• 軟件防火墻和硬件防火墻
  1）軟件防火墻
  系統(tǒng)防火墻，TMG防火墻，IP tables防火墻，處理數(shù)據(jù)速度慢，穩(wěn)定性差
  2）硬件防火墻
  ASA，深信服，華為都屬于硬件防火墻，穩(wěn)定性強(qiáng)，處理數(shù)據(jù)速度快
• ASA5500系列的安全設(shè)備
  ASA 5505小型企業(yè)使用，ASA 5510中型企業(yè)使用，ASA 5520中型企業(yè)使用，具有模塊化， ASA 5540大中型企業(yè)使用， ASA 5550大型企業(yè)和服務(wù)提供商使用， ASA 5580用于大型企業(yè)，數(shù)據(jù)中心，運(yùn)營(yíng)商使用
• 防火墻功能分類
  1）應(yīng)用防火墻
  代理使用
  2）網(wǎng)絡(luò)防火墻
  識(shí)別網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包
  3）狀態(tài)化防火墻
  硬件防火墻都屬于狀態(tài)化防火墻，自動(dòng)識(shí)別傳輸?shù)臄?shù)據(jù)包
• 狀態(tài)化防火墻的原理
  
  
  
  
  1）狀態(tài)化防火墻的conn表包含的信息
  源IP或者網(wǎng)絡(luò)
  目標(biāo)IP或者網(wǎng)絡(luò)
  協(xié)議 端口號(hào)
  2）icmp的特點(diǎn)
  icmp協(xié)議不屬于狀態(tài)化防火墻
  默認(rèn)不能穿越防火墻通信
  3）conn表的特點(diǎn)
  conn表支持的協(xié)議可以轉(zhuǎn)發(fā)
  不支持不能被防火墻轉(zhuǎn)發(fā)
• ASA安全算法原理
  
  1)查詢ACL
  訪問控制列表是否允許
  2)查詢conn表
  檢查conn表是否允許
  3）操作引擎
  引擎不需要管理員配置
  引擎能夠識(shí)別傳輸?shù)臄?shù)據(jù)包‘
  不識(shí)別無法執(zhí)行操作指令
• 簡(jiǎn)單配置ASA
  1.配置主機(jī)名
  ciscoasa#config t
  ciscoasa#hostname ASA
  ASA(config)#
  2.配置密碼
  1）配置特權(quán)密碼
  ASA(config)#enable password pwd@123
  2）配置遠(yuǎn)程登錄密碼
  ASA(config)#password pwd@123
• 接口的概念與配置
  1）物理接口
  協(xié)商工作模式，協(xié)商通信速率
  2）邏輯接口
  配置命令
  3）常見的邏輯接口
  inside 內(nèi)部接口，優(yōu)先級(jí)默認(rèn)100
  outside 外部接口，優(yōu)先級(jí)默認(rèn)為0
  dmz 非軍事化區(qū)，保存對(duì)外提供服務(wù)的服務(wù)器，安全級(jí)別在inside和outside之間，優(yōu)先級(jí)低于inside，高于outside
  4）不同優(yōu)先級(jí)遵循的規(guī)則
  低不能訪問高，低安全級(jí)別不能訪問高安全級(jí)別
  高可以訪問低，高安全級(jí)別可以訪問低
  相同安全級(jí)別不能訪問，端口優(yōu)先級(jí)相同不能訪問
  低訪問高，需要配置訪問控制列表
• 簡(jiǎn)單配置接口
  ASA(config)#int et 0/0， 進(jìn)入物理接口
  ASA(config-if)#nameif inside ，配置邏輯名稱inside

ASA(config-if)#security-level 100	修改接口優(yōu)先級(jí)100
ASA(config-if)#ip add 192.168.10.254 255.255.255.0	ASA(config-if)#no shut

ASA#show interface ip brief ，查看接口信息
ASA#show conn detail ，查看conn表

站在用戶的角度思考問題，與客戶深入溝通，找到肅北網(wǎng)站設(shè)計(jì)與肅北網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品，建站類型包括：網(wǎng)站建設(shè)、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、國(guó)際域名空間、網(wǎng)站空間、企業(yè)郵箱。業(yè)務(wù)覆蓋肅北地區(qū)。

• 配置靜態(tài)和默認(rèn)
  ASA（config）#route inside 192.168.10.0 255.255.255.0 192.168.20.1 配置靜態(tài)
  ASA（config）#route outside 0.0.0.0 0.0.0.0 192.168.30.1 配置默認(rèn)，默認(rèn)只能有一條
  ASA#show route 查看路由表
  ASA（config）#fixup protocol icmp 添加狀態(tài)化連接
• 配置ACL（訪問控制列表）
  ASA（config）#access-list out-to-in permit tcp 192.168.40.0 255.255.255.0 host 192.168.20.1 eq 23 允許主機(jī)訪問telnet
  ASA（config）#int et 0/1 進(jìn)入接口
  ASA（config）#access-group out-to-in in interface outside ACL應(yīng)用在outside接口為進(jìn)方向
• ASA遠(yuǎn)程管理的方式
  1）telnet
  內(nèi)部管理使用，沒有被加密，Cisco設(shè)備直接支持，安全性差
  2）ssh
  安全性強(qiáng)，適合廣域網(wǎng)管理，傳輸數(shù)據(jù)加密，需要配置AAA認(rèn)證
  3）ASDM
  Cisco提供的圖形化配置設(shè)備使用，使用的是HTTPS協(xié)議加密
• 簡(jiǎn)單配置telnet遠(yuǎn)程管理
  1）配置允許192.168.10.0網(wǎng)絡(luò)通過inside遠(yuǎn)程管理設(shè)備
  ASA（config）#telnet 192.168.10.0 255.255.255.0 inside
  2）允許任意網(wǎng)絡(luò)通過inside訪問
  ASA（config）#telnet 0 0 inside
  3）telnet保持時(shí)間5分鐘
  ASA（config）#telnet timeout 5
• 簡(jiǎn)單配置SSH遠(yuǎn)程管理
  1）創(chuàng)建域名
  ASA（config）#domain-name benet.com
  2）使用加密算法rsa長(zhǎng)度為1024
  ASA（config）#crypto key generate rsa modulus 1024
  3)允許192.168.20.0通過outside接口ssh遠(yuǎn)程管理
  ASA（config）#ssh 192.168.20.0 255.255.255.0 outside
  4）修改版本
  ASA（config）#ssh version 2
  5）創(chuàng)建ssh賬戶和密碼
  ASA（config）#username cisco password pwd@123 privilege 15
  6)開啟AAA驗(yàn)證
  ASA（config）#aaa authentication ssh console LOCAL
  7)配置ssh保持時(shí)間
  ASA（config）#ssh timeout 10
• 配置ASDM圖形化工具管理
  1）開啟http功能
  ASA（config）#http server enable
  2）指定asdm客戶端位置
  ASA（config）#asdm image disk0:/asdm - 649.bin
  3）允許外網(wǎng)使用asdm管理
  ASA（config）#http 192.168.20.0 255.255.255.0 outside
  4)創(chuàng)建asdm賬戶和密碼
  ASA（config）#username cisco password pwd@123 privilege 15

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文題目：淺談CiscoASA的基礎(chǔ)-創(chuàng)新互聯(lián)
網(wǎng)頁(yè)鏈接：http://weahome.cn/article/gghdi.html