1.1asa实验环境简介
1.1.1物理拓扑图
1.1.2逻辑拓扑图
1.2各设备初始化配置
sw:
vlan 2
name inside
vlan 3
name dmz
vlan 4
name outside
int range f0/1 - 2
sw mo acc
sw acc vlan 2
interface f0/3
sw trunk en dot1q
sw mode trunk
int f0/4
sw mo acc
sw acc vlan 3
int f0/5
sw mode acc
sw acc vlan 4
wr
inside:
int e1/0
ip add 10.1.1.1 255.255.255.0
wr
dmz:
hostname dmz
int e1/0
ip add 172.16.1.1 255.255.255.0
no sh
outside:
int e1/0
ip add 202.100.1.1 255.255.255.0
no sh
wr
htlp命令
查看和保存配置文件
show running-config
show startup-config
write momory
保存的命令
copy run start
write momory
清除配置文件
clear config all 清除running-config
write erase 清除startup-config
重启设备
重新启动设备的配置和重新加载
重新启动可以预定义
reload
文件系统
software image 软件镜像
configuration file 配置文件
private data 私钥数据
asdm image asdm镜像
backup image* 备份镜像
backup configuration file*备份配置文件
virtual firewall configuration file*虚拟防火墙配置文件
显示存储的文件:系统和配置
dir
选择启动系统文件
可存储多个系统镜像和配置文件,可以指定系统映像和启动配置文件。
asa(config)#boot system disk0:/asa-802.bin
show bootvar
安全设备功能:安全算法
对所有穿越流量都运用状态化监控策略,不论是那个方向。
默认只有outbound(有安全级别高到低的)流量可以通过
监控适当流量,放行他们返回流量
扰乱tcp初始化序列号,防止中间人攻击。
安全级别
0-100
asa基本的配置
hostname
interface
nameif
ip address
security-level
no shutdown
nat-control
nat
global
route
接口配置
int e0
nameif outside
ip add 192.168.1.2
security-level 0
speed 100
deplex full
asa管理接口
管理接口不允许穿越流量,要想把管理接口当做普通接口来用使用命令:no management-only
网络地址转换
可以开启或引用nat的配置要求.
nat-control (开启必须做nat不然不会通)
nat和global
nat序列号大于等于1,并和global相同的序号匹配
nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 192.168.0.20-192.168.0.254
静态路由
route outside 0.0.0.0 0.0.0.0 1
route inside 10.0.1.0 255.255.255.0 10.0.0.102 1
name命令
names
name 172.16.0.2 bastionhost
name 10.0.0.11 insidehost
查看接口信息
show run interface
show interface插看内存和cpu
show memory
show cpu usage
查看ip地址信息
show ip address
查看接口安全级别
show nameif
查看转换和连接
show run nat
show run global
show xlate查看转换
show conn查看链接
时间设置和ntp
防火墙可以手动设置时间,也可以使用ntp同步。
clock set 21:0:0 jul 14 2010
clock timezone GMT +8
ntp协议的配置
ntp authentication-key 1234 md5 cisco123
ntp trusted-key 1234
ntp server 10.0.0.12 key 1234 source inside prefer
ntp authenticate
日志记录的选项
sonsole-output to console
buffered-output to internal buffer
monitor-outpu to telnet
host-output to syslog server
snmp-output to snmp server
日志记录级别
0-emergencies紧急情况
1-alerts警报
2-critical关键
3-errors错误
4-warnings警告
5-notifications通知
6-informational信息
7-debugging调试
syslog server
配置
logging host inside 10.0.1.11
logging trap warnings
logging timestamp
logging timestamp
logging device-id asa-1
logging on
自定义系统日志输出
可禁用不需要的日志信息,也可以改变特定日志输出的信息级别
no logging message 710005
logging trap warnings
logging message 302013 level 4
logging message 302014 level 4
查看日志信息
show logging
转换和连接
第一部分:传输协议介绍
传输协议
为了更深入理解cisco asa防火墙如何处理入站和出站传输,我们简要回顾下两个重要的传输协议
网络会话一般基于两个重要的传输协议
tcp:易于完全的检查
udp:较难的完全的检查
tcp协议
tcp是一个面向连接的,可靠的传输、健壮、以及高性能的运输层协议。
tcp功能
序列分析和数据确认
已定义的状态机(打开连接,数据流,再传送,关闭连接)。
拥塞检测和避免机制。
tcp的初始化
tcp的初始化
udp协议
是一个无连接协议。
对一些服务来说是高效的协议。
应用丰富,但难以保证。
udp的初始化
