ASA 配置筆記

原創 pimg2005 2018-09-12 06:37

    公司最近增加一臺CISCO ASA 5510-K8 防火牆設備,也算是初次接觸吧,一波三折,折騰了一個多星期也算基本摸清,現爲這一個多星期的折騰記錄一下,日後少做一些無用功。這次ASA主要用於遠程接入及一部分服務器外網訪問,按此需求也列出以下ASA需配置的項目:
1、遠程接入,IPSec *** 或SSL *** ,因購買此型號的防火牆SSL ***授權只有兩個,只有選擇IPsec ***使用了;
2、做NAT 實現外網訪問,相關ACL控制指定服務器連接外網;
3、端口映射,把相關需要使用的服務器端口映射到公網使用,如25、110等。

簡單拓撲圖如下:

151409680.jpg


h3c s5500-ei 配置主要點:

ip route-static 0.0.0.0 0.0.0.0 172.65.3.1 description to asa
ip route-static 10.0.0.0 255.0.0.0 192.168.193.1 description to qq
ip route-static 172.0.0.0 255.0.0.0 192.168.193.1 description overto qq
ip route-static 192.0.0.0 255.0.0.0 192.168.193.1 description to qq


ASA配置:


ciscoasa(config)# sh run 
: Saved
:
ASA Version 8.2(5) 
!
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address xxx.xxx.xxx.xxx 255.255.255.248   \\外網接口IP
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.65.3.1 255.255.255.0   \\內網接口IP
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
ftp mode passive
clock timezone CST 8
access-list test***_splitTunnelAcl standard permit 172.65.0.0 255.255.0.0   

\\***接入時上述IP流量做隧道分割,如不開啓隧道分割技術***接入的用戶就不能使用本地internet了。這裏需注意的
access-list permitwww extended permit ip host 172.65.12.24 any   \\控制部分服務器訪問外網
access-list permitwww extended permit icmp any any  \\icmp 流量容許通過
access-list inside_nat0_outbound extended permit ip 172.65.0.0 255.255.0.0 172.65.3.0 255.255.255.0   \\nat免除,表示從172.65.0.0/16網段通過172.65.3.0/24時不進行nat轉換 
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
ip local pool ipsecpool 172.65.3.100-172.65.3.200 mask 255.255.255.0  \\接入***客戶端地址池
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-645.bin  \\asdm  加載鏡像,asdm是個好東西,把asa配置簡化了好多
no asdm history enable
arp timeout 14400
global (outside) 1 interface  \\配置單個地址爲outside接口地址,如有多個公網IP也可以配置爲一個地址池
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 172.65.0.0 255.255.0.0   \\與上述 global對應使用,即把172.65.0.0/16這個網段的地址轉換爲外網接口IP地址。
access-group permitwww in interface inside  \\控制部分服務器外網訪問,此條access-list 在inside 
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1    \\公網網關 ,默認路由且只有一跳
route inside 172.65.0.0 255.255.0.0 172.65.3.254 1  \\內網網關
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication http console LOCAL  \\設置AAA驗證方式。此處爲LOCAL本地用戶驗證
aaa authentication telnet console LOCAL  \\同上
aaa authentication serial console LOCAL   \\同上
http server enable  \\開啓http服務
http 172.65.0.0 255.255.0.0 inside  \\充許此網段通過http連接上來
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac 
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac 
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac 
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac 
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac 
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac 
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac 
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto ca trustpoint _SmartCallHome_ServerCA
 crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
 certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
  quit
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
telnet 172.65.0.0 255.255.0.0 inside  \\允許此網段進行telnet管理
telnet timeout 5   \\超時限制
ssh 172.65.0.0 255.255.0.0 inside  \\允許此網段進行ssh登錄管理
ssh timeout 5   \\超時限制
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
web***   \\進入web*** 模式
group-policy test*** internal  \\設置一個名爲test*** 的策略組,選項爲internal
group-policy test*** attributes  \\設置組策略屬性
 dns-server value 172.65.0.10 172.65.0.11  \\***接入的客戶端的dns設置
 ***-tunnel-protocol IPSec  
 split-tunnel-policy tunnelspecified   \\啓用隧道分離,且只有訪問公司內網時才用。隧道分離有三種方式,這是其中一種。tunnelspecified:允許客戶端訪問客戶端本地網絡以及internet,只有到公司內網的數據流才走分離隧道;excludespecified :僅允許客戶端訪問客戶端本地的網絡,internet和到公司內網的數據流都走分離隧道;tunnelall: 客戶端所有所有流量都走分離隧道
 split-tunnel-network-list value test***_splitTunnelAcl   \\隧道分離保護的數據, 此處test***_splitTunnelAcl爲上面定義的隧道分離列訪問列表
 default-domain value test.com
username admin password sadP6m1bnmnzbmnX encrypted
username test password c2I40Rrw1iizALuA encrypted privilege 0   \\接入***用戶名
username test attributes
 ***-group-policy test***
tunnel-group test*** type remote-access
tunnel-group test*** general-attributes
 address-pool ipsecpool
 default-group-policy test***
tunnel-group test*** ipsec-attributes
 pre-shared-key *****
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect ip-options 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny  
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip  
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
call-home reporting anonymous
call-home
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email [email protected]
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:54014531b7373a1bcfb4b3700064302e
: end

