课件分析firewall v4第二天

1、Security CCIE V4系列第一天 :概述与初始化第二天 :系统管理与日志第三天 :列表与穿越用户认证CCNP Security Firewall V1.0第四天 :Modular Policy Framework第五天 :基于用户的MPF 、高级制和地址转换控作者：现任明教教主第六天：透明墙与多模式第七天：接口和网络冗余技术 FO现任明教教主北京Yeslab安全现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天课程介绍第二天课程介绍第一部分:基本设备管理第一部分:管理和会话日志第三部分:基本排错工具介绍第四部分:配置管理第五部分:认证管理现任明教

2、教主FirewallSecurity CCIE V4系列Firewall 第二天第一部分第一部分基本设备管理设置现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置实验拓扑现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置内容介绍1. 配置2. 配置Enable的主机名和。3.配置DNS服务器和后缀，在相关接口打开试。功能，并进DNS4. 配置时区，然后使用NTP同步时间。5. 管理ASA文件系统。6. 配置ASA的启动OS与文件。现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置配

3、置主机名和没必要和设备所属的本地域相同（ASDM）现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置配置主机名和配置主机名:hostname YeslabASA（CLI）配置:dns servergroup Defaudomainname NS现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置配置Enable在没有其他认证方式的时候，（ASDM）使用enableASDM现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置配置Enable（CLI）配置Enable:enable pas

4、sword cisco现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置配置DNS服务器（ASDM）现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置配置DNS服务器（CLI）在DMZ区域启用DNSdns domainlookup DMZ:配置DNS服务器为00:dns servergroup DefauNSnameserver 00现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置DNS测试使用DNS1.命令管理任务（ping,trac

5、eroute,文件URLs）2.在ASA配置中URLsYeslab-ASA# ping outrouter Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/10/40 ms Yeslab-ASA# ping Type escape sequence to abort.Sending 5, 100-byte ICMP Echo

6、s to , timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/10/40 ms现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置配置时间（ASDM）现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置配置时间（CLI）配置时区:clock timezone GMT +8配置时间:clock set 03:10:25 oct 19 2012现任明教教主FirewallSecurity

7、 CCIE V4系列第一部分基本设备管理设置配置NTP同步（ASDM）现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置配置NTP同步（CLI）配置NTP:ntp authenticatentp authenticationkey 1 md5 cisco ntp trustedkey 1ntp server key 1 source Outside现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置NTP测试Yeslab-ASA# show clock detail 03:23:20.083 HK

8、ST Fri Oct 19 2012Time source is NTPUTC time is: 19:23:20 UTC Thu Oct 18 2012Yeslab-ASA ASA# sh ntp statusClock is synchronized, stratum 9, reference is nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2*6reference time is d4683321.7a30a3e6 (16:30:25.477 GMT Tue Dec 4

9、2012)clock offset is 2.5972 msec, root delay is 0.99 msecroot dispersion is 15893.69 msec, peer dispersion is 15890.63 msec现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置文件管理（ASDM）现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置配置一个外部FTP加载点（ASDM）现任明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置配置ASA启动文件（ASDM）现任

10、明教教主FirewallSecurity CCIE V4系列第一部分基本设备管理设置配置ASA启动文件（CLI）配置ASA启动OS:boot system disk0:/asa842k8.bin配置ASDM文件:asdm image disk0:/asdm645206.bin配置ASA启动配置文件:boot config disk0:/boot.cfg现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天管理和会话日志第二部分管理和会话日志现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天管理和会话日志日志系统介绍现任明教

11、教主FirewallSecurity CCIE V4系列Firewall 第二天管理和会话日志日志信息格式现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天管理和会话日志激活ASA的日志功能（ASDM）现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天管理和会话日志激活ASA的日志功能（CLI）激活ASA的日志功能:logging enable现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天管理和会话日志日志的不同输出目的（ASDM）现任明教教主FirewallSecurity

12、CCIE V4系列Firewall 第二天管理和会话日志日志的不同输出目的（CLI）把严重级别为“Information ”的日志输出到本地缓存:logging buffered informational把严重级别为“Information ”的日志输出到日志服务器:logging trap informational把严重级别为“debugging ”的日志输出到ASDM:logging asdm debugging现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天管理和会话日志在ASDM上查看日志现任明教教主FirewallSecurity CCIE

13、 V4系列Firewall 第二天管理和会话日志过滤技术（ASDM）EventList现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天管理和会话日志过滤技术（CLI）EventList创建EventList:logging list Test level criticallogging list Test level informational class ospf使用EventList技术对输出到console口的日志进行过滤:logging console Test现任明教教主FirewallSecurity CCIE V4系列Firewall 第二

