ASDM使用手册内容

ASDM简介ASDM是一个基于WEB浏览器的JAVA程序的图形化安全设备管理工具。ASDM定位为配置工具，通过ASDM可以对安全设备进行配置和监控，ASDM的配置功能十分强大，几乎可以实现命令行全部的操作。但无法实现审计和告警的功能。ASDM基础设置ASDM与防火墙软件的兼容性FWSM版本ASDM/PDM版本4.1(x)需要ASDM6.2(x)F或更高版本4.0(x)需要ASDM6.1(x)或更高版本3.2(x)需要ASDM5.2(x)F或更高版本3.1(x)需要ASDM5.0(x)F或更高版本2.3(x)需要PDM4.1(x)2.2(x)需要PDM4.1(x)1.1(x)需要PDM2.1(1)ASDM对于客户机的需求登陆前配置登陆FWSM配置允许登陆的源IP地址hostname(config)#httpsource_IP_addressmasksource_interface开启HTTPS服务hostname(config)#httpserverenable打开ASDM历史记录功能（可选，用于监控功能，详见第五章节）asdmhistoryenable如果没有设置ASDM的AAA，则登陆时仅需要在password对话框中输入enable密码，username对话框不用填。开启ASDM的AAA认证需要使用aaaauthenticationhttpconsoleAAALOCAL命令。登陆ASDM打开浏览器，在地址栏输入https://interface_ip_address如52即可打开ASDM页面。ASDM有两种运行方式，一种是作为本地程序运行，另一种是作为JavaWeb程序运行。作为本地程序运行的好处是可以通过桌面快捷方式调用ASDM而不再需要浏览器，并且通过桌面快捷方式可以快速链接多个设备。如果想通过本地程序运行ASDM，点击InstallASDMLauncherandRunASDM按钮即可。以JavaWeb程序运行，点击RunASDM按钮即可。InterfaceStatus：用于显示接口名状态及接口流量TrafficStaus：用来显示活跃的TCP和UDP连接数，以及穿过外部接口的流量速率LatestASDMSyslogMessages：用来显示设备生产的最新的ASDM系统日志消息。默认情况下该功能是被禁用的，为了进行日志监控应开启该功能。右侧的三角号代表恢复实时日志显示，方块代表停止实时日志显示，双齿轮符号代表ASDMsyslog过滤器配置。Configuration（配置）功能页面Configuration功能页面下可以修改设备的配置，主要用来对设备进行配置操作。其中实墙和虚墙界面和功能不同，路由模式和透明模式的界面和功能不同，因此本文以实墙/路由模式和虚墙/透明模式两种为例编写，可以覆盖所有的功能选项。实墙模式/路由模式DeviceSetupStartupWizard（初始化向导）用来启动向导模式对设备进行初始化配置。Interface（接口）用来查看和编辑接口相关配置。Routing（路由）用来查看和配置路由相关信息。DeviceName/Password（设备名和密码）设置hostname、域名及设备密码FirewallAccessRules（访问规则）用来配置安全策略NATRules（NAT规则）查看及配置NAT相关内容。ServicePolicyRules（服务策略规则）用于查看及配置服务策略。AAARules（AAA规则）用来查看和配置AAA相关内容。FilterRules（过滤规则）用来进行应用层监控过滤（需要其他设备联动支持来实现）。PublicServers（公用服务器）可以通过配置将内部服务器（主要是DMZ区）的服务器暴露给外网。URLFilteringServers（网址过滤）用来配置网址过滤（需要其他设备联动支持）。Objects（对象）用来定义各种对象，包括：地址对象/地址组服务组类表检测表正则表达式规则地址池时间计划Advanced（高级设置）用来配置安全高级配置，包括：地址欺骗防御证书管理IP分段TCP选项，用来配置TCP连接参数全局超时设置虚拟访问ACL管理器标准ACL配置DeviceManagementManagementAccess（登陆管理）用于配置查看设备登陆相关内容。Licensing（许可）用于查看许可状态和添加许可。