网络安全设备部署ASA基础

[operator port ]
使用正常的掩码
?将ACL 应用到接口
asa(config)# access-group acl_name {in | out} interface interface_ name
配置ACL
10.1.1.1/24 Inside
Outside 172.16.1.1/24
?数据报文穿越 ASA 的过程
2
原始报文
1
ACL
8
3
4
XLATE CONN
检测 7
5
返回报文
6
AASSAA对对返原回始报报文文的的处处理理：：
61.. 目一的个主新机来响的应TC该P报S文YN报文到达ASA ，试图建立一个新的连接 72.. AASSAA接检收查返访回问报列文表并，进确行定检是测否，允查许询连连接接确定会话信息与现有连接是否 匹3.配ASA执行路由查询，如果路由正确， ASA 使用必要的会话信息在连接 8表. A（SxAla转te发和属co于nn已表建）立中的创现建有一会个话新的条报目文
状态化防火墙2-2
? 状态化防火墙进行状态化处理的过程
Conn 表
Inside IP Address IP Protocol Inside Port Outside IP Address Outside Port
10.1.1.1
TCP
12000
172.16.1.1
80
10.1.1.1 Inside
Outside 172.16.1.1
PC
Web
防发火起墙H拦TT截P该请流求量，并检防查转火其发墙连H将T接T连信P接请息信求息
添加到Conn表
在在CCoonnnn 表表中中找未到找 匹到配匹信配息信，息流，量流 被量允被许丢弃
服务器响应请求
安全算法的原理2-1
?ASA 使用安全算法执行以下三项基本操作
网络安全设备部署
计算机网络技术教研室 王宏群
Cisco ASA 基础
—— 理论部分
?了解Cisco 防火墙系列产品 ? 理解安全算法的原理 ?会对ASA 进行基本配置
技能展示
Cisco ASA 基础
Cisco 防火墙简介 ASA 的安全算法
ASA 的基本配置
多安全区域
本章结构
硬件与软件防火墙 ASA 安全设备 状态化防火墙
配置ACL
?配置ACL 有两个作用
?允许入站连接 ?控制出站连接的流量
? 配置扩标展准 ACL
asa(config)# access-list acl_name [esxtatennddraedd]] {{ppeerrmmiitt ||
ippr_oatodcdorlmsarsck_ip_addr src_mask dst_ip_addr dst_mask
?访问控制列表 ? 基于特定的网络、主机和服务（TCP/UDP端口号） 控制网络访问
?连接表 ? 维护每个连接的状态信息 ? 安全算法使用此信息在已建立的连接中有效转发 流量
?检测引擎 ? 执行状态检测和应用层检测 ? 检测规则集是预先定义的，来验证应用是否遵从 每个RFC和其他标准
安全算法的原理2-2
?允许出站（outbound ）连接
?禁止入站Ins（ideinbound ）连接
Outside
?禁止相同安全级别的接口之间通信
Internet
ASA接口的配置
? 配置接口的名称
asa(config-if)# nameif name
? 配置接口的安全级别
asa(config-if)# security-level number
R1
E0/1
E0/0
R2
? 允 控许制入出站 站连连接接的流量
??A如S果Ai的ns默ide认区规域则有是多禁个止子入网站，连要接禁，止如子果网要1允0.许1.入1.0站/2连4的 接流，量就出需站要配置ACL
状态化防火墙2-1
? 状态化防火墙维护一个关于用户信息的连接表， 称为Conn 表
?Conn 表中的关键信息
?源IP地址 ?目的IP地址 ?IP协议（例如TCP或UDP） ?IP协议信息（例如TCP/UDP端口号，TCP序列号，
TCP控制位）
?默认情况下， ASA 对TCP和UDP协议提供状态 化连接，但 ICMP协议是非状态化的
10.1.1.2T5C4P 2o5u5ts.i2d5e:51.7225.516.什0.1么.1？/23 inside:10.117.12.1.1/464.10.4235f4lag2s55.2U5IO5.255.0
asa(config-if)#security-level 100
asa(config-if)#security-level 0
范围是0～100
? 配置实例
10.1.1.1/24 Inside
R1
E0/1
Outside 172.16.1.1/24
E0/0
R2
aassaa((ccoonnffiigg如a…--sii果ff在…a配))###AR…置Snisp1hA…a，上oam的…w必d可e型d…c须ifro以号e…i通nnsn是Tss.过.eidd5leVn5e在通teL0aAt5R1il到，7N12上虚则R.1是2接6不，.否1口支.但1能来持，在aap配在iss为nR置aa物g((2cc理上oo接nn不ff口iigg能--上iiffT))直##el接nnipea进atm到d行ediR以freo1上sustside
4，则进一
步执行应用层检测
5. ASA根据检测引擎确定是否转发或丢弃报文。如果允许转发，则将报
文转发到目的主机
ASA的基本配置-主机名和密码
? 配置主机名
ciscoasa(config)# hostname asa
? 配置密码
?配置特权密码
asa(config)# enable password asa802
?配置远程登录密码
asa(config)# passwd cisco
ASA 的接口
?接口的名称
?物理名称
用来描述安全区域，例如inside、 outside
?逻辑名称
?接口的安全级别 ? 不同安全安级全别级别的高接口之间访问时，遵安全从级的别低默认规则
安全算法的原理 配置主机名和密码 接口的概念与配置
配置 ACL 配置静态路由
其他配置 DMZ区域概述 DMZ 区域的基本配置
? 硬件与软件防火墙
Cisco 防火墙简介
?软件防火墙
?硬件防火墙
?ASA 安全设备
?ASA 5500 系列
常见型号：5505、5510、5520、5540、5550、5580