收藏 分享(赏)
下载资源 加入VIP,免费下载

ASA 5500系列防火墙.ppt

上传人:精品资料 文档编号:10972750 上传时间:2020-01-29 格式:PPT 页数:79 大小:11.35MB
下载 相关 举报
ASA 5500系列防火墙.ppt_第1页
第1页 / 共79页
ASA 5500系列防火墙.ppt_第2页
第2页 / 共79页
ASA 5500系列防火墙.ppt_第3页
第3页 / 共79页
ASA 5500系列防火墙.ppt_第4页
第4页 / 共79页
ASA 5500系列防火墙.ppt_第5页
第5页 / 共79页
点击查看更多>>
资源描述

1、,CISCO ASA5500 系列自适应安全产品,ASA5500 产品参数对比表,ASA IDS 模块,ASA 防病毒模块,ASA5500 产品订货编号,ASA IPS bundle 订货编号,ASA Anti-X bundle 订货编号,ASA Anti-X 模块扩展 订货编号,ASA FireWall 技术简介,ASA IPS 技术简介,如何防御攻击?,入侵保护系统IPS,入侵检测系统IDS,IDS,IPS,IPS 产品和IDS产品最大的不同:IPS产品通常串接在防火墙和交换机之间,这点和以前基于网络的IDS不同,串联在防火墙后面的IPS检查所有进出的数据包,并且根据特征检测来识别攻击的数

2、据包,在数据包到达目标之前就会被IPS产品中途截获,并且采取丢弃数据包、中止会话、同时修改防火墙策略,进行报警和日志的记录等动作,达到“防御”的目的。IDS 产品通常并联在交换机上。IDS产品只能把攻击信息告诉防火墙,本身不能起到任何防御的作用。,IDS : Intrusion Detection system 入侵检测系统 IPS : Intrunsion Prevention System 入侵防御系统,IDS &IPS 区别,ASA Anti-X 技术简介,ASA VPN 技术简介,调试培训内容,通过控制台接口连接到ASA 基本配置命令 设置 ASA 接口 设置 NAT 设置静态路由 管

3、理方式ASDM /telnet/ssh 访问 ASA 配置DHCP 配置ADSL 定义安全策略 设置透明模式 配置L2L VPN 配置远程VPN,实验拓扑图,122.1.1.2,192.168.10.1/24,通过控制台接口连接到ASA,1.打开CRT软件选择快速连接 2 选择协议中的Serial串行协议,1.端口设置在设备管理器中查看com口 2.波特率:9600 3.其余默认,基本配置命令,查看命令 asacisco#Show version 查看ASA信息 asacisco#Show run 查看ASA配置信息,是否配成功 asacisco#Show interface 查看接口状基本

4、asacisco enable -进入全局模式 Password: -第一次登陆密码是空的 asacisco#conf t -主机名#号代表进入全局模式conf t进入配置模式 asacisco(config)#-全局配置模式 asacisco(config-if)#-接口全局配置模式 asacisco(config-if)#exit-退出接口全局模式,只要退出都可以使用 如果配置错误,在你配置的命令前面加no保存配置 asacisco#Write 将配置写入ASA asacisco# write erase 恢复出厂配置,设置 ASA 接口,asacisco(config)# interfa

5、ce Ethernet0/0 -进入E0/0接口 asacisco(config-if)# nameif inside -定义为接口名称 asacisco(config-if)#security-level 100 -安全等级为100 asacisco(config-if)#ip address 10.10.10.1 255.255.255.0 -接口配置地址 asacisco(config-if)#no shut -激活接口 asacisco(config-if)#exit -退出接口,asacisco(config)# interface GigabitEthernet0/1 -进入gig

6、0/1接口 asacisco(config-if)# nameif DMZ -定义为接口名称 asacisco(config-if)#security-level 50 -安全等级为50 asacisco(config-if)#ip address 172.16.1.1 255.255.255.0 -接口配置地址 asacisco(config-if)#no shut -激活接口 asacisco(config-if)#exit如果配置错误,在你配置的命令前面加no ip address接口的IP地址就删处掉了,设置 NAT,PAT端口地址转换 asacisco(config)# nat (i

7、nside) 1 10.1.1.0 255.255.255.0 -转换10.1.1.0内部地址 asacisco(config)# nat (inside) 1 0.0.0.0 0.0.0.0 -转换所以网段 asacisco(config)# nat (dmz) 1 172.16.1.0 255.255.255.0 -转换172.16.1.0dmz地址 asacisco(config)# global (outside) 1 interface -NAT转换为外部接口地址上互连网DMZ的NAT asacisco(config)# global (dmz) 1 172.16.1.200-172

