Cisco ASA基础

最新推荐文章于 2024-08-11 20:32:48 发布
最新推荐文章于 2024-08-11 20:32:48 发布
阅读量547 收藏 4
点赞数
分类专栏: Cisco ASA 文章标签: Cisco ASA基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45186298/article/details/98540000
版权

今天介绍一下目前Cisco ASA 5500系统常见的六种型号:

ASA首先是一个状态化防火墙,用于维护一个关于用户信息的连接表,称为Conn表。表的关键信息:
Cisco ASA基础
状态化防火墙进行状态化处理的过程:
Cisco ASA基础
①:pc向web服务器发送一个HTTP请求;
②:HTTP请求到达防火墙,防火墙将连接信息添加到Conn表中;
③:防火墙将HTTP请求转发给web服务器。
流量返回时,状态化防火墙处理的过程如下所述;
①:web服务器相应HTTP请求,返回相应的数据流量;
②:防火墙拦截该流量,检查其连接信息:
如果在Conn表中查找到匹配的连接信息,则流量被允许;
如果在Conn表中找不到匹配的连接信息,则流量被拒绝。
ASA使用安全算法执行以下三项基本操作:
访问控制列表;
连接表;
检测引擎。
数据报文穿越ASA的过程:
Cisco ASA基础
①:一个新来的TCP SYN报文到达ASA,试图建立一个新的连接;
②:ASA检查访问控制列表,确定是否允许连接;
③:ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接表中创建一个新条目;
④:ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进行下一步应用层检测;
⑤:ASA根据检测引擎确定是否转发或丢弃报文;
⑥:目的主机相应报文;
⑦:ASA接收返回报文并进行检测,在连接数据库中查询连接,确定会话信息与现有连接是否匹配;
⑧:ASA转发属于已建立地现有会话的报文。
ASA对原始报文的处理过程:
Cisco ASA基础
接口的名称:
物理名称:用于设置IP地址、双工、速率等信息;
逻辑名称:用来描述安全区域。
安全级别之间互相访问时,默认遵守的规则:
允许出站:允许从高安全级别区域访问低安全级别区域;
禁止入站:不允许低安全级别区域访问高安全级别区域;
禁止同安全级别的区域之间进行通信。
DMZ(隔离区域):一般放置一些对外公开的服务器,它的安全级别介于×××ide和outside之间。默认的访问规则是:
×××ide可以访问outside、×××ide可以访问DMZ;
DMZ可以访问outside、DMZ不能访问×××ide;
outside不能访问×××ide、outside不能访问DMZ。
下面我们通过一个实验实例来进一步了解一下如何配置:
Cisco ASA基础
防火墙的配置:

ASA(config)# int e0/0
ASA(config-if)# nameif ×××ide
#进入防火墙接口配置区域类型(×××ide 内部区域)
INFO: Security level for "×××ide" set to 100 by default.
#只有×××ide区域的安全级别是100
ASA(config-if)# ip add 20.1.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/2
ASA(config-if)# nameif DMZ
#进入防火墙接口配置区域类型(DMZ隔离区域)名字自己随便定义
INFO: Security level for "DMZ" set to 0 by default.
#除了×××ide区域,别的区域默认安全级别是0
ASA(config-if)# security-level 50
#手工设置安全级别是50
(DMZ区域的安全级别是介于×××ide区域和outside区域之间)
ASA(config-if)# ip add 30.1.1.1 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
#进入防火墙接口配置区域类型(outside外部区域)名字自己随便定义
INFO: Security level for "outside" set to 0 by default.
除了×××ide区域,别的区域默认安全级别是0
ASA(config-if)# ip add 50.1.1.1 255.255.255.0
ASA(config-if)# no sh

防火墙基本配置已经完毕!已经遵守防火墙的默认访问规则
R1路由器

R1(config)#int f0/0
R1(config-if)#ip add 10.1.1.1 255.255.255.0
R1(config-if)#no sh
R1(config)#int f1/0
R1(config-if)#ip add 20.1.1.2 255.255.255.0
R1(config-if)#no sh
R1(config)#ip route 0.0.0.0 0.0.0.0 20.1.1.1
#给路由器配置一条默认路由(充当默认网关)
R1(config)#line vty 0 4
R1(config-line)#password 123
R1(config-line)#login
#启用Telnet功能