14、天管理和会话日志修改特定日志（ASDM）现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天管理和会话日志修改特定日志（CLI）禁用日志106001，并且修改严重级别到errors:no logging message 106001logging message 106001 level errors现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天管理和会话日志定义日志服务器（ASDM）现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天管理和会话日志定义日志服务器（CLI）定义日志

15、服务器:logging host Inside 00现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天管理和会话日志查看日志详细信息（ASDM）现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天管理和会话日志查看logging配置与本地buffered日志现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天基本排错工具介绍第三部分基本排错工具介绍现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍内容介绍1.Pin

16、g的介绍和使用。2.Traceroute的介绍和使用。3.使用Packettracer分别对Inbound和Outbound流量进试。4.使用Capture对telnet流量进行抓包分析现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍Cisco推荐排错流程现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍Ping的测试1.ASA使用Traceroute 和Ping来进行连通性测试。2.注意:默认穿越ASA的Ping流量并没有被态化，返回的ICMP echo replies被3.AS

17、A使用ping来确认直连的连通性。Yeslab-ASA# ping Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/10/30 ms现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍ICMP的Ping现任明教教主FirewallSecurity CCIE V

18、4系列Firewall 第三部分基本排错工具介绍TCP的Ping现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍Traceroute现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍Packet Tracer的测试1.Packet Tracer模拟一个数据包穿越ASA的数据通道，并且跟踪ASA对这个数据包的整个处理过程2.对丢包进行debug，显示这个包具体被哪一个策略所拒绝3. 提供可能丢包的4. 可以在ASDM和CLI中工作现任明教教主FirewallSecurity CCIE

19、 V4系列Firewall 第三部分基本排错工具介绍Packet Tracer（Outbound）现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍Packet Tracer实例（Outbound）Yeslab-ASA# packet-tracer input inside tcp 1024 23Phase: 4Phase: 1Type: ACCESS-LISTSubtype:Result: ALLOW Config:Implicit Rule Additional Information:MAC

20、 Access listPhase: 2Type: ROUTE-LOOKUPSubtype: input Result: ALLOW Config:Additional Information:inPhase: 3Type: IP-OPTIONSSubtype: Result: ALLOW Config:Additional Information:Type: IP-OPTIONSSubtype:Result: ALLOW Config:Additional Information:Phase: 5Type: FLOW-CREATIONSubty

21、pe:Result: ALLOW Config:Additional Information:New flow created with id 352, packet dispatched to next moduleResult:input-interface: Inside input-status: upinput-line-status: up output-interface: Outside output-status: upoutput-line-status: up Action: allowOutside现任明教教主FirewallSecurity CCIE V4系列Fire

22、wall 第三部分基本排错工具介绍Packet Tracer（Inbound）现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍Packet Tracer实例 （Inbound）Yeslab-ASA# packet-tracer input outside icmp 8 0 Phase: 3Phase: 1Type: ACCESS-LISTSubtype:Result: ALLOW Config:Implicit Rule Additional Information: MAC Access lis

23、tPhase: 2Type: ROUTE-LOOKUPSubtype: input Result: ALLOW Config:Additional Information:Type: ACCESS-LISTSubtype:Result: DROP Config:Implicit Rule Additional Information:Result:input-interface: Outside input-status: upinput-line-status: up output-interface: Inside output-status: up output-line-status:

24、 up Action: dropDrop-reason: (acl-drop) Flow is denied by configured ruleinInside现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍Packet Capture的测试1.高级的排错技术，能够捕获和检查穿越ASA的数据包2.Capture是基于接口来配置的3. 捕获的数据包可以通过命令行或者图形化界面进行检查4. 数据包可以被保存并且被抓包程序查看5. 用于确认数据包是否穿越一个接口6. 用于对一个数据包进入和离开ASA

25、进行比较7. 在命令行和ASDM中都可以使用现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍配置Packet Capture（1）现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍配置Packet Capture（2）现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍配置Packet Capture（3）现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍配置Packet

26、Capture（4）现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍配置Packet Capture（5）现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍配置Packet Capture（6）现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍Packet Capture 在抓包软件中的显示现任明教教主FirewallSecurity CCIE V4系列Firewall 第三部分基本排错工具介绍在命令行中使用Packet Ca

27、ptureYeslab-ASA# capture test interface inside Yeslab-ASA# no capture test interface inside Yeslab-ASA# show capture test24 packets captured1: 01:49:59.006179 > : icmp: echo request2: 01:49:59.010146 > : icmp: echo reply3: 01:49:59.016539 > 2

