网络安全篇 ASA的初始化-03

最新推荐文章于 2024-05-10 19:15:12 发布
最新推荐文章于 2024-05-10 19:15:12 发布
阅读量2.3k 收藏 7
点赞数 2
分类专栏: 网络安全 文章标签: 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37171673/article/details/111403587
版权

目录

一、实验原理

1.思科 ASDM特性

2.安全级别security level介绍

3.相同安全级别接口之间的通信

4.同一接口内的通讯

5.运行路由协议

二、实验拓扑

三、实验步骤

四、实验过程

总结

 

实验难度3
实验复杂度2

 

 

一、实验原理

1.思科 ASDM特性

(1)可以运行在不同的平台

(2)运行java来提供强大的实时监控

(3)使用SSL来确保和ASA的安全通讯

(4)在新的思科ASA中预安装到flash

(5)能够在同一时间同时管理多个ASA

(6)思科ASDM会话:

---------五个思科ASDM会话单元(单模)或者虚拟防火墙(多模)

---------32个会话单元(多模式)

(7)支持所有的思科ASA

(8)ASA软件版本要的ASDM版本兼容

(9)硬件型号要兼容思科ASCM软件版本

2.安全级别security level介绍

(1)从高级安全级别接口到低安全级别接口的流量叫outbound流量,这种流量默认是允许通过的。

(2)从低级安全级别接口到高安全级别接口的流量叫inbound流量,这种流量默认是不允许的,但是可以使用ACL来放行inbound流量。

(3)相同安全级别接口之间的流量默认是不允许通信的,但是可以使用命令放行。

(4)安全级别的范围为0-100。

(5)默认inside安全级别为100,其实接口默认为0.

3.相同安全级别接口之间的通信

(1)ASA支持101个安全级别和多于101个子接口

(2)可以为不同的接口指定相同的安全级别

(3)默认相同安全级别接口间的流量是不允许的

(4)需要激活inter-interface之间的通讯。

具体的命令:same-security-traffic permit inter-interface

4.同一接口内的通讯

(1)在Hub-and-Spoke VPN的环境中,流量需要从同一个子接口进入和离开防火墙。

(2)默认情况下,这种流量是不被允许通信的。

(3)可以使用命令来激活intra-interface之间的通讯。

具体的命令:same-security-traffic permit intra-interface

5.运行路由协议

ASA支持:RIP/OSPF/EIGRP

它的配置方式与IOS是相同的(重分布、路由过滤等)

ASA 8.0所有的掩码都为正掩码(ACL,路由通告等)

 

二、实验拓扑

三、实验步骤

1.搭建如图所示的网络拓扑;

2.初始化路由器,配置好相应的IP地址;

3.命令防火墙的名字为ASA,定义相应的三个区域接口(inside/outside/dmz),并配置相应的IP地址;

4.设置ASA的三个接口的安全级别,inside:100,outside:0,dmz:50; 

5.在各个路由器上配置默认路由,然后在inside路由器上配置远程登陆信息为:

(1)特权密码:ccie

(2)登陆用户名为:inside

(3)登陆的密码为:ccie

在outside路由器上配置远程登陆信息为:

(1)特权密码:ccie

(2)登陆用户名为:outside

(3)登陆的密码为:ccie

在dmz路由器上配置远程登陆信息为:

(1)特权密码:ccie

(2)登陆用户名为:dmz

(3)登陆的密码为:ccie

6.使用ping与telnet测试手段来测试各个路由器之间的网络连通性;

7.ASA的一些常用查看命令;

四、实验过程

1.搭建如图所示的网络拓扑;

略。

2.初始化路由器,配置好相应的IP地址;

inside:

outside:

dmz:

3.命令防火墙的名字为ASA,定义相应的三个区域接口(inside/outside/dmz),并配置相应的IP地址;

4.设置ASA的三个接口的安全级别,inside:100,outside:0,dmz:50; 

测试直连网络的连通性:

现在直连网络是可以相互通信的。

5.在各个路由器上配置默认路由,然后在inside路由器上配置远程登陆信息为:

(1)特权密码:ccie

(2)登陆用户名为:inside

(3)登陆的密码为:ccie

在outside路由器上配置远程登陆信息为:

(1)特权密码:ccie

(2)登陆用户名为:outside

(3)登陆的密码为:ccie

在dmz路由器上配置远程登陆信息为:

(1)特权密码:ccie

(2)登陆用户名为:dmz

(3)登陆的密码为:ccie

inside:

outside:

dmz:

6.使用ping与telnet测试手段来测试各个路由器之间的网络连通性;