R2路由器

R2(config)#int f0/0
R2(config-if)#ip add 30.1.1.2 255.255.255.0
R2(config-if)#no sh
R2(config)#int f1/0
R2(config-if)#ip add 40.1.1.1 255.255.255.0
R2(config-if)#no sh
R2(config)#ip route 0.0.0.0 0.0.0.0 30.1.1.1
#给路由器配置一条默认路由(充当默认网关)
R2(config)#line vty 0 4
R2(config-line)#password 123
R2(config-line)#login
#启用Telnet功能

R3路由器

R3(config)#int f0/0
R3(config-if)#ip add 50.1.1.2 255.255.255.0
R3(config-if)#no sh
R3(config)#int f1/0
R3(config-if)#ip add 60.1.1.1 255.255.255.0
R3(config-if)#no sh
R3(config)#ip route 0.0.0.0 0.0.0.0 50.1.1.1
#给路由器配置一条默认路由(充当默认网关)
R2(config)#line vty 0 4
R2(config-line)#password 123
R2(config-line)#login
#启用Telnet功能
ASA(config)# route ×××ide 10.1.1.0 255.255.255.0 20.1.1.2
#配置一条内部到达10.1.1.0 网段的静态路由,可以写成
route ×××ide 0 0 20.1.1.2
ASA(config)# route DMZ 40.1.1.0 255.255.255.0 30.1.1.2
#配置一条隔离区域到达40.1.1.0 网段的静态路由
ASA(config)# route outside 60.1.1.0 255.255.255.0 50.1.1.2
#配置一条外部到达60.1.1.0 网段的静态路由
ASA(config)# password 123
ASA(config)# telnet 10.1.1.0 255.255.255.0 ×××ide
#ASA防火墙启用Telnet功能

现在PC1既可以Telnet到ASA防火墙了
telnet的方式主要应用于内部网络

ASA(config)# hostname ASA
ASA(config)# domain-name ASA.com
#名字可以自己随便定义
ASA(config)# crypto key generate rsa modulus 1024
#生成RSA秘钥对
INFO: The name for the keys will be: <Default-RSA-Key>
Keypair generation process begin. Please wait...
ASA(config)# ssh 0 0 outside
#配置允许外部区域的任何网段的主机可以使用ssh的方式管理ASA
ASA(config)# ssh timeout 30
#配置空闲超时时间为30分钟
ASA(config)# ssh version 2
#启用ssh版本2

PC3可以使用ssh的方式管理ASA防火墙,默认的用户名是pix,密码就是Telnet的密码。
ssh管理的方式一般用于外部网络。
我们在防火墙上设置一些ACL语句

ASA(config)# access-list 100 permit ip any any 
ASA(config)# access-group 100 in int outside
#允许所有基于IP协议的数据包,应用到outside区域的入方向
(在防火墙中,ACL列表的名字可以随便定义,可以是数字、英文、符号)
ASA(config)# access-list 1111 permit icmp any any
ASA(config)# access-group 1111 in int DMZ
#允许所有基于ICMP协议的数据包,应用到DMZ区域的入方向
ASA(config)# show access-list 
#查看所有的ACL语句
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list 100; 1 elements
access-list 100 line 1 extended permit ip any any (hitcnt=1) 0xa2f91e1d 
access-list 1111; 1 elements
access-list 1111 line 1 extended permit icmp any any (hitcnt=0) 0xbbe81ed1 
**ASA(config)# show run access-group
#查看防火墙那个区域应用了那个ACL语句**
access-group 1111 in interface DMZ
access-group 100 in interface outside
ASA(config)# show route
#查看防火墙的路由表
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 20.1.1.2 to network 0.0.0.0