28、0: icmp: echo request4: 01:49:59.023024 > : icmp: echo reply5: 01:49:59.026442 > : icmp: echo request6: 01:49:59.033521 > : icmp: echo reply7: 01:49:59.037733 > : icmp: echo request8: 01:49:59.045362

29、 > : icmp: echo reply现任明教教主FirewallSecurity CCIE V4系列Firewall 第二天配置管理第四部分配置管理现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理内容介绍方式。1.四种2.创建本地用户。3.带管口4.使用ASDM配置SSH。5.配置自签6.SNMP。的说明。现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理四种管理方式现任明教教主FirewallSecurity CCIE V4系列Firewall

30、 第四部分配置管理带管口1. 你可以配置任何一个接口成为2. 流量不能够穿越管理接口。管理接口。3.依然需要运用管理策略来。4. 如果需要，最好使用物理管理接口5. 建议需要为这个接口配置最高的安全级别6. 建议使用ACL拒绝所有的穿越流量现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理配置带管口（ASDM）现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理配置带配置Inside接口为interface Ethernet0/1 nameif Inside securitylevel 100管口（C

31、LI）管口:带ip address 0 managementonly注意Management0/0接口默认为带管口现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理介绍Telnet 启用Telnettelnet 55 Insidetelnet 0 0 DMZ （DMZ所有主机都能Telnet） 最低安全级别的接口不支持Telnet（例如:Outside） 默认:cisco （passwd修改默认） 默认enable:空（enable password修改默认）

32、用本地用户认证的配置如下: username admin password cisco123 privilege 15 aaa authentication telnet console LOCAL现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理配置Telnet（ASDM）1现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理配置Telnet（ASDM）2现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理SSH 启用SSHhostname ASAFWd

33、omainname crypto key generate rsaSSH 55 InsideSSH 0 0 DMZ （DMZ所有主机都能SSH） 必须使用SSH，不能使用Telnet 8.4之后Cisco取消了以前的默认用户名和 用本地用户认证的配置如下:的设置 username localadmin password cisco privilege 15 aaa authentication SSH console LOCAL现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理配置SSH（ASDM）1现

34、任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理配置SSH（ASDM）2现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理配置SSH（ASDM）3现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理创建本地管理帐号（ASDM）1现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理创建本地管理帐号（ASDM）2servicetype admin（能进入configure）servicetype naspromp

35、t（只能进入exec）servicetype remoteaccess（只网络）要测试三种权限的区别需要启用如下命令“aaa authentication enable console LOCAL ” “aaa authorization exec LOCAL”现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理创建本地管理帐号（CLI）创建本地管理员帐号:ASA(config)# username yeslabadmin password cisco ASA(config)# username yeslabadmin attributes ASA

36、(configusername)# servicetype ?username mode commands/options:adminnaspromptUser is allowed access to the configuration prompt.User is allowed access to the exec prompt.remoteaccess User is allowed network access.现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理HTTPS启用HTTPShttp server enablehttp 10.

37、1.1.0 Outside仅仅只能使用ASDM ASA需要一个服务器的客户认证的可以使任何或者AAA的客户也可以使用认证再加上现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理创建自签创建一个长期有效的自签1.设置主机名和（推荐）2. 创建一个新的RSA密钥对（可选）3. 创建一个自签名trustpoint4. 创建一个有适当名字（CN）的器请求，来申请服务现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理产生密钥（ASDM）现任明教教主FirewallSecurity

38、CCIE V4系列Firewall 第四部分配置管理产生密钥（CLI）crypto key generate rsa label modulus 1024现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理产生自签（ASDM）现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理产生自签（CLI）crypto ca trustpoint YeslabASDMTrustPointenrollment selfsubjectname CN=ASA. k

39、eypair 现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理在特定接口上使用自签（ASDM）现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理在特定接口上使用自签（CLI）ssl trustpoint YeslabASDMTrustPoint Inside现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理SNMP简介ASA只能够支持只读的SNMP，支持的版本只有 V1 V2c V3所有的都必须认证1.基于IP地址和C

40、ommu（v1/v2c）2.使用用户名和登陆（v3）SNMPv3支持更强的认证1. 用户名2. 认证密钥钥3.现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理SNMP基本配置与V3用户（ASDM）现任明教教主FirewallSecurity CCIE V4系列Firewall 第四部分配置管理SNMP基本配置与V3用户（CLI）snmpserver group Authentication&Encryption v3 privsnmpserver user yeslabuser Authentication&Encryption v3 auth md5 123 priv des 321 snmpserver location CYTD601snmpserver contact MINGJIAOsnmpserver enable traps s