(1)ping

(2)telnet

inside路由器:

outside路由器:

DMZ路由器:

以上的实验说明,在默认情况下,ICMP协议是无法穿越防火墙的,因为默认防火墙会把穿越防火墙的ICMP报文丢弃,防火墙它不会维护ICMP的状态表项。防火墙它是可以实现高安全级别到低安全级别的通信的,这种流量是可以被防火墙监控的TCP/UDP流量,若是低安全级别的接口流量的话,默认是不可以与高级安全级别的接口区域通信。

7.ASA的一些常用查看命令;

代码解析:

ASA(config)# show nameif   //查看已经命令的接口名称及相应的安全级别信息

ASA(config-if)# nameif inside  //命令这个接口的名称为inside,这个inside是可以被防火墙直接调用的

ASA(config-if)# security-level 100   //设定防火墙的安全级别,这个范围为0-100

ASA(config)#show run all     //用于查看隐藏的配置 后接关键字可以查找对应的条目
ASA(config)#show cpu usage   //查看设备的CPU占用情况
ASA(config)#show memory  //查看内存等相关的信息
ASA(config)#show perfmon 可以查看到连接数等信息
ASA(config)#show conn 可以查看连接表,这个的状态表项是针对TCP/UDP协议的

ASA(config)# show interface ip brief   //查看防火墙的接口简要信息,这个命令与在路由器、交换机上有点不一样哈,注意

注意:

思科ASA的密码默认为空的,所以当看到未初始化的防火墙需要输入特权密码时,可以直接回车。

总结

本章节介绍了ASA的一些基本的术语、初始化ASA与相关的一些查看命令,为了让大家看得明白,这个防火墙我会尽可能地把相关联的内容分开写这个篇章,也就是细分实验,不然很多朋友都会被那些综合实验搞懵的。好了,我们在下一个章节再见,加油!

网络安全的相关工具都在下面的这个百度网盘中,需要的自行下载哈

链接:https://pan.baidu.com/s/1-tR-KaUbimKALZNf5SRB8w 
提取码:8ghc 
 

 