C    50.1.1.0 255.255.255.0 is directly connected, outside
C    20.1.1.0 255.255.255.0 is directly connected, ×××ide
S    40.1.1.0 255.255.255.0 [1/0] via 30.1.1.2, DMZ
S    10.1.1.0 255.255.255.0 [1/0] via 20.1.1.2, ×××ide
S    60.1.1.0 255.255.255.0 [1/0] via 50.1.1.2, outside
C    30.1.1.0 255.255.255.0 is directly connected, DMZ
S*   0.0.0.0 0.0.0.0 [1/0] via 20.1.1.2, ×××ide
ASA(config)# show conn detail 
#查看防火墙的Conn表
0 in use, 1 most used
Flags: A - awaiting ×××ide ACK to SYN, a - awaiting outside ACK to SYN,
       B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump,
       E - outside back connection, F - outside FIN, f - ×××ide FIN,
       G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
       i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
       k - Skinny media, M - SMTP data, m - SIP media, n - GUP
       O - outbound data, P - ×××ide back connection, q - SQL*Net data,
       R - outside acknowledged FIN,
       R - UDP SUNRPC, r - ×××ide acknowledged FIN, S - awaiting ×××ide SYN,
       s - awaiting outside SYN, T - SIP, t - SIP transient, U - up
       X - ×××pected by service module

基本命令就这些!
实验介绍完毕!共同学习,共同成长!

