ASA 5510 - 年轻人的第一台防火墙


ASA 5510 - 年轻人的第一台防火墙

透明模式

介绍

透明模式也称为“网桥模式”、“透明桥接模式”。透明模式适用于原网络中已部署好路由器和交换机,用户不希望更改原有的网络,只需要一台防火墙进行安全防护的场景。

优点

  • 易于部署,无需改变网络拓扑结构,无需更改原有的IP编址方案。
  • 无需修改受保护网络的IP设置。
  • 无需为进入受保护网络的报文创建NAT规则。
  • 支持很多在路由模式下支持的特性,比如Failover,NAT(版本8),状态过滤,标准和扩展ACL,CTP,WEB内容过滤,MPF等等。
  • 允许非IP流量穿越防火墙。默认是拒绝的,比如Appale Talk,IPX,STP BPDUs和MPLS。这些流量可以通过配置Ether-Type ACL而被允许通过透明模式防火墙。

缺点

  • 只支持2个接口在一个bridge里(8.3后引入bridge-group概念,每一个bridge-group内可以支持多个接口)
  • BVI-ip地址必须与连接的网络位于同一子网中
  • 管理接口不支持作为网桥组成员
  • 透明模式下必须至少使用一个桥组,数据接口必须属于网桥组
  • 不能将BVI-IP地址指定为连接设备的默认网关, 需要使用ASA另一侧的router指定为默认网关
  • 最多可以创建250个bridge-group,每个组最大64个接口
  • 不支持以下特性:
    • DHCP reley
    • Dynamic routing protocols
    • Dynamic DNS
    • Multicast IP routing
    • Quality of Service
    • VPN termination (except for management traffic)
    • 从8.2(1)开始,透明防火墙能够支持IPv6
  • 透明墙的业务接口不能配置IP地址,但management接口可以配置(out-of-band)
  • 也可以在配置全局模式创建管理IP地址(in-band)(8.4之前)
  • 透明墙可以做NAT,但是不能跑路由协议

我们这里不开启防火墙的路由功能,仅为二层防火墙。防火墙部署在原有网络的路由器和交换机之间,内网通过原有的路由器上网,防火墙只做安全控制。

命令:

firewall transparent

基本配置

配置主机名、域名

hostname  [hostname]
domain-name  xx.xx
hostname Cisco-ASA 5520
domain-name ciscosas.com.cn

配置登陆用户名密码

password [password]
enable password  [password]

配置接口、路由

interface interface_name
nameif   [name]
 name  有三种接口类型 insdie outside dmz
security-level  xx(数值) 

数值越大接口安全级别越高

注:默认inside 100 ,outside 0 ,dmz 介于二者之间

静态路由

route interface_number network mask next-hop-address
route outside 0.0.0.0 0.0.0.0 210.210.210.1

配置远程管理接入

Telnet
telnet {network | ip-address } mask interface_name
telnet 192.168.1.0 255.255.255.0 inside
telnet 210.210.210.0 255.255.255.0 outside 

SSH

crypto key generate rsa modulus {1024| 2048}
             指定rsa系数,思科推荐1024
ssh timeout minutes
ssh version version_number
crypto key generate rsa modulus 1024
ssh timeout 30
ssh version 2

NAT

nat-control
nat interface_name nat_id local_ip mask
global interface_name nat_id {global-ip [global-ip] |interface}


nat-control
nat inside 1 192.168.1.0 255.255.255.0 
global  outside 1 interface
global dmz 1 192.168.202.100-192.168.202.150

ACL

access-list list-name standad permit | deny  ip mask
access-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask port 
access-group list-name in | out interface interface_name 

如果内网服务器需要以布到公网上

staic real-interface mapped-interface mapped-ip real-ip
staic (dmz,outside) 210.210.202.100 192.168.202.1

保存配置
write memory

清除配置
clear configure (all)

流量控制

放行ICMP包

ping 等命令很多都依靠ICMP协议,为了方便调试,这里放行ICMP相关流量:

policy-map global_policy
   class inspection_default
   inspect icmp

或者使用

access-list OUTSIDE extended permit icmp any4 any4 echo-reply
access-list OUTSIDE extended permit icmp any4 any4 time-exceeded
access-list OUTSIDE extended permit icmp any4 any4 timestamp-reply
access-list OUTSIDE extended permit icmp any4 any4 unreachable

ASDM 配置

asdm image disk0:/asdm_file_name 指定文件位置

interface management 0/0

ip address 192.168.1.1 255.255.255.0
nameif management
security-level 100
no shutdown

dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
http server enable
http 192.168.1.0 255.255.255.0 management

我们用dhcpd为连接至管理接口的设备分配IP
经过以上配置就可以用ASDM配置防火墙了。


文章作者: sfc9982
版权声明: 本博客所有文章除特別声明外,均采用 CC BY-NC-ND 4.0 许可协议。转载请注明来源 sfc9982 !
  目录