ASA防火墻工作原理與配置實(shí)例-創(chuàng)新互聯(lián)

ASA是狀態(tài)化防火墻，會(huì)建立一個(gè)用戶信息連接表（Conn），連接表中包含的相關(guān)信息有源IP地址、目的IP地址、IP協(xié)議（如TCP或UDP）、IP協(xié)議信息（如TCP/UDP的端口號(hào)、TCP序列號(hào)和TCP控制位）

創(chuàng)新互聯(lián)于2013年成立，先為班瑪?shù)确?wù)建站，班瑪?shù)鹊仄髽I(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為班瑪企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

一.工作原理

ASA安全算法原理會(huì)執(zhí)行三項(xiàng)基本操作

1.訪問控制列表—基于特定網(wǎng)絡(luò)、主機(jī)和服務(wù)控制網(wǎng)絡(luò)訪問，有兩個(gè)作用：允許入站連接和控制出站的流量

2.連接表—維護(hù)每個(gè)連接狀態(tài)信息，在已建立的連接中有效轉(zhuǎn)發(fā)數(shù)據(jù)流量，入站流量如果conn表中沒有將會(huì)丟棄

3.檢查引擎—執(zhí)行狀態(tài)檢查和應(yīng)用層檢查

工作原理：

二.ASA接口的安全級(jí)別

1.每個(gè)接口都會(huì)有一個(gè)安全級(jí)別，范圍是0~100，數(shù)值越大安全級(jí)別越高。inside默認(rèn)是100、outside默認(rèn)是0。

不同安全級(jí)別接口直接訪問遵從三項(xiàng)默認(rèn)規(guī)則

• 允許出站—允許從高安全級(jí)別接口到低安全級(jí)別接口的流量通過

• 禁止入站—禁止從低安全級(jí)別接口到高安全級(jí)別接口的流量通過

• 禁止相同安全級(jí)別的接口直接通信

2.DMZ區(qū)的概念
   DMZ俗稱“隔離區(qū)”，也叫“非軍事化區(qū)”，是位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一個(gè)網(wǎng)絡(luò)區(qū)域，這個(gè)區(qū)域可以放置一些必須公開的服務(wù)器，如公司的WEB服務(wù)器或論壇等等
   DMZ區(qū)的安全級(jí)別介于inside和outside之前，有6條默認(rèn)訪問規(guī)則，所以配置DMZ區(qū)時(shí)候就要配置安全級(jí)別了

• inside可以訪問outside

• inside可以范圍DMZ

• DMZ可以訪問outside

• DMZ不能訪問inside

• outside可以訪問DMZ

• outside不能訪問inside

三.ASA基本配置

配置主機(jī)名和特權(quán)密碼都與思科路由器一樣

配置遠(yuǎn)程登錄密碼：asa(config)# passwd mima

配置接口的名稱：asa(config-if)# nameif name

說明：name為接口名稱inside、outside或DMZ等

配置接口安全級(jí)別：asa(config-if)# security-level number

說明：number代表安全級(jí)別的范圍數(shù)值0~100

如圖所示：配置接口名稱、安全級(jí)別、IP、靜態(tài)路由和ACL的方法

四.ASA的遠(yuǎn)程管理
1.telnet方式可以實(shí)現(xiàn)內(nèi)網(wǎng)到ASA的遠(yuǎn)程管理，如果是外網(wǎng)訪問將無法通過telnet的方式進(jìn)行管理
配置命令：asa(config)# telnet (network|ip-address) mask interface-name
舉例1：asa(config)# telnet 192.168.1.0 255.255.255.0 inside

