asa防火墙虚拟机运行

CISCO ASA防火墙ASDM安装和配置准备工作：准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端输入一个连接名，比如“ASA”,单击确定。

选择连接时使用的COM口，单击确定。

点击还原为默认值。

点击确定以后就可能用串口来配置防火墙了。

在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。

在串口下输入以下命令：ciscoasa>ciscoasa> enPassword:ciscoasa# conf t 进入全局模式ciscoasa(config)# webvpn 进入WEBVPN模式ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字ciscoasa(config-if)# no shutdown 激活接口ciscoasa(config)#q 退出管理接口ciscoasa(config)# http server enable 开启HTTP服务ciscoasa(config)# http 192.168.1.0 255.255.255.0 guanli 在管理口设置可管理的IP地址ciscoasa(config)# show run 查看一下配置ciscoasa(config)# wr m 保存经过以上配置就可以用ASDM配置防火墙了。

首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP 地址,本例中设为192.168.1.0 段的IP打开浏览器在地址栏中输入管理口的IP地址:[url]https://192.168.1.1/admin[/url]弹出一下安全证书对话框，单击“是”输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“确定”。

Firepower 2110防火墙设备配置问题总结1.问题概述1.1.背景描述在Firepower 2110平台上运行ASA版本，在此次安装过程中，发现与普通ASA平台安装存在差异，并遇到不少问题。

1.2.问题概述✧版本升级问题Firepower 2110由FXOS底层系统和ASA系统组成，版本升级在底层平台FXOS上进行。

✧接口无法使用问题默认情况下，只有Management1/1，eth1/1和eth1/2接口是在底层平台FXOS物理启用的，并在ASA配置中以逻辑方式启用。

要使用任何其他接口，必须在底层FXOS中启用，然后在ASA配置中启用它，所以在此次安装过程中发现，虽然在ASA中将eth1/3接口no shutdown，接口始终起不来，只有FXOS中将eth1/3接口enable，ASA中接口才能正常使用。

✧NTP、clock、时区配置问题NTP、clock、时区的配置需要在FXOS底层配置，在ASA系统无法配置。

✧3DES lincese问题此次设备没有购买L-FPR2K-ENC-K9= (Strong Encryption (3DES/AES) license),在配置过程中发现SSH 无法配置v2版本，以及会影响ipsec vpn的加密方式的使用。

底层FXOS无法SSH登录问题底层FXOS默认情况下只能通过带外管理同网段的地址来SSH以及WEB登录，如果其他网段需要登录管理FXOS，则需要配置ip-bock来允许访问。

2.版本升级步骤在笔记本电脑上开启FTP服务，并使用网线连接防火墙mgmt口自动获取IP，mgmt口地址为192.168.45.1/45，FXOS平台设备默认登录帐号密码为：admin/Admin123:进入FXOS,升级步骤如下：firepower-2110# scope firmwarefirepower-2110/firmware#download imagetftp://192.168.45.10/cisco-asa-fp2k.9.8.3.18.SPAfirepower-2110 /firmware # show download-task detailfirepower-2110 /firmware # show packagefirepower-2110 /firmware # scope auto-installfirepower-2110 /firmware/auto-install # install security-pack version 9.8.3.18 Do you want to proceed ? (yes/no):yesDo you want to proceed? (yes/no):yesfirepower-2110 /firmware/auto-install # show detailadminAdmin123connect asa/fxos exi exi up3.底层将接口enblefirepower-2110# scope eth-uplinkfirepower-2110 /eth-uplink # scope fabric afirepower-2110 /eth-uplink/fabric # enter interface Ethernet1/3firepower-2110 /eth-uplink/fabric/interface # enablefirepower-2110 /system/services* # commit-buffer4.NTP、clock、时区配置✧配置时区和clockfirepower-2110# scope systemfirepower-2110 /system # scope servicesfirepower-2110 /system/services # set clock apr 18 2018 9 39 30firepower-2110 /system/services* # set timezonePlease identify a location so that time zone rules can be set correctly.Please select a continent or ocean.firepower-2110 /system/services* # commit-buffer✧NTP配置配置FXOS mgmt接口IPfirepower-2110# scope systemfirepower-2110 /system # scope servicesfirepower-2110 /system/services # disable dhcp-serverfirepower-2110 /system/services* # commit-bufferfirepower-2110# scope fabric-interconnect afirepower-2110 /fabric-interconnect # set out-of-band static ip 1.1.1.100 netmask 255.255.255.0 gw 1.1.1.1注：FXOS带外管理接口地址应与ASA中管理接口地址在同一网段，网关应与ASA管理接口的网关一致。

