Cisco防火墻基礎介紹及配置

一、ASA（狀態化防火墻）安全設備介紹：

Cisco硬件防火墻技術應用領域：

• PIX 500 系列安全設備。
• ASA 5500系列自適應安全設備。
• Catalyst 6500 系列交換機和Cisco 7600 系列路由器的防火墻服務模塊。

Cisco ASA 5500 系列自適應安全設備提供了整合防火墻、入 侵保護系統（IPS）、高級自適應威脅防御服務，其中包括應用安全和簡化網絡安全解決方案的V P N服務。

二、ASA狀態化防火墻的安全算法：

狀態化防火墻維護一個關于用戶信息的連接表，稱為Conn表
Conn表中的關鍵信息如下：

• 源IP地址
• 目的IP地址
• IP協議（例如TCP或UDP）
• IP協議信息（例如TCP/UDP端口號，TCP序列號，TCP控制位）

在上圖中，當PC訪問web服務器時，狀態化防火墻處理的過程如下：

1、 PC發起一個HTTP請求給web服務器；

2、HTTP請求到達防火墻，防火墻將鏈接信息（如源IP地址和目的IP地址、使用的TCP協議、源IP地址和目的IP地址的TCP端口號）添加到conn表；

3、 防火墻將HTTP請求轉發給web服務器；

流量返回時，狀態化防火墻處理的過程如下：

1、web服務器相應HTTP請求，返回相應的數據流量；

2、防火墻攔截該流量，檢查其連接信息；

• 如果在conn表中查找到匹配的連接信息，則流量被允許。
• 如果在conn表中找不到匹配的連接信息，則流量被丟棄。

ASA使用安全算法執行以下三項基本操作：

1、訪問控制列表：基于特定的網絡、主機和服務（TCP/UDP端口號）控制網絡訪問。

2、連接表：維護每個連接的狀態信息。安全算法使用此信息在已建立的連接中有效的轉發流量。（個人理解為：ASA允許內網客戶端主動向外網建立連接，但外網不允許主動向內網建立連接，也就是說，要實現流量通信，必須是內網用戶主動發起連接的。）

3、檢測引擎：執行狀態檢測和應用層檢測。檢測規則集是預先定義的，來驗證應用是否遵從每個RFC和其他標準。

數據報文穿越ASA的過程如下所示：

1、一個新來的TCP SYN報文到達ASA，試圖建立一個新的連接；

2、ASA檢查訪問控制列表，確定是否允許連接；

3、ASA執行路由查詢，如果路由正確，ASA使用必要的會話信息在連接表（XLATE和CONN）中創建一個新條目；

4、ASA在檢測引擎中檢查預定義的一套規則，如果是已知應用，則進一步執行應用層檢測；

5、ASA根據檢測引擎確定是否轉發或丟棄報文，如果允許轉發，則將報文轉發到目的主機；

6、目的主機相響應該報文；

7、ASA接收返回報文并進行檢測，在連接數據庫中查詢連接，確定會話信息與現有連接是否匹配；

8、ASA轉發屬于已建立的現有會話的報文；

ASA的應用層檢測通過檢查報文的IP包頭和有效載荷的內容，對應用層協議流量執行深層檢測，檢查應用層協議是否遵守RFC標準，從而檢查出應用層數據中的惡意行為。

三、ASA接口的概念：

1、ASA的一個接口通常有兩種名稱：

①物理名稱：與路由器接口的名稱類似，如Ethernet0/0可以簡寫成E0/0，通常用來配置接口的速率、雙工和IP地址等。

②、邏輯名稱：用于大多數的配置命令，如配置ACL、路由器等使用的命令中都用到邏輯名稱。邏輯名稱用來描述安全區域，如通常用inside表示ASA連接的內部區域（安全級別高），用outside表示ASA連接的外部區域（安全級別低）。

2、接口的安全級別：

每個接口都有一個安全級別，范圍是0~100，數值越大，安全級別越高。一般配置接口為inside（內網接口）時，將其安全級別設置為100，為outside（外網接口）時，將其安全級別設置為0，為DMZ（隔離區）時，安全級別介于inside和outside之間即可。

不同安全級別的接口之間相互訪問時，遵從以下默認規則：

①允許出站連接：就是允許從高安全級別接口到低安全級別的流量通過。比如說從inside訪問outside是允許的。

②禁止入站連接：就是禁止從低安全級別接口到高安全級別接口的流量通過。比如說從outside訪問inside是禁止的。

③禁止相同安全級別的接口之間通信。

四、DMZ的概念和作用：

DMZ稱為隔離區，是位于企業內部網絡和外部網絡之間的一個網絡區域。在這個網絡區域內可以放置一些必須公開的服務器、如web服務器、FTP服務器和論壇等。示意圖如下：

DMZ中放置一些不含機密信息的共用服務器，這樣來自外網的訪問者也可以訪問DMZ中的服務，但不能訪問內網的公司機密信息。即使DMZ中的服務器收到攻 擊，也不會對內網的機密信息造成影響，所以，可以通過DMZ區域有效的保護內網環境。

當存在DMZ區域時，默認的訪問規則如下：

上圖中默認遵循的訪問規則如下：

• inside可以訪問DMZ和outside；
• DMZ可以訪問outside但不允許訪問inside；
• outside不能訪問DMZ和inside，不過通常會配置ACL，讓outside可以訪問DMZ，若不然，DMZ就沒有存在的意義了。

