一、ASA(狀態(tài)化防火墻)安全設(shè)備介紹:
成都創(chuàng)新互聯(lián)專注于網(wǎng)站建設(shè)|企業(yè)網(wǎng)站維護(hù)|優(yōu)化|托管以及網(wǎng)絡(luò)推廣�,積累了大量的網(wǎng)站設(shè)計(jì)與制作經(jīng)驗(yàn)����,為許多企業(yè)提供了網(wǎng)站定制設(shè)計(jì)服務(wù),案例作品覆蓋成都茶樓設(shè)計(jì)等行業(yè)���。能根據(jù)企業(yè)所處的行業(yè)與銷售的產(chǎn)品��,結(jié)合品牌形象的塑造��,量身定制品質(zhì)網(wǎng)站�。
Cisco硬件防火墻技術(shù)應(yīng)用領(lǐng)域:
- PIX 500 系列安全設(shè)備。
- ASA 5500系列自適應(yīng)安全設(shè)備��。
- Catalyst 6500 系列交換機(jī)和Cisco 7600 系列路由器的防火墻服務(wù)模塊�。
Cisco ASA 5500 系列自適應(yīng)安全設(shè)備提供了整合防火墻��、入 侵保護(hù)系統(tǒng)(IPS)��、高級(jí)自適應(yīng)威脅防御服務(wù)����,其中包括應(yīng)用安全和簡化網(wǎng)絡(luò)安全解決方案的V P N服務(wù)。
二�、ASA狀態(tài)化防火墻的安全算法:
狀態(tài)化防火墻維護(hù)一個(gè)關(guān)于用戶信息的連接表,稱為Conn表
Conn表中的關(guān)鍵信息如下:
- 源IP地址
- 目的IP地址
- IP協(xié)議(例如TCP或UDP)
- IP協(xié)議信息(例如TCP/UDP端口號(hào)����,TCP序列號(hào),TCP控制位)
在上圖中���,當(dāng)PC訪問web服務(wù)器時(shí)�,狀態(tài)化防火墻處理的過程如下:
1、 PC發(fā)起一個(gè)HTTP請(qǐng)求給web服務(wù)器�����;
2���、HTTP請(qǐng)求到達(dá)防火墻�,防火墻將鏈接信息(如源IP地址和目的IP地址���、使用的TCP協(xié)議�����、源IP地址和目的IP地址的TCP端口號(hào))添加到conn表�����;
3�����、 防火墻將HTTP請(qǐng)求轉(zhuǎn)發(fā)給web服務(wù)器����;
流量返回時(shí),狀態(tài)化防火墻處理的過程如下:
1���、web服務(wù)器相應(yīng)HTTP請(qǐng)求�����,返回相應(yīng)的數(shù)據(jù)流量����;
2����、防火墻攔截該流量��,檢查其連接信息�����;
- 如果在conn表中查找到匹配的連接信息�����,則流量被允許。
- 如果在conn表中找不到匹配的連接信息�,則流量被丟棄。
ASA使用安全算法執(zhí)行以下三項(xiàng)基本操作:
1���、訪問控制列表:基于特定的網(wǎng)絡(luò)���、主機(jī)和服務(wù)(TCP/UDP端口號(hào))控制網(wǎng)絡(luò)訪問。
2��、連接表:維護(hù)每個(gè)連接的狀態(tài)信息�����。安全算法使用此信息在已建立的連接中有效的轉(zhuǎn)發(fā)流量�����。(個(gè)人理解為:ASA允許內(nèi)網(wǎng)客戶端主動(dòng)向外網(wǎng)建立連接����,但外網(wǎng)不允許主動(dòng)向內(nèi)網(wǎng)建立連接,也就是說�,要實(shí)現(xiàn)流量通信��,必須是內(nèi)網(wǎng)用戶主動(dòng)發(fā)起連接的���。)
3、檢測(cè)引擎:執(zhí)行狀態(tài)檢測(cè)和應(yīng)用層檢測(cè)�����。檢測(cè)規(guī)則集是預(yù)先定義的��,來驗(yàn)證應(yīng)用是否遵從每個(gè)RFC和其他標(biāo)準(zhǔn)�。
數(shù)據(jù)報(bào)文穿越ASA的過程如下所示:
1、一個(gè)新來的TCP SYN報(bào)文到達(dá)ASA��,試圖建立一個(gè)新的連接���;
2、ASA檢查訪問控制列表�,確定是否允許連接;
3��、ASA執(zhí)行路由查詢�����,如果路由正確,ASA使用必要的會(huì)話信息在連接表(XLATE和CONN)中創(chuàng)建一個(gè)新條目�����;
