ASA基本应用和配置

1、ASA基本应用和配置本讲要点1.ASA防火墙基本配置（ASDM与SSH）2.NAT与ACL3.VPN配置（remote vpn）1.ASA防火墙基本配置ASDM的安装与使用利用ASDM来配置SSH配置ASA的基本参数1.1 ASDM的安装与使用配置内部接口和IP 地址设置允许用图形界面来管理 ASA防火墙打开浏览器，访问防火墙内部接口的 IP 地址登陆ASDM配置内部接口和IP 地址 设置允许用图形界面来管理 ASA防火墙 打开浏览器，输入防火墙内部接口的 IP 地址开始安装过程登陆ASA 防火墙1.2 利用ASDM来配置SSH允许SSH方式登陆防火墙添加SSH用户定义SSH用本地数据库验证允

2、许ssh 方式登录防火墙 增加用户定义ssh 用本地数据库验证1.3 配置ASA的基本参数配置接口参数配置路由参数接口配置路由配置单击 Routing-Static Route-Add2.NAT与ACLNAT原理及分类静态NAT的配置方法动态NAT与PAT的配置方法2.1 NAT原理及分类ACL定义NAT原理Firewall Overview 防火墙技术分为三种：包过滤防火墙、代理服务器和状态包过滤；包过滤防火墙，使用 ACL 控制进入或离开网络的流量，ACL 可以根据匹配包的类型或其他参数（如：源 IP地址、目的 IP地址、端口号等）来制定； 该类防火墙有以下不足，ACL 制定的维护比较困难

3、；可以使用 IP欺骗很容易的绕过 ACL； 代理防火墙，也叫做代理服务器。它在 OSI 的高层检查数据包，然后和制定的规则相比较，如果数据包的内容符合规则并且被允许，那么代理服务器就代替源主机向目的地址发送请求，从外部主机收到请求后，再转发给被保护的源请求主机。 代理防火墙的主要缺点就是性能问题，由于代理防火墙会对每个经过它的包都会深度检查，即使这个包以前检查过，所以说对系统和网络的性能都有很大的影响。Firewall Overview状态包过滤防火墙，Cisco ASA就是使用的状态包过滤防火墙，该防火墙会维护每个会话的状态信息，状态信息写在状态表里，状态表的条目有：源地址、目的地址、端口号

4、、TCP 序列号信息以及每个 TCP 或 UDP的额外的标签信息。所有进入或外出的流量都会和状态表中的连接状态进行比较，只有状态表中的条目匹配的时候才允许流量通过。 防火墙收到一个流量后，首先查看是否已经存在于连接表中，如果没有存在，则看这个连接是否符合安全策略，如果符合，则处理后将该连接写入状态表；如果不符合安全策略，那么就将包丢弃。 状态表，也叫 Fast Path，防火墙只处理第一个包，后续的属于该连接的包都会直接按照 Fast Path 转发，因此性能就有很高的提升ACL一个 ACL 是由多个访问控制条目（Access Control Entries，ACE）组成一个 ACE 指明一个

5、 permit 或 deny规则，可以根据协议、指定的源地址和目的地址、端口号、ICMP 类型等来定义ACE 的执行是按照顺序执行的，一旦发现匹配的 ACE，那么就不会再继续往下匹配三种主要的访问列表标准访问控制列表 扩展访问控制列表 命名访问控制列表 标准访问控制列表 标准访问列表（standard access lists）：只使用源IP地址来做过滤决定 access-list vpn_acl standard permit 扩展访问控制列表 扩展访问列表（extended access lists）：比较源IP地址和目标IP地址，三层的协议字段，四层端口号来做过滤决定。access-li

6、st dmz-edi extended permit tcp host 1 host 8 eq www 命名访问控制列表 命名访问列表（named access lists）：主要优点是：1、解决ACL号码不足的问题；2、可以自由的删除ACL中的一条语句，而不必删除整个ACL。命名的ACL的主要不足之处在于无法实现在任意位置加入新的ACL条目。NAT（Network Address Translation）Static NAT（静态地址转换）Dynamic NAT（动态地址转换）PAT（端口地址转换） Static NAT（静态地址转换）将内部本地地址与内部全局地址进行一对一的明确转换主要用在