ASA防火墙配置命令（v1.0）版本说明目录1. 常用技巧 (3)2. 故障倒换 (3)3. 配置telnet、ssh及http管理 (5)4. vpn常用管理命令 (5)5. 配置访问权限 (6)6. 配置sitetosite之VPN (6)7. webvpn配置（ssl vpn） (7)8. 远程拨入VPN (8)9. 日志服务器配置 (10)10. Snmp网管配置 (11)11. ACS配置 (11)12. AAA配置 (11)13. 升级IOS (12)14. 疑难杂症 (12)1. 常用技巧Sh ru ntp查看与ntp有关的Sh ru crypto 查看与vpn有关的Sh ru | inc crypto 只是关健字过滤而已2. 故障倒换failoverfailover lan unit primaryfailover lan interface testint Ethernet0/3failover link testint Ethernet0/3failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注：最好配置虚拟MAC地址sh failover显示配置信息write standby写入到备用的防火墙中failover命令集如下：configure mode commands/options:interface Configure the IP address and mask to be used for failover and/or stateful update informationinterface-policy Set the policy for failover due to interface failureskey Configure the failover shared secret or keylan Specify the unit as primary or secondary or configure the interface and vlan to be used for failover communication link Configure the interface and vlan to be used as a link for stateful update informationmac Specify the virtual mac address for a physical interface polltime Configure failover poll intervalreplication Enable HTTP (port 80) connection replicationtimeout Specify the failover reconnect timeout value forasymmetrically routed sessionssh failover 命令集如下：history Show failover switching historyinterface Show failover command interface informationstate Show failover internal state informationstatistics Show failover command interface statistics information| Output modifiers<cr>3. 配置telnet、ssh及http管理username jiang password Csmep3VzvPQPCbkx encrypted privilege 15aaa authentication enable console LOCALaaa authentication telnet console LOCALaaa authentication ssh console LOCALaaa authorization command LOCALhttp 192.168.40.0 255.255.255.0 managementssh 192.168.40.0 255.255.255.0 inside4. vpn常用管理命令sh vpn-sessiondb full l2l 显示site to site 之vpn通道情况sh ipsec stats 显示ipsec通道情况sh vpn-sessiondb summary 显示vpn汇总信息sh vpn-sessiondb detail l2l 显示ipsec详细信息sh vpn-sessiondb detail svc 查看ssl client信息sh vpn-sessiondb detail webvpn 查看webvpn信息sh vpn-sessiondb detail full l2l 相当于linux下的ipsec whack –status 如果没有建立连接，则表示ipsec通道还没有建立起来。

多厂商防火墙系列之五：ASA Security Context【虚拟防火墙】security Context技术就是把一个防火墙虚拟出多个防火墙，每个虚拟的防火墙有独立的配置、接口、而且互不影响，这对于ISP IDC机房或者一些大学、企业部分做不同的策略控制比较有用。

system config：其实就是物理防火墙本身，在这个模式下的防火墙只能划分不同的Context，对于这些Context做相对应的配置，它并不做实际的流量转发admin config：它是当转换成multiple后自动会有的一个Context，它用于在system和其他虚拟Context之间进行切换管理，也可以作于流量转发使用。

对于虚拟防火墙的一些问题：对于多个虚拟防火墙其实都是通过物理防火墙转变的，它们可能使用同一接口(共享接口），如果某一个虚拟防火墙中的主机发送出去，返回的流量system到低交给哪个防火墙这是个问题，所以在这种情况下有几种区分的办法。

可以根据源目IP|VLAN|MAC|我们可以是不同IP的相同VLAN，或者不同VLAN的相同IP。

当然也可以通过MAC地址来区分。

在ASA上通过show mode：来查看当前处于什么模式默认情况下处于single模式，也就是单一模式，通过一条命令mode multile来改变成多模式，这个过程是需要重启的。

这个是我以前上PIX的课程保留的拓扑。

它是一个逻辑的拓扑，就是把一个firewall虚拟成多个以后的拓扑，这就是我说之前说这个是防firewall学习的难点之一，因为对于这个你思维要很清晰，知道怎么就构建这个拓扑，和区分。

这个呢，是实际的拓扑，先解释下这个拓扑怎么去理解，明白了这个其余的都很easy了。

在实际中，可能firewall的接口并没有GNS3提供的多，所以我也只有了两个接口来做出效果，先看逻辑的拓扑，可以发现总共虚拟了三个防火墙，一个为admin|Vir|FW，在firewall中，它们都共享一个接口，而我们又需要多个接口来加入不同的Context中，那么就是子接口了，做过单臂路由的朋友可能知道，每一个子接口都需要对应一个VLAN，在firewall 中也一样，在划分子接口后，就必须规定它属于哪个VLAN。

