Cisco—ASA的基本思路和应用
ASA-防火墙-ciscoASA防火墙的作用 1、在网络中隔离危险流量,不分地点。
ASA防火墙的原理
1、通过安全级别区分不同的区域:内部区域、外部区域、非军事化区域。
默认情况下: 高级别的流量可以去低级别的,
低级别的流量不可以去高级别的,
同级别的不可同信。
Inside 默认安全级别为 100 名字唯一
Outside 默认安全几倍为0 名字唯一
MDZ(非军事化区域) 默认安全级别为0 名字唯一
2、部署
在需要进行安全防护或者流量隔离的地方部署。
经典部署方案
ISP ----- FW ---- GW ---- Core-Router ---- Core-Switch
ISP ----- GW -- outside--- FW -- inside-- Core-Router ---- Core-Switch
DMZ(Server)
ISP ----- GW -- outside -- FW --
-- FW ----- Core-Router -- Core-Switch
DMZ(server)
3、防火墙接口的配置
1、要配以接口名字(逻辑名字):nameif xxx
2、要配以接口安全级别security-level0~100
3、要配以接口IP ip address xxxx
ASA流量转发
1、流量转发方式
出站流量:从高安全级别的地方去往低级别的流量。
入站流量:从低安全级别的地方去往高级别的流量。
2、转发处理流量的方式,工作过程。
a、只对TCP和UDP的流量,对其他流量统统干掉。
b、从高安全级别发向低安全级别的工作过程。
先匹配本地ASA的路由表,如果匹配则先确定出端口,转发出去,并在conn表内形成一个条目。
匹配不成功则丢弃。
c、当收到发送出去的流量的回包,则先查看conn表,有条目则在查看路由表,转发出去。
没有条目则丢弃。
实验结果
ping不通
telnet通
想要ping通,则在ping包的回端口上调用acl
验证命令:
ASA:
show interface ip brief <---查看接口的状态和IP地址;
show route<---查看 ASA 上面的路由表
show run interface gi0 <----查看某一个接口的配置
ASA(config)# clear config all <----清除正在运行的配置文件
Router:
show ip interface brief
show ip route
ACL和conn表的对比。
实验基本环境 :
Inside 安全等级100
Outside 安全等级 0
Dmz安全等级50
R1可以telnetR2和R4,R4可以telnetR2。
1、在e2的接口上调用一个允许R4访问R1的ACL,能不能访问,会不会形成conn表。
ASA(config)# access-list R1 permit tcp host 192.168.3.1 host 192.168.1.1 eq 23
ASA(config)# access-group R1 in interface DMZ
在R4telnetR1之前
ASA# show conn
0 in use, 1 most usedDMZ#telnet 192.168.1.1
R4telnetR1
Trying 192.168.1.1 ... Open
User Access Verification
Password:
Inside>enable
Password:
Inside#
telnet之后
1 in use, 2 most used
TCP DMZ 192.168.3.1:21477 inside 192.168.1.1:23,> 结论:主动流量不管从高到低,还是低到高,如果端口有acl放行规则,则查找路由表,确定出端口,转发出去,同时形成conn表。(注意顺序,不可变)。
2、R1能telnet到R2
a、如果e0调用一个出项acl,会不会通。
b、如果e1条用一个入项acl,会不会通。
ASA(config)# access-list Gdtel deny tcp host 192.168.1.1 eq 23 (注意数据回去的时候的端口)
host 192.168.2.1
ASA(config)# access-list Gdtel permit ip any any 取消最后一条acl的默认拒绝的影响
ASA(config)# access-group Gdtel in interface outside调用入项
ASA(config)# access-group Gdtel out interface inside调用出项
Inside#telnet 192.168.2.1
Trying 192.168.2.1 ... Open
Outside>
Outside>en
Outside>enable
Password:
Outside#
结论,只要是从高安全级别出去的流量,形成了conn表,在数据返回时,就相当于多了一道免死金牌,不会被干掉
3、R1能telnet到R2
a、如果在e0调用入项的拒绝acl,会不会通。
b、如果在e1调用出项的拒绝acl,会不会通。
结论,对于a条件,那是必然不通的
对于b条件,也是不同的,且没有conn表。
原因:如果在e1调用出项的拒绝acl,那么数据是可以进入ASA中,并查看路由表,路由表中,包含着R1的telnetR2的路怎么走,从哪个端口出去,这时就要查看这个出端口有没有acl,一查有一个出项的acl,那么这个数据直接被pass,并且不会形成conn表。
如图》》》》
ASA应用 PNAT
8.4版本以后系统中的一种新型配置。
PNAT
内网访问外网
ASA(config)# object network NAT(随意起) 为NAT定义一个对象类型(network)。
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0 相当于创建acl
ASA(config-network-object)# nat (inside(内网端口),outside(外网端口)) dynamic interface 相当于调 用acl
页:
[1]