asa基本應(yīng)用和配置

1、ASA基本應(yīng)用和配置,本講要點(diǎn),1.ASA防火墻基本配置（ASDM與SSH）2.NAT與ACL3.VPN配置（remote vpn）,1.ASA防火墻基本配置,ASDM的安裝與使用利用ASDM來(lái)配置SSH配置ASA的基本參數(shù),1.1 ASDM的安裝與使用,配置內(nèi)部接口和IP 地址設(shè)置允許用圖形界面來(lái)管理 ASA防火墻打開瀏覽器，訪問防火墻內(nèi)部接口的 IP 地址登陸ASDM,配置內(nèi)部接口和IP 地址,設(shè)置允許用圖形界面

2、來(lái)管理 ASA防火墻,打開瀏覽器，輸入防火墻內(nèi)部接口的 IP 地址,開始安裝過(guò)程,登陸ASA 防火墻,1.2 利用ASDM來(lái)配置SSH,允許SSH方式登陸防火墻添加SSH用戶定義SSH用本地?cái)?shù)據(jù)庫(kù)驗(yàn)證,允許ssh 方式登錄防火墻,增加用戶,,定義ssh 用本地?cái)?shù)據(jù)庫(kù)驗(yàn)證,1.3 配置ASA的基本參數(shù),配置接口參數(shù)配置路由參數(shù),接口配置,路由配置,單擊 Routing->Static Route->Add,2.

3、NAT與ACL,NAT原理及分類靜態(tài)NAT的配置方法動(dòng)態(tài)NAT與PAT的配置方法,2.1 NAT原理及分類,ACL定義NAT原理,Firewall Overview,防火墻技術(shù)分為三種：包過(guò)濾防火墻、代理服務(wù)器和狀態(tài)包過(guò)濾；包過(guò)濾防火墻，使用 ACL 控制進(jìn)入或離開網(wǎng)絡(luò)的流量，ACL 可以根據(jù)匹配包的類型或其他參數(shù)（如：源 IP地址、目的 IP地址、端口號(hào)等）來(lái)制定； 該類防火墻有以下不足，ACL 制定的維護(hù)比較困難；可以使用

4、 IP欺騙很容易的繞過(guò) ACL； 代理防火墻，也叫做代理服務(wù)器。它在 OSI 的高層檢查數(shù)據(jù)包，然后和制定的規(guī)則相比較，如果數(shù)據(jù)包的內(nèi)容符合規(guī)則并且被允許，那么代理服務(wù)器就代替源主機(jī)向目的地址發(fā)送請(qǐng)求，從外部主機(jī)收到請(qǐng)求后，再轉(zhuǎn)發(fā)給被保護(hù)的源請(qǐng)求主機(jī)。 代理防火墻的主要缺點(diǎn)就是性能問題，由于代理防火墻會(huì)對(duì)每個(gè)經(jīng)過(guò)它的包都會(huì)深度檢查，即使這個(gè)包以前檢查過(guò)，所以說(shuō)對(duì)系統(tǒng)和網(wǎng)絡(luò)的性能都有很大的影響。,Firewall Overview,狀

5、態(tài)包過(guò)濾防火墻，Cisco ASA就是使用的狀態(tài)包過(guò)濾防火墻，該防火墻會(huì)維護(hù)每個(gè)會(huì)話的狀態(tài)信息，狀態(tài)信息寫在狀態(tài)表里，狀態(tài)表的條目有：源地址、目的地址、端口號(hào)、TCP 序列號(hào)信息以及每個(gè) TCP 或 UDP的額外的標(biāo)簽信息。所有進(jìn)入或外出的流量都會(huì)和狀態(tài)表中的連接狀態(tài)進(jìn)行比較，只有狀態(tài)表中的條目匹配的時(shí)候才允許流量通過(guò)。 防火墻收到一個(gè)流量后，首先查看是否已經(jīng)存在于連接表中，如果沒有存在，則看這個(gè)連接是否符合安全策略，如果符合，則處理