启用ASA和PIX上的虚拟防火墙前言有鉴于许多读者纷纷来信与Ben讨论防火墙的相关设定，并希望能够针对近两年防火墙的两大新兴功能：虚拟防火墙(Virtual Firewall or Security Contexts) 以及通透式防火墙(Transparent or Layer 2 Firewall) ，多做一点介绍以及设定上的解说，是以Ben特别在本期以Cisco的ASA，实做一些业界上相当有用的功能，提供给各位工程师及资讯主管们，对于防火墙的另一种认识。

再者，近几期的网管人大幅报导资讯安全UTM方面的观念，显示网路安全的需要与日遽增，Cisco ASA 5500为一个超完全的UTM，这也是为什么Ben选择ASA，来详细的介绍UTM的整体观念。

本技术文件实验所需的设备清单如下：1Cisco PIX防火墙或是ASA (Adaptive Security Appliance) 网路安全整合防御设备。

本技术文件实验所需的软体及核心清单如下：2Cisco PIX或是ASA 5500系列，韧体版本7.21，管理软体ASDM 5.21。

3Cisco 3524 交换器。

本技术文件读者所需基本知识如下：4VLAN协定802.1Q。

5路由以及防火墙的基础知识。

6Cisco IOS 基础操作技术。

什么是虚拟防火墙跟通透式防火墙虚拟防火墙(Virtual Firewall or Security Contexts)：就一般大众使用者而言，通常买了一个防火墙就只能以一台来使用，当另外一个状况或是环境需要防火墙的保护时，就需要另外一台实体的防火墙；如此，当我们需要5台防火墙的时候，就需要购买5台防火墙；虚拟防火墙的功能让一台实体防火墙，可以虚拟成为数个防火墙，每个虚拟防火墙就犹如一台实体的防火墙，这解决了企业在部署大量防火墙上的困难，并使得操作及监控上更为简便。

通透式防火墙(Transparent or Layer 2 Firewall)：一般的防火墙最少有两个以上的介面，在每个介面上，我们必须指定IP位址以便让防火墙正常运作，封包到达一个介面经由防火墙路由到另一个介面，这种状况下，防火墙是处在路由模式(Routed mode)；试想，在服务提供商(Internet Service Provider) 的环境中，至少有成千上万的路由器组成的大型网路，如果我们要部署数十个以上的防火墙，对于整体网路的IP位址架构，将会有相当大的改变，不仅容易造成设定路由的巨大麻烦，也有可能会出现路由回圈，部署将会旷日费时，且极容易出错。

asa虚拟机下载及使用教程1.
安装vmware6.5以上版本。

2.
nptp(附件下载)
然后是nptp的设置
打开nptp
点EDIT,选择新建：
这里要注意的是pipe的设置，端口可以设置任意系统未用的，pipe后面的ASA（即：\\.\pipe\ASA）要和虚拟机加载的名字一致。

还有最后注意的一点是先开启nptp ，一定要一直开着。

接下来是vmware 的设置
首先是加载vmware 版本的ASA ，下载地址的连接：
/file/f2a35d86a1#
ASA.rar
启动虚拟机，开始的时候提示让你选择启动的系统，这里直接选择启动ASA就可以了，等出现下面图像的时候就表示成功了。

最后要做的就是telnet到ASA，我用的是secureCRT,相信大家都会用的
今天再弄个ASDM的实验，成功了也拿来给大家share！
共享asa1.4的vmware文件：/file/f2b08a14e2# asa_1.4.exe
1、1.4的好处是可以不用nptp，可以直接运行start_gw.bat，不要关闭
2、打开connect.bat，OK
3、这个版本可以wr保存配置。

不好的就是命令敲错不能回退，也不使用TAB键补全。

CISCO ASA防火墙ASDM安装和配置准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端输入一个连接名，比如“ASA”,单击确定。

选择连接时使用的COM口，单击确定。

点击还原为默认值。

点击确定以后就可能用串口来配置防火墙了。

在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。

在串口下输入以下命令：CiscoASA>CiscoASA> enPassword:CiscoASA# conf t 进入全局模式CiscoASA(config)# username cisco password cisco 新建一个用户和密码CiscoASA(config)# interface e0 进入接口CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 添加IP地址CiscoASA(config-if)# nameif inside 给接口设个名字CiscoASA(config-if)# no shutdown 激活接口CiscoASA(config)#q 退出接口CiscoASA(config)# http server enable 开启HTTP服务CiscoASA(config)# http 192.168.1.0 255.255.255.0 inside 在接口设置可管理的IP地址CiscoASA(config)# show run 查看一下配置CiscoASA(config)# wr m 保存经过以上配置就可以用ASDM配置防火墙了。

