Cisco—ASA的基本思路和应用

death114

ASA-防火墙-cisco　　

ASA防火墙的作用　　1、在网络中隔离危险流量，不分地点。
　　ASA防火墙的原理
　　1、通过安全级别区分不同的区域：内部区域、外部区域、非军事化区域。
　　默认情况下： 高级别的流量可以去低级别的，
　　低级别的流量不可以去高级别的，
　　同级别的不可同信。
　　Inside 默认安全级别为 100   名字唯一
　　Outside 默认安全几倍为  0    名字唯一
　　MDZ（非军事化区域） 默认安全级别为0    名字唯一
　　2、部署
　　在需要进行安全防护或者流量隔离的地方部署。
　　经典部署方案
　　ISP ----- FW ---- GW ---- Core-Router ---- Core-Switch
　　ISP ----- GW -- outside--- FW -- inside-- Core-Router ---- Core-Switch
　　DMZ(Server)
　　ISP ----- GW -- outside -- FW --

-- FW ----- Core-Router -- Core-Switch　　

                             DMZ(server)　　

　　3、防火墙接口的配置
　　1、要配以接口名字（逻辑名字）：nameif xxx
　　2、要配以接口安全级别  security-level  0~100
　　3、要配以接口IP    ip address xxxx
　　ASA流量转发
　　1、流量转发方式
　　出站流量：从高安全级别的地方去往低级别的流量。
　　入站流量：从低安全级别的地方去往高级别的流量。
　　2、转发处理流量的方式，工作过程。
　　a、只对TCP和UDP的流量，对其他流量统统干掉。
　　b、从高安全级别发向低安全级别的工作过程。
　　先匹配本地ASA的路由表，如果匹配则先确定出端口，转发出去，并在conn表内形成一个条目。
　　匹配不成功则丢弃。
　　c、当收到发送出去的流量的回包，则先查看conn表，有条目则在查看路由表，转发出去。
　　没有条目则丢弃。
　　实验结果
　　ping不通
　　telnet通
　　想要ping通，则在ping包的回端口上调用acl

　　验证命令：
　　ASA:
　　show interface ip brief <---查看接口的状态和IP地址；
　　show route  <---查看 ASA 上面的路由表
　　show run interface gi0 <----查看某一个接口的配置
　　ASA(config)# clear config all <----清除正在运行的配置文件
　　Router:
　　show ip interface brief
　　show ip route
　　ACL和conn表的对比。

　　实验基本环境 ：
　　Inside 安全等级100
　　Outside 安全等级 0
　　Dmz  安全等级  50
　　R1可以telnetR2和R4，R4可以telnetR2。
　　1、在e2的接口上调用一个允许R4访问R1的ACL，能不能访问，会不会形成conn表。
　　ASA(config)# access-list R1 permit tcp host 192.168.3.1 host 192.168.1.1 eq 23
　　ASA(config)# access-group R1 in interface DMZ
　　在R4telnetR1之前
　　ASA# show conn
　　0 in use, 1 most usedDMZ#telnet 192.168.1.1
　　R4telnetR1
　　Trying 192.168.1.1 ... Open
　　User Access Verification
　　Password:
　　Inside>enable
　　Password:
　　Inside#
　　telnet之后
　　1 in use, 2 most used

　　TCP DMZ 192.168.3.1:21477 inside 192.168.1.1:23,>　　结论：主动流量不管从高到低，还是低到高，如果端口有acl放行规则，则查找路由表，确定出端口，转发出去，同时形成conn表。（注意顺序，不可变）。
　　2、R1能telnet到R2
　　a、如果e0调用一个出项acl，会不会通。
　　b、如果e1条用一个入项acl，会不会通。
　　ASA(config)# access-list Gdtel deny tcp host 192.168.1.1 eq 23 （注意数据回去的时候的端口）
　　host 192.168.2.1
　　ASA(config)# access-list Gdtel permit ip any any   取消最后一条acl的默认拒绝的影响
　　ASA(config)# access-group Gdtel in interface outside  调用入项
　　ASA(config)# access-group Gdtel out interface inside  调用出项
　　Inside#telnet 192.168.2.1
　　Trying 192.168.2.1 ... Open
　　Outside>
　　Outside>en
　　Outside>enable
　　Password:
　　Outside#
　　结论，只要是从高安全级别出去的流量，形成了conn表，在数据返回时，就相当于多了一道免死金牌，不会被干掉
　　3、R1能telnet到R2
　　a、如果在e0调用入项的拒绝acl，会不会通。
　　b、如果在e1调用出项的拒绝acl，会不会通。
　　结论，对于a条件，那是必然不通的
　　对于b条件，也是不同的，且没有conn表。
　　原因：如果在e1调用出项的拒绝acl，那么数据是可以进入ASA中，并查看路由表，路由表中，包含着R1的telnetR2的路怎么走，从哪个端口出去，这时就要查看这个出端口有没有acl，一查有一个出项的acl，那么这个数据直接被pass，并且不会形成conn表。
　　如图》》》》

　　ASA应用 PNAT
　　8.4版本以后系统中的一种新型配置。

　　PNAT
　　内网访问外网
　　ASA(config)# object network NAT（随意起）     为NAT定义一个对象类型（network）。
　　ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0 相当于创建acl
　　ASA(config-network-object)# nat (inside（内网端口）,outside（外网端口）) dynamic interface 相当于调 用acl