ASA 5500系列防火墙.ppt

CISCOASA5500系列自适应安全产品 ASA5500产品参数对比表 ASAIDS模块 ASA防病毒模块 ASA5500产品订货编号 ASAIPSbundle订货编号 ASAAnti Xbundle订货编号 ASAAnti X模块扩展订货编号 ASAFireWall技术简介 ASAIPS技术简介 如何防御攻击 入侵保护系统IPS 入侵检测系统IDS IDS IPS IPS产品和IDS产品最大的不同 IPS产品通常串接在防火墙和交换机之间 这点和以前基于网络的IDS不同 串联在防火墙后面的IPS检查所有进出的数据包 并且根据特征检测来识别攻击的数据包 在数据包到达目标之前就会被IPS产品中途截获 并且采取丢弃数据包 中止会话 同时修改防火墙策略 进行报警和日志的记录等动作 达到 防御 的目的 IDS产品通常并联在交换机上 IDS产品只能把攻击信息告诉防火墙 本身不能起到任何防御的作用 IDS IntrusionDetectionsystem入侵检测系统IPS IntrunsionPreventionSystem入侵防御系统 IDS IPS区别 ASAAnti X技术简介 ASAVPN技术简介 调试培训内容 通过控制台接口连接到ASA基本配置命令设置ASA接口设置NAT设置静态路由管理方式ASDM telnet ssh访问ASA配置DHCP配置ADSL定义安全策略设置透明模式配置L2LVPN配置远程VPN 实验拓扑图 122 1 1 2 192 168 10 1 24 通过控制台接口连接到ASA 1 打开CRT软件选择快速连接2选择协议中的Serial串行协议 1 端口设置在设备管理器中查看com口2 波特率 96003 其余默认 基本配置命令 查看命令asacisco Showversion查看ASA信息asacisco Showrun查看ASA配置信息 是否配成功asacisco Showinterface查看接口状基本asacisco enable 进入全局模式Password 第一次登陆密码是空的asacisco conft 主机名 号代表进入全局模式conft进入配置模式asacisco config 全局配置模式asacisco config if 接口全局配置模式asacisco config if exit 退出接口全局模式 只要退出都可以使用如果配置错误 在你配置的命令前面加no保存配置asacisco Write将配置写入ASAasacisco writeerase恢复出厂配置 设置ASA接口 asacisco config interfaceEthernet0 0 进入E0 0接口asacisco config if nameifinside 定义为接口名称asacisco config if security level100 安全等级为100asacisco config if ipaddress10 10 10 1255 255 255 0 接口配置地址asacisco config if noshut 激活接口asacisco config if exit 退出接口 asacisco config interfaceGigabitEthernet0 1 进入gig0 1接口asacisco config if nameifDMZ 定义为接口名称asacisco config if security level50 安全等级为50asacisco config if ipaddress172 16 1 1255 255 255 0 接口配置地址asacisco config if noshut 激活接口asacisco config if exit如果配置错误 在你配置的命令前面加noipaddress接口的IP地址就删处掉了 设置NAT PAT端口地址转换asacisco config nat inside 110 1 1 0255 255 255 0 转换10 1 1 0内部地址asacisco config nat inside 10 0 0 00 0 0 0 转换所以网段asacisco config nat dmz 1172 16 1 0255 255 255 0 转换172 16 1 0dmz地址asacisco config global outside 1interface NAT转换为外部接口地址上互连网DMZ的NATasacisco config global dmz 1172 16 1 200 172 16 1 230netmask255 255 255 0DMZ使用的随机IP地址池 这条命令可以使inside的多台主机访问dmz服务器 一对一映射配置命令asacisco config static dmz outside tcp211 1 1 3外部地址80外部端口172 16 1 10dmz地址80dmz端口netmask255 255 255 255精确主机掩码asacisco config static dmz outside tcp211 1 1 380172 16 1 1080netmask255 255 255 255asacisco config static inside outside tcp211 1 1 4外部地址21外部端口10 1 1 2内部地址21内部端口netmask255 255 255 255asacisco config static inside outside tcp211 1 1 421172 16 1 1021netmask255 255 255 255如果配置错误 nonat inside 10 0 0 00 0 0 0这个应该用就删处掉了 设置静态路由 asacisco config routeoutside0 0 0 00 0 0 0211 1 1 1 外部路由去所有网段的数据包的下一跳 是网通的网关211 1 1 1asacisco config routeinside172 16 2 0255 255 255 0172 