6、后將該連接寫入狀態(tài)表；如果不符合安全策略，那么就將包丟棄。 狀態(tài)表，也叫 Fast Path，防火墻只處理第一個(gè)包，后續(xù)的屬于該連接的包都會(huì)直接按照 Fast Path 轉(zhuǎn)發(fā)，因此性能就有很高的提升,ACL,一個(gè) ACL 是由多個(gè)訪問控制條目（Access Control Entries，ACE）組成一個(gè) ACE 指明一個(gè) permit 或 deny規(guī)則，可以根據(jù)協(xié)議、指定的源地址和目的地址、端口號(hào)、ICMP 類型等來(lái)定義ACE

7、的執(zhí)行是按照順序執(zhí)行的，一旦發(fā)現(xiàn)匹配的 ACE，那么就不會(huì)再繼續(xù)往下匹配,三種主要的訪問列表,標(biāo)準(zhǔn)訪問控制列表 擴(kuò)展訪問控制列表 命名訪問控制列表,標(biāo)準(zhǔn)訪問控制列表,標(biāo)準(zhǔn)訪問列表（standard access lists）：只使用源IP地址來(lái)做過(guò)濾決定 access-list vpn_acl standard permit 192.168.142.0 255.255.255.0,擴(kuò)展訪問控制列表,擴(kuò)展訪問列表（extended

8、 access lists）：比較源IP地址和目標(biāo)IP地址，三層的協(xié)議字段，四層端口號(hào)來(lái)做過(guò)濾決定。access-list dmz-edi extended permit tcp host 192.168.151.11 host 192.168.132.18 eq www,命名訪問控制列表,命名訪問列表（named access lists）：主要優(yōu)點(diǎn)是：1、解決ACL號(hào)碼不足的問題；2、可以自由的刪除ACL中的一條語(yǔ)句，而不必刪

9、除整個(gè)ACL。命名的ACL的主要不足之處在于無(wú)法實(shí)現(xiàn)在任意位置加入新的ACL條目。,NAT（Network Address Translation）,Static NAT（靜態(tài)地址轉(zhuǎn)換）Dynamic NAT（動(dòng)態(tài)地址轉(zhuǎn)換）PAT（端口地址轉(zhuǎn)換）,Static NAT（靜態(tài)地址轉(zhuǎn)換）,將內(nèi)部本地地址與內(nèi)部全局地址進(jìn)行一對(duì)一的明確轉(zhuǎn)換主要用在內(nèi)部網(wǎng)絡(luò)中有對(duì)外提供服務(wù)的服務(wù)器，如WEB、MAIL服務(wù)器時(shí)服務(wù)器的IP地址必須采用靜

10、態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)該方法的缺點(diǎn)是需要獨(dú)占寶貴的合法IP地址。即，如果某個(gè)合法IP地址已經(jīng)被NAT靜態(tài)地址轉(zhuǎn)換定義，即使該地址當(dāng)前沒有被使用，也不能被用作其它的地址轉(zhuǎn)換。,Dynamic NAT（動(dòng)態(tài)地址轉(zhuǎn)換）,動(dòng)態(tài)地址轉(zhuǎn)換也是將內(nèi)部本地地址與內(nèi)部全局地址進(jìn)行一對(duì)一的轉(zhuǎn)換。從內(nèi)部全局地址池中動(dòng)態(tài)地選擇一個(gè)未使用的地址對(duì)內(nèi)部本地地址進(jìn)行轉(zhuǎn)換該地址是由未被使用的地址組成的地址池中在定義時(shí)排在最前面的一個(gè)當(dāng)數(shù)據(jù)傳輸