公子绝
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
cisco_ASA防火墙恢复初始化
02-07
ASA 防火墙flash 被删 防火墙不断启动 Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. 按下ESC进入监控模式 监控模式下的显示和交换机路由器没有什么区别。命令格式也大同小异只要大家变通一下就不难恢复。 rommon #1> ? Variables: Use "sync" to store in NVRAM ADDRESS= local IP address CONFIG= config file path/name GATEWAY= gateway IP address IMAGE= image file path/name LINKTIMEOUT= Link UP timeout (seconds) PKTTIMEOUT= packet timeout (seconds) PORT= ethernet interface port RETRY= Packet Retry Count (Ping/TFTP) SERVER= server IP address VLAN= enable/disable DOT1Q tagging on the selected port rommon #2> ADDRESS=192.168.0.2 (因为是TFFP上传,所以防火墙设置为客户机) rommon #3> GATEWAY=192.168.0.1 (网关) rommon #4> IMAGE=asa802-k8.bin (导入IOS的名称) rommon #5> SERVER=192.168.0.1 (服务器IP,也就是你的PC) rommon #6> sync (保存) Updating NVRAM Parameters... rommon #7> ping 192.168.0.1 Sending 20, 100-byte ICMP Echoes to 192.168.0.1, timeout is 4 seconds: ?!!!!!!!!!!!!!!!!!!! Success rate is 95 percent (19/20) 确认线路是否连通,开启TFTP软件 (这里说明下我测试是ASA5505 所以接的E0/0口。不知道设备该接什么口可以用set看“PORT=Ethernet0/0”) rommon #8> tftpdnld (上传) ROMMON Variable Settings: ADDRESS=192.168.0.2 SERVER=192.168.0.1 GATEWAY=192.168.0.1 PORT=Ethernet0/0 VLAN=untagged IMAGE=asa802-k8.bin CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20 tftp asa802-k8.bin@192.168.0.1 via 192.168.0.1 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 导入后设备重启,现在有了IOS 能进去 Type help or '?' for a list of available commands. ciscoasa> en 但现在IOS也没有装入设备,而是从tftp引导启动设备,断开TFTP服务器就会从新进入监控模式。这一点当设备启动完毕后可以用show version命令看到: System image file is "tftp://192.168.0.1/asa802-k8.bin" 现在需要把IOS存入设备,但是现在防火墙和PC已经不能通信 ciscoasa# ping 192.168.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds: No route to host 192.168.0.1 Success rate is 0 percent (0/1) 因为刚才是在监控模式下,现在需要配置让PC和防火墙从新通信(具体型号具体设置,下面已我手上的5505为例) interface Vlan1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 192.168.0.2 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 现在测试 ciscoasa# ping 192.168.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms 已经能通信,下面拷贝IOS和ASDM存入设备 ciscoasa# copy tftp://192.168.0.1/asa802-k8.bin disk0:/asa802-k8.bin Address or name of remote host [192.168.0.1]? Source filename [asa802-k8.bin]? Destination filename [asa802-k8.bin]? Accessing tftp://192.168.0.1/asa802-k8.bin. ... !!!!!!!!!!!!!!!!!!! 因为删除的是flash 现在还需要导入ASDM (注意ASDM和IOS的兼容,不兼容如下图) ciscoasa# copy tftp://192.168.0.1/asdm-602.bin disk0://asdm-602.bin Address or name of remote host [192.168.0.1]? Source filename [asdm-602.bin]? Destination filename [asdm-602.bin]? Accessing tftp://192.168.0.1/asdm-602.bin.. ... !!!!!!!!!!!!!!!!!!! 现在可以看见IOS以后在设备上 ciscoasa# show version Cisco Adaptive Security Appliance Software Version 8.2(1) Compiled on Tue 05-May-09 22:45 by builders System image file is "disk0:/asa821-k8.bin" Config file at boot was "startup-config" ciscoasa# show flash: --#-- --length-- -----date/time------ path 3 4096 Aug 26 2009 17:41:50 log 10 4096 Aug 26 2009 17:41:56 crypto_archive 11 4096 Aug 26 2009 17:59:06 coredumpinfo 12 43 Aug 27 2009 09:13:02 coredumpinfo/coredump.cfg 78 16275456 Aug 26 2009 18:07:50 asa802-k8.bin 80 7598456 Aug 27 2009 09:05:54 asdm-602.bin 设置启动文件 ciscoasa (config)# boot system disk0:/asa802-k8.bin 设置IOS ciscoasa (config)# asdm image disk0:/asdm602.bin 设置ASDM ciscoasa (config)# reload 重新启动,配置生效 备份上面dir的文件 ciscoasa (config)# copy disk0:/asa802-k8.bin tftp://192.168.1.1/asa802-k8.bin ciscoasa (config)# copy disk0:/asdm602.bin tftp://192.168.1.1/asdm602.bin
