Cisco ASA5520防火墙配置.docx

Cisco ASA5520防火墙配置 前言 l 主要从防火墙穿越的角度，描述Cisco ASA5520防火墙的配置 l 对Pix ASA系列防火墙配置具有参考意义 内容 l 防火墙与NAT介绍 l 基本介绍 l 基本配置 l 高级配置 l 其它 l 案例 防火墙与NAT介绍 l 防火墙 Ø 门卫 l NAT Ø 过道 l 区别 Ø 两者可以分别使用 Ø Windows有个人防火墙 Ø Windows有 Internet Connect sharing服务 Ø 一般防火墙产品，同时带有NAT 基本介绍 l 配置连接 l 工作模式 l 常用命令 l ASA5520介绍 配置连接 l 初次连接 Ø 使用超级终端登陆Console口 Ø Cicso的波特率设置为9600 l Telnet连接 Ø 默认不打开，在使用Console配置后，可以选择开启 Ø 开启命令： telnet ip_address netmask if_name Ø 连接命令： telnet 192.168.1.1 Ø ASA5520默认不允许外网telnet,开启比较麻烦 l ASDM连接 Ø 图形界面配置方式 l SSH连接 工作模式 l 普通模式 Ø 连接上去后模式 Ø 进入普通模式需要有普通模式密码 Ø Enable 进入特权模式，需要特权密码 l 特权模式 Ø Config terminal 进入配置模式 l 配置模式 l 模式转换 Ø exit 或者 ctrl-z退出当前模式，到前一模式 Ø 也适用于嵌套配置下退出当前配置 常用命令 l 命令支持缩写，只要前写到与其它命令不同的地方即可 Ø config terminal = conf term = conf t Ø Tab键盘补全命令 Ø ？ Or help 获取帮助 l 取消配置 Ø no 命令取消以前的配置 Ø Clear 取消一组配置，具体请查看 帮助 l 查看配置 Ø Show version Ø show run [all] , write terminal Ø Show xlat Ø Show run nat Ø Show run global l 保存配置 Ø Write memory ASA5520介绍 l 硬件配置： ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz l 1个Console口，一个Aux口，4个千兆网口 l 支持并发：280000个 l 支持VPN个数：150 l 支持双机热备、负载均衡 l 可以通过show version 查看硬件信息 基本配置 l 接口配置 l NAT配置 l ACL访问控制 接口配置 l 四个以太网口 Ø GigabitEthernet0/0、gig0/1、gig0/2、gig0/3 Ø 进入接口配置: interface if_name l 配置IP Ø ip address ip_address [netmask] Ø ip address ip_address dhcp Ø 打开端口: no shutdown Ø 配置安全级别 Ø security-level [0-100] Ø 数据从安全级别高的流向底的，不能倒流 Ø 倒流需要保安允许 Ø 所以外网一般配置为0，内网为100 Ø 配置别名 Ø 供其它命令引用 Ø Nameif if_name NAT l NAT (Network Address Translate) l NAT类型(与防火墙穿越提到的类型不相关） Ø Dynamic NAT Ø PAT Ø Static NAT & Static PAT Ø Identity NAT Ø NAT exemption Ø Policy NAT l 地址表超时 NAT配置 l 普通NAT Ø Dynamic NAT Ø PAT l NAT例外 Ø Static NAT Ø Identity NAT Ø NAT exemption Ø Policy NAT 普通NAT l 普通NAT，只允许内网先发起连接 l 地址池配置 Ø global (if_name) natid start_addr-end_addr netmask Ø 如：global (outside) 1 192.168.85.111-192.168.85.113 255.255.255.0 Ø 定义了natid 1 和地址池 192.168.85.111-192.168.85.113 Ø Dynamic NAT Ø nat (real_ifc) nat_id inside_network outside_network Ø 动态分配给内网一个独立的IP l PAT Ø PAT使用1个地址+65535个端口为内网提供地址转换 Ø 地址池中只有一个值时，就是PAT Ø 分配给内网连接一个固定IP和一个动态的端口 Static NAT l Static NAT Ø 允许外网先发起连接 Ø 是一个外网IP固定一个内网IP Ø 可以称为IP映射 l 命令 Ø Static (internal_if_name, external_if_name) maped_addr real_addr Ø Maped_addr 与 real_addr不相同 Static PAT l Static PAT Ø 允许外网先发起连接 Ø 是一个内网IP+一个端口转换成一个固定的外网IP+固定的外网端口 Ø 可以称为端口映射 l 命令 Ø static (real_interface,mapped_interface) {tcp | udp} {mapped_ip |interface} mapped_port real_ip real_port [netmask mask] Identity NAT l Identity NAT Ø 不使用地址转换，采用原地址出去 Ø 只能内网发起连接 Ø 外网必须配置ACL permit才能先发起连接 l 命令 Ø NAT （real_if_name） 0 addr/network networkmask Ø 如: nat (inside) 0 192.168.1.2 255.255.255.255 l Static Identity NAT Ø 不使用地址转换，采用原地址出去 Ø 内外网都可先发起连接 l 命令 Ø static (real_interface,mapped_interface) real_ip real_ip NAT exemption l NAT exemption Ø Identity NAT和 ACL的混合，功能更加强大 Ø 不使用地址转换，采用原地址出去 Ø 内外网均可发起连接 l 命令 Ø 例1：access-list EXEMPT permit ip 10.1.2.0 255.255.255.0 any Ø nat (inside) 0 