ASA个人学习笔记

ASA个人学习笔记一、ASA简介个人感觉吧，学习ASA的时候，有点难以下手。因为并不像之前那些协议的时候都是一块一块的，而且相互之间是联系在一起的，学习起来容易很多。而ASA是一个设备，接触到ASA的技术都要学，所以就会乱了，不知学哪些好。怎么样才能入门等等。在我学习了ASA之后做了此笔记，慢慢从入门开始一直到各个技术学习。1.1初始化配置开启设备这些步骤就不说啦，如果连设备都不懂开启真不必学了。直接就开始我们的配置吧interfaceGigabitEthernet0noshutdownnameifoutside!!給接口配置一个区域名字。当然可以配置另的名字，最好根据区域定制合适的名字，知名知其义。在ASA5505里是根据VLAN来配置区域名字的。security-level0！！默认除了inside区域的其它都为0ipaddress100.1.1.1255.255.255.0interfaceGigabitEthernet1noshutdownnameifinsidesecurity-level100ipaddress200.1.1.1255.255.255.0配置远程登录：telnet00inside！！这意思是开启telnet，并且允许inside区域所有的网络都可以telnet上来。也可以配置某个主机IP。注意：telnet功能只能应用在inside，outside就算开启了也没用的。SSH00outside!!开启ASA的SSH登录。在outside接口上启用。Sshve2！！SSH的版本AuthenticationsshconsoleLOCAL！！SSH认证用本地数据库Usernameadminpasswordadmin！！用户名和密码ASA个人学习笔记cryptokeygeneratersamodulus1024！！产生一对密钥用来做SSH加密用，注意：ASA默认不会产生密钥的。比如做PKI等公钥的时候也要手动创建密钥开启ASDM:httpserverenable500!!开启ASDM，后面的500是端口，默认是443.为了考虑如果在ASA中布置SSL的时候，所以修改一下ASDM的端口http0.0.0.00.0.0.0inside！！允许inside可以访问SSHusernameadminpasswordadminprivilege15！！配置用户名和密码以及用户名的等级二、访问控制在ASA的世界里，有很多地方是与路由器不一样的，很多地方学习的时候是需要注意的，就比如从INSIDE访问OUTSIDE的时候，TELNET成功连接了，可ping就是死活都不过来。这其实都是ASA本身的一些特性引起的，状态化信息检查等等。下面就由我来带领大家进入ASA吧，狠狠的进入„„2.1访问控制列表ASA上的访问控制列表其实与路由器的配置没啥区别的，道理一个样，可是在应用中会有所不同，而且功能也会有些小区别的。如下图：这命令相当于把telnet功能直接全部拒绝掉了。換个角度说，也就是不仅穿越这个路由器的telnet流量被拒绝了，而且抵达路由器的telnet流量也拒绝了。又或者当如果是内部telnet外部的时候，也一样是不行的。为什么呢？因为虽然telnet流量是可以从右往左通过，但是回来的流量则又被干掉了。所以说路由器上的访问控制列表，不仅对抵达本身的流量会干掉，也会把穿越的流量ASA个人学习笔记全部干掉。如上图，在ASA里，只会把穿越的telnet流量給拒绝掉了，但是对于抵达ASA本身的流量不关心，可以正常到达的。当如果telnet流量是从右往左的时候，会发生什么事情呢？事实是会正常能telnet成功。因为当从右往左访问telnet的时候，穿越ASA的时候，会建立一个状态的表。当ASA收到返回的流量时，因为有状态化信息表，发现这是一个返回的流量，则会正常通过，就算有ACL拒绝了。还是可以的。这就是ASA和路由器的不同之处了。总结一下：1.接口访问控制列表只能控制穿越流量。2.所有在ASA终结的流量，被不同的管理访问列表控制。3.所有由ASA发起的流量都是被允许的。访问控制列表决定哪些“新建连接”（从ACL入方向的新连接，不是返回流量）进入控制。2.2接口规则和安全级别从高安全级别到低安全级别的流量都默认是允许的。而从低安全级别到高安全级别的流量默认是全部拒绝的。所以在刚开始学的时候，很多人包括我也一样，从高安全级别telnet低安全级别的时候，成功连接了。可是換成ping的时候，却不通，这是为啥呢？那是因为防火墙是状态化的，只对TCP和UDP做状态化而已，所以ICMP不通。只要加上一条命令：access-list100permiticmpananecho-reply就可以了。ASA个人学习笔记相同安全级别的流量默认是拒绝的，需要放行才可通过：same-security-trafficpermitinter-interface相同一个接口的流量也需要明确放行：same-security-trafficpermitintra-interface还有就是，被ACL控制的流量，也需要通过放行。2.3小实验-ACL下面还是通过实验来说明一下吧，防火墙该如何做才可以正确的放行流量，以及访注意一些什么样的配置来放行流量，介绍ACL的特性以及一些高级特性等，如下图：实验需求：允许outside设备telnetinside的设备，并且inside可以ping通outside的设备。配置：只需要配置ACL流行需要的流量即可。access-list100extendedpermiticmpanyanyecho-reply！！这命令的意思是放行ICMP是返回的流量access-list100extendedpermittcp100.1.1.0255.255.255.010.1.1.0255.255.255.0eqtelnet！！放行从外到内的TELNET流量就这样配置完成了，话说是很简单的。