11、完畢后，路由器、防火墻將把使用完的內(nèi)部全局地址放回到地址池中，以供其它內(nèi)部本地地址進(jìn)行轉(zhuǎn)換。但是在該地址被使用時(shí)，不能用該地址再進(jìn)行一次轉(zhuǎn)換。,PAT（端口地址轉(zhuǎn)換）,端口地址轉(zhuǎn)換（Port Address Translation，PAT）首先是一種動(dòng)態(tài)地址轉(zhuǎn)換。路由器、防火墻將通過(guò)記錄地址、應(yīng)用程序端口等唯一標(biāo)識(shí)一個(gè)轉(zhuǎn)換。通過(guò)這種轉(zhuǎn)換，可以使多個(gè)內(nèi)部本地地址同時(shí)與同一個(gè)內(nèi)部全局地址進(jìn)行轉(zhuǎn)換并對(duì)外部網(wǎng)絡(luò)進(jìn)行訪問。對(duì)于只申請(qǐng)到少量I

12、P地址甚至只有一個(gè)合法IP地址，卻經(jīng)常有很多用戶同時(shí)要求上網(wǎng)的情況，這種轉(zhuǎn)換方式非常有用。,2.2 靜態(tài)NAT的配置方法,靜態(tài)NAT,hostname(config)# static (inside,outside) tcp 209.165.201.3 ftp 10.1.2.27 ftp netmask 255.255.255.255 hostname(config)# static (inside,outside) tcp

13、209.165.201.3 http 10.1.2.28 http netmask 255.255.255.255 hostname(config)# static (inside,outside) tcp 209.165.201.3 smtp 10.1.2.29 smtp netmask 255.255.255.255,2.3 動(dòng)態(tài)NAT,動(dòng)態(tài)NAT,hostname(config)# nat (inside) 1 1

14、0.1.2.0 255.255.255.0 hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10,2.3 PAT的配置方法,PAT,hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0 hostname(config)# global (outside) 1 209.165.201.3-

15、209.165.201.4 hostname(config)# global (outside) 1 209.165.201.5,3.VPN配置（remote vpn）,VPN原理與常用VPN技術(shù)分類配置VPN服務(wù)器（remote vpn）vpn客戶端連接與調(diào)試,3.1 VPN原理與常用VPN技術(shù)分類,VPN（Virtual Private Network）在公用網(wǎng)絡(luò)中,按照相同的策略和安全規(guī)則, 建立的私有網(wǎng)絡(luò)連接遠(yuǎn)程

16、訪問的VPN站點(diǎn)到站點(diǎn)的VPNSSL VPNVPN=加密＋隧道,3.2配置VPN服務(wù)器（remote vpn）,Configuring InterfacesConfiguring ISAKMP PoliciesConfiguring an Address PoolAdding a UserCreating a Transform SetDefining a Tunnel GroupCreating a Dynamic

17、Crypto Map Creating a Crypto Map Entry to Use the Dynamic Crypto Map,Configuring Interfaces,hostname(config)# interface ethernet0hostname(config-if)# ip address 10.10.4.200 255.255.0.0hostname(config-if)# nameif outsi

18、de,Configuring ISAKMP Policies,hostname(config)# isakmp policy 1 authentication pre-sharehostname(config)# isakmp policy 1 encryption 3deshostname(config)# isakmp policy 1 hash shahostname(config)# isakmp policy 1 gro

19、up 2hostname(config)# isakmp policy 1 lifetime 43200hostname(config)# isakmp enable outside,Configuring an Address Pool,hostname(config)# ip local pool testpool 192.168.0.10-192.168.0.15,Adding a User,hostname(config)#

20、 username testuser password 12345678,Creating a Transform Set,hostname(config)# crypto ipsec transform set FirstSet esp-3des esp-md5-hmac,Defining a Tunnel Group,hostname(config)# tunnel-group testgroup type ipsec-raho

21、stname(config)# tunnel-group testgroup general-attributeshostname(config-general)# address-pool testpoolhostname(config)# tunnel-group testgroup ipsec-attributeshostname(config-ipsec)# pre-shared-key 12345678,Creating

22、 a Dynamic Crypto Map,hostname(config)# crypto dynamic-map dyn1 1 set transform-set FirstSethostname(config)# crypto dynamic-map dyn1 1 set reverse-route,Creating a Crypto Map Entry to Use the Dynamic Crypto Map,hostnam