access-list EXEMPT Ø 例2：access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0 Ø access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.200.224 Ø nat (inside) 0 access-list NET1 Policy NAT l Policy NAT & Policy PAT Ø 用ACL定义的NAT和PAT Ø 更加灵活 l 命令 Ø Policy nat : static (real_interface,mapped_interface) {mapped_ip | interface}access-list acl_name Ø Policy pat : static (real_interface,mapped_interface) {tcp | udp} {mapped_ip |interface} mapped_port access-list acl_name l 举例 Ø hostname(config)# access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0 Ø 255.255.255.224 Ø hostname(config)# access-list NET2 permit ip 10.1.2.0 255.255.255.0 209.165.200.224 Ø 255.255.255.224 Ø hostname(config)# nat (inside) 1 access-list NET1 Ø hostname(config)# global (outside) 1 209.165.202.129 Ø hostname(config)# nat (inside) 2 access-list NET2 Ø hostname(config)# global (outside) 2 209.165.202.130 地址表超时 l 地址转换表超时 Ø 查看命令： show run timeout xlate Ø 默认超时为3小时 Ø 设置命令： timeout xlate hh:mm:ss Ø 清除当前表： clear xlat Ø 在重新配置了NAT后，如果不重启，只有等到当前表超时才能生效，可以强制清除表，但此时的连接都将中断 l 连接超时 Ø 查看命令: show run timeout conn Ø 默认超时为1小时 Ø 设置命令： timeout conn hh:mm:ss Ø 清除当前连接： clear conn Ø 清除当前连接，当前的连接都将中断 ACL访问控制 l ACL访问控制 Ø 权限列表，定义外网数据包是否可以进入 Ø Deny 优先 Ø 配合NAT, Static等命令使用 Ø 内网一般配置成允许所有，外网需要根据实际情况配置 l 命令 Ø access-list access_list_name [line line_number] [extended]{deny | permit} protocol source_address mask [operator port] dest_address mask [operator port | icmp_type] [inactive] Ø 与接口绑定： access-group access_list_name in/out interface if_name ACL访问控制 l 举例 Ø access-list ACL_IN extended permit ip any any Ø access-list ACL_IN extended permit ip 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.224 Ø access-list alout extended permit tcp any interface outside eq 3389 Ø access-list alout extended permit tcp any host 192.168.85.113 eq 3389 Ø Access-group alout in interface outside 高级配置 l 对象组 l 应用层协议检查 l AAA认证 l VPN配置 对象组 l 对象组（Object-group） Ø 对其它命令（NAT、access-listd等)用到类似的对象进行的分组 Ø 有四种类型的对象组 l icmp-type Specifies a group of ICMP types, such as echo l network Specifies a group of host or subnet IP addresses l protocol Specifies a group of protocols, such as TCP, etc l service Specifies a group of TCP/UDP ports/services l 命令 Ø Object-group grpType grpName Ø description 组描述 Ø group-object 组中嵌套别的组 Ø network-object 具体的一个Object定义，这里举network类型的情况 对象组 l 举例 Ø Object-group network grpNetWork Ø network-object 192.168.85.111 255.255.255.255 Ø network-object 192.168.85.111 255.255.255.255 Ø exit Ø access-list alout permit tcp object-group grpNetWork any 应用层协议检查 l 应用层协议检查 Ø 除使用当前连接，还需要协商使用其它端口的协议。如ftp/tftp, sip, rtsp Ø 一定程度代替端口映射的工作 Ø 实现了防火墙穿越 l 命令 Ø policy-map global_policy Ø class inspection_default Ø inspect ftp/no inspect ftp 其它 l 配置查看 Ø show 命令 Ø show startup-config 查看启动配置 Ø show running-config [all] 查看当前配置 all,显示默认配置 l 配置保存 Ø Write memory Ø 重新启动： reload/reboot l 单项配置查看 Ø Show 单项名称 如: show access-list Ø Show run 单项名称 如： show run static