Cisco防火牆簡介
硬件與軟件防火牆
軟件
硬件
ASA安全設備
ASA 5500系列
常見型號 5505、5510、5520、5540、5550、5580
狀態化防火牆
狀態化防火牆維護一個關於用戶信息的連接表,稱爲Conn表
Conn表中的關鍵信息
源IP地址
目的IP地址
IP協議(例如TCP或UDP )
IP協議信息(例如TCP/UDP端口號,TCP序列號,TCP控制位)
默認情況下,ASA對TCP和UDP協議提供狀態化連接,但ICMP協議是非狀態化的
安全算法的原理
ASA使用安全算法執行以下三項基本操作
訪問控制列表
基於特定的網絡、主機和服務(TCP/UDP端口號)控制網絡
連接表
維護每個連接的狀態信息
安全算法使用此信息在已建立的連接中有效轉發流量
檢測引擎
執行狀態檢測和應用層檢測
檢測規則集是預先定義的,來驗證應用是否遵從每個RFC和其他標準
ASA對原始報文的處理
1.一個新來的TCP SYN報文到達ASA,試圖建立一個新的連接
2.ASA檢查訪問列表,確定是否允許連接
3.ASA執行路由查詢,如果路由正確,ASA使用必要的會話信息在連接表(xlate和conn 表)中創建一個新條目
4.ASA在檢測引擎中檢查預定義的一套規則,如果是已知應用,則進一步執行應用層檢 測
5.ASA根據檢測引擎確定是否轉發或丟棄報文。如果允許轉發,則將報文轉發到目的主 機
6.目的主機響應該報文
7.ASA接收返回報文並進行檢測,查詢連接確定會話信息與現有連接是否匹配
8.ASA轉發屬於已建立的現有會話的報文
ASA的接口名稱
物理名稱
邏輯名稱(用來描述安全區域 例如inside 安全級別高、outside 安全級別低、dmz)
不同安全級別的接口之間訪問時,遵從的默認規則
允許出站(outbound)連接
禁止入站(inbound)連接
禁止相同安全級別的接口之間通信(默認允許高級別到低級別 不允許低級別到高級別)
ASA的基本配置主機名和密碼
配置主機名
ciscoasa(config)# hostname asa配置密碼
配置特權密碼
asa(config)# enable password asa802
配直遠程登陸密碼
asa(config)# passwd cisco
ASA接口的配置
配置接口的名稱
asa(config-if)# nameif name
配置接口的安全級別(0-100 0級別最低)
asa(config-if)# security-level number
R1 能telnet R2 R2不能telnet R1 ( inside可以到outside )
R1 不能ping通R2(非狀態化的)
如果ASA型號爲5505 則不支持在物理接口上直接進行配置 必須在VLAN虛接口上設置
配置ACL的兩個作用
允許入站連接
控制出站連接的流量
配置標準ACL
asa(config)# access-list acl_ name [standrad/extended] {permit | deny} ip_ addr mask(正常的掩碼)
配置擴展ACL
asa(config)# access-list acl_name [extended] {permit I deny} Protocol src_ ip_ addr src_ mask dst_ ip_ addr dst_mask[operator port]
將ACL應用到接口
asa(config)# access-group acl _name {in| out} interface interface_ name
任務一:驗證防火牆默認安全規則,高安全級別接口(inside)可主動訪問低安全級別接口(outside);低安全級別接口(outside)不能主動訪問高安全級別接口(inside)
任務二:配置ACL,使內網主機能ping通外網主機
任務三:配置ACL,使外網主機能主動訪問內網主機(訪問方式爲:Telnet)
拓撲圖
R1配置 開啓telnet
R2配置
R3配置
R4 開啓telnet
防火牆啓動防火牆 write失敗reload一次重新輸入
驗證telnet是否成功
防火牆查看
R4不能telnet R1
設置訪問策略
再次拿R4 telnet R1
R1 嘗試ping R4失敗
增加ACL
再次嘗試ping
日誌信息的安全級別
emergencies的重要性最高,debugging的重要性最低
(Debugging級別不要輕易使用,會耗費防火牆自身的可用資源)
配置日誌
日誌信息可以輸出到Log Buffer(日誌緩衝區)、ASDM和日誌服務器
首先配置時區和時間
asa(config)# clock timezone peking 8
asa(config)# clock set 10:30:00 21 June 2011
配置Log Buffer
asa(config)# logging enable
asa(config)# logging buffered informational
查看Log Buffer
asa(config)# show logging
配置ASDM文件
asa(config)# logging enable
asa(config)# logging asdm informational
ASA的兩種工作模式
路由模式(默認)
充當一個三層設備 基於目的IP地址轉發數據包
透明模式
充當一個二層設備 基於目的MAC地址轉發數據幀
與交換機處理數據幀的不同
對於目的MAC地址未知的單播數據幀 ASA不會泛洪而是直接丟棄
ASA不參與STP
如果配置了NAT ASA轉發數據包仍然使用路由查找
透明模式下默認允許的3層流量
允許IPv4流量自動從高級別接口到低級別接口
允許ARP流量雙向穿越
透明模式下繼續使用應用層智能執行狀態檢測和各項常規防火牆功能,但只支持2個區域
透明模式下不需要在接口上配置IP地址,這樣就不用重新設計現有的IP網絡,方便部署
透明模式的配置
切換到透明模式
asa(config)# firewall transparent
重新切換到路由模式
no firewall transparent
查看當前的工作模式
ciscoasa(config # show firewall
Firewall mode: Transparent
配置管理IP地址
ciscoasa(config)# ip address IP address [subnet mask]
查看MAC地址表
ciscoasa(config)# show mac-address-table
禁止特定接口的MAC地址學習
ciscoasa(config)# mac-learn logical_if_name disable
透明模式配置實例一
透明模式配置實例二
多安全區域
DMZ區域的概念和作用
DMZ ( DeMilitarized Zone) 稱爲“隔離區”,也稱“非軍事化區”
位於企業內部網絡和外部網絡之間的一個網絡區域
默認的訪問規則
DMZ區的安全級別(介於inside和outside之間)
有六條默認的訪問規則
DMZ區域的基本配置
實驗要求
驗證默認規則
在R1上可以telnet到R2 和R3
在R3上可以telnet到R2但不能telnet到R1
在R2上不能telnet到R1和R3
配置ACL實現R2能夠telnet到R3
使用” show conn detail “命令查看conn表
使用” show route ”命令查看路由表
任務:在綜合環境中配置路由器、防火牆設備的路由,使其達到全網互通
三個區域的ASA配置
實驗拓撲
防火牆上的設置
R5
R1可以telnet到R4和R5
測試R1 到 R5的連通性
測試R1 到 R4的連通性
在R5上可以telnet到R4但不能telnet到R1
在R4上不能telnet到R1和R5
配置ACL實現R4能夠telnet到R5
使用” show conn detail “命令查看conn表
使用” show route ”命令查看路由表