一,ASA的安全算法
1)ASA就是一個狀態化防火牆,其中有一個關於用戶信息的連接表,稱爲conn表,表中的關鍵信息如
源ip地址
目的ip地址
ip協議(只針對Tcp和UDP,不對ICMP進行狀態化檢測,)
ip協議信息(tcp、udp的端口號,tcp序列號,tcp控制位)
2)安全算法的原理
原始報文--------ACL-----------XLATE、conn----------應用層檢測--------返回報文
一個新來的報文到達ASA,ASA先檢查ACL,確認是否允許,允許則通過,到達連接表conn,並在其中創建一個新條目,然後進行應用層檢測,如果允許,則將報文轉發給目的主機,這時目的主機進行響應,ASA接受到返回報文並進行檢測,確定於conn表的信息匹配,則通過。
二,ASA的基本配置
1)連接防火牆登陸
與其他的 Cisco 設備一樣,用 Console 線連接到防火牆,初始特權密碼爲空(配置了遠程,則可以遠程連接)
2)配置內部接口和 IP 地址
分別劃分inside(內網)、outside(外網)、dmz(安全區)三個區域。
內網可訪問外網及dmz內服務器(web),外網可訪問dmz內服務器(web)
Dmz服務器分別開放80、21、3389端口。
3)配置路由和pc的遠程連接
每個pc都配置vty,方便下面測試
默認是允許從高安全級別接口訪問低安全級別接口的
禁止從低安全級別訪問高安全級別的,例如 outside不能訪問inside,因爲outside級別最低,要 訪問inside需要配置ACL。
禁止相同安全級別的接口之間通信。
用inside區域的pc1訪問outside的pc3
用outside區域的pc3訪問inside的pc1
不能訪問吧,因爲默認禁止低級別訪問高級別,下面設置ACL後,就可以訪問了
這下pc3接上了pc1
查看conn表
總結:ASA上配置ACL有連個作用:一是允許入站連接,二是控制出站連接的流量
3)動態NAT(使用於客戶端)
指定需要進行地址轉換的網段
asa(config)# nat (inside) 1 10.0.0.0 255.255.255.0
定義全局地址池
asa(config)# global (outside) 1 200.0.0.1-200.0.0.10
inside區域內的所有網段實施動態NAT 命令
asa(config)nat (inside) 1 0 0
4)動態PAT
指定需要進行地址轉換的網段
asa(config)# nat (inside) 1 10.0.0.0 255.255.255.0
asa(config)# global (outside) 1 202.106.1.1
有是直接使用outside的接口ip地址進行轉換
asa(config)# global (outside) 1 interface
5)靜態NAT(發佈內網的服務器,dmz區存放的是服務器,)
格式:static(源端口,目標端口)目標地址,源地址
static (dmz,outside) 201.10.10.10 192.168.2.2
access-list out_to_dmz permit ip host 172.16.16.2 host 201.10.10.10
access-group out_to_dmz in int outside
需要主意的是acl配置命令中的目的地址爲映射的地址201.10.10.10 ,而不是真實的ip192.168.2.2,是一對一的固定轉換,靜態NAT發佈到公網的服務器可以響應Internet客戶端的連接,internet也可以向其發起連接。
6)靜態PAT(多個服務器使用不同端口共享一個公網IP發佈到Internet.
格式:static(源端口,目標端口)[tcp|upd] 目標地址 目標端口 源地址 源端口
static (dmz,outside) tcp 201.10.10.10 80 192.168.2.2 80
access-list out_to_dmz permit ip host 172.16.16.2 host 201.10.10.10
access-group out_to_dmz in int outside