8、.16.1.230 netmask 255.255.255.0 DMZ使用的随机IP地址池(这条命令可以使inside的多台主机访问dmz服务器)一对一映射配置命令 asacisco(config)# static (dmz,outside) tcp 211.1.1.3 外部地址 80 外部端口 172.16.1.10 dmz地址 80 dmz端口 netmask 255.255.255.255 精确主机掩码 asacisco(config)# static (dmz,outside) tcp 211.1.1.3 80 172.16.1.10 80 netmask 255.255.255.25

9、5 asacisco(config)# static (inside,outside) tcp 211.1.1.4 外部地址 21 外部端口 10.1.1.2 内部地址 21 内部端口 netmask 255.255.255.255 asacisco(config)# static (inside,outside) tcp 211.1.1.4 21 172.16.1.10 21 netmask 255.255.255.255 如果配置错误, no nat (inside) 1 0.0.0.0 0.0.0.0 这个应该用就删处掉了,设置静态路由,asacisco(config)#route ou

10、tside 0.0.0.0 0.0.0.0 211.1.1.1 -外部路由 去所有网段的数据包的下一跳,是网通的网关211.1.1.1 asacisco(config)#route inside 172.16.2.0 255.255.255.0 172.172.15.1 -内部路由如果客户内网不是一个网段,可以使用内部回指路由,管理方式ASDM /telnet/ssh 访问 ASA,asacisco(config)#http server enable -开启WEB管理 asacisco(config)#http 0.0.0.0 0.0.0.0 inside 准许所有内部源地址,访问WEB a

11、sacisco(config)#username cisco password cisco privilege 15 设置ASDM使用的用户名 密码,授予15级最高,通过 ASDM 登陆设备(10.1.1.1/24),我们将安装一个 ASDM launcher 到本机器,下次再登陆 ADSM 时就可以直接运行该管理软件。,输入用户名和密码 Username:cisco passwd:cisco,输入用户名和密码为 CISCO,安装 ASDM LAUNCHER 文件后下次登陆就可以直接运行launcher,telnet/ssh 访问 ASA,telnet 配置 asacisco(config)#

12、telnet 0.0.0.0 0.0.0.0 inside 准许所有内部源地址,telnet ASA asacisco(config)#passwd cisco 配置telnet 密码 asacisco(config)# Enable password cisco -配置进入全局模式密码,ssh 配置 asacisco(config)# domain-name -定义域名 asacisco(config)#crypto key generate rsa modulus 512 -定义加密算法 asacisco(config)#ssh 0.0.0.0 0.0.0.0 outside 准许所有外

13、部源地址,ssh ASA asacisco(config)#ssh timeout 60 -超时时间 asacisco(config)# username cisco password cisco privilege 15 设置ssh使用的用户名 密码,授予15级最高,Telnet 登陆测试,利用 SSH client 软件进行登陆,配置DHCP,dhcpd dns 202.106.0.20 202.106.46.151 配置DNS服务器地址 dhcpd wins 10.1.1.20 配置WINS服务器 dhcpd address 10.1.1.100-10.1.1.200 inside 分配

14、地址100-200在inside接口 dhcpd enable inside -开启inside接口上的DHCPdhcpd address 172.16.1.10-172.16.1.20 dhcpd enable dmz,配置ADSL,asacisco(config)# interface Ethernet0/0 -进入接口 asacisco(config-if)# nameif outside asacisco(config-if)# security-level 0 asacisco(config-if)# pppoe client vpdn group ADSL 开启pppoe asac

15、isco(config-if)# ip address pppoe setroute 自动创建一个缺省路由,asacisco(config)# vpdn group ADSL request dialout pppoe -请求pppoe拨号 asacisco(config)# vpdn group ADSL localname fs87829050 ADSL用户名 asacisco(config)# vpdn group ADSL ppp authentication pap -认证方式 asacisco(config)# vpdn username fs87829050 password *

16、 -adsl用户名密码,定义安全策略,ACL(访问控制列表)分为标准和扩展,区别在与标准的只基于源,而扩展的基于源和目的 ACL号标准的1-99 扩展100-199 asacisco(config)# access-list (word) (permit/deny) (源网络,源主机) asacisco(config)# access-list 10 standard permit 153.31.53.0 255.255.255.0 扩展ACL asacisco(config)# access-list (word) (permit/deny) (协议tcp/udp/ip) (源网络,源主机)