首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP地址,本例中设为192.168.1.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.1.1/admin弹出一下安全证书对话框，单击“是”输入用户名和密码，然后点击“确定”。

ASA WEB SSL VPN 配置1，登录到ASA创建用户名及密码:username ccb password ccb 打开内网telnet:aaa authentication telnet console LOCALtelnet 0.0.0.0 0.0.0.0 inside2，打开ASDM输入IP地址用户名密码用ASDM之前在防火墙上配置：http server enablehttp 0.0.0.0 0.0.0.0 inside3,进入ASDM软件点击如下4，打开配置导航下一步：输入CCB，interface选择ouside，点击下一步去掉Ipsec只选择SSL点击下一步：点击Add点击browse Flash选择anyconnect-win-3.0.0629-k9.pkg点击OK点击下一步：点击AAA Server Group 新建根据ACS地址填写然后OK选择下步选择New 建立IP pool选择OK选择下步输入DNS server必须填写一个下一步下一步：下一步：Finish配置完成测试下：第二部分：添加账户在ACS添加账户点击user setup输入用户名后点击add/edit输入用户的密码，其他默认这个地方可以给用户分配一个固定IP 方便对用户进行限制每个用户分配一个固定IP可以为用户选择一个组Group1因为要控制用户需要在组里进行控制如果不控制用户的话选择默认配置即可最后提交用户配置完成。

测试：在网页上输入刚才建立的用户及密码：登录安装连接OK 控制用户。

GNS3 模拟ASA防火墙配置（详细教程）设计目标：信息安全，使用ASA防火墙，网络拓扑如下图。

要求内部局域网用户共享NAT上网，DNS使用ISP 的DNS服务器，Web服务器放在DMZ区域。

拓扑图如下：1.DMZ区域Web服务器上安装Windows2003系统（虚拟网卡为VNet1），启用IIS6.0搭建。

2.OutSide区域Web_DNS服务器上安装Windows2003系统（虚拟网卡为VNet2），启用IIS使用不同主机头搭建、、，并配置DNS服务器(由于内存有限配置在同一台服务器)，负责解析（IP地址为200.1.1.253/29），、、 (IP地址为200.2.2.1/24）。

3.在PC1（虚拟网卡为VNet3）安装Windows2003系统，配置DNS指向200.2.2.1。

4. ASA开启Telnet、SSH服务器，允许InSide区域内PC1（IP：192.168.0.1）访问管理设备。

5. ASA配置ASDM（自适应安全设备管理器），允许InSide区域内192.168.0.0/24网段使用HTTPS 接入。

6. ASA配置Inside用户共享NAT上网，配置ACL策略限制192.168.0.200-254/24访问外网。

7.ASA配置静态NAT使Outside用户访问DMZ区域的WebSrv8.ASA配置URL访问策略，IP地址范围在192.168.0.1-192.168.0.15中的主机只能访问和，不能访问其它任何网站。

9.禁止所有主机访问。

（注：红色部分将提供详细的实验步骤,并在步骤中提供相应的软件下载链接）实施步骤:一、使用虚拟机搭建IIS网站，配置网站的DNS解析（如会搭建可跳第二步-P10）1.首先是安装配置2003的IIS应用程序和DNS服务器2.搭建Inside和Outside区域的Web服务器后面的设置使用默认设置完成就可以了，接下来肯定就是新建网页文件，和配置网站的默认启用的文档。