初始化ASA
繁星流动天际
04-12 178
interface g0 no shutdown nameif outside security-level 0 ip add 100.1.1.1 255.255.255.0 interface g1 nameif inside security-level 100 ip add 200.1.1.1 255.255.255.0 配置登...
2024年CVE-2024-3580 Cisco ASA安全软件XSS漏洞,互联网行业“中年”危机
最新发布
2301_82056337的博客
05-10 712
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
ASA防火墙概述与初始化_01
weixin_33836874的博客
06-02 360
清空配置清空Startup Configuration : write erase清空Running Configuration : clear config all (实验时用)重启 : reloadciscoasa(config-if)#hostnameASA1 ASA1(config)#intgigabitEthernet0/0 ASA...
cisco asa 5500初始化配置
weixin_34018202的博客
05-23 320
CISCO ASA防火墙ASDM配置 准备工作 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 选择连接时使用的COM口,单击确定。 点击还原为默认...
ASA访问控制列表与穿越用户认证_03
weixin_33882443的博客
06-12 391
访问控制列表ACL ACL可用于接口,也有全局的 接口访问控制列表只能控制穿越流量(session连接除外)所有到ASA终结的流量,被不同的管理访问列表控制(如:ssh 0 0 DMZ)ASA发起的都被允许ASA配置相同优先级的acl是将原来的挤下去,路由器是直接替换接口规则和安全默认:outbound(高->低)允许,inb...
Sybase ASA 9 Mobile Link 30 Minute OK
05-08
1. **初始同步**:在新的远程数据库首次与中心数据库连接时,进行数据初始化,确保双方数据的一致性。 2. **增量同步**:在初次同步后,只同步自上次同步以来发生更改的数据,以减少网络带宽的消耗和提高同步效率。...
格式化炸弹
04-12
网络安全领域,这类工具被视为恶意软件的一种形式。 #### 二、核心概念 1. **批处理脚本**:批处理脚本是一种用于自动化执行一系列命令的文本文件。这些命令可以是任何可以在命令提示符(CMD)下执行的操作。在 ...
利用GNS3_0.7.1搭建本地ASA环境和分布式ASA环境
07-17
通过以上步骤,你将能够使用GNS3 0.7.1搭建本地和分布式ASA环境,这对于学习和实践网络安全、路由协议以及故障排查等技能是非常有帮助的。同时,这也会让你对网络基础设施的运作有更深入的理解。记得在实验过程中,...
EMC Legato Cert E20-670
03-13
此认证主要涉及EMC的网络存储产品和服务,特别是与存储自动化系统(Networked Storage-CAS)相关的安装、配置以及故障排查等技术领域。为了帮助考生顺利通过这一认证考试,市场上出现了专门针对E20-670的备考资料和...
基于ASP的网格网络收藏夹 v2.0.zip
07-18
7. **配置文件**:如global.asa,用于设置应用程序的初始化和会话管理。 8. **帮助文档**:可能包括README.txt或INSTALL.txt,指导用户如何安装和使用。 这个基于ASP的网格网络收藏夹可能利用了session和cookie来...
Cisco ASA 基础
m0_60093791的博客
01-29 1878
目录 1.Cisco封火墙简介 1.1软件与硬件封火墙 1.2 ASA安全设备 2.ASA的安全算法 2.1状态化封火墙 2.2安全算法的原理 3.ASA的基本配置 3.1配置主机名何密码 3.2配置ASA 1.Cisco封火墙简介 1.1软件与硬件封火墙 1.软件封火墙 Cisco新版本的iOS软件提供了iOS防火墙特性集,它具有应用层只能状态检测防火墙引擎。Cisco iOS防火墙特性集提供了一个综合的,内部的安全解决方案,它被广泛使用在基于iOS软件的设备上。 2.硬件..
思科防火墙解析(ASA)
一起努力共同进步,为了未来一起奋斗吧!
11-20 2369
思科防火墙ASA)原理解析
Cisco ASA 5505/5506 密码重置
hu5566798的博客
02-22 843
此时启动ASA会跳过加载startup配置,直接进入用户模式。3,通过confreg命令查看寄存器的值,并输入no不修改。8,改回寄存器值,并用show version查看寄存器值是否已改为0x00000001。2,启动时按ESC或ctrl+break中断启动,进入ROM Monitor模式。7,全局配置模式下重置enable和远程管理密码为123456。至此密码已重置为123456,并且配置不会丢失。1,先连接console线,再通电启动。4,修改寄存器的值为0x41。5,输入boot启动防火墙
Cisco ASA防火墙恢复密码和基本配置
m0_49193378的博客
09-23 2699
思科设备ASA防火墙基本调试
Cisco ASA 5505 密码、配置重置方法 ZZ
weixin_33800593的博客
10-28 1105
1、重新连接电源 2、在启动的过程中可看到提示,按ESC键进入ROM Monitor模式,此时出现提示符rommon #0> 3、改变寄存器的值为0x41 rommon #0>confreg 0x41 4、输入reboot重启 rommon #1>reboot   5、重启过程会跳过输入密码的部分,此时看到提示符 ciscoasa> 6、这时可修改密码 cis...
网络安全 ASA的管理访问-06
佐德将军的博客
01-05 1192
实验难度 3 实验复杂度 4 一、实验原理 ASA防火墙的管理方式有很多种,比如有Telnet、SSH、HTTPS、SNMP等,现在我们在进行实验的时候主要是使用Telnet的方式进行管理的。当然除了使用远程的方式进行管理外,我们也可以使用带外网管,在初始化设备时,是需要使用这种方式来管理配置的。ASA的带外网络管口的特点与建议如下: 1.可以配置任何一个接口成为专用的管理接口; 2.流量不能够穿越管理接口,但是可以到达; 3.需要应用管理访问策略来允许访问; ...
ASA密码
weixin_34112030的博客
08-31 260
telnet 密码默认为空,但无法通过telnet 登入 设置密码? ciscoASA(config) #passwd cisco 转载于:https://blog.51cto.com/feige/197440
ASA same-security-traffic
weixin_33918357的博客
07-12 257
ASA共支持两种same-security-traffic,它们应用场景是 1:相同的security-level 不同的接口 2:相同的接口之间的流量:cisco称为IPSEC hairpinnig,主要定义为在IPSEC ×××中。 描述:在使用IPSEC ×××中没有使用隧道分割,或者不让使用隧道分割,要求所有的流量都要从ASA走。 2又包含两个场景:a:一...
GNS3中构建ASA本地与分布式网络模拟环境指南
5. 接下来,需要进行ASA的配置,包括网络接口设置、安全策略定义、路由配置等,以实现本地与分布式ASA之间的通信。这部分通常涉及CLI命令行操作,比如配置接口IP地址、启用路由协议(如静态路由或OSPF)以及定义访问...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

公子绝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值