SystemImage/Configuration（系统软件和配置）配置自动升级功能，用来从网络自动更新系统软件和配置。HighAvailability（高可用性）用来查看和进行双机配置。Logging（日志）用来查看和配置日志相关内容。Users/AAA（AAA功能）用来配置AAA相关内容。CertificateManagement（证书管理）用来配置证书相关内容。DHCP包括dhcp中继和dhcp服务器两部分，用来配置dhcp相关内容。DNS用来指定设备的DNS服务器。Advanced（设备高级配置）包含静态arp表配置和ASDM历史记录两个配置项目。配置静态ARP表项。开启ASDM历史记录功能。开启后可以查看设备监控的历史信息（最近10分钟、最近60分钟、最近12小时、最近5天）DynamicResourceAllocation虚墙模式/透明模式SYSTEM墙ContextManagementSecurityContexts（虚拟防火墙）可以对虚拟防火墙进行查看、新增、编辑、更改虚墙模式（路由/透明）、删除操作。ResourceClass（资源类）用来配置为防火墙分配资源的资源类。DeviceManagementDeviceAdministration（设备管理）设备管理选项包括以下几个内容：命令行提示（用来设置命令行最前面显示的字符，默认为hostname和context）设备名（system墙的hostname）ftp模式（默认为被动模式）安全拷贝（用来开启或关闭SCP功能）用户审计（用来创建本地账户和权限分配）ActivationKey（许可）用于查看许可状态和添加许可。HighAvailability（高可用性）用来查看和进行双机配置。Password（密码）用来配置telnet连接时使用的密码。ResourceAllocation（资源分配）包括Dynamic和Static两个选项。Dynamic用来配置ACPPartitions的分配Static用来配置资源分配的限制。普通虚墙DeviceSetupStartupWizard（初始化向导）用来启动向导模式对设备进行初始化配置。Interface（接口）用来查看和编辑接口相关配置。Routing（路由）用来查看和配置路由相关信息。DeviceName/Password（设备名和密码）设置hostname、域名及设备密码FirewallAccessRules（访问规则）用来配置安全策略NATRules（NAT规则）查看及配置NAT相关内容。ServicePolicyRules（服务策略规则）用于查看及配置服务策略。AAARules（AAA规则）用来查看和配置AAA相关内容。FilterRules（过滤规则）用来进行应用层监控过滤（需要其他设备联动支持来实现）。EthertypeRules（二层策略）用来查看和配置二层策略。PublicServers（公用服务器）可以通过配置将内部服务器（主要是DMZ区）的服务器暴露给外网。URLFilteringServers（网址过滤）用来配置网址过滤（需要其他设备联动支持）。Objects（对象）用来定义各种对象，包括：地址对象/地址组服务组类表检测表正则表达式规则地址池时间计划Advanced（高级设置）用来配置安全高级配置，包括：地址欺骗防御证书管理IP分段TCP选项，用来配置TCP连接参数全局超时设置虚拟访问ACL管理器标准ACL配置DeviceManagementManagementAccess（登陆管理）用于配置查看设备登陆相关内容。Licensing（许可）用于查看许可状态和添加许可。HighAvailability（高可用性）用来查看双机配置。Logging（日志）用来查看和配置日志相关内容。Users/AAA（AAA功能）用来配置AAA相关内容。CertificateManagement（证书管理）用来配置证书相关内容。DHCP包括dhcp中继和dhcp服务器两部分，用来配置dhcp相关内容。DNS用来指定设备的DNS服务器。Advanced（设备高级配置）包含静态arp表配置和ASDM历史记录两个配置项目。ARP部分，可以配置ARP检测，配置静态ARP表项。Bridging部分MAC地址表和MAC学习功能。开启ASDM历史记录功能。开启后可以查看设备监控的历史信息（最近10分钟、最近60分钟、最近12小时、最近5天）Monitoring（监控）功能页面实墙模式/路由模式InterfacesARPTable（ARP表）可以查看ARP表项。