (inside,outside) 已经明确关联了两个接口,自然就不会影响到inside去dmz了。
ASA个人学习笔记水印版.pdf
06-08
本笔记介绍了如何配置初始化的ASA,访问控制。穿越用户认证、MPF、NAT、路由配置、透明模式防火墙、虚拟化防火墙、A/S的FO以及A/A的FO。FO之间的异步路由问题等……合适学习ASA的阅读……
实验三cisco防火墙asa模拟器从内网访问outside服务器.pdf
11-18
实验三cisco防火墙asa模拟器从内网访问outside服务器.pdf
思科ASA 基础学习
weixin_30772105的博客
08-22 240
ASA int e0/0 ip add 192.168.1.1 24nameif insidesecruity-leve 100int e0/0/0ip add 192.168.2.1 24nameif insidesecurity-leve 100int e0/1ip add 172.16.1.1 24nameif dmzsecruity-leve 50int e0/2定义区域nameif o...
Cisco ASA防火墙
weixin_45138093的博客
06-24 1008
Cisco ASA流量示意图: 相同安全级别的接口之间的通讯 ASA初始化管理配置: 拓扑图如下所示: 在gns3里桥接所分配给ASA的网卡 首先可以从官网或者其他网上渠道获得思科ASA的镜像,并在Vmware进行安装完成后… 起始可以先还原设备:write erase 或 clear startup-config 首先第一步配通直连网络,g0-g3分别为第一到第四张网卡,必须都要配置nameif、level和ip地址(默认名inside的level为100) 之后即可通信(将云桥接到ASA所在网卡
浅谈Cisco ASA的基础
weixin_34090562的博客
05-07 517
软件防火墙和硬件防火墙1)软件防火墙系统防火墙,TMG防火墙,IP tables防火墙,处理数据速度慢,稳定性差2)硬件防火墙ASA,深信服,华为都属于硬件防火墙,稳定性强,处理数据速度快 ASA5500系列的安全设备ASA 5505小型企业使用,ASA 5510中型企业使用,ASA 5520中型企业使用,具有模块化, ASA 5540大中型企业使用, ASA 5550大型企业和服务提供商使用,...
Cisco ASA防火墙——远程控制与多安全区域
yj11290301的博客
12-02 2661
本章将会讲解思科防火墙的远程接入方式与DMZ配置。在讲解之前可以先回顾一下Cisco ASA基础——安全算法与基本配置。
实验 | 思科 ASA BGP 配置
网络技术联盟站
07-31 630
第一阶段是确保我们将流量发送到主连接之外,我们将使用本地偏好,但还有其他方式,例如权重,这是通过附加到 bap 邻居的路线图来完成的。在这篇文章中,我们将研究在 Cisco ASA 中使用 BGP 来允许在来自同一 ISP 的 2 个以太网连接之间进行故障转移。接下来,我们需要确保流量通过相同的主路由发回给我们,由于我们使用的是同一服务提供商,因此我们可以使用 MED,更可靠的方法是。,但请注意,此时它未附加到接口,我们可以通过使用。首先是选择我们的宣告前缀,我使用的是。第 1 阶段 - 设置路由器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值