R1interface Loopback0ip address 1.1.1.1 255.255.255.0!interface Loopback1ip address 1.1.2.1 255.255.255.0!interface FastEthernet0/0ip address 192.168.12.1 255.255.255.0 speed autofull-duplex!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.12.2!interface FastEthernet0/0ip address 192.168.26.2 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1ip address 192.168.27.2 255.255.255.0 duplex autospeed auto!interface FastEthernet1/0ip address 192.168.12.2 255.255.255.0ip policy route-map ciscoduplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.26.6ip route 1.1.0.0 255.255.0.0 192.168.12.1!!no ip http serverno ip http secure-server!ip access-list extended cisco1permit ip 1.1.1.0 0.0.0.255 anyip access-list extended cisco2permit ip 1.1.1.0 0.0.0.255 55.55.55.0 0.0.0.255 !!!route-map cisco permit 10match ip address cisco2set ip next-hop 192.168.26.6!route-map cisco permit 20match ip address cisco1set ip next-hop 192.168.27.7interface FastEthernet0/0ip address 192.168.36.3 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1ip address 192.168.35.3 255.255.255.0 duplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.35.5!R4!interface FastEthernet0/0ip address 192.168.46.4 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1ip address 192.168.45.4 255.255.255.0 duplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.45.5!R5interface Loopback0ip address 5.5.5.5 255.255.255.0!interface Loopback1ip address 55.55.55.55 255.255.255.0 !interface FastEthernet0/0ip address 192.168.45.5 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1ip address 192.168.35.5 255.255.255.0duplex autospeed auto!ip route 192.168.36.0 255.255.255.0 192.168.35.3 ip route 192.168.46.0 255.255.255.0 192.168.45.4 !ASA-SYSciscoasa# show run: Saved:ASA Version 8.0(2) <system>!hostname ciscoasaenable password 8Ry2YjIyt7RRXU24 encrypted no mac-address auto!interface Ethernet0/0!interface Ethernet0/1!interface Ethernet0/2!interface Ethernet0/3!interface Ethernet0/4shutdown!interface Ethernet0/5shutdown!class defaultlimit-resource All 0limit-resource ASDM 5limit-resource SSH 5limit-resource Telnet 5!ftp mode passivepager lines 24no failoverno asdm history enablearp timeout 14400console timeout 0admin-context admincontext adminconfig-url disk0:/admin.cfg!context isp1allocate-interface Ethernet0/1allocate-interface Ethernet0/2config-url disk0:/isp1.cfg!context isp2allocate-interface Ethernet0/0allocate-interface Ethernet0/3config-url disk0:/isp2.cfg!prompt hostname contextCryptochecksum:a0edbaf94170a837f4ddfd14b67fdbb9 : endciscoasa#ASA-ISP1ciscoasa/isp1# show run: Saved:ASA Version 8.0(2) <context>!hostname isp1enable password 8Ry2YjIyt7RRXU24 encrypted names!interface Ethernet0/2nameif outsidesecurity-level 0ip address 192.168.36.6 255.255.255.0!interface Ethernet0/1nameif insidesecurity-level 100ip address 192.168.27.7 255.255.255.0!passwd 2KFQnbNIdI.2KYOU encryptedaccess-list cisco extended permit ip any anypager lines 24mtu outside 1500mtu inside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400global (outside) 1 interfacenat (inside) 1 0.0.0.0 0.0.0.0access-group cisco in interface outsideroute outside 0.0.0.0 0.0.0.0 192.168.36.3 1route inside 1.1.0.0 255.255.0.0 192.168.27.2 1route inside 192.168.12.0 255.255.255.0 192.168.27.2 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstartno crypto isakmp nat-traversaltelnet timeout 5ssh timeout 5!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns migrated_dns_map_2parametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns migrated_dns_map_2inspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcp!service-policy global_policy global Cryptochecksum:a04eca19e9425a2d7e623155ae00e06f : endciscoasa/isp1#ASA-ISP2ciscoasa/isp2# show run: Saved:ASA Version 8.0(2) <context>!hostname isp2enable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0/3nameif outsidesecurity-level 0ip address 192.168.46.6 255.255.255.0!interface Ethernet0/0nameif insidesecurity-level 100ip address 192.168.26.6 255.255.255.0!passwd 2KFQnbNIdI.2KYOU encryptedaccess-list cisco extended permit ip any anypager lines 24mtu outside 1500mtu inside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400global (outside) 1 interfacenat (inside) 1 0.0.0.0 0.0.0.0access-group cisco in interface outsideroute outside 0.0.0.0 0.0.0.0 192.168.46.4 1route inside 1.1.0.0 255.255.0.0 192.168.26.2 1route outside 5.5.5.0 255.255.255.0 192.168.46.4 1route inside 192.168.0.0 255.255.0.0 192.168.26.2 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstartno crypto isakmp nat-traversaltelnet timeout 5ssh timeout 5!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns migrated_dns_map_3parametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns migrated_dns_map_3inspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcp!service-policy global_policy globalCryptochecksum:6c6dcb6f6651522440e01c85e4a4a613: end ciscoasa/isp2#。