4����、ASA在檢測(cè)引擎中檢查預(yù)定義的一套規(guī)則,如果是已知應(yīng)用��,則進(jìn)一步執(zhí)行應(yīng)用層檢測(cè)����;
5、ASA根據(jù)檢測(cè)引擎確定是否轉(zhuǎn)發(fā)或丟棄報(bào)文�,如果允許轉(zhuǎn)發(fā),則將報(bào)文轉(zhuǎn)發(fā)到目的主機(jī)���;
6��、目的主機(jī)相響應(yīng)該報(bào)文��;
7��、ASA接收返回報(bào)文并進(jìn)行檢測(cè)�����,在連接數(shù)據(jù)庫中查詢連接����,確定會(huì)話信息與現(xiàn)有連接是否匹配;
8�、ASA轉(zhuǎn)發(fā)屬于已建立的現(xiàn)有會(huì)話的報(bào)文;
ASA的應(yīng)用層檢測(cè)通過檢查報(bào)文的IP包頭和有效載荷的內(nèi)容��,對(duì)應(yīng)用層協(xié)議流量執(zhí)行深層檢測(cè)��,檢查應(yīng)用層協(xié)議是否遵守RFC標(biāo)準(zhǔn)��,從而檢查出應(yīng)用層數(shù)據(jù)中的惡意行為�����。
三�����、ASA接口的概念:
1����、ASA的一個(gè)接口通常有兩種名稱:
①物理名稱:與路由器接口的名稱類似,如Ethernet0/0可以簡寫成E0/0�����,通常用來配置接口的速率����、雙工和IP地址等。
②��、邏輯名稱:用于大多數(shù)的配置命令����,如配置ACL、路由器等使用的命令中都用到邏輯名稱���。邏輯名稱用來描述安全區(qū)域���,如通常用inside表示ASA連接的內(nèi)部區(qū)域(安全級(jí)別高),用outside表示ASA連接的外部區(qū)域(安全級(jí)別低)��。
2����、接口的安全級(jí)別:
每個(gè)接口都有一個(gè)安全級(jí)別���,范圍是0~100,數(shù)值越大�����,安全級(jí)別越高�����。一般配置接口為inside(內(nèi)網(wǎng)接口)時(shí)�,將其安全級(jí)別設(shè)置為100,為outside(外網(wǎng)接口)時(shí)�����,將其安全級(jí)別設(shè)置為0����,為DMZ(隔離區(qū))時(shí),安全級(jí)別介于inside和outside之間即可��。
不同安全級(jí)別的接口之間相互訪問時(shí)�,遵從以下默認(rèn)規(guī)則:
①允許出站連接:就是允許從高安全級(jí)別接口到低安全級(jí)別的流量通過。比如說從inside訪問outside是允許的。
②禁止入站連接:就是禁止從低安全級(jí)別接口到高安全級(jí)別接口的流量通過����。比如說從outside訪問inside是禁止的����。
③禁止相同安全級(jí)別的接口之間通信。
四�����、DMZ的概念和作用:
DMZ稱為隔離區(qū)�����,是位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一個(gè)網(wǎng)絡(luò)區(qū)域���。在這個(gè)網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器�����、如web服務(wù)器���、FTP服務(wù)器和論壇等。示意圖如下:
DMZ中放置一些不含機(jī)密信息的共用服務(wù)器���,這樣來自外網(wǎng)的訪問者也可以訪問DMZ中的服務(wù)����,但不能訪問內(nèi)網(wǎng)的公司機(jī)密信息。即使DMZ中的服務(wù)器收到攻 擊��,也不會(huì)對(duì)內(nèi)網(wǎng)的機(jī)密信息造成影響�,所以,可以通過DMZ區(qū)域有效的保護(hù)內(nèi)網(wǎng)環(huán)境��。
當(dāng)存在DMZ區(qū)域時(shí)����,默認(rèn)的訪問規(guī)則如下:
上圖中默認(rèn)遵循的訪問規(guī)則如下:
- inside可以訪問DMZ和outside;
- DMZ可以訪問outside但不允許訪問inside���;
- outside不能訪問DMZ和inside����,不過通常會(huì)配置ACL���,讓outside可以訪問DMZ���,若不然�,DMZ就沒有存在的意義了��。
五��、ASA的基本配置:
配置主機(jī)名:
ciscoasa> en
Password: #默認(rèn)特權(quán)密碼為空���,直接回車即可。
ciscoasa# conf t
ciscoasa(config)# hostname asa
配置特權(quán)密碼:
asa(config)# enable password 123.com #將特權(quán)密碼配置為123.com
配置遠(yuǎn)程登錄密碼(在使用Telnet或SSH時(shí)需要輸入的密碼):
asa(config)# passwd 2019.com #將遠(yuǎn)程連接時(shí)的密碼設(shè)置為2019.com
配置接口名稱和接口安全級(jí)別:
asa(config)# in e0/0 #進(jìn)入e0接口
asa(config-if)# nameif inside #將e0接口定義為inside
INFO: Security level for "inside" set to 100 by default. #系統(tǒng)提示����,請(qǐng)
將inside接口的安全級(jí)別配置為100
asa(config-if)# security-level 100 #將inside接口的安全級(jí)別配置為100
如果ASA的型號(hào)是5505,則不支持在物理接口上直接進(jìn)行以上配置����,必須通過VLAN虛接口來配置,具體如下:
asa(config)#int vlan 1
asa(config-if)# nameif inside
asa(config-if)# security-level 100
asa(config-if)#ip add 10.1.1.254 255.255.255.0
asa(config-if)# no shut
查看conn表:
asa#show conn detail
配置ACL:
在ASA上配置ACL有兩個(gè)作用�,一是允許入站連接,二是控制出站連接的流量��。
需要注意的是����,路由器上的ACL使用反碼,而ASA上的ACL使用正常的掩碼,另外�,標(biāo)準(zhǔn)ACL過濾流量時(shí)不能應(yīng)用到接口,它應(yīng)用在其他場(chǎng)合���,如遠(yuǎn)程訪問V P N中分離隧道的配置���。
允許入站連接的實(shí)例:
asa(config)# access-list out_to_in permit ip host 172.16.1.1 host 10.1.1.1
#允許外網(wǎng)主機(jī)172.16.1.1訪問內(nèi)網(wǎng)主機(jī)10.1.1.1,out_to_in為ACL組名��。
asa(config)# access-group out_to_in in int outside
#將組名為out_to_in的ACL應(yīng)用在outside接口
控制出站連接的流量:
asa(config)# access-list in_to_out deny ip 10.0.0.0 255.0.0.0 any #拒絕
內(nèi)網(wǎng)10.0.0.0網(wǎng)段 訪問外網(wǎng)所有網(wǎng)段��。
asa(config)# access-list in_to_out permit ip any any #并允許其他所有
流量通行�,因?yàn)锳CL有隱含的拒絕語句,所以配置ACL時(shí)��,一般都需要允許所有流量
asa(config)# access-group in_to_out in int inside #應(yīng)用在內(nèi)網(wǎng)接口
配置靜態(tài)路由:
asa(config)# route outside 172.16.0.0 255.255.0.0 10.0.0.1 #去往外網(wǎng)
172.16.0.0網(wǎng)段的流量下一跳為10.0.0.1
asa(config)# route inside 192.168.1.0 255.255.255.0 192.168.2.1 #去往內(nèi)網(wǎng)
192.168.1.0網(wǎng)段的流量下一跳為192.168.2.1
其他配置
1����、ICMP協(xié)議:
默認(rèn)情況下,禁止ICMP報(bào)文穿越ASA是基于安全性的考慮�。有時(shí)候?yàn)榱朔奖阏{(diào)試,可以配置暫時(shí)允許ICMP應(yīng)答報(bào)文穿越ASA���。
