Cisco ASA基础

一 防火墙概述

·防火墙的概念

防火墙(英文:firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件

一种位于内部网络与外部网络之间的网络安全系统

·防火墙的种类

从工作模式分为:

1路由模式防火墙:有路由功能,可充当网关

2透明模式防火墙:有交换功能,不能充当网关

从工作原理分为:常见的防火墙类型

1应用代理型防火墙:一般都是软件防火墙;如思科的IOS+ACL、ISA等

2包过滤型防火墙:完全根据ACL进行访问控制;ACL允许就放行,不允许就丢弃

3状态监测型防火墙:是包过滤型防火墙的补充;根据Conn表进行访问控制;如ASA

二 Cisco硬件防火墙简介

·Cisco硬件防火墙系列

Cisco硬件防火墙技术应用于以下三个领域

1 PIX 500系列安全设备

2 ASA 5500系列自适应安全设备

3 Catalyst 6500系列交换机和Cisco 7600系列路由器的防火墙服务模块

·ASA安全设备

Cisco ASA 5500系列安全设备室最新的Cisco防火墙技术产品;它提供了整合防火墙、***保护系统(IPS)、高级自适应威胁防御服务,其中包括应用安全和简化网络安全解决方案的×××服务

常见型号:

ASA 5505:适用于小型企业、分公司和企业远程办公环境,设备成本低,易于部署,集成八个10/100端口快速以太网交换机

ASA 5510:适用于中型企业、分公司企业环境,设备成本低,易于部署,具有高级安全和网络服务

ASA 5520:适用于中型企业,具有模块化、高性能网络中的高可用性主动/主动服务,并能连接千兆以太网设备

ASA 5540:为大中型企业和服务提供商提供高密度、主动/主动高可用性服务和千兆以太网连接,设备具有高可靠性和高性能

ASA 5550:用于大型企业和服务提供商网络的高性能设备,千兆级提供高达1.2Gb/s的防火墙吞吐量,具有主动/主动高可用性服务、光纤和千兆位以太网连接性

ASA 5580:用于大型企业、数据中心和运营商网络,提供万兆位以太网连接;分为ASA 5580-20和ASA 5580-40

·ASA的安全算法

状态防火墙

ASA是一个状态防火墙;状态防火墙维护一个关于用户信息的连接表,称为Conn表;默认情况下,ASA对TCP和UDP协议提供状态化连接,但对ICMP协议时非状态化的;状态防火墙使用安全算法处理数据包

安全算法的原理

ASA使用安全算法执行以下三项基本操作

1访问控制列表:基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问

2连接表:维护每个连接的状态信息安全算法使用此信息在已建立的连接中有效转发流量

检测引擎

3执行状态检测和应用层检测:检测规则集是预先定义的,来验证应用是否遵从每个RFC和其他标准

数据报文穿越ASA的过程

如图

1 PC发送一个TCP SYN报文到达ASA,试图建立一个新的连接

2 ASA检查访问列表,确定是否允许连接

3 ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接表(xlate和conn表)中创建一个新条目

4 ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进一步执行应用层检测

5 ASA根据检测引擎确定是否转发或丢弃报文。如果允许转发,则将报文转发到目的主机

6目的主机响应该报文

7 ASA接收返回报文并进行检测,查询连接确定会话信息与现有连接是否匹配

8 ASA转发属于已建立的现有会话的报文;不会再检查访问列表

三 ASA的基本配置

ASA设备的配置与交换机、路由器的配置基本类似;也分为用户模式、特权模式、全局配置模式、接口模式;首次配置实用console线与PC链接,并使用终端连接进行配置

·使用GNS3模拟ASA

这里使用GNS3模拟器进行演示;有关GNS3的使用,详见http://blog.sina.com.cn/itit0

添加ASA设备

打开GNS3,点击编辑,选择首选项

选择图中所示选项,添加ASA模块和内核,最后单击OK

设置好后ASA设备可以拖进工作区了

双击ASA,将接口配置为pcnet

然后单击开机后弹出如下图所示,不要关闭,最小化即可

最后再双击ASA,弹出配置好的终端连接窗口可以开始配置了

·配置主机名和密码

·接口的概念与配置

A接口的名称:ASA的一个接口通常有两种名称

1物理名称

物理名称与路由器接口名称类似,如Ethernet0/0、Ethernet0/1等,简写为E0/0、E0/1;通常用来配置接口的速率、双工、和IP地址等

ASA 5510及以上型号还有专门的管理接口用于管理目的。如management0/0

2逻辑名称

逻辑名称用于大多数配置命令,如配置ACL、配置路由等使用的命令中都有用到逻辑名称;逻辑名称用来描述安全区域

B接口的安全级别:ASA的每个接口都有一个安全级别,范围是0-100,数值越大其安全级别越高;当接口逻辑名称配置为inside时,其安全级别自动设置为100;而配置其他接口名称时,安全级别都为0,当然可以手动指定安全级别