思科ASA虚拟防火墙(昊昊)第1章激活多CONTEXT模式1.1安全的上下文概述3 1.2M ULTIPLE CONTEXT的使用环境3 1.2.1ISP想把一台ASA给更多的客户提供保护.那么实施MULTIPLE CONTEXT能够为更多的客户提供独立的安全策略,更多的保护.并且节省的花费. 3 1.2.2在一个企业网或者是园区网中,想要保证各个部门是绝对独立的3 1.2.3你的网络需要不止一台防火墙3 1.3不支持的特性3 1.3.1动态路由协议3 1.3.2VPN 4 1.3.3组播路由和组播桥接4 1.3.4威胁检查4 1.4虚拟墙的配置文件4 1.4.1C ONTEXT配置4 1.4.2系统配置4 1.4.3管理CONTEXT配置4 1.5ASA对数据包的分类4 1.5.1有效的分类标准5 1.5.2分类的例子5 1.6重叠安全CONTEXT9 1.7管理接入安全的虚拟墙10 1.7.1系统管理员访问10 1.8开启和关闭防火墙的MULTIPLE CONTEXT模式11 1.8.1激活虚拟墙11 1.8.2恢复到单一模式11第1章激活多context模式1.1安全的上下文概述ASA可以把单一的安全设备分割成多个虚拟的防火墙.叫做安全的context.每一个context就是一个独立的设备,拥有自己的安全策略,接口,管理.多个context有点类似于多个独立真实的防火墙一样.包括路由表,防火墙特性,IPS,管理.一些特性是不支持的,例如:动态路由协议,VPN等1.2Multiple context的使用环境1.2.1 ISP 想把一台ASA给更多的客户提供保护.那么实施multiple context能够为更多的客户提供独立的安全策略,更多的保护.并且节省的花费.1.2.2 在一个企业网或者是园区网中,想要保证各个部门是绝对独立的1.2.3 你的网络需要不止一台防火墙1.3不支持的特性Multiple context不支持的特性:1.3.1 动态路由协议虚拟墙只能够支持静态路由协议,动态(OSPF,RIP,EIGRP)不被支持1.3.2 VPN1.3.3 组播路由和组播桥接1.3.4 威胁检查1.4虚拟墙的配置文件每一个虚拟墙都会有它独立的配置,具体分为3种:1.4.1 Context配置ASA包括每一个context的配置目的为了区分安全策略,接口,几乎配置单独ASA的所有配置.可以存储context配置在内部或者外部的flash上,或者上传下载到TFTP,FTP,HTTPS服务器上1.4.2 系统配置这个系统配置文件是通过配置每一个context的配置文件来管理context(虚拟墙),例如分配接口,其他的context的操作.类似于一个单一模式的配置.1.4.3 管理context配置这个admin context有点类似于其他的context.主要用于对虚拟墙进行管理.1.5ASA对数据包的分类每一个数据包进入ASA的话是必须要被分类的,以至于ASA能够决定哪个虚拟墙去转发数据包.1.5.1 有效的分类标准1.5.1.1 唯一的接口如果只有一个虚拟墙互联了一个进入的接口,那么ASA会把数据包分给这个context.在透明模式下,唯一的接口是必须的.1.5.1.2 唯一的MAC地址如果多个context共享一个接口的话, 不管是共享物理接口还是子接口.默认的共享接口那么这个分类器会使用共享接口的MAC地址,ASA会让你指定不通的MAC地址给每一个context.1.5.1.3 NAT配置如果没有唯一的MAC地址,分类器会截获数据包,发起一个目的IP地址的查找.只使用IP数据包中的目的地址字段.如果有context NAT的地址是改数据包的目的地址,那么分类器就会把该数据包分配给这个context.1.5.2 分类的例子多个虚拟墙共享一个OUTSIDE接口,分类器把数据包分配给了context B,因为context B包含了改数据包的目的MAC地址.数据包分配给了context B.因为数据包的目的地址是context B转换后的地址.所有新进入的流量必须被分类,及时是从内部网络.如下图:分类器指定了该数据包去context B,因为内部接口gi0/1.3被指定了contextB.对于透明模式,必须设置使用唯一接口.1.6重叠安全context把一个context放置在另外一个context的前面叫做重叠安全context.一个context的外部接口和另外一个context的内部接口是同一个接口.1.7管理接入安全的虚拟墙在multiple模式下ASA提供了系统管理,和管理单一防火墙是一样的.1.7.1 系统管理员访问可以用两种方法以系统管理员的身份访问防火墙:1.7.1.1 采用console线连接ASA的console口1.7.1.2 采用telnet,SSH,ASDM登入防火墙做为系统管理员,可以接入所有的context1.8开启和关闭防火墙的multiple context模式1.8.1 激活虚拟墙上下文模式(single or multiple)并没有存储在配置文件中.当从单一模式转换成多重模式的时候,ASA将会把当前配置转换到两个文件:一个新的启动配置(包含系统配置),另外一个文件为admin.cfg(包括admin配置).原来的running-config被保存成了old_running.cfg(内部flash根文件夹中).原来的startup配置不会被保存,ASA会针对系统配置的管理context自动加入一个条目,名字为admin.激活虚拟墙:需要重启生效.1.8.2 恢复到单一模式如果从多重模式转换到单一模式的时候,需要将以前的完整startup-config 恢复过来.也就是old_running.cfg文件.1.8.2.1 将old_running.cfg恢复到当前的startup-config1.8.2.2 改变多重模式为单一模式PDF 文件使用 "pdfFactory Pro" 试用版本创建w 。

