ASA 5510 - 年轻人的第一台防火墙
透明模式
介绍
透明模式也称为“网桥模式”、“透明桥接模式”。透明模式适用于原网络中已部署好路由器和交换机,用户不希望更改原有的网络,只需要一台防火墙进行安全防护的场景。
优点
- 易于部署,无需改变网络拓扑结构,无需更改原有的IP编址方案。
- 无需修改受保护网络的IP设置。
- 无需为进入受保护网络的报文创建NAT规则。
- 支持很多在路由模式下支持的特性,比如Failover,NAT(版本8),状态过滤,标准和扩展ACL,CTP,WEB内容过滤,MPF等等。
- 允许非IP流量穿越防火墙。默认是拒绝的,比如Appale Talk,IPX,STP BPDUs和MPLS。这些流量可以通过配置Ether-Type ACL而被允许通过透明模式防火墙。
缺点
- 只支持2个接口在一个bridge里(8.3后引入bridge-group概念,每一个bridge-group内可以支持多个接口)
- BVI-ip地址必须与连接的网络位于同一子网中
- 管理接口不支持作为网桥组成员
- 透明模式下必须至少使用一个桥组,数据接口必须属于网桥组
- 不能将BVI-IP地址指定为连接设备的默认网关, 需要使用ASA另一侧的router指定为默认网关
- 最多可以创建250个bridge-group,每个组最大64个接口
- 不支持以下特性:
- DHCP reley
- Dynamic routing protocols
- Dynamic DNS
- Multicast IP routing
- Quality of Service
- VPN termination (except for management traffic)
- 从8.2(1)开始,透明防火墙能够支持IPv6
- 透明墙的业务接口不能配置IP地址,但management接口可以配置(out-of-band)
- 也可以在配置全局模式创建管理IP地址(in-band)(8.4之前)
- 透明墙可以做NAT,但是不能跑路由协议
我们这里不开启防火墙的路由功能,仅为二层防火墙。防火墙部署在原有网络的路由器和交换机之间,内网通过原有的路由器上网,防火墙只做安全控制。
命令:
firewall transparent
基本配置
配置主机名、域名
hostname [hostname]
domain-name xx.xx
hostname Cisco-ASA 5520
domain-name ciscosas.com.cn
配置登陆用户名密码
password [password]
enable password [password]
配置接口、路由
interface interface_name
nameif [name]
name 有三种接口类型 insdie outside dmz
security-level xx(数值)
数值越大接口安全级别越高
注:默认inside 100 ,outside 0 ,dmz 介于二者之间
静态路由
route interface_number network mask next-hop-address
route outside 0.0.0.0 0.0.0.0 210.210.210.1
配置远程管理接入
Telnet
telnet {network | ip-address } mask interface_name
telnet 192.168.1.0 255.255.255.0 inside
telnet 210.210.210.0 255.255.255.0 outside
SSH
crypto key generate rsa modulus {1024| 2048}
指定rsa系数,思科推荐1024
ssh timeout minutes
ssh version version_number
crypto key generate rsa modulus 1024
ssh timeout 30
ssh version 2
NAT
nat-control
nat interface_name nat_id local_ip mask
global interface_name nat_id {global-ip [global-ip] |interface}
nat-control
nat inside 1 192.168.1.0 255.255.255.0
global outside 1 interface
global dmz 1 192.168.202.100-192.168.202.150
ACL
access-list list-name standad permit | deny ip mask
access-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask port
access-group list-name in | out interface interface_name
如果内网服务器需要以布到公网上
staic real-interface mapped-interface mapped-ip real-ip
staic (dmz,outside) 210.210.202.100 192.168.202.1
保存配置
write memory
清除配置
clear configure (all)
流量控制
放行ICMP包
ping 等命令很多都依靠ICMP协议,为了方便调试,这里放行ICMP相关流量:
policy-map global_policy
class inspection_default
inspect icmp
或者使用
access-list OUTSIDE extended permit icmp any4 any4 echo-reply
access-list OUTSIDE extended permit icmp any4 any4 time-exceeded
access-list OUTSIDE extended permit icmp any4 any4 timestamp-reply
access-list OUTSIDE extended permit icmp any4 any4 unreachable
ASDM 配置
asdm image disk0:/asdm_file_name 指定文件位置
interface management 0/0
ip address 192.168.1.1 255.255.255.0
nameif management
security-level 100
no shutdown
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
http server enable
http 192.168.1.0 255.255.255.0 management
我们用dhcpd
为连接至管理接口的设备分配IP
经过以上配置就可以用ASDM配置防火墙了。