DHCP可以配置DHCP相关配置内容。DynamicACLs（动态ACL）查看动态ACL应用状态。InterfaceGraphs（接口统计图）监控接口相关数据信息。IPv6NeighborDiscoveryCache（IPv6邻居发现缓存）查看IPv6邻居发现缓存。RoutingOSPFLSAs（OSPFLSA）查看OSPF的LSA。OSPFNeighbors（OSPF邻居）查看OSPF邻居信息。EIGRPNeighbors（EIGRP邻居）查看EIGRP邻居信息。Routes（路由表）查看路由表。PropertiesAAAServers（AAA服务器）查看AAA服务器配置。DeviceAccess（设备访问）查看设备登陆信息。ConnectionGraphs（连接统计图）可以查看Xlate监控表。CRLDNSCache（DNS缓存）查看DNS缓存。Failover（故障倒换）查看故障倒换信息和监控故障倒换。SystemResourcesGraphs（系统资源统计图）可以查看系统资源的图表（包括内存块、cpu、memory）。LoggingReal-TimeLogViewer（实时日志查看）可以查看实时日志信息。LogBuffer（日志缓存）可以查看日志缓存信息。虚墙模式/透明模式监控功能页面用来显示与设备软硬件相关的统计数据，为检测设备的健康情况及状态提供了图像化的监测功能。SYSTEM墙FailoverSystem（系统故障倒换）可以查看和故障倒换功能FailoverGroup1（故障倒换组一）查看故障倒换组1信息及调整活跃状态。FailoverGroup2（故障倒换组2）查看故障倒换组1信息及调整活跃状态。ContextResourseUsageASDM/Telnet/SSH用来监控用户对设备的访问情况。Xlates查看Xlates表项。NATs查看NAT表项。Syslogs查看Syslog发送速率信息。普通虚墙InterfacesARPTable（ARP表）可以查看ARP表项。DHCP可以配置DHCP相关配置内容。DynamicACLs（动态ACL）查看动态ACL应用状态。InterfaceGraphs（接口统计图）监控接口相关数据信息。MACAddressTable（MAC地址表）查看MAC地址信息。RoutingRoutes（路由表）查看虚墙路由表。PropertiesAAAServers（AAA服务器）查看AAA服务器配置。DeviceAccess（设备访问）查看设备登陆信息。ConnectionGraphs（连接统计图）可以查看Xlate监控表。CRLDNSCache（DNS缓存）查看DNS缓存。Failover（故障倒换）查看故障倒换信息和监控故障倒换。SystemResourcesGraphs（系统资源统计图）可以查看系统资源的图表（包括内存块、cpu、memory）。LoggingReal-TimeLogViewer（实时日志查看）可以查看实时日志信息。LogBuffer（日志缓存）可以查看日志缓存信息。SYSTEM墙的操作界面在虚墙模式下登陆admin虚墙点击system虚墙即可进入管理模式，可以通过对所有虚拟防火墙及system墙进行管理及监控。点击单个虚墙，即可进入单个虚拟防火墙的管理配置界面。操作测试工具Ping在工具栏中选择Tools>Ping打开Ping工具菜单，填写ping的目的地址，源接口选项用来指定ping的源地址，这是一个可选项。填写完成后点击PING按钮，即可在窗口中查看到ping的结果信息。抓包点击Wizards>PacketCaptureWizards打开抓包向导抓包向导第一个页面提示了在ASDM上抓包一共需要5个步骤：选择一个进接口选择一个出接口设置缓存参数运行抓包保存抓包结构到PC（可选）在IngressInterface中选择流量入接口，在Selectaccess-list中选择匹配需要抓取流量的ACL，如果之前没有定义，可以点击Manage按钮配置ACL。完成配置后点击NEXT进入下一步骤。选择出接口抓包配置（一遍情况在入接口抓包即可，出接口可以随意配置），配置方式与入接口抓包方式相同。缓存参数配置部分的PacketSize代表着可以抓取的数据包最大长度（默认为1522byte），BufferSize代表抓包的缓存大小（默认为524288byte）。