企业级防火墙算法原理与基本配置

标签：debugging   动态nat   work   流量控制   作业   损坏   外网地址   mit   其他   

总结：
安全级别之间的流量控制原则与ACL放行流量的原则：ACL优先级高（如果已经形成conn条目的流量不收acl控制）
ASA中各种功能表之间的查询逻辑关系;

1. 无论是高级别到低级别还是低级别到高级别，当流量到到一个端口是，如果端口上有ACL放行相应流量，那么：
   i. 查找路由表，确认端口，同时形成conn表项，然后发送出去
   ii. 如果一个流量已经被ASA处理，并形成CONN条目录，那么不受acl表处理
   Tips：ASA上默认情况下，相同安全级别之间的端口是不可以通信的，如果要实现通信
   如下命令：same-security-traffic permit inter-interface
   ASA上的NAT
   Nat类型：
   动态nat
   动态pat
   静态nat
   静态pat
   
   
   一般外网地址是自动分配的故使用接口做地址转换
   
   
   
   
   ASA远程配置管理：
   
   先配置ASA访问密码和enable密码
   Enable password xxx enable密码
   Password xxx 登陆密码
   
   客户端连接：ssh —l {用户名}{IP地址}
   
   日志的管理（工作中维护设备的依据）
   日志信息的安全级别
   
   配置日志：
   日志信息可以输出到：log buffer（日志缓冲区，不建议，断电清除）
   ASDM;日志服务器（最好）
   Debugging级别不要轻易使用，会损坏设备
   ASMD查看日志
   
   
   ASA的日志功能默认是关闭的
   TIPS:时间很重要，最好配置ntp（network time protocol）服务器
   Show clock 查看时间
   Clock set ？ 配置时间
   一台核心设备作为服务器：nat master
   其他客户端：nat server IP地址（服务器）
   可以找一些日志分析软件：
   
   作业：
   实验要求：R1可以telnet ASA防火墙
   R2可以ssh ASA防火墙
   外网使用web访问
   基础配置
   端口IP地址，默认路由。。。
   ASA配置：
   1.telnet配置：
   Enable password xxx enable 密码
   Username telent password tel123 本地用户密码
   Aaa authentication telnet（选择协议） console LOCAL（大写）
   telnet 192.168.10.0 255.255.255.0 inside 开启telnet远程访问
   2.ssh配置：
   hostname asa123
   domain-name xxxxx.Com
   cryto key generate（产生） rse modulus （计量单位）1024（默认）
   ssh 0 0 outside
   Username ssh password ssh123 本地用户密码
   Aaa authentication ssh（选择协议） console LOCAL（大写）
   3.WEB配置
   云的连接：和防火墙之间要加一台HUB或者交换机
   
   拷贝asdm文件到ASA防火墙目录disk 0下
   
   http server enable 启用https服务
   http 0 0 outside
   asdm image disk0：/asdm-649.bin 提供客户端下载的ASDM软件
   username cisco password cisco privilege 15（最高优先级，默认1）

自己的浏览器输入：asaIP地址，（https）下载客户端

安装asdm，需要先安装JAVA（对应的jre-6u45-windows-x64.exe）

企业级防火墙算法原理与基本配置

标签：debugging   动态nat   work   流量控制   作业   损坏   外网地址   mit   其他   

原文地址：https://blog.51cto.com/14518688/2449169