ASA是狀態(tài)化防火墻，會建立一個用戶信息連接表（Conn），連接表中包含的相關(guān)信息有源IP地址、目的IP地址、IP協(xié)議（如TCP或UDP）、IP協(xié)議信息（如TCP/UDP的端口號、TCP序列號和TCP控制位）

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供安平網(wǎng)站建設(shè)、安平做網(wǎng)站、安平網(wǎng)站設(shè)計、安平網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、安平企業(yè)網(wǎng)站模板建站服務(wù)，10多年安平做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

一.工作原理

ASA安全算法原理會執(zhí)行三項基本操作

1.訪問控制列表—基于特定網(wǎng)絡(luò)、主機和服務(wù)控制網(wǎng)絡(luò)訪問，有兩個作用：允許入站連接和控制出站的流量

2.連接表—維護每個連接狀態(tài)信息，在已建立的連接中有效轉(zhuǎn)發(fā)數(shù)據(jù)流量，入站流量如果conn表中沒有將會丟棄

3.檢查引擎—執(zhí)行狀態(tài)檢查和應(yīng)用層檢查

工作原理：

二.ASA接口的安全級別

1.每個接口都會有一個安全級別，范圍是0~100，數(shù)值越大安全級別越高。inside默認是100、outside默認是0。

不同安全級別接口直接訪問遵從三項默認規(guī)則

• 允許出站—允許從高安全級別接口到低安全級別接口的流量通過

• 禁止入站—禁止從低安全級別接口到高安全級別接口的流量通過

• 禁止相同安全級別的接口直接通信

2.DMZ區(qū)的概念
    DMZ俗稱“隔離區(qū)”，也叫“非軍事化區(qū)”，是位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一個網(wǎng)絡(luò)區(qū)域，這個區(qū)域可以放置一些必須公開的服務(wù)器，如公司的WEB服務(wù)器或論壇等等
    DMZ區(qū)的安全級別介于inside和outside之前，有6條默認訪問規(guī)則，所以配置DMZ區(qū)時候就要配置安全級別了

• inside可以訪問outside

• inside可以范圍DMZ

• DMZ可以訪問outside

• DMZ不能訪問inside

• outside可以訪問DMZ

• outside不能訪問inside

三.ASA基本配置

配置主機名和特權(quán)密碼都與思科路由器一樣

配置遠程登錄密碼：asa(config)# passwd mima

配置接口的名稱：asa(config-if)# nameif name 

說明：name為接口名稱inside、outside或DMZ等

配置接口安全級別：asa(config-if)# security-level number

說明：number代表安全級別的范圍數(shù)值0~100

如圖所示：配置接口名稱、安全級別、IP、靜態(tài)路由和ACL的方法

四.ASA的遠程管理
1.telnet方式可以實現(xiàn)內(nèi)網(wǎng)到ASA的遠程管理，如果是外網(wǎng)訪問將無法通過telnet的方式進行管理
配置命令：asa(config)# telnet(network|ip-address) mask interface-name 
舉例1：asa(config)# telnet 192.168.1.0 255.255.255.0 inside

表示允許192.168.1.0網(wǎng)段的客戶機可以進行telnet管理

舉例2：asa(config)# telnet 192.168.1.1 255.255.255.255 inside

表示只有192.168.1.1這個IP地址可以進行管理

2.SSH方式可以實現(xiàn)對ASA進行安全的遠程管理，可實現(xiàn)通過外網(wǎng)連接管理，需要使用Secure CRT軟件區(qū)連接
配置命令：asa(config)# hostasa       配置主機名為asa
asa(config)# domain-nameasadomain.com    配置域名asadomain.com 
asa(config)# crypto key generate rsa modulus 1024   生成RSA密鑰對，默認是1024位
asa(config)# ssh(network|ip-address) mask interface-name  配置ssh允許接入    
asa(config)# ssh 0 0 outside  表示可以從外部接口接入
asa(config)# ssh timeout30  配置空閑超時時間，表示空閑30分鐘就會退出，可以不配置
asa(config)# ssh versionversion-number 配置SSH版本，默認是同時支持版本1和版本2的

實驗

實驗步驟：
1.配置各個設(shè)備的IP地址、靜態(tài)路由，這里路由器不講解了，說一下ASA的配置

2.配置ASA訪問規(guī)則

3.驗證

五.ASA上NAT的應(yīng)用
在ASA上NAT分4種類型：動態(tài)NAT、動態(tài)PAT靜態(tài)NAT和靜態(tài)PAT
1.動態(tài)NAT配置語法
asa(config)# nat(interface-name) nat-id local-ip mask
asa(config)# global(interface-name) nat-id global-ip-global-ip
interface-name ： 代表是要轉(zhuǎn)換的接口是inside還是DMZ等等
nat-id：代表當(dāng)前這個nat的名稱，當(dāng)配置nat轉(zhuǎn)換的時候同一個轉(zhuǎn)換關(guān)系nat-id必須相同
local-ip：表示要進行nat轉(zhuǎn)換的內(nèi)部局部地址的網(wǎng)段
mask：內(nèi)部局部地址的掩碼
global-ip-global-ip：表示內(nèi)部全局地址池的范圍
配置實驗：
實驗步驟：路由、IP地址這里不進行演示，下面說下配置動態(tài)NAT

2.動態(tài)PAT配置語法
asa(config)# nat(interface-name) nat-id local-ip mask
asa(config)# global(interface-name) nat-id interface
這里與動態(tài)NAT唯一的不同是不用寫內(nèi)部全局地址池的范圍，因為是多個內(nèi)部局部地址轉(zhuǎn)換到一個內(nèi)部全局地址，所以這里將轉(zhuǎn)換直接應(yīng)用到接口即可
配置實驗：

實驗步驟：路由、IP地址這里不進行演示，下面說下配置動態(tài)NAT

3.靜態(tài)NAT配置語法
asa(config)# static(local-name,global-name) global-ip local-ip
并且需要創(chuàng)建相應(yīng)的ACL訪問規(guī)則
配置實驗：

實驗步驟：路由、IP地址這里不進行演示，下面說下配置靜態(tài)NAT

4.靜態(tài)PAT配置語法
asa(config)# static(local-name,global-name) {tcp|udp} global-ip global-port

local-ip local-port
tcp|udp：代表要使用的是tcp協(xié)議還是udp協(xié)議
global-port：代表對應(yīng)的協(xié)議端口號，內(nèi)部全局地址和內(nèi)部局部地址的協(xié)議端口號要一致
并且需要創(chuàng)建相應(yīng)的ACL訪問規(guī)則
實驗步驟：路由、IP地址這里不進行演示，下面說下配置靜態(tài)PAT