ASDM設置ipsec 操作步驟(配置asa大多數在asdm下進行,有必要對其有一定的瞭解)

1、Remote Access ***設置:

152441468.jpg

2、

152444716.jpg

3、共享密鑰,及組策略名

152447206.jpg

4、選擇驗證方式

152450659.jpg

5、新增用戶

152452498.jpg

6、***地址池

152455303.jpg

7、***連接客戶端dns等配置

152458101.jpg

8、默認K8版本是沒有3DES選項的,需到cisco官網去激活開啓,詳細可以查看用戶操作說明書說明:

152500894.jpg

9、開啓隧道分離技術

152503705.jpg

10、完成前確認:

152506731.jpg

結束!

***client 設置:

1、connection Entry 爲自己自定義名稱,host爲asa外網ip,group authentication name 爲*** group 名:test***,password爲共享密鑰。

153635951.jpg

2、點擊連接

153638200.jpg

3、輸入***用戶名密碼。

155358682.jpg

附錄:


部分ASA初始化的基本配置:

1、安全級別:
outside  默認爲0安全性級別最低,最不信任的!
inside  默認爲100 最信任的安全級別最高
DMZ  1-99安全級別


2、防火牆的默認策略:
Outbound (由高往底) 的流量默認允許 ,如inside到outside

Inbound (由底往高)的流量默認禁止

3、初始化防火牆:
int g0
ip add 202.100.1.10 255.255.255.0 
no sh
nameif outside 
其它inside 及DMZ接口同理

4、配置ASDM

ASA(config)#username ccie password ccie    // 配置用戶名和密碼
ASA(config)#http server enable   //啓用https功能
ASA(config)#aaa authentication http console LOCAL  //HTTPS認證類型爲本地認證
ASA(config)#http 172.16.1.0 255.255.255.0 inside   // 允許來排自inside的流量通過HTTPS網管ASA

5、基本NAT介紹
ASA(config)#object network Inside.traffic   //創建一個內部地址名稱traffic
ASA(config-network-object)#subnet 172.16.1.0 255.255.255.0  //定義其地址範圍
ASA(config-network-object)#nat (inside,outside) dynamic interface  //完成nat轉換

例:創建一個outside  telnet 到DMZ裏的http服務器nat
ASA(config)#object network Inside.telnet   //創建一個內部地址名稱DMZ.telnet
ASA(config-network-object)#subnet host 192.168.1.100  //定義DMZ.telnet的主機地址
ASA(config)#object network Outside.telnet   //創建一個內部地址名稱outside.telnet
ASA(config-network-object)#subnet host 202.100.1.100  //定義outside.telnet的主機地址
ASA(config-network-object)#nat (DMZ,outside) static Outside.telnet service tcp telnet telnet  //完成nat轉換,安全級別需從高流向低

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

教你打造一道超級防禦的電腦防火牆

lichenjing9 2019-02-23 14:06:52

第九章、防火牆與 NAT 伺服器------鳥哥的 Linux 私房菜

woaizca 2019-02-23 14:06:17

iptables的概述及應用(一)

shang61511 2019-02-23 14:04:46

linux 的DNS搭建

夢與時光眠 2019-02-23 13:51:55

CACTI 仙人掌監控平臺

夢與時光眠 2019-02-23 13:51:55

ShareTech 防火牆 使用手冊(適用型號:LB-2225)

yzy747 2019-02-23 13:50:59

dlink dfl-800

sly8259336 2019-02-23 13:49:40

信息系統安全管理以及風險管理

hua0221 2019-02-23 13:43:41

PIX515防火牆配置策略實例(二)

qinyihao 2019-02-23 13:29:34

iptables的詳細介紹及配置方法

qinyihao 2019-02-23 13:29:34

PIX515防火牆配置策略實例(一)

qinyihao 2019-02-23 13:29:33

防火牆的相關知識介紹及命令

譕淚寳唄 2019-02-23 13:28:55

迫使客戶機使用防火牆客戶端

zhanglong0123 2019-02-23 13:27:42

Cisco PIX防火牆配置命令大全

eddylin 2019-02-23 13:21:00

juniper 防火牆常用命令

shining007 2019-02-23 13:15:44