172 15 1 内部路由如果客户内网不是一个网段 可以使用内部回指路由 管理方式ASDM telnet ssh访问ASA asacisco config httpserverenable 开启WEB管理asacisco config http0 0 0 00 0 0 0inside 准许所有内部源地址 访问WEBasacisco config usernameciscopasswordciscoprivilege15 设置ASDM使用的用户名密码 授予15级最高 通过ASDM登陆设备 10 1 1 1 24 我们将安装一个ASDMlauncher到本机器 下次再登陆ADSM时就可以直接运行该管理软件 输入用户名和密码Username ciscopasswd cisco 输入用户名和密码为CISCO 安装ASDMLAUNCHER文件后下次登陆就可以直接运行launcher telnet ssh访问ASA telnet配置asacisco config telnet0 0 0 00 0 0 0inside 准许所有内部源地址 telnetASAasacisco config passwdcisco 配置telnet密码asacisco config Enablepasswordcisco 配置进入全局模式密码 ssh配置asacisco config domain 定义域名asacisco config cryptokeygeneratersamodulus512 定义加密算法asacisco config ssh0 0 0 00 0 0 0outside 准许所有外部源地址 sshASAasacisco config sshtimeout60 超时时间asacisco config usernameciscopasswordciscoprivilege15 设置ssh使用的用户名密码 授予15级最高 Telnet登陆测试 利用SSHclient软件进行登陆 配置DHCP dhcpddns202 106 0 20202 106 46 151 配置DNS服务器地址dhcpdwins10 1 1 20 配置WINS服务器dhcpdaddress10 1 1 100 10 1 1 200inside分配地址100 200在inside接口dhcpdenableinside 开启inside接口上的DHCPdhcpdaddress172 16 1 10 172 16 1 20dhcpdenabledmz 配置ADSL asacisco config interfaceEthernet0 0 进入接口asacisco config if nameifoutsideasacisco config if security level0asacisco config if pppoeclientvpdngroupADSL开启pppoeasacisco config if ipaddresspppoesetroute自动创建一个缺省路由 asacisco config vpdngroupADSLrequestdialoutpppoe 请求pppoe拨号asacisco config vpdngroupADSLlocalnamefs87829050 ADSL用户名asacisco config vpdngroupADSLpppauthenticationpap 认证方式asacisco config vpdnusernamefs87829050password adsl用户名密码 定义安全策略 ACL 访问控制列表 分为标准和扩展 区别在与标准的只基于源 而扩展的基于源和目的ACL号标准的1 99扩展100 199asacisco config access list word permit deny 源网络 源主机 asacisco config access list10standardpermit153 31 53 0255 255 255 0扩展ACLasacisco config access list word permit deny 协议tcp udp ip 源网络 源主机 目的网络 目的主机 asacisco config access list101permitip172 16 1 0255 255 255 010 1 1 0255 255 255 0 允许172 16 1 0 24网段访问 10 1 1 0 24网段 asacisco config access list100permittcpany 源 host211 1 1 3 目的 eq80 any所有源地址host只针对主机ep就是 211 1 1 380端口asacisco config access list100extendedpermittcpanyhost211 1 1 3eq80 允许外部所有主机访问211 1 1 3的80端口asacisco config access group100ininterfaceoutside 将100ACL应用到outside接口上asacisco config access group101ininterfaceinside 将101ACL应用到inside接口上对象分组asacisco config object groupservice对象分组名字tcp udp协议object groupserviceyongyoutcp 例子 port objecteq5872开启的端口port objecteq1872开启的端口Exit退出asacisco config access listoutextendedpermittcpanyhost211 1 1 3object groupyongyou 写一个ACL命名为out协议为tcp允许外部所有主机访问211 1 1 3的5872 1872 asacisco config access groupoutininterfaceoutside 将ACL应该在outside接口上 设置透明模式 转换模式 设置透明模式 定义接口 