不同安全级别的接口之间互相访问时,有一下默认规则

1允许出站(outbound)连接,即允许从高安全级别接口到低安全级别接口的流量通过

2禁止入站(inbound)连接,即禁止从低安全级别接口到高安全级别接口的流量通过

3禁止相同安全级别的接口之间通信(通过设置可以更改默认,允许通信)

C接口的配置

1配置命令语法

配置接口的名称: nameif name

配置接口的安全级别:security-level number

查看接口名称:show nameif

查看接口信息(ip):show int ip bri

查看Conn表:show conn摘要信息、或show conn detail详细信息

注:show命令在任何模式下都可以使用

2配置实例

如图:分别开启R1和R2的telnet,R1可以连接R2,但R2不能连接R1

Ethernet0/0接口的配置:高级别

Ethernet0/1接口的配置:低级别

注意:如果ASA的型号是5505,则不支持在物理接口上直接进行以上配置,必须通过VLAN虚接口来配置

配置R1、R2的telnet

分别测试连接,发现只能R1连接R2

分析:根据禁止入站连接规则,禁止从低安全级别接口到高安全级别接口的流量通过;因此R2无法连接到R1

·配置ACL

配置ACL有两个作用:允许入站连接、控制出站连接的流量

ACL命令

ACL的配置命令与路由器上的配置类似,但是有以下区别

1不区分数字名称:即没有路由器上0-99和100-199这样的数字区别

2只针对初始化起作用:即只针对发起连接的数据包,回应包不受限制

3只针对穿越ASA的数据包起作用:即不对指向自己的数据包起作用

4标准ACL不能应用到接口:即出站接口或入站接口只能使用扩展ACL;标准ACL应用在×××等应用中

5使用正常的掩码:路由器上使用的是反码

可以使用show access-list查看已配置的ACL条目

配置实例

还是使用前面的实例,要求通过配置ACL,让R2可以telnet到R1,阻止R1连接到R2

1配置允许入站连接

配置完成后,R2就可以连接R1了

2控制出站连接

最后进行测试

·配置静态路由和默认路由

ASA支持静态和默认路由、动态路由(OSPF)等;

1配置静态路由的命令

# route interface-name network mask next-hop-address

如:

2配置默认路由

如:asa(config)# route outside 0 0 192.168.3.1route outside 0.0.0.0 0.0.0.0 192.168.3.1

3查看ASA的路由表命令

asa(config)# show route

·其他配置及命令

1 ICMP协议

默认情况下,禁止CCMP报文穿越ASA,为了方便调试可使用ACL来允许(调试完建议禁止)

2保存配置

asa(config)# copy running-config startup-config

asa(config)# write memory

3清除配置

清除未保存的所有配置,即running-config中的所有配置

asa(config)# clear configure all

清除running-config中指定的配置

asa(config)# clear configure access-group ping

清除access-list中所有的配置

asa(config)# clear configure access-list

清除access-list中指定的配置

asa(config)# clear configure access-list ping

直接删除startup-config文件

asa(config)# write erase

三 多安全区域

目前只学习了inside和outside两个安全区域,实际中ASA可以配置多个安全区域,比较常用的有DMZ区域

·DMZ区域概述

1 DMZ的概念:DMZ(DeMilitarized Zone)称为"隔离区",也称"非军事化区";位于企业内部网络和外部网络之间的一个网络区域;

2 DMZ的作用:可以放置一些必须公开的服务器,例如Web服务器、FTP服务器和论坛等;由于DMZ区域的安全级别低于inside区域,所以即使DMZ区域被***,也不会影响到inside区域(在实际应用中,通常需要配置访问规则和地址转换允许outside访问DMZ)

3 ASA的访默认问规则

inside可以访问DMZ和outside

DMZ可以访问outside,但不能访问inside

outside不能访问inside和DMZ

·DMZ区域的基本配置

如图

在ASA上配置e0/1接口方向的区域为DMZ,实际就是给其配置一个逻辑接口名称,并设置安全级别为0-100之间

四多区域的ASA配置模拟实验

实验目的:配置多区域的ASA环境,使其能正常通信

实验环境:如图,(这里使用路由器模拟PC)

实验要求:

1全网互相能ping通

2 R2与R3、R3与R4能互相使用telnet连接

实验步骤

1配置R2、R3、R4的IP地址,并开启telnet

R2的配置

R3、R4略

2配置R1的IP和默认路由

3配置ASA

基本配置,接口和安全级别

配置ACL,实现全网互通,并测试(略)

配置ACL,实现R2、R3、R4之间的telnet连接,并测试(略)