任务9.2 ASA防火墙的配置

计算机网络安全管理技术项目九任务9.2ASA防火墙的配置防火墙和入侵防御技术的应用【任务目标】

1．理解ASA的概述和特点等2．能描述ASA防火墙模式3．学会正确配置ASA防火墙【任务环境】1、主流PC机一台2、PacketTracer软件

任务9.2ASA防火墙的配置

【网络拓扑图】

任务9.2ASA防火墙的配置【网络IP地址分配表】

设备名接口IP地址/子网掩码默认网关ASAVlan1（Et0/1）/24

Vlan2（Et0/0）/24

Vlan3（Et0/2）/24

R1Se0/0/0/24----Fa0/0/24----R2Se0/0/0/24----Fa0/0/24----PC1Fa0自动获取自动获取PC2Fa0/24S1Fa0/24任务9.2ASA防火墙的配置【知识支撑】

一、自适应安全设备ASA概述IOS防火墙解决方案适合在小的分支机构部署，以及适合有CiscoIOS使用经验的管理员。但是，IOS防火墙解决方案的扩展性不好，通常无法满足大型企业的需求。ASA是一个独立的防火墙设备，是CiscoSecureX架构的重要组成部分。ASA有多个型号，所有产品都提供了高级的有状态防火墙和VPN功能。对于ASA型号的选择，取决于企业的需求，比如像最大吞吐量、每最大连接数以及预算等。

任务9.2ASA防火墙的配置

ASA软件把防火墙、VPN集中器、入侵防御功能集成到一个软件映像中。之前，这些功能是在三个不同的设备中提供的，每一个有自己的软件和硬件。结合这些功能到一个软件映像中，会显著地提高应用的性能。任务9.2ASA防火墙的配置二、特性1、ASA虚拟化

一个单独的ASA可以被分割成多个虚拟设备。每个虚拟设备叫做安全上下文(securitycontext),每个context是一个单独的设备，拥有自己的安全策略、接口和管理者。多上下文(multiplecontext)就像有多个独立的设备。在多上下文模式中支持很多特性，包括路由表、防火墙特性、IPS和管理功能。任务9.2ASA防火墙的配置

2、带有故障切换的高可用性两个相同的ASA可以配对成活跃/备份的故障切换配置，以提供设备的冗余。这两个ASA的软件、许可、内存和接口，包括安全服务模块(SSM),必须相同。任务9.2ASA防火墙的配置

3、身份防火墙

ASA可以基于IP地址到Windows活动目录登录信息的关联，提供可选的精细访问控制。例如，当客户端尝试访问服务器资源时，它必须先使用基于Microsoft活动目录身份的防火墙服务进行认证。通过指定用户或组的方式，可以增强现有的访问控制和安全策略机制。基于身份的安全策略可以和传统的基于IP地址的规则无限制地交叉使用。任务9.2ASA防火墙的配置

4、威胁控制和抑制服务所有的ASA型号都支持基本的IPS特性。然而，高级的IPS特性只能由ASA架构中集成的专门硬件模块来提供。IPS功能是通过使用高级的检测和防御模块来提供的，而反恶意软件功能可以和内容安全和控制模块整合部署。它们还可以使用专门的IPS检测引擎和数千的特征，来防护数百万潜在的未知漏洞及变种。任务9.2ASA防火墙的配置

三、ASA防火墙模式

1、路由模式当防火墙的两个或多个接口用来分割第三层网络时，此时通常部署防火墙的路由模式。ASA在网络中被认为是一个路由器，并且可以在连接的网络间执行NAT。路由模式支持多接口。每个接口在不同的子网内，并且需要该子网的一个IP地址。当流量穿越防火墙时，接口会对流量应用策略。任务9.2ASA防火墙的配置

2、透明模式在透明模式中，ASA的功能类似一个第2层设备。透明模式通常被称为“线路插件”或“隐形防火墙”。在透明模式下，ASA的功能类似于第2层交换机，不被当做路由器。ASA在本地网络中分配了一个IP地址，用于实现管理的目的。透明防火墙可以来简化网络配置，或者是部署在现有IP编址不能改变的场景中。透明模式的另外一个好处就是对于攻击者来说它是不可见的。然而，使用透明模式的缺点包括不支持动态路由协议、VPN、QoS和DHCP中继。任务9.2ASA防火墙的配置

【任务要求】在该任务中，PC1模拟公司内部电脑，S1模拟公司内部服务器，PC2模拟外网电脑，R1和R2模拟外部网络路由器，ASA模拟内部网络防火墙，现要求配置ASA防火墙，实现以下要求：任务9.2ASA防火墙的配置1）PC1可以在ASA防火墙上动态获取IP地址2）PC1可以ping通PC2和S1，PC2不可以ping通PC1和S1，S1不可以ping通PC1和PC23）只有PC1可以使用Telnet协议远程登录到ASA防火墙上进行管理4）PC1和PC2都可以访问S1的HTTPS服务任务9.2ASA防火墙的配置