表示允許192.168.1.0網(wǎng)段的客戶機(jī)可以進(jìn)行telnet管理

舉例2：asa(config)# telnet 192.168.1.1 255.255.255.255 inside

表示只有192.168.1.1這個(gè)IP地址可以進(jìn)行管理

2.SSH方式可以實(shí)現(xiàn)對(duì)ASA進(jìn)行安全的遠(yuǎn)程管理，可實(shí)現(xiàn)通過外網(wǎng)連接管理，需要使用Secure CRT軟件區(qū)連接
配置命令：asa(config)# hostasa       配置主機(jī)名為asa
asa(config)# domain-name asadomain.com    配置域名asadomain.com
asa(config)# crypto key generate rsa modulus 1024  生成RSA密鑰對(duì)，默認(rèn)是1024位
asa(config)# ssh (network|ip-address) mask interface-name  配置ssh允許接入
asa(config)# ssh 0 0 outside  表示可以從外部接口接入
asa(config)# ssh timeout 30  配置空閑超時(shí)時(shí)間，表示空閑30分鐘就會(huì)退出，可以不配置
asa(config)# ssh version version-number 配置SSH版本，默認(rèn)是同時(shí)支持版本1和版本2的

實(shí)驗(yàn)

實(shí)驗(yàn)步驟：
1.配置各個(gè)設(shè)備的IP地址、靜態(tài)路由，這里路由器不講解了，說一下ASA的配置

2.配置ASA訪問規(guī)則

3.驗(yàn)證

五.ASA上NAT的應(yīng)用
在ASA上NAT分4種類型：動(dòng)態(tài)NAT、動(dòng)態(tài)PAT靜態(tài)NAT和靜態(tài)PAT
1.動(dòng)態(tài)NAT配置語法
asa(config)# nat (interface-name) nat-id local-ip mask
asa(config)# global (interface-name) nat-id global-ip-global-ip
interface-name ： 代表是要轉(zhuǎn)換的接口是inside還是DMZ等等
nat-id：代表當(dāng)前這個(gè)nat的名稱，當(dāng)配置nat轉(zhuǎn)換的時(shí)候同一個(gè)轉(zhuǎn)換關(guān)系nat-id必須相同
local-ip：表示要進(jìn)行nat轉(zhuǎn)換的內(nèi)部局部地址的網(wǎng)段
mask：內(nèi)部局部地址的掩碼
global-ip-global-ip：表示內(nèi)部全局地址池的范圍
配置實(shí)驗(yàn)：
實(shí)驗(yàn)步驟：路由、IP地址這里不進(jìn)行演示，下面說下配置動(dòng)態(tài)NAT

2.動(dòng)態(tài)PAT配置語法
asa(config)# nat (interface-name) nat-id local-ip mask
asa(config)# global(interface-name) nat-id interface
這里與動(dòng)態(tài)NAT唯一的不同是不用寫內(nèi)部全局地址池的范圍，因?yàn)槭嵌鄠€(gè)內(nèi)部局部地址轉(zhuǎn)換到一個(gè)內(nèi)部全局地址，所以這里將轉(zhuǎn)換直接應(yīng)用到接口即可
配置實(shí)驗(yàn)：

實(shí)驗(yàn)步驟：路由、IP地址這里不進(jìn)行演示，下面說下配置動(dòng)態(tài)NAT

3.靜態(tài)NAT配置語法
asa(config)# static (local-name,global-name) global-ip local-ip
并且需要?jiǎng)?chuàng)建相應(yīng)的ACL訪問規(guī)則
配置實(shí)驗(yàn)：

實(shí)驗(yàn)步驟：路由、IP地址這里不進(jìn)行演示，下面說下配置靜態(tài)NAT

4.靜態(tài)PAT配置語法
asa(config)# static (local-name,global-name) {tcp|udp} global-ip global-port

local-ip local-port
tcp|udp：代表要使用的是tcp協(xié)議還是udp協(xié)議
global-port：代表對(duì)應(yīng)的協(xié)議端口號(hào)，內(nèi)部全局地址和內(nèi)部局部地址的協(xié)議端口號(hào)要一致
并且需要?jiǎng)?chuàng)建相應(yīng)的ACL訪問規(guī)則
實(shí)驗(yàn)步驟：路由、IP地址這里不進(jìn)行演示，下面說下配置靜態(tài)PAT

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文名稱：ASA防火墻工作原理與配置實(shí)例-創(chuàng)新互聯(lián)
標(biāo)題URL：http://muchs.cn/article2/hioic.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)建站、域名注冊(cè)、服務(wù)器托管、手機(jī)網(wǎng)站建設(shè)、網(wǎng)站策劃、定制開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)