17、 (目的网络,目的主机) asacisco(config)# access-list 101 permit ip 172.16.1.0 255.255.255.0 10.1.1.0 255.255.255.0 (-允许172.16.1.0/24网段访问,10.1.1.0/24网段) asacisco(config)# access-list 100 permit tcp any(源) host 211.1.1.3(目的) eq 80 -any 所有源地址 host 只针对主机 ep就是= 211.1.1.3 80端口 asacisco(config)# access-list 100 exte

18、nded permit tcp any host 211.1.1.3 eq 80 -允许外部所有主机访问211.1.1.3的80端口 asacisco(config)# access-group 100 in interface outside - 将100 ACL应用到 outside接口上 asacisco(config)# access-group 101 in interface inside 将101 ACL 应用到inside接口上对象分组 asacisco(config)# object-group service 对象分组名字 tcp/udp协议object-group ser

19、vice yongyou tcp(例子)port-object eq 5872 开启的端口port-object eq 1872 开启的端口Exit 退出 asacisco(config)# access-list out extended permit tcp any host 211.1.1.3 object-group yongyou (写一个ACL命名为out 协议为tcp允许外部所有主机访问211.1.1.3 的58721872) asacisco(config)# access-group out in interface outside(将ACL应该在outside接口上),设置

20、透明模式,转换模式,设置透明模式,定义接口,设置透明模式,设置管理 IP(211.1.1.2/24),透明模式下安全策略的定义和路由模式的设置是一样的,VPN,借助IPSec,用户可以通过互联网等不受保护的网络传输敏 感信息。IPSec在网络层操作,能保护和鉴别所涉及的IPSec设 备(对等物)之间的IP包。IPSec提供的网络安全服务如下: 数据保密性在通过网络传输之前,IPSec发送者可以对包进行加密; 数据完整性IPSec接收者可以对IPSec发送者发出的包进行鉴别,以保证数据在传输过程中未被篡改; 数据来源鉴别IPSec接收者可以识别所发送的IPSec包的来源,这种服务与数据完整性服务

21、相关;,IPSec自动建立安全通道的过程分为两个阶段: 第一阶段:这个阶段通过互联网密钥交换(IKE)协议实施,能建立一对IKE SA。IKE SA用于协商一个或多种IPSec SA,以便实际传输应用数据。 第二阶段:这个阶段使用IKE SA提供的安全通道协商IPSec SA。当这个阶段结束时,两台对等设备均已建立了一对IPSec SA,以便提供传输应用数据所需的安全通道。SA参数之一是寿命,可配置的寿命期结束之后,SA将自动终止,因此,这个参数能提 高IPSec的安全性。 IKE=isakmp,配置L2L VPN,211.1.1.2/24,122.1.1.2/24,总部,s0/0,inter

22、net,分部,s0/0,10.1.1.0/24,192.168.10.0/24,主要类型:站点到站点VPN和远程接入VPN是VPN的两个类型。,总部准备配置 写两个ACL,在后面的配置会应用到 第一个用来定义要加密的源和目的,也是感兴趣流 从总部的10.1.1.0的数据到192.168.10.0 的数据加密 第二个ACL,从总部的10.1.1.0的数据到192.168.10.0 不做NAT转换,10.1.1.0去别的网络继续NAT asacisco(config)#access-list l2lvpn permit ip 10.1.1.0 255.255.255.0 192.168.10.0

23、255.255.255.0 asacisco(config)#access-list nonat permit ip 10.1.1.0 255.255.255.0 192.168.10.0 255.255.255.0 Asacisco(config)#access-list nonat deny ip 10.1.1.0 255.255.255.0 any,分部准备配置 写两个ACL,在后面的配置会应用到 第一个用来定义要加密的源和目的,也是感兴趣流 从总部的192.168.10.0的数据到10.1.10 的数据加密 第二个ACL,从总部的192.168.10.0的数据到10.1.1.0 不做N

24、AT转换, 192.168.10.0去别的网络继续NAT asacisco(config)#access-list l2lvpn permit ip 192.168.10.0 255.255.255.0 10.1.1.0 255.255.255.0 asacisco(config)#access-list nonat permit ip 192.168.10.0 255.255.255.0 10.1.1.0 255.255.255.0 Asacisco(config)#access-list nonat deny ip 192.168.10.0 255.255.255.0 any,211.1.

