ASA 防火墻 工作原理與配置實(shí)例

    ASA是狀態(tài)化防火墻，會(huì)建立一個(gè)用戶信息連接表（Conn），連接表中包含的相關(guān)信息有源IP地址、目的IP地址、IP協(xié)議（如TCP或UDP）、IP協(xié)議信息（如TCP/UDP的端口號(hào)、TCP序列號(hào)和TCP控制位）

一.工作原理

ASA安全算法原理會(huì)執(zhí)行三項(xiàng)基本操作

1.訪問(wèn)控制列表—基于特定網(wǎng)絡(luò)、主機(jī)和服務(wù)控制網(wǎng)絡(luò)訪問(wèn)，有兩個(gè)作用：允許入站連接和控制出站的流量

2.連接表—維護(hù)每個(gè)連接狀態(tài)信息，在已建立的連接中有效轉(zhuǎn)發(fā)數(shù)據(jù)流量，入站流量如果conn表中沒(méi)有將會(huì)丟棄

3.檢查引擎—執(zhí)行狀態(tài)檢查和應(yīng)用層檢查

工作原理：

二.ASA接口的安全級(jí)別

1.每個(gè)接口都會(huì)有一個(gè)安全級(jí)別，范圍是0~100，數(shù)值越大安全級(jí)別越高。inside默認(rèn)是100、outside默認(rèn)是0。

不同安全級(jí)別接口直接訪問(wèn)遵從三項(xiàng)默認(rèn)規(guī)則

• 允許出站—允許從高安全級(jí)別接口到低安全級(jí)別接口的流量通過(guò)

• 禁止入站—禁止從低安全級(jí)別接口到高安全級(jí)別接口的流量通過(guò)

• 禁止相同安全級(jí)別的接口直接通信

2.DMZ區(qū)的概念
    DMZ俗稱(chēng)“隔離區(qū)”，也叫“非軍事化區(qū)”，是位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一個(gè)網(wǎng)絡(luò)區(qū)域，這個(gè)區(qū)域可以放置一些必須公開(kāi)的服務(wù)器，如公司的WEB服務(wù)器或論壇等等
    DMZ區(qū)的安全級(jí)別介于inside和outside之前，有6條默認(rèn)訪問(wèn)規(guī)則，所以配置DMZ區(qū)時(shí)候就要配置安全級(jí)別了

• inside可以訪問(wèn)outside

• inside可以范圍DMZ

• DMZ可以訪問(wèn)outside

• DMZ不能訪問(wèn)inside

• outside可以訪問(wèn)DMZ

• outside不能訪問(wèn)inside

  
  

三.ASA基本配置

配置主機(jī)名和特權(quán)密碼都與思科路由器一樣

配置遠(yuǎn)程登錄密碼：asa(config)# passwd mima

配置接口的名稱(chēng)：asa(config-if)# nameif name 

說(shuō)明：name為接口名稱(chēng)inside、outside或DMZ等

配置接口安全級(jí)別：asa(config-if)# security-level number

說(shuō)明：number代表安全級(jí)別的范圍數(shù)值0~100

如圖所示：配置接口名稱(chēng)、安全級(jí)別、IP、靜態(tài)路由和ACL的方法

四.ASA的遠(yuǎn)程管理
1.telnet方式可以實(shí)現(xiàn)內(nèi)網(wǎng)到ASA的遠(yuǎn)程管理，如果是外網(wǎng)訪問(wèn)將無(wú)法通過(guò)telnet的方式進(jìn)行管理
配置命令：asa(config)# telnet (network|ip-address) mask interface-name 
舉例1：asa(config)# telnet 192.168.1.0 255.255.255.0 inside