gns3 asa防火墙怎么样设置gns3 asa 防火墙设置方法一：模拟支持不太完美保存会出错是正常的执行下列 cli报错正常 gns3重启asa 看看配置boot config disk0:/.private/startup-configcopy running-config disk0:/.private/startup-configwrgns3 asa 防火墙设置方法二：第一步：管理接口配置ip地址，即为其配置命令：1、命令语句：#interface management0/0 //进入管理接口2、命令语句：# nameif guanli //接口名3、命令语句：#ip address 192.168.1.1 255.255.255.0 //ip 地址第二步：安全级别等参数命令语句：# security-level 100 //安全级别通过以上两步参数设置，即可成功添加防火墙设备。

gns3 asa 防火墙设置方法三：web服务器置于防火墙之内：将web服务器放在防火墙内部的好处是它得到了很好的安全保护，不容易被黑客所入侵，但缺点是，不容易被外界所应用。

举个例子，如果web服务器是对外宣传自己的，那么这样配置显然是不合理的，这样客户就不能很好的去访问web服务器，所以具体情况还要具体的分析。

web服务器置于防火墙之外：这个的好处是解决了上述所说的这个问题。

这样配置的好处是内部网被很好的保护，就算是黑客入侵了web服务器，内部网络还是安全的。

缺点就是这种配置对web服务器起不到任何防护作用。

web服务器置于防火墙之上：一些管理者为了提高web服务器的安全性能，将防火墙加在web服务器上，以增强web服务器的安全性能，这样做的缺点就是，一旦web服务器出现问题，整个组织网络就暴露在危险之中了。

所有的防火墙配置都要根据实际情况来操作，不能一概而论，也可以综合多种情况出一个合理的规划。

看了“gns3 asa 防火墙怎么样设置”文章的。

使用QEMU与VMware虚拟机进行ASA防火墙实验环境配置路由器是用来实现数据包的正确转发——路由功能；防火墙是基于网络的安全防御设计的。

通俗来讲，路由器关注如何实现“通”，而防火墙关注如何保证所有正常流量与合法流量“通”的前提，所有非法的不安全的流量“不通”。

很多人说路由器可以通过ACL等配置实现很多防火墙的功能，但是他们忽略了重要的问题，路由器是三层设备，只是基于ACL的简单包过滤，防火墙则是四层设备（很多防火墙都具有应用层的功能，实现基于内容的过滤）。

在源和目的端互相访问的过程中，路由器只是一个“过客”；而防火墙无论与源或目的都建立了端到端的通信，也就是说，外网的主机如果希望访问内网的资源，必须先与防火墙建立连接，在此过程中防火墙可以对连接建立实施监测，充分保障内网的安全，而路由器很难做到这一点。

2005年以后CISCO公司更是将旗下著名的防火墙PIX系列升级到ASA，同样在企业应用中具有安全防护的中坚作用。

CiscoASA防火墙优势：对于VPN的全面兼容Anti-X服务入侵防御专业的监控管理但这些硬件设备价格都不低，如果有与cisco的路由器模拟器dynamips类似的产品该多好，许多大牛早都为我们考虑好了。

现在ASA防火墙我们可以通过qemu来模拟，只是在通过ASDM管理起来更加麻烦，但有时ASDM管理起来又比命令行方便很多。

我已经将必要的软件打包，放到下列位置：/d/3395dd7d03c7d126846ad872fb71afac5458a0e400f81b06下面我们了解如何进行对防火墙做初始配置，通过各种管理方式来管理该设备。