在默认设置下可以抓取334个数据包，如果超出缓存容量则停止抓包，如果勾选了下方的usecircularbuffer可以实现循环缓存功能，在数据包超出缓存容量时可以通过清除缓存末端的数据来存放新的数据包。确认抓包配置确认配置后进入抓包页面，点击start开始抓包，stop停止抓包，抓取数据包后点击getcapturebuffer即可显示抓取到的数据包。清除抓包缓存数据可以通过点击下方的clearbufferon按钮实现。抓包结果可以保存到PC上进行分析查看，点击下方的savecapture弹出保存窗口选择存储格式（ASCII格式及文本格式，PACP格式为通用抓包格式，可以使用wireshark打开进行查看分析）后点击想要保存的接口，在弹出菜单中选择pc的存储路径后点击保存即可。操作完成后点击finish即可结束抓包。管理操作查看配置点击File>ShowrunningconfigurationinNewWindow后会弹出浏览器。输入登陆防火墙的用户名密码后，即可在浏览器窗口中查看配置文件保存配置在ASDM中可以保存配置到flash或TFTP服务器。保存配置到Flash保存配置到Flash可以通过点击File>SaveRunningConfigurationtoFlash实现（快捷键Ctrl+S）。也可以通过点击功能栏中的Save按钮来实现在虚墙模式下，在选择system墙进行操作时可以通过点击SaveAllRunningConfigurationstoFlash一次性保存全部虚墙的配置保存配置到TFTP保存配置到TFTP服务器可以通过点击File>SaveRunningConfigurationtoTFTPServer来实现。打开保存窗口后输入TFTP服务器的IP地址和配置文件保存的文件名后点击SaveConfiguration按钮即可将配置文件保存至TFTP服务器文件管理点击Tools>FileManagement即可打开文件管理窗口。文件管理可以实现防火墙文件的浏览、剪切、复制、删除、重命名等操作，需要注意的是虚墙模式下的文件管理功能只能在system墙下才可以使用。文件传输文件传输是ASDM文件管理中的一个功能，可以方便的在防火墙和外部设备之间交换文件，可以支持直接上传PC上的本地文件到防火墙，相比命令行方式操作起来更加方便。在文件管理窗口中单机FileTransfer即可打开文件传输窗口。文件传输窗口分为上下两部分，上部分用来选择文件传输源，下半部分选择文件传输目的。源和目的都有远程服务器、防火墙Flash、本地PC三个选项。在使用文件传输时只要正确选择文件源和目的后点击TransferFile即可传输文件，下图显示的是传输ADMIN.cfg到tftp服务器的配置。软件升级ASDM集成了软件升级功能，相比于命令行的升级方式ASDM更加直观方便。虚墙模式下仅能在system下进行升级操作。升级系统软件需要以下个步骤：查看当前软件版本进入升级软件界面进行系统软件升级软件重启设备升级后查看软件版本升级系统软件在升级前可以通过Home窗口中的DeviceInformation窗口下的General选项卡中的内容了解当前的软件版本。点击Tools-UpgradeSofewarefromLocalComputer进入升级软件界面。选择升级FWSM（防火墙系统软件选项）后在下方的SourceFilePath中选择防火墙系统软件文件后点击UploadImage开始系统软件的升级。升级过程需要数分钟才能完成，过程中界面如下所示。升级完成后弹出升级成功界面，升级成功后需要重启设备，需要注意ASDM软件版需要和升级后的防火墙软件相匹配才能继续使用ASDM。设备重启需要点击Tools-System弹出重启界面。在重启界面中的ConfigurationState选项中选择Savetherunningconfigurationattimeofreload（重启时保存配置）。在Reloadwithoutsavingtherunningconfiguration选项中选择Now后点击下方的ScheduleReload按钮重启设备。点击Yes确认需要重启。重启后通过重新连接设备，通过Home窗口中的DeviceInformation窗口下的General选项卡确认当前的软件版本。