在实际工作中，只要根据需求放行相应的流量即可，比如在VPN环境中行放ESP和ISAKMP等。2.3.1基于时间的ACL在一些工作环境中，有些时候需要特定的时间才可以访问特定的服务，这普通的ACLASA个人学习笔记明显搞不定，所以需要基于时间的ACL来搞定了。拓扑图还是如上一节的图，本实验是只允许每周一到周五可以访问内网的网站服务。配置：time-range1-to-5！！配置一个名字为“1-to-5”的时间范围periodicweekdays9:00to18:00！！配置工作日的时间access-list100permittcphost100.1.1.1host10.1.1.2eq80time-range1-to-5！！在ACL里面调上时间范围2.3.2Object-Group(对象组)对象组的作用是为了简化ACL的创建和维护工作，如果在工作中大量的的配置ACL的时候，而有些同样的网络访问同样的服务的时候，这样对象组将是个很个的工具了。配置：object-groupnetworkinside-netnetwork-objecthost1.1.1.1network-objecthost1.1.1.2network-objecthost1.1.1.3！！配置一个网络的对象组，名字为inside-net。配置内部的地址。object-groupnetworkoutside-netnetwork-objecthost100.1.1.1network-objecthost100.1.1.2network-objecthost100.1.1.3！！配置外部的地址object-groupserviceout-to-inservice-objecticmpservice-objecttcpdestinationeqtelnetservice-objectudpdestinationeqisakmpservice-objectesp！！创建一个基于服务的对象组，选择需要放行的服务协议。access-list111extendedpermitobject-groupout-to-inobject-groupoutside-netobject-groupinside-net！！应用在ACL里，注意：第一个ASA个人学习笔记对象组是服务，第二个对象组是源地址，第三个是目的地址。解析一下：上面的配置，意思是外网的三个地址可以访问内部的三个地址的四个服务，想想看，如果用ACL一条一条的来写，是一个排列组合的数字。所以对象组很好的解决了这个问题。2.3.3全局ACL全局ACL的作用是在于，全局环境中应用一个ACL。比如，我要在整个ASA环境中放行所有的ICMP流量。那可以做一个全局的ACL。而不每个接口都去配置应用了。但是需要注意的是：接口的ACL要比全局的ACL优先级更高。也就是，如果同时配置了全局的ACL，又配置了基于接口的ACL。那首先会应用接口级别的ACL。配置很简单，在ASDM里面配置，如下图：2.3.4URPF使用URPF可以有效的抵御IP地址欺骗，如下图：因为10.0.0.0/8这ASA个人学习笔记一个路由是从inside学习到的，如果当从outside收到这个路由的时候，则会丢弃。命令：ipverifyreverse-pathinterfaceoutside，就是启用这个技术的。2.3.5shunning技术Shunning技术的作用于，让某个攻击失效连接。比如，当发现网络中有某个连接是恶意进来的。所以可以用shunning技术马上使攻击者断开连接。当然可以用ACL拒绝掉，但是真的可以吗？因为连接已经建立了，而ACL只会拒绝掉初始化包而已。所以ACL目前是没效用的，当然也可以清除掉cleanconn来实现这种效果。本文只是介绍shunning技术的效果而已。命令：shun10.1.1.1！！简单的命令就可以把这个网络給禁止掉了。2.4CutThrough2.4.1CutThroughProxyCISCOASA能够为穿越的流量运用于基于用户的认证。可以配置成在用户访问资源之前需要认证，不同的用户运用不同的策略，而且还可以把相关的流量发送到审计服务器上。如果在网络中，如果用户是基于NAT出去的话，那就不好使了。因为穿越认证技术只是基于IP地址。也就是，ASA只会纪录第一个地址。因为做了NAT。那么其它的用户，只要是用这个NAT地址的，都会得到相同的策略。需要注意一下。ASA个人学习笔记当一个用户第一次访问需要被认证的资源时，ASA会要求提供用户名和密码。一个用户只需要认证一次。ASA会缓存下认证时的信息的IP地址。用户只能通过TELNET、HTTPS、HTTP和FTP的流量才能触发认证。需要注意的是，虽然做了认证，但是也要在ASA中放行相应的流量，因为如果流量都不放行，那还认个毛证咯？如下图：配置：aaa-serverACSprotocolradius!!配置三A的协议为radius。aaa-serverACS(dmz)host192.168.1.100！！指定AAA服务器的地址keycisco！！与服务器认证的密钥access-list100extendedpermittcphost10.1.1.2host100.1.1.1eq23！！抓取从inside到outside的流量aaaauthenticationmatch100insideACS！！AAA认证匹配流量，从inside区域来，送到ACS服务器去做认证。然后在outside开启Telnet功能，此时inside应该可以正常的telnet到Outside设备。ACS配置：创建AAA客户端：ASA个人学习笔记创建一个用户：至此，配置完成。测试一下：认证成功。默认的时间为5分钟，空闲时间是永不超时。可以修改：timeoutuauth1:00:00absoluteuauth00:30:00inactivityASA个人学习笔记修改过后的时间。通过上面可以看出，ASA是根据来源的地址做第一次认证的。那也可以看到其