码迷,mamicode.com
首页 > 系统相关 > 详细

Cisco ASA基础(一)

时间:2019-05-23 22:55:19      阅读:216      评论:0      收藏:0      [点我收藏+]

标签:cisc   启动   报文   int   line   检查   trying   ip route   hostname   

今天介绍一下目前Cisco ASA 5500系统常见的六种型号:

ASA首先是一个状态化防火墙,用于维护一个关于用户信息的连接表,称为Conn表。表的关键信息:
技术图片
状态化防火墙进行状态化处理的过程:
技术图片
①:pc向web服务器发送一个HTTP请求;
②:HTTP请求到达防火墙,防火墙将连接信息添加到Conn表中;
③:防火墙将HTTP请求转发给web服务器。
流量返回时,状态化防火墙处理的过程如下所述;
①:web服务器相应HTTP请求,返回相应的数据流量;
②:防火墙拦截该流量,检查其连接信息:
如果在Conn表中查找到匹配的连接信息,则流量被允许;
如果在Conn表中找不到匹配的连接信息,则流量被拒绝。
ASA使用安全算法执行以下三项基本操作:
访问控制列表;
连接表;
检测引擎。
数据报文穿越ASA的过程:
技术图片
①:一个新来的TCP SYN报文到达ASA,试图建立一个新的连接;
②:ASA检查访问控制列表,确定是否允许连接;
③:ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接表中创建一个新条目;
④:ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进行下一步应用层检测;
⑤:ASA根据检测引擎确定是否转发或丢弃报文;
⑥:目的主机相应报文;
⑦:ASA接收返回报文并进行检测,在连接数据库中查询连接,确定会话信息与现有连接是否匹配;
⑧:ASA转发属于已建立地现有会话的报文。
ASA对原始报文的处理过程:
技术图片
接口的名称:
物理名称:用于设置IP地址、双工、速率等信息;
逻辑名称:用来描述安全区域。
安全级别之间互相访问时,默认遵守的规则:
允许出站:允许从高安全级别区域访问低安全级别区域;
禁止入站:不允许低安全级别区域访问高安全级别区域;
禁止同安全级别的区域之间进行通信。

下面我们结合一个实验实例来了解一下如何配置:
技术图片
下面进行防火墙(ASA)的配置

ciscoasa(config)# hostname ASA
#修改主机名ASA
ASA(config)# int e0/0
ASA(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
#配置e0/0接口的区域为inside区域,默认安全级别是100
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
#配置IP地址
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
#配置e0/0接口的区域为outside区域,默认安全级别是0
ASA(config-if)# ip add 192.168.2.1 255.255.255.0
ASA(config-if)# no sh
#配置IP地址

现在ASA防火墙就已经启动了默认的规则了。
接下来我们配置各个路由器并使用Telnet的方式进行试验效果(状态化防火墙对于ICMP协议不是状态化的)

R2(config)#int f0/0
R2(config-if)#ip add 192.168.1.2 255.255.255.0
R2(config-if)#no sh
R2(config)#line vty 0 4
R2(config-line)#password 123
R2(config-line)#login
#开启Telnet功能
R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
#使用路由器充当PC进行验证,所以得指定默认网关

剩下的每个路由器都配置一样;所以就……

接下来在ASA上设置ACL规则
ASA(config)# access-list out_to_in permit ip any any
#设置ACL规则(out_to_in名字自己随便定义)
 允许所有基于IP协议的数据包
ASA(config)# access-group out_to_in in int outside
#把ACL规则应用到outside的入方向上。
ASA(config)# access-list 100 permit icmp any any
ASA(config)# access-group 100 in int outside
#允许拼包通过

测试

R2#telnet 192.168.2.2
Trying 192.168.2.2 ... Open

User Access Verification

Password: 

R2#ping 192.168.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!

测试完成!

Cisco ASA基础(一)

标签:cisc   启动   报文   int   line   检查   trying   ip route   hostname   

原文地址:https://blog.51cto.com/14157628/2399308

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!