五、ASA的基本配置：

配置主機名：

ciscoasa> en
Password:                 #默認特權密碼為空，直接回車即可。
ciscoasa# conf t
ciscoasa(config)# hostname asa

配置特權密碼：
asa(config)# enable password 123.com #將特權密碼配置為123.com

配置遠程登錄密碼（在使用Telnet或SSH時需要輸入的密碼）：

asa(config)# passwd 2019.com #將遠程連接時的密碼設置為2019.com

配置接口名稱和接口安全級別：

asa(config)# in e0/0                 #進入e0接口   
asa(config-if)# nameif inside             #將e0接口定義為inside

INFO: Security level for "inside" set to 100 by default.             #系統提示，請
將inside接口的安全級別配置為100

asa(config-if)# security-level 100                      #將inside接口的安全級別配置為100

如果ASA的型號是5505，則不支持在物理接口上直接進行以上配置，必須通過VLAN虛接口來配置，具體如下：

asa(config)#int  vlan 1
asa(config-if)# nameif inside
asa(config-if)# security-level  100
asa(config-if)#ip add 10.1.1.254 255.255.255.0
asa(config-if)# no shut

查看conn表：

asa#show conn detail

配置ACL：
在ASA上配置ACL有兩個作用，一是允許入站連接，二是控制出站連接的流量。
需要注意的是，路由器上的ACL使用反碼，而ASA上的ACL使用正常的掩碼，另外，標準ACL過濾流量時不能應用到接口，它應用在其他場合，如遠程訪問V P N中分離隧道的配置。

允許入站連接的實例：

asa(config)# access-list out_to_in permit ip host 172.16.1.1 host 10.1.1.1  
#允許外網主機172.16.1.1訪問內網主機10.1.1.1，out_to_in為ACL組名。

asa(config)# access-group out_to_in in int outside          
#將組名為out_to_in的ACL應用在outside接口

控制出站連接的流量：

asa(config)# access-list in_to_out deny ip 10.0.0.0 255.0.0.0 any          #拒絕
內網10.0.0.0網段 訪問外網所有網段。  
asa(config)# access-list in_to_out permit ip any any             #并允許其他所有
流量通行，因為ACL有隱含的拒絕語句，所以配置ACL時，一般都需要允許所有流量
asa(config)# access-group in_to_out in int inside         #應用在內網接口 

配置靜態路由：

asa(config)# route outside 172.16.0.0 255.255.0.0 10.0.0.1     #去往外網
172.16.0.0網段的流量下一跳為10.0.0.1

asa(config)# route inside 192.168.1.0 255.255.255.0 192.168.2.1     #去往內網
192.168.1.0網段的流量下一跳為192.168.2.1

其他配置

1、ICMP協議：
默認情況下，禁止ICMP報文穿越ASA是基于安全性的考慮。有時候為了方便調試，可以配置暫時允許ICMP應答報文穿越ASA。

ciscoasa(config)# access-list 111 permit icmp any any                     #定義ACL
ciscoasa(config)# access-group 111 in int outside                     #應用到outside接口

2、其他配置命令：
寫在前面，一切皆可no，也就是說當配置錯一條命令后，可以在原先的配置命令前加no即可刪除配置錯的那條命令

ciscoasa# write memory                          #保存running  configuration配置
到startup configuration

或者
ciscoasa# copy running-config startup-config                  #保存running  configuration
配置到startup configuration

ciscoasa(config)# clear configure all           #清除running  configuration的所有配置

ciscoasa(config)# clear configure access-list            #清除所有acces-list命令的配置

ciscoasa(config)# clear configure access-list in_to_out        #只清除access-list
 in_to_out 的配置

 ciscoasa# write erase                                      #刪除startup-config配置文件

六、遠程管理ASA：

ASA支持三種主要的遠程管理接入方式：Telnet 、ssh和ASDM。

1、Telnet配置實例：

由于使用Telnet遠程管理是不安全的，所以一般禁止從外部接口使用Telnet接入，而只允許在內網使用Telnet。

1）、配置允許從inside區域內的192.168.0.0/24網段使用telnet接入，命令如下：

ciscoasa(config-if)# telnet 192.168.0.0 255.255.255.0 inside

或者允許單個主機Telnet防火墻（兩者根據需要二選一即可）：

ciscoasa(config)# telnet 192.168.0.1 255.255.255.255 inside

2）、配置空閑超時時間為30分鐘，命令如下：

ciscoasa(config)# telnet timeout 30

至此，即可實現Telnet遠程管理。

2、配置SSH接入：

1）、配置主機名和域名，因為在生成RSA密鑰對的過程中需要用到主機名和域名，（主機名的配置可省略）

ciscoasa(config-if)# host aaa                #配置主機名

aaa(config)# domain-name abc.com                #配置域名

aaa(config)# crypto key generate rsa modulus 1024               #指定modulus的大小
為1024位，大小可以為512位、768位、1024位或2048位，
表示生成的RSA密鑰的長度

aaa(config)# ssh 192.168.1.0 255.255.255.0 inside                       #允許內網1.0的網段
SSH接入

aaa(config)# ssh 0 0 outside                               #允許外網任何主機SSH接入

aaa(config)# ssh timeout 30                  #配置超時時間為30分鐘

aaa(config)# ssh version 2                    #啟用SSH的版本2，該命令為可選，
有版本1和版本2，至于區別...不過是安全機制不一樣

配置SSH接入完成后，可以在outside區域內的主機上使用SecureCRT或putty等工具登錄ASA的outside接口，注意ASA默認使用用戶名為pix，密碼為使用password命令設置的密碼。