• 軟件防火墻和硬件防火墻
  1）軟件防火墻
  系統(tǒng)防火墻，TMG防火墻，IP tables防火墻，處理數(shù)據(jù)速度慢，穩(wěn)定性差
  2）硬件防火墻
  ASA，深信服，華為都屬于硬件防火墻，穩(wěn)定性強(qiáng)，處理數(shù)據(jù)速度快
• ASA5500系列的安全設(shè)備
  ASA 5505小型企業(yè)使用，ASA 5510中型企業(yè)使用，ASA 5520中型企業(yè)使用，具有模塊化， ASA 5540大中型企業(yè)使用， ASA 5550大型企業(yè)和服務(wù)提供商使用， ASA 5580用于大型企業(yè)，數(shù)據(jù)中心，運(yùn)營(yíng)商使用
• 防火墻功能分類
  1）應(yīng)用防火墻
  代理使用
  2）網(wǎng)絡(luò)防火墻
  識(shí)別網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包
  3）狀態(tài)化防火墻
  硬件防火墻都屬于狀態(tài)化防火墻，自動(dòng)識(shí)別傳輸?shù)臄?shù)據(jù)包
• 狀態(tài)化防火墻的原理
  
  
  
  
  1）狀態(tài)化防火墻的conn表包含的信息
  源IP或者網(wǎng)絡(luò)
  目標(biāo)IP或者網(wǎng)絡(luò)
  協(xié)議 端口號(hào)
  2）icmp的特點(diǎn)
  icmp協(xié)議不屬于狀態(tài)化防火墻
  默認(rèn)不能穿越防火墻通信
  3）conn表的特點(diǎn)
  conn表支持的協(xié)議可以轉(zhuǎn)發(fā)
  不支持不能被防火墻轉(zhuǎn)發(fā)
• ASA安全算法原理
  
  1)查詢ACL
  訪問控制列表是否允許
  2)查詢conn表
  檢查conn表是否允許
  3）操作引擎
  引擎不需要管理員配置
  引擎能夠識(shí)別傳輸?shù)臄?shù)據(jù)包‘
  不識(shí)別無(wú)法執(zhí)行操作指令
• 簡(jiǎn)單配置ASA
  1.配置主機(jī)名
  ciscoasa#config t
  ciscoasa#hostname ASA
  ASA(config)#
  2.配置密碼
  1）配置特權(quán)密碼
  ASA(config)#enable password pwd@123
  2）配置遠(yuǎn)程登錄密碼
  ASA(config)#password pwd@123
• 接口的概念與配置
  1）物理接口
  協(xié)商工作模式，協(xié)商通信速率
  2）邏輯接口
  配置命令
  3）常見的邏輯接口
  inside 內(nèi)部接口，優(yōu)先級(jí)默認(rèn)100
  outside 外部接口，優(yōu)先級(jí)默認(rèn)為0
  dmz 非軍事化區(qū)，保存對(duì)外提供服務(wù)的服務(wù)器，安全級(jí)別在inside和outside之間，優(yōu)先級(jí)低于inside，高于outside
  4）不同優(yōu)先級(jí)遵循的規(guī)則
  低不能訪問高，低安全級(jí)別不能訪問高安全級(jí)別
  高可以訪問低，高安全級(jí)別可以訪問低
  相同安全級(jí)別不能訪問，端口優(yōu)先級(jí)相同不能訪問
  低訪問高，需要配置訪問控制列表
• 簡(jiǎn)單配置接口
  ASA(config)#int et 0/0， 進(jìn)入物理接口
  ASA(config-if)#nameif inside ，配置邏輯名稱inside

ASA(config-if)#security-level 100	修改接口優(yōu)先級(jí)100
ASA(config-if)#ip add 192.168.10.254 255.255.255.0	ASA(config-if)#no shut

ASA#show interface ip brief ，查看接口信息
ASA#show conn detail ，查看conn表

創(chuàng)新互聯(lián)公司專注于南寧網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供南寧營(yíng)銷型網(wǎng)站建設(shè)，南寧網(wǎng)站制作、南寧網(wǎng)頁(yè)設(shè)計(jì)、南寧網(wǎng)站官網(wǎng)定制、重慶小程序開發(fā)服務(wù)，打造南寧網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供南寧網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

• 配置靜態(tài)和默認(rèn)
  ASA（config）#route inside 192.168.10.0 255.255.255.0 192.168.20.1 配置靜態(tài)
  ASA（config）#route outside 0.0.0.0 0.0.0.0 192.168.30.1 配置默認(rèn)，默認(rèn)只能有一條
  ASA#show route 查看路由表
  ASA（config）#fixup protocol icmp 添加狀態(tài)化連接
• 配置ACL（訪問控制列表）
  ASA（config）#access-list out-to-in permit tcp 192.168.40.0 255.255.255.0 host 192.168.20.1 eq 23 允許主機(jī)訪問telnet
  ASA（config）#int et 0/1 進(jìn)入接口
  ASA（config）#access-group out-to-in in interface outside ACL應(yīng)用在outside接口為進(jìn)方向
• ASA遠(yuǎn)程管理的方式
  1）telnet
  內(nèi)部管理使用，沒有被加密，Cisco設(shè)備直接支持，安全性差
  2）ssh
  安全性強(qiáng)，適合廣域網(wǎng)管理，傳輸數(shù)據(jù)加密，需要配置AAA認(rèn)證
  3）ASDM
  Cisco提供的圖形化配置設(shè)備使用，使用的是HTTPS協(xié)議加密
• 簡(jiǎn)單配置telnet遠(yuǎn)程管理
  1）配置允許192.168.10.0網(wǎng)絡(luò)通過inside遠(yuǎn)程管理設(shè)備
  ASA（config）#telnet 192.168.10.0 255.255.255.0 inside
  2）允許任意網(wǎng)絡(luò)通過inside訪問
  ASA（config）#telnet 0 0 inside
  3）telnet保持時(shí)間5分鐘
  ASA（config）#telnet timeout 5
• 簡(jiǎn)單配置SSH遠(yuǎn)程管理
  1）創(chuàng)建域名
  ASA（config）#domain-name benet.com
  2）使用加密算法rsa長(zhǎng)度為1024
  ASA（config）#crypto key generate rsa modulus 1024
  3)允許192.168.20.0通過outside接口ssh遠(yuǎn)程管理
  ASA（config）#ssh 192.168.20.0 255.255.255.0 outside
  4）修改版本
  ASA（config）#ssh version 2
  5）創(chuàng)建ssh賬戶和密碼
  ASA（config）#username cisco password pwd@123 privilege 15
  6)開啟AAA驗(yàn)證
  ASA（config）#aaa authentication ssh console LOCAL
  7)配置ssh保持時(shí)間
  ASA（config）#ssh timeout 10
• 配置ASDM圖形化工具管理
  1）開啟http功能
  ASA（config）#http server enable
  2）指定asdm客戶端位置
  ASA（config）#asdm image disk0:/asdm - 649.bin
  3）允許外網(wǎng)使用asdm管理
  ASA（config）#http 192.168.20.0 255.255.255.0 outside
  4)創(chuàng)建asdm賬戶和密碼
  ASA（config）#username cisco password pwd@123 privilege 15

本文名稱：淺談CiscoASA的基礎(chǔ)
網(wǎng)頁(yè)網(wǎng)址：http://jinyejixie.com/article4/pdcgie.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供軟件開發(fā)、靜態(tài)網(wǎng)站、網(wǎng)站排名、手機(jī)網(wǎng)站建設(shè)、服務(wù)器托管、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)