步骤一：解压缩ISO镜像，进入tools文件夹目录安装winpcap_4_0.exe.步骤二：将asa的网络接口与真机的网卡进行桥接。

进入获信取网卡参数文件夹目录，运行xp_获取gen-eth.bat获取网卡参数信息，如下息：图中红色圈起的是绿线网卡的参数信息，拷贝网卡参数如: \Device\NPF_{7B5FEBF0-5347-4272-A8E9-1A7095D5DC43}，然后进入asa模拟器目录中修改asa_PCAP.bat文件，更改对应的网卡信息：这样防火墙的e0/0接口与ms loopback adapter2网卡桥接，e0/1接口与ms loopback adapter网卡桥接，e0/2接口与计算机的8169网卡桥接。

产品手册Cisco AnyConnect 安全移动客户端和 Cisco ASA 5500-X 系列下一代防火墙 (VPN)思科® ASA 5500-X 系列下一代防火墙是专门构建的平台，兼具一流的安全功能和 VPN 服务。

组织可以获得互联网传输的连接和成本收益，且不会影响公司安全策略的完整性。

通过将安全套接字层 (SSL) 和 IP 安全 (IPsec) VPN 服务与全面威胁防御技术相结合，思科 ASA 5500-X 系列下一代防火墙可以提供高度可定制的网络接入，满足各种部署环境的要求，同时提供高级终端和网络级安全性（图 1）。

图 1.适合任意部署方案的可定制 VPN 服务AnyConnect 与思科 ASA 5500-X 系列自适应安全设备自适应安全设备可以为任意连接场景提供灵活的技术，每台设备最多可扩展至支持 10,000 个并发用户。

它通过以下方面提供易于管理的全隧道网络接入：●SSL（DTLS 和 TLS）●IPsec VPN 客户端技术●针对统一合规性和思科 Web 安全设备进行了优化的 AnyConnect®安全移动客户端●高级无客户端 SSL VPN 功能●网络感知站点到站点 VPN 连接此解决方案为移动用户、远程站点、承包商和业务合作伙伴提供高度安全的公共网络连接。

无需辅助设备即可轻松扩展 VPN 和保证其安全，从而降低 VPN 部署和运营相关的成本。

AnyConnect 安全移动客户端的优点包括：●SSL（TLS 和 DTLS）和基于 IPsec 的全网络访问：全网络访问可以为几乎所有的应用或网络资源提供网络层远程用户连接，而且通常用于将访问扩展至被管理的计算机，例如属于公司的笔记本电脑。

通过AnyConnect 安全移动客户端、Microsoft 第 2 层隧道协议 (L2TP) IPsec VPN 客户端、Apple iOS 和 Mac OS X 内置 IPsec VPN 客户端和各种支持 IPsec IKEv2 的第三方远程访问 VPN 客户端，均可获得连接。

防火墙是在两个或者多个安全区域，利用策略对连接的多个区域之间进行流量控制。

纵观防火墙的发展历史，经历了无状态过滤防火墙，应用代理防火墙，基于状态的防火墙以及应用防火墙。

目前防火墙融合了很多功能，例如VPN、远程访问、IDS/IPS、反病毒、内容的深层过滤、负载均衡等。

但是丰富了安全功能性，同时也带来了很多挑战性。

能不能很好的利用这些功能，需要对网络进行合理的设计。

随着安全的不断发展，客户的要求也在不断的变化，从而提出了很多防火墙的新概念，例如虚拟防火墙、模块策略结构MPF（modular policy framework）、透明防火墙。

t 虚拟防火墙概念的提出是因为客户需要对不同的部门进行不同的安全策略控制，而且这些安全策略是独立的。

PIX 7.0提出了context，分为admin context 与context,首先配置admin context 对其他context进行配置管理。

所有这些context的防火墙是相互独立。

admin context是用于创建新的context和改变系统的context,可以看到整个防火墙的syslog。

虚拟防火墙能简化网络安全的管理，一台设备实现多台设备的功能，同时也降低了成本。

PIX虚拟防火墙虽然能带来一定的功能，但同时也限制了一些功能的使用，虚拟防火墙不支持VPN、web VPN、动态路由协议、组播通信等。

每个虚拟防火墙共享一个流量，当一个虚拟防火墙占用了过多流量，那么就会减少其他虚拟防火墙的流量。

模块化策略采用更加灵活的策略过滤，例如PIX 7.0以前的版本只能针对所有的TCP连接或者某一个网段的TCP连接设置最大连接数，而模块化的策略能对具体的TCP协议类型进行更加细化灵活的控制。

应用层防火墙提供了极强的应用层安全性，能对Http等应用层协议的一些具体命令进行过滤，能进行内容过滤，url过滤，能进行状态检查、安全性检查，同时提供了NAT/PAT的支持，动态分配端口号。