设置透明模式 设置管理IP 211 1 1 2 24 透明模式下安全策略的定义和路由模式的设置是一样的 VPN 借助IPSec 用户可以通过互联网等不受保护的网络传输敏感信息 IPSec在网络层操作 能保护和鉴别所涉及的IPSec设备 对等物 之间的IP包 IPSec提供的网络安全服务如下 数据保密性 在通过网络传输之前 IPSec发送者可以对包进行加密 数据完整性 IPSec接收者可以对IPSec发送者发出的包进行鉴别 以保证数据在传输过程中未被篡改 数据来源鉴别 IPSec接收者可以识别所发送的IPSec包的来源 这种服务与数据完整性服务相关 IPSec自动建立安全通道的过程分为两个阶段 第一阶段 这个阶段通过互联网密钥交换 IKE 协议实施 能建立一对IKESA IKESA用于协商一个或多种IPSecSA 以便实际传输应用数据 第二阶段 这个阶段使用IKESA提供的安全通道协商IPSecSA 当这个阶段结束时 两台对等设备均已建立了一对IPSecSA 以便提供传输应用数据所需的安全通道 SA参数之一是寿命 可配置的寿命期结束之后 SA将自动终止 因此 这个参数能提高IPSec的安全性 IKE isakmp 配置L2LVPN 211 1 1 2 24 122 1 1 2 24 总部 s0 0 internet 分部 s0 0 10 1 1 0 24 192 168 10 0 24 主要类型 站点到站点VPN和远程接入VPN是VPN的两个类型 总部准备配置写两个ACL 在后面的配置会应用到第一个用来定义要加密的源和目的 也是感兴趣流从总部的10 1 1 0的数据到192 168 10 0的数据加密第二个ACL 从总部的10 1 1 0的数据到192 168 10 0不做NAT转换 10 1 1 0去别的网络继续NATasacisco config access listl2lvpnpermitip10 1 1 0255 255 255 0192 168 10 0255 255 255 0asacisco config access listnonatpermitip10 1 1 0255 255 255 0192 168 10 0255 255 255 0Asacisco config access listnonatdenyip10 1 1 0255 255 255 0any 分部准备配置写两个ACL 在后面的配置会应用到第一个用来定义要加密的源和目的 也是感兴趣流从总部的192 168 10 0的数据到10 1 1 0的数据加密第二个ACL 从总部的192 168 10 0的数据到10 1 1 0不做NAT转换 192 168 10 0去别的网络继续NATasacisco config access listl2lvpnpermitip192 168 10 0255 255 255 010 1 1 0255 255 255 0asacisco config access listnonatpermitip192 168 10 0255 255 255 010 1 1 0255 255 255 0Asacisco config access listnonatdenyip192 168 10 0255 255 255 0any 211 1 1 2 24 122 1 1 2 24 总部 s0 0 internet 分部 s0 0 10 1 1 0 24 192 168 10 0 24 总部第一阶段 asacisco config cryptoisakmpenableoutside在outside接口上开启IKEasacisco config cryptoisakmppolicy10进入IKEasacisco config isakmp authenticationpre share定义认证方式asacisco config isakmp encryption3DES定义加密算法asacisco config isakmp hashmd5定义验证数据完整性asacisco config isakmp group2定义组为2asacisco config isakmp lifetime86400遂道时间 分部第一阶段 asacisco config cryptoisakmpenableoutside在outside接口上开启IKEasacisco config cryptoisakmppolicy10进入IKEasacisco config isakmp authenticationpre share定义认证方式asacisco config isakmp encryption3DES定义加密算法asacisco config isakmp hashmd5定义验证数据完整性asacisco config isakmp group2定义组为2asacisco config isakmp lifetime86400遂道时间 L2LVPN两端的IKE参数必须一致 不然无法完成第一阶段的IKE通道的建立 配置L2LVPN 211 1 1 2 24 122 1 1 2 24 总部 s0 0 internet 分部 s0 0 10 1 1 0 24 192 168 10 0 24 总部第二阶段 1 配置IPsec参数 定义遂道数据中的加密方式 配置数据转换集名字为vpnset两端参数一致asacisco config cryptoipsectransform setvpnsetesp 3desesp md5 hmac2 配置IPsec遂道密码进入遂道组 名字用DefaultL2LGroup 属性是ipsecasacisco config tunnel groupDefaultL2LGroupipsec attributespre shared keycisco 定义密码为cisco3 创建数据加密图名字为VPNMAPasacisco config cryptomapVPNMAP10matchaddressl2lvpn 把准备步骤中的l2lvpnACL应用到加密图asacisco