表示允許192.168.1.0網(wǎng)段的客戶機(jī)可以進(jìn)行telnet管理

舉例2：asa(config)# telnet 192.168.1.1 255.255.255.255 inside

表示只有192.168.1.1這個(gè)IP地址可以進(jìn)行管理

2.SSH方式可以實(shí)現(xiàn)對(duì)ASA進(jìn)行安全的遠(yuǎn)程管理，可實(shí)現(xiàn)通過(guò)外網(wǎng)連接管理，需要使用Secure CRT軟件區(qū)連接
配置命令：asa(config)# host asa       配置主機(jī)名為asa
asa(config)# domain-name asadomain.com    配置域名asadomain.com 
asa(config)# crypto key generate rsa modulus 1024   生成RSA密鑰對(duì)，默認(rèn)是1024位
asa(config)# ssh (network|ip-address) mask interface-name  配置ssh允許接入    
asa(config)# ssh 0 0 outside  表示可以從外部接口接入
asa(config)# ssh timeout 30  配置空閑超時(shí)時(shí)間，表示空閑30分鐘就會(huì)退出，可以不配置
asa(config)# ssh version version-number 配置SSH版本，默認(rèn)是同時(shí)支持版本1和版本2的

實(shí)驗(yàn)

實(shí)驗(yàn)步驟：
1.配置各個(gè)設(shè)備的IP地址、靜態(tài)路由，這里路由器不講解了，說(shuō)一下ASA的配置

2.配置ASA訪問(wèn)規(guī)則

3.驗(yàn)證

五.ASA上NAT的應(yīng)用
在ASA上NAT分4種類(lèi)型：動(dòng)態(tài)NAT、動(dòng)態(tài)PAT靜態(tài)NAT和靜態(tài)PAT
1.動(dòng)態(tài)NAT配置語(yǔ)法
asa(config)# nat (interface-name) nat-id local-ip mask
asa(config)# global (interface-name) nat-id global-ip-global-ip
interface-name ： 代表是要轉(zhuǎn)換的接口是inside還是DMZ等等
nat-id：代表當(dāng)前這個(gè)nat的名稱(chēng)，當(dāng)配置nat轉(zhuǎn)換的時(shí)候同一個(gè)轉(zhuǎn)換關(guān)系nat-id必須相同
local-ip：表示要進(jìn)行nat轉(zhuǎn)換的內(nèi)部局部地址的網(wǎng)段
mask：內(nèi)部局部地址的掩碼
global-ip-global-ip：表示內(nèi)部全局地址池的范圍
配置實(shí)驗(yàn)：
實(shí)驗(yàn)步驟：路由、IP地址這里不進(jìn)行演示，下面說(shuō)下配置動(dòng)態(tài)NAT

2.動(dòng)態(tài)PAT配置語(yǔ)法
asa(config)# nat (interface-name) nat-id local-ip mask
asa(config)# global (interface-name) nat-id interface
這里與動(dòng)態(tài)NAT唯一的不同是不用寫(xiě)內(nèi)部全局地址池的范圍，因?yàn)槭嵌鄠€(gè)內(nèi)部局部地址轉(zhuǎn)換到一個(gè)內(nèi)部全局地址，所以這里將轉(zhuǎn)換直接應(yīng)用到接口即可
配置實(shí)驗(yàn)：

實(shí)驗(yàn)步驟：路由、IP地址這里不進(jìn)行演示，下面說(shuō)下配置動(dòng)態(tài)NAT

3.靜態(tài)NAT配置語(yǔ)法
asa(config)# static (local-name,global-name) global-ip local-ip
并且需要?jiǎng)?chuàng)建相應(yīng)的ACL訪問(wèn)規(guī)則
配置實(shí)驗(yàn)：

實(shí)驗(yàn)步驟：路由、IP地址這里不進(jìn)行演示，下面說(shuō)下配置靜態(tài)NAT

4.靜態(tài)PAT配置語(yǔ)法
asa(config)# static (local-name,global-name) {tcp|udp} global-ip global-port

local-ip local-port
tcp|udp：代表要使用的是tcp協(xié)議還是udp協(xié)議
global-port：代表對(duì)應(yīng)的協(xié)議端口號(hào)，內(nèi)部全局地址和內(nèi)部局部地址的協(xié)議端口號(hào)要一致
并且需要?jiǎng)?chuàng)建相應(yīng)的ACL訪問(wèn)規(guī)則
實(shí)驗(yàn)步驟：路由、IP地址這里不進(jìn)行演示，下面說(shuō)下配置靜態(tài)PAT