ciscoasa(config)# access-list 111 permit icmp any any #定義ACL
ciscoasa(config)# access-group 111 in int outside #應(yīng)用到outside接口
2�����、其他配置命令:
寫在前面�����,一切皆可no�����,也就是說當(dāng)配置錯(cuò)一條命令后�,可以在原先的配置命令前加no即可刪除配置錯(cuò)的那條命令
ciscoasa# write memory #保存running configuration配置
到startup configuration
或者
ciscoasa# copy running-config startup-config #保存running configuration
配置到startup configuration
ciscoasa(config)# clear configure all #清除running configuration的所有配置
ciscoasa(config)# clear configure access-list #清除所有acces-list命令的配置
ciscoasa(config)# clear configure access-list in_to_out #只清除access-list
in_to_out 的配置
ciscoasa# write erase #刪除startup-config配置文件
六�、遠(yuǎn)程管理ASA:
ASA支持三種主要的遠(yuǎn)程管理接入方式:Telnet 、ssh和ASDM�。
1、Telnet配置實(shí)例:
由于使用Telnet遠(yuǎn)程管理是不安全的�����,所以一般禁止從外部接口使用Telnet接入�,而只允許在內(nèi)網(wǎng)使用Telnet。
1)�����、配置允許從inside區(qū)域內(nèi)的192.168.0.0/24網(wǎng)段使用telnet接入,命令如下:
ciscoasa(config-if)# telnet 192.168.0.0 255.255.255.0 inside
或者允許單個(gè)主機(jī)Telnet防火墻(兩者根據(jù)需要二選一即可):
ciscoasa(config)# telnet 192.168.0.1 255.255.255.255 inside
2)��、配置空閑超時(shí)時(shí)間為30分鐘�,命令如下:
ciscoasa(config)# telnet timeout 30
至此,即可實(shí)現(xiàn)Telnet遠(yuǎn)程管理�����。
2�、配置SSH接入:
1)、配置主機(jī)名和域名�����,因?yàn)樵谏蒖SA密鑰對(duì)的過程中需要用到主機(jī)名和域名��,(主機(jī)名的配置可省略)
ciscoasa(config-if)# host aaa #配置主機(jī)名
aaa(config)# domain-name abc.com #配置域名
aaa(config)# crypto key generate rsa modulus 1024 #指定modulus的大小
為1024位����,大小可以為512位、768位��、1024位或2048位�,
表示生成的RSA密鑰的長度
aaa(config)# ssh 192.168.1.0 255.255.255.0 inside #允許內(nèi)網(wǎng)1.0的網(wǎng)段
SSH接入
aaa(config)# ssh 0 0 outside #允許外網(wǎng)任何主機(jī)SSH接入
aaa(config)# ssh timeout 30 #配置超時(shí)時(shí)間為30分鐘
aaa(config)# ssh version 2 #啟用SSH的版本2,該命令為可選��,
有版本1和版本2,至于區(qū)別...不過是安全機(jī)制不一樣
配置SSH接入完成后����,可以在outside區(qū)域內(nèi)的主機(jī)上使用SecureCRT或putty等工具登錄ASA的outside接口,注意ASA默認(rèn)使用用戶名為pix�,密碼為使用password命令設(shè)置的密碼。
網(wǎng)頁標(biāo)題:Cisco防火墻基礎(chǔ)介紹及配置
文章URL:
http://weahome.cn/article/pcgsds.html
重慶分公司
重慶分公司