【任务实施】1、绘制网络拓扑图2、根据网络IP地址分配表，配置设备接口IP地址等参数

任务9.2ASA防火墙的配置

3、网络基本环境的搭建

1）在R1和R2上配置路由，使外部网络互通主要配置命令如下：2）在S1上开启HTTPS服务R1(config)#iproutes0/0/0//配置去往/24网段的静态路由R1(config)#iproute//配置指向ASA防火墙的默认静态路由R2(config)#iproutes0/0/0//配置指向R1的默认静态路由任务9.2ASA防火墙的配置

4、ASA防火墙的基本配置

1）配置ASA防火墙的主机名和域名主要配置命令如下：ciscoasa(config)#hostnameASA//配置防火墙主机名为ASAASA(config)#domain-name//配置防火墙域名为任务9.2ASA防火墙的配置2）配置ASA防火墙enable密码主要配置命令如下：ASA(config)#enablepasswordP@ssw0rd//配置防火墙enable密码任务9.2ASA防火墙的配置3）配置ASA防火墙接口主要配置命令如下：ASA(config)#intvlan1//vlan1为内部网络vlan，其中Et0/1默认位于该vlan内ASA(config-if)#nameifinside//为该接口命名为insideASA(config-if)#ipaddress//为该接口配置ip地址ASA(config-if)#security-level100//为该接口配置安全级别值为100，该值范围为0-100，值越大安全级别越高，一般将内部网络接口指定为100，而外部网络接口指定为0，其他接口介于两者之间。任务9.2ASA防火墙的配置

ASA(config)#intvlan2//vlan2为外部网络vlan，其中Et0/0默认位于该vlan内ASA(config-if)#nameifoutside//为该接口命名为outsideASA(config-if)#ipaddressASA(config-if)#security-level0ASA(config)#intvlan3//创建并进入vlan3接口ASA(config-if)#noforwardinterfacevlan1//限制该接口发起去往vlan1的流量ASA(config-if)#nameifdmz//为该接口命名为dmzASA(config-if)#ipaddressASA(config-if)#security-level50ASA(config)#inte0/2ASA(config-if)#switchportaccessvlan3//将Et0/2接口划入vlan3中任务9.2ASA防火墙的配置

5、在ASA防火墙上配置默认路由主要配置命令如下：ASA(config)#routeoutside//配置指向R1的默认静态路由任务9.2ASA防火墙的配置

6、在ASA防火墙上为内部网络配置DHCP服务主要配置命令如下：ASA(config)#dhcpdenableinside//在inside接口上开启dhcp服务ASA(config)#dhcpdaddress0-0inside//为inside接口下的终端设备提供ip地址，范围为0到0ASA(config)#dhcpddnsinterfaceinside//为inside接口下的终端设备提供dns地址任务9.2ASA防火墙的配置

7、在ASA防火墙上配置AAA及Telnet服务1）配置AAA服务主要配置命令如下：ASA(config)#aaaauthenticationtelnetconsoleLOCAL//为telnet服务开启AAA本地认证ASA(config)#usernameuser01passwordP@ssw0rd

//创建本地用户数据库任务9.2ASA防火墙的配置2）配置Telnet服务主要配置命令如下：ASA(config)#telnetinside//配置/24网段的主机允许访问telnet服务ASA(config)#telnettimeout10//配置telnet服务超时时间为10分钟，默认为5分钟任务9.2ASA防火墙的配置

8、在ASA防火墙上配置NAT服务

1）为inside接口下的终端设备配置PAT服务主要配置命令如下：ASA(config)#objectnetworkinside//创建名为inside的NAT对象ASA(config-network-object)#subnet//指定内网地址范围ASA(config-network-object)#nat(inside,outside)dynamicinterface//为内网访问外网提供PAT服务任务9.2ASA防火墙的配置2）为dmz接口下的终端设备配置静态NAT服务主要配置命令如下：ASA(config)#objectnetworkdmz//创建名为dmz的NAT对象ASA(config-network-object)#host//指定内部主机地址ASA(config-network-object)#nat(dmz,outside)static0//为内网主机地址访问外网提供静态NAT服务任务9.2ASA防火墙的配置

9、在ASA防火墙上开启默认全局策略主要配置命令如下：ASA(config)#class-mapinspction_default//定义默认分类inspction_defaultASA(config-cmap)#matchdefault-inspection-traffic//匹配所有检查的默认端口ASA(config)#policy-mapglobal_policy//定义默认策略global_policyASA(config-pmap)#classinspction_default//调用默认分类inspction_defaultASA(config-pmap-c)#inspecticmp//为ICMP协议提供检查服务ASA(config)#service-policyglobal_policyglobal//配置服务策略为调用默认策略global_policy任务9.2ASA防火墙的配置

10、在ASA防火墙上配置访问控制列表主要配置命令如下：ASA(config)#access-listdmz1permittcpanyhosteq443//创建名为dmz1的访问控制列表，允许所有流