7、内部网络中有对外提供服务的服务器，如WEB、MAIL服务器时服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务该方法的缺点是需要独占宝贵的合法IP地址。即，如果某个合法IP地址已经被NAT静态地址转换定义，即使该地址当前没有被使用，也不能被用作其它的地址转换。 Dynamic NAT（动态地址转换）动态地址转换也是将内部本地地址与内部全局地址进行一对一的转换。从内部全局地址池中动态地选择一个未使用的地址对内部本地地址进行转换该地址是由未被使用的地址组成的地址池中在定义时排在最前面的一个当数据传输完毕后，路由器、防火墙将把使用完的内部全局地址放回到地址池中，以供其它内部本地地址进

8、行转换。但是在该地址被使用时，不能用该地址再进行一次转换。PAT（端口地址转换） 端口地址转换（Port Address Translation，PAT）首先是一种动态地址转换。路由器、防火墙将通过记录地址、应用程序端口等唯一标识一个转换。通过这种转换，可以使多个内部本地地址同时与同一个内部全局地址进行转换并对外部网络进行访问。对于只申请到少量IP地址甚至只有一个合法IP地址，却经常有很多用户同时要求上网的情况，这种转换方式非常有用。 2.2 静态NAT的配置方法静态NAThostname(config)# static (inside,outside) tcp ftp 7 55 hostna

9、me(config)# static (inside,outside) tcp http 8 http netmask 55 hostname(config)# static (inside,outside) tcp smtp 9 smtp netmask 552.3 动态NAT动态NAThostname(config)# nat (inside) 1 hostname(config)# global (outside) 1 -0 2.3 PAT的配置方法PAThostname(config)# nat (inside) 1 hostname(config)# global (outside)

10、 1 - hostname(config)# global (outside) 1 3.VPN配置（remote vpn）VPN原理与常用VPN技术分类配置VPN服务器（remote vpn）vpn客户端连接与调试3.1 VPN原理与常用VPN技术分类VPN（Virtual Private Network）在公用网络中,按照相同的策略和安全规则, 建立的私有网络连接远程访问的VPN站点到站点的VPNSSL VPNVPN=加密隧道3.2配置VPN服务器（remote vpn）Configuring InterfacesConfiguring ISAKMP PoliciesConfiguring

11、an Address PoolAdding a UserCreating a Transform SetDefining a Tunnel GroupCreating a Dynamic Crypto Map Creating a Crypto Map Entry to Use the Dynamic Crypto MapConfiguring Interfaceshostname(config)# interface ethernet0hostname(config-if)# ip address 00 hostname(config-if)# nameif outsideConfiguri

12、ng ISAKMP Policieshostname(config)# isakmp policy 1 authentication pre-sharehostname(config)# isakmp policy 1 encryption 3deshostname(config)# isakmp policy 1 hash shahostname(config)# isakmp policy 1 group 2hostname(config)# isakmp policy 1 lifetime 43200hostname(config)# isakmp enable outsideConfi

13、guring an Address Poolhostname(config)# ip local pool testpool 0-5Adding a Userhostname(config)# username testuser password 12345678Creating a Transform Sethostname(config)# crypto ipsec transform set FirstSet esp-3des esp-md5-hmacDefining a Tunnel Grouphostname(config)# tunnel-group testgroup type

14、ipsec-rahostname(config)# tunnel-group testgroup general-attributeshostname(config-general)# address-pool testpoolhostname(config)# tunnel-group testgroup ipsec-attributeshostname(config-ipsec)# pre-shared-key 12345678Creating a Dynamic Crypto Maphostname(config)# crypto dynamic-map dyn1 1 set transform-set FirstSethostname(config)# crypto dynamic-map dyn1 1 set reverse-routeCreati