升级ASDM在升级前可以通过Home窗口中的DeviceInformation窗口下的General选项卡中的内容了解当前的软件版本。点击Tools-UpgradeSofewarefromLocalComputer进入升级软件界面。选择升级ASDM后在下方的SourceFilePath中选择防火墙系统软件文件后点击UploadImage开始系统软件的升级。升级过程需要数分钟才能完成，过程中界面如下所示。升级完成后需要点击上方的Save按钮保存即完成了ASDM软件的升级。配置操作安全策略查看安全策略配置点击Configuration>Firewall>AccessRules即可进入策略配置窗口进行策略的查看。界面右侧的窗口可以进行地址组、服务组、时间计划的查看和配置。通过ASDM可以查看到每个接口下配置的安全策略和策略的命中数量点击Diagrom按钮后下方会以图形化的形式显示出策略部署的原理。导出安全策略在安全策略配置窗口点击Export按钮按提示操作即可导出策略到本地计算机。导出策略有两种保存格式，一种是保存为可以用Excel打开的CVS格式文件，另一种是HTML文件。配置安全策略添加策略添加策略共分为三个步骤：定义地址组定义服务组添加安全策略下面以添加一下安全策略为例演示安全策略的添加object-groupnetworkGENERAL-OFFICE-USERnetwork-object355object-groupnetworkLED-SERVERnetwork-object55object-groupserviceLED-SVRservice-objecttcp-udpeq6600access-listINSIDEextendedpermitobject-groupLED-SVRobject-groupGENERAL-OFFICE-USERobject-groupLED-SERVER定义资源ASDM中共有3个可以定义资源的地方，三种定义资源的方法配置界面基本一致，本文以第一种方法为例介绍资源定义方法。定义资源的三种方式分别是：1.在Configuration>Firewall>AccessRules中点击Add按钮中的AddAccessRule，进入策略添加页面，点击资源后的省略号进入策略配置页面2.在Configuration>Firewall>AccessRules页面的右方可以配置资源3.在Configuration>Firewall>Objects>NetworkObjects/Groups中可以定义资源定义地址组选择Configuration>Firewall>Objects>NetworkObjects/Groups进入地址组定义页面，点击Add中的AddObject选项打开添加地址对象对话框，输入地址和掩码后点击OK，即可添加地址对象。点击Add中的AddObjectGroup选项打开添加地址组对话框。在GroupName中输入地址组名称，选择左侧的要添加到地址组里的地址对象，点击ADD添加到地址组中，地址对象全部添加完成后点击OK按钮即可完成地址组的定义工作。添加完成后需要点击下方的APPLY按钮保存配置。定义服务组选择Configuration>Firewall>Objects>ServiceGroups进入服务组定义页面，点击Add中的ServiceGroup进入添加服务组页面。在GroupName栏中填入服务组名，选定下方的的creatnewnumber后填写要添加的端口（如需添加端口范围，在起始和终止端口之间加-即可）后点击Add按钮即可将服务添加到服务组中，如果之前定义过或需要调用系统默认存在的地址组，选定ExistingService/ServiceGroup中的服务即可。选定后点击OK按钮确认添加地址组后点击下方的APPLY按钮添加配置到设备。添加安全策略进入Configuration>Firewall>AccessRules添加策略页面，选中策略要挂载的接口后点击ADD按钮中的AddAccessRule（添加策略到第一行，如需插入策略则点击要插入的位置，选择ADD按钮中的insert在上方插入或insertafter在下方插入选项）即可进入添加策略页面。在添加策略页面填写源地址、目的地址、服务后点击OK按钮即可添加策略。添加策略后需要点击APPLY按钮保存配置。删除策略删除策略的操作首先要选定需要删除的策略，然后点击Delete按钮删除策略，删除后点击下方的Apply按钮应用变更即可删除策略。