config cryptomapVPNMAP10setpeer122 1 1 2 指定要建立VPN遂道的对端IP地址asacisco config cryptomapVPNMAP10settransform set vpnset将转换集应用到加密图中asacisco config cryptomapVPNMAPinterfaceoutside 将加密图应用到outside的接口上4 对10 1 1 0到192 168 10 0不做NAT转换asacisco config nat inside 0access listnonat 把nonatACL应用到nat中配置完成 配置L2LVPN 211 1 1 2 24 122 1 1 2 24 总部 s0 0 internet 分部 s0 0 10 1 1 0 24 192 168 10 0 24 分部第二阶段 1 配置IPsec参数 定义遂道数据中的加密方式 配置数据转换集名字为vpnset两端参数一致 不然无法建立第二阶段asacisco config cryptoipsectransform setvpnsetesp 3desesp md5 hmac2 配置IPsec遂道密码进入遂道组 名字用DefaultL2LGroup 属性是ipsecasacisco config tunnel groupDefaultL2LGroupipsec attributespre shared keycisco定义密码为cisco3 创建数据加密图asacisco config cryptomapVPNMAP10matchaddressl2lvpn 把准备步骤中的l2lvpnACL应用到加密图asacisco config cryptomapVPNMAP10setpeer211 1 1 2 指定要建立VPN遂道的对端IP地址asacisco config cryptomapVPNMAP10settransform set vpnset将转换集应用到加密图中asacisco config cryptomapVPNMAPinterfaceoutside 将加密图应用到outside的接口上4 对192 168 10 0到10 1 1 0不做NAT转换asacisco config nat inside 0access listnonat 把nonatACL应用到nat中配置完成 配置L2LVPN 配置远程VPN 211 1 1 2 24 总部 10 1 1 0 24 总部准备配置为远程拨入的VPNclient用户配置地址池 给拨入ASAVPN用户分配地址 名字为vpnpool 在后面配置中会用到asacisco config iplocalpoolvpnpool10 0 0 1 10 0 0 254mask255 255 255 0写两个ACL 在后面的配置会应用到第一个用来定义要加密的源和目的 也是感兴趣流从总部的10 1 1 0的数据到10 0 0 0的数据加密第二个ACL 从总部的10 1 1 0的数据到10 0 0 0不做NAT转换 10 1 1 0去别的网络继续NATasacisco config access listl2lvpnpermitip10 1 1 0255 255 255 010 0 0 0255 255 255 0asacisco config access listnonatpermitip10 1 1 0255 255 255 010 0 0 0255 255 255 0Asacisco config access listnonatdenyip10 1 1 0255 255 255 0any写一个标准的ACL 在后面将用在组策略属性中的路由注入access listvpnsplitstandardpermit10 1 1 0255 255 255 0建立VPN用户Asacisco config usernameciscopasswordcisco internet 211 1 1 2 24 总部 10 1 1 0 24 internet 总部第一阶段 asacisco config cryptoisakmpenableoutside在outside接口上开启IKEasacisco config cryptoisakmpidentityaddress基于地址ISAKMPasacisco config cryptoisakmppolicy10进入IKEasacisco config isakmp authenticationpre share定义认证方式asacisco config isakmp encryption3DES定义加密算法asacisco config isakmp hashmd5定义验证数据完整性asacisco config isakmp group2定义组为2asacisco config isakmp lifetime86400遂道时间 配置远程VPN 211 1 1 2 24 总部 10 1 1 0 24 internet 总部第二阶段 1 配置IPsec参数 定义遂道数据中的加密方式 配置数据转换集名字为vpnset两端参数一致asacisco config cryptoipsectransform setvpnsetesp 3desesp md5 hmac2 远程拨入的用户需要配置IPsec组策略名字为vpnclientasacisco config group policyvpnclientinternal 定义为内部组asacisco config group policyvpnclientattributes 定义组属性split tunnel policytunnelspecifiedsplit tunnel network listvaluevpnsplit 将准阶段的建立的标准的ACLvpnsplit加入注策略exit3 配置IPsec遂道属性及密码建立新的遂道组 名字用vpnclinet 属性是ipsec ra远程asacisco config tunnel gr