人间不值得-
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cisco ASA 基础
m0_60093791的博客
01-29 1906
目录 1.Cisco封火墙简介 1.1软件与硬件封火墙 1.2 ASA安全设备 2.ASA的安全算法 2.1状态化封火墙 2.2安全算法的原理 3.ASA的基本配置 3.1配置主机名何密码 3.2配置ASA 1.Cisco封火墙简介 1.1软件与硬件封火墙 1.软件封火墙 Cisco新版本的iOS软件提供了iOS防火墙特性集,它具有应用层只能状态检测防火墙引擎。Cisco iOS防火墙特性集提供了一个综合的,内部的安全解决方案,它被广泛使用在基于iOS软件的设备上。 2.硬件..
思科ASA防火墙: 接口配置名称 && 安全等级 && acl防控列
鲍海超
04-07 2958
access-list + 自定义acl名称+ permit + ip host 源ip host 目标ip (any是全部 上边那个意思是 172.12.12.1 到内网全部)(因为没有对某些协议进行记录,所以不会让外面的回包进来,但是自己发的可以出去,这样就造成的无法得到回应,设备就以为外网设备不存在,使用acl就可以解决)现在基本的都配置好了,但是内网只能ping通自己的网关,外网也是只能ping通网关。如果源ip 改成any 目标 ip也是 any 那就是外网全部可以和内网全部通信。
思科ASA防火墙HA配置之易入误区(适用于ASA新手)
ly__001的博客
11-18 1235
在一开始做配置的时候,找了几个博客,按着操作后发现是错误的,主备ASA之间一直探测不到对方,显示 No Active Mate Detected,浪费了挺多时间的。
Cisco ASA(防火墙)基本配置
weixin_33738555的博客
05-18 2350
Cisco ASA 分为软件防火墙和硬件防火墙。其中,硬件防火墙比软件防火墙更有优势:1)、硬件防火墙功能强大,且明确是为抵御威胁而设计的。2)、硬件防火墙比软件防火墙的漏洞少。Cisco 硬件防火墙技术应用于以下三个领域:1)、PIX 500 系列安全设备2)、ASA 5500 系列自适应安全设备3)、Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的防火墙服务模块Ci...
Cisco ASA防火墙
weixin_45138093的博客
06-24 909
Cisco ASA流量示意图: 相同安全级别的接口之间的通讯 ASA初始化管理配置: 拓扑图如下所示: 在gns3里桥接所分配给ASA的网卡 首先可以从官网或者其他网上渠道获得思科ASA的镜像,并在Vmware进行安装完成后… 起始可以先还原设备:write erase 或 clear startup-config 首先第一步配通直连网络,g0-g3分别为第一到第四张网卡,必须都要配置nameif、level和ip地址(默认名inside的level为100) 之后即可通信(将云桥接到ASA所在网卡
asa基础配置
11-23
文档介绍了cisco防火墙的基本配置,如端口配置,nat,acl!
思科ASA防火墙的搭建和配置.doc
04-24
其实网络也是需要防护的,而说到防护,防火墙就不得不派出用场了呢,今天就来学习一下思科ASA防火墙如何服务器上成功搭建并且完成基础配置的!
思科ASA724-K9
06-28
思科ASA724-K9,CiscoIOS 防火墙的工作原理及配置网络安全是一个系统的 概念,有效的安全策略或方案的制定,是网络信息 安全的首要目标。防火墙是一套在网络基础设施上某一特定点施行的、可增强公司安全性方针的硬件和...
Cisco ASA 9.2.1
12-07
Cisco ASA IOS asa921-k8.bin, Release Date:24-APR-2014, 29.02 MB Cisco Adaptive Security Appliance Software for the ASA 5505.
cisco asa设备使用指南
06-28
Cisco安全设备使用指南,主要介绍思科防火墙的基础和进阶学习
cisco ASA技术
08-20
### Cisco ASA 5505 技术详解 #### 一、概述 Cisco ASA 5505是一款功能强大的安全设备,集成了防火墙、入侵防御、防病毒...以上就是Cisco ASA 5505日常应用配置的关键知识点,这些配置是保障网络安全稳定运行的基础
ASA搭建SSLVPN(AnyConnect)
wulala112233的博客
05-11 2492
ASAASA支持三种SSL(安全套接层)VPN类型其次,ASA设备提供了2个用户的免费授权拓扑环境:PNETclient:桥接网卡,IP10.10.0.2操作步骤:ASA1.注册数字证书略,之后会单开博客写注册证书。2.建立隧道和组策略2.1配置组策略创建客户端地址池ciscoasa(config)# group-policy SSLVPN internal #创建组策略。
实验 | 思科 ASA BGP 配置
网络技术联盟站
07-31 492
第一阶段是确保我们将流量发送到主连接之外,我们将使用本地偏好,但还有其他方式,例如权重,这是通过附加到 bap 邻居的路线图来完成的。在这篇文章中,我们将研究在 Cisco ASA 中使用 BGP 来允许在来自同一 ISP 的 2 个以太网连接之间进行故障转移。接下来,我们需要确保流量通过相同的主路由发回给我们,由于我们使用的是同一服务提供商,因此我们可以使用 MED,更可靠的方法是。,但请注意,此时它未附加到接口,我们可以通过使用。首先是选择我们的宣告前缀,我使用的是。第 1 阶段 - 设置路由器。
Cisco ASA 11条非常有用的命令,值得收藏!
最新发布
网络技术联盟站
08-11 112
思科自适应安全设备(Cisco ASA)是广泛应用于企业网络中的防火墙和VPN解决方案。ASA设备不仅具备高级安全功能,还提供了大量的命令行工具来帮助网络管理员管理、监控和排除故障。在数千条可用命令中,有一些命令特别有用,尤其是在排查故障和优化网络性能时。本文将详细介绍11条在Cisco ASA设备上非常有用的命令,帮助网络管理员更高效地管理和维护其网络环境。
浅谈Cisco ASA基础
weixin_34090562的博客
05-07 446
软件防火墙和硬件防火墙1)软件防火墙系统防火墙,TMG防火墙,IP tables防火墙,处理数据速度慢,稳定性差2)硬件防火墙ASA,深信服,华为都属于硬件防火墙,稳定性强,处理数据速度快 ASA5500系列的安全设备ASA 5505小型企业使用,ASA 5510中型企业使用,ASA 5520中型企业使用,具有模块化, ASA 5540大中型企业使用, ASA 5550大型企业和服务提供商使用,...
ASA防火墙基本操作
qq_55707182的博客
02-25 5458
默认情况下: 1、抵达ASA防火墙的所有流量被放行 2、ASA防火墙发起的所有流量被放行 3、高安全级别低安全级别的流量被放行 4、低安全级别到高安全级别的所有流量被拒绝 1、配置安全级别,默认inside的安全级别为100,其他都为0 2、防火墙配置静态路由,开销为60 3、R1配置默认路由 4、R2配置默认路由 5、根据ASA防火墙默认规则,高安全级别到低安全级别流量被放行,但此时PC0缺无法访问PC1,原因是防火墙没有监控ICMP流量 6、 ..
Cisco ASA防火墙的日志管理
小健健的博客
05-30 5802
日志信息的安全级别 日志信息可以输出到Log Buffer(日志缓冲区)、ASDM和日志服务器。配置Log buffer: ASA(config)# clock timezone peking 8 #peking示北京时间,8示国际标准时间的偏移量 ASA(config)# clock set 21:33:00 30 may 2019 #设置时间 ASA(config)# logging ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值