注意：该操作仅删除了安全策略，如需要删除策略调用的地址组或服务组，需要在Configuration>Firewall>Objects>NetworkObjects/Groups或Configuration>Firewall>Objects>ServiceGroups中单独进行删除。调整策略顺序选中需要调整的策略后点击上下箭头按钮即可调整策略的顺序，调整后需要点击Apply按钮保存后才能生效。剪切/复制/粘贴策略选中要操作的策略，点击剪切、复制、粘贴按钮按提示即可完成操作，操作完成后需要点击下方的Apply按钮进行保存。监控日志监控查看实时日志实时日志功能可以持续查看正在产生的日志。点击Monitoring>Logging>Real-TimeLogViewer进入实时日志查看，选择查看的日志级别和缓存大小后点击VIEW即可进入日志浏览器。日志浏览器界面如下图所示：该窗口操作方式为：Pause按钮：暂停实时日志显示，点击后变为resume按钮，点击resume按钮恢复实时日志显示Copy按钮：点击选择一条日志后点击Copy按钮即可将该条日志复制到系统剪切板中Save按钮：点击Save按钮后选择存储路径，即可将日志信息以EXCEL可以打开的CSV文件存储到PC上Colorsetting按钮：可以设备不同级别日志显示的颜色FilterBy：在FilterBy窗口中输入关键字后点击Filter按钮后即可显示带有关键字的所有日志，点击ShowALL后恢复正常显示Find：在Find窗口中输入关键字后依次点击后方的放大镜即可依次查看带有关键字的日志下方小窗口可以查看日志的解释（Explanation）、推荐动作（RecommendedAction）和详细信息（Details）。查看日志缓存内容实时日志功能可以持续查看缓存中的日志。点击Monitoring>Logging>LogBuffer进入日志查看，选择查看的日志级别后点击VIEW即可进入日志浏览器。日志浏览器界面如下图所示：该窗口操作方式为：Pause按钮：暂停实时日志显示，点击后变为resume按钮，点击resume按钮恢复实时日志显示Copy按钮：点击选择一条日志后点击Copy按钮即可将该条日志复制到系统剪切板中Save按钮：点击Save按钮后选择存储路径，即可将日志信息以EXCEL可以打开的CSV文件存储到PC上Colorsetting按钮：可以设备不同级别日志显示的颜色FilterBy：在FilterBy窗口中输入关键字后点击Filter按钮后即可显示带有关键字的所有日志，点击ShowALL后恢复正常显示Find：在Find窗口中输入关键字后依次点击后方的放大镜即可依次查看带有关键字的日志下方小窗口可以查看日志的解释（Explanation）、推荐动作（RecommendedAction）和详细信息（Details）。故障倒换监控实墙或业务虚墙实墙下不仅可以监控，还能进行控制。虚墙下的控制需要在admin墙上进行。虚墙模式系统虚墙接口监控选择Monitoring>Interfaces>InterfaceGraphs后指定要查看的接口，在Graphselection中选择需要查看的项目，点击ADD按钮添加到选择列表中后，点击showgraphs按钮即可显示接口的状态统计图。共有五个可监控的项目，分别是字节计数、数据包计数、数据包速率、字节速率、丢弃数据包计数。最多可以在一个窗口中同时监控四个项目。监控窗口可以选择统计图（Graph）和表格（Table）两种显示方式。在统计图上右键另存为可以将统计图以图片格式存储在PC上。查看历史数据需要在设备上使用asdmhistoryenable命令开启该功能，开启后即可点击监控窗口下方的View里的选项来查看历史数据。路由监控点击Monitoring>Routing>Routes即可进入路由监控窗口，点击Routing即可查看设备的路由表性能监控CPU点击Monitoring>Properties>SystemResourcesGraphs>CPU进入CPU监控窗口，点击Add添加CPU利用率监控项目到监控内容后点击下方的ShowGraphs按钮进入CPU监控窗口。查看历史数据需要在设备上使用asdmhistoryenable命令开启该功能，开启后即可点击监控窗口下方的View里的选项来查看历史数据。内存点击Monitori