25、1.2/24,122.1.1.2/24,总部,s0/0,internet,分部,s0/0,10.1.1.0/24,192.168.10.0/24,总部第一阶段: asacisco(config)# crypto isakmp enable outside 在outside接口上开启IKE asacisco(config)# crypto isakmp policy 10 进入IKE asacisco(config-isakmp)# authentication pre-share 定义认证方式 asacisco(config-isakmp)# encryption 3DES 定义加密算法 as

26、acisco(config-isakmp)# hash md5 定义验证数据完整性 asacisco(config-isakmp)# group 2 定义组为2 asacisco(config-isakmp)# lifetime 86400 遂道时间,分部第一阶段: asacisco(config)# crypto isakmp enable outside 在outside接口上开启IKE asacisco(config)# crypto isakmp policy 10 进入IKE asacisco(config-isakmp)# authentication pre-share 定义认证

27、方式asacisco(config-isakmp)# encryption 3DES 定义加密算法 asacisco(config-isakmp)# hash md5 定义验证数据完整性 asacisco(config-isakmp)# group 2 定义组为2 asacisco(config-isakmp)# lifetime 86400 遂道时间,L2LVPN两端的IKE参数必须一致,不然无法完成第一阶段的IKE通道的建立,配置L2L VPN,211.1.1.2/24,122.1.1.2/24,总部,s0/0,internet,分部,s0/0,10.1.1.0/24,192.168.10

28、.0/24,总部第二阶段: 1.配置IPsec参数,定义遂道数据中的加密方式.配置数据转换集名字为vpnset 两端参数一致 asacisco(config)#crypto ipsec transform-set vpnset esp-3des esp-md5-hmac 2.配置IPsec遂道密码 进入遂道组,名字用DefaultL2LGroup ,属性是ipsec asacisco(config)# tunnel-group DefaultL2LGroup ipsec-attributespre-shared-key cisco -定义密码为cisco 3.创建数据加密图名字为VPNMAP

29、asacisco(config)#crypto map VPNMAP 10 match address l2lvpn -把准备步骤中的l2lvpn ACL应用到加密图 asacisco(config)#crypto map VPNMAP 10 set peer 122.1.1.2 - 指定要建立VPN遂道的对端IP地址 asacisco(config)#crypto map VPNMAP 10 set transform-set -vpnset 将转换集应用到加密图中 asacisco(config)#crypto map VPNMAP interface outside - 将加密图应用到o

30、utside的接口上 4.对10.1.1.0到192.168.10.0不做NAT转换 asacisco(config)#nat (inside) 0 access-list nonat -把nonat ACL应用到nat中 配置完成,配置L2L VPN,211.1.1.2/24,122.1.1.2/24,总部,s0/0,internet,分部,s0/0,10.1.1.0/24,192.168.10.0/24,分部第二阶段: 1.配置IPsec参数,定义遂道数据中的加密方式.配置数据转换集名字为vpnset 两端参数一致,不然无法建立第二阶段 asacisco(config)#crypto ip

31、sec transform-set vpnset esp-3des esp-md5-hmac 2.配置IPsec遂道密码 进入遂道组,名字用DefaultL2LGroup ,属性是ipsec asacisco(config)# tunnel-group DefaultL2LGroup ipsec-attributespre-shared-key cisco 定义密码为cisco 3.创建数据加密图 asacisco(config)#crypto map VPNMAP 10 match address l2lvpn -把准备步骤中的l2lvpnACL应用到加密图 asacisco(config)

32、#crypto map VPNMAP 10 set peer 211.1.1.2 - 指定要建立VPN遂道的对端IP地址 asacisco(config)#crypto map VPNMAP 10 set transform-set -vpnset 将转换集应用到加密图中 asacisco(config)#crypto map VPNMAP interface outside - 将加密图应用到outside的接口上 4.对192.168.10.0到10.1.1.0不做NAT转换 asacisco(config)#nat (inside) 0 access-list nonat -把nonat

33、 ACL应用到nat中 配置完成,配置L2L VPN,配置远程 VPN,211.1.1.2/24,总部,10.1.1.0/24,总部准备配置 为远程拨入的VPN client用户配置地址池,给拨入ASA VPN用户分配地址!名字为vpnpool,在后面配置中会用到 asacisco(config)#ip local pool vpnpool 10.0.0.1-10.0.0.254 mask 255.255.255.0写两个ACL,在后面的配置会应用到 第一个用来定义要加密的源和目的,也是感兴趣流 从总部的10.1.1.0的数据到10.0.0.0 的数据加密 第二个ACL,从总部的10.1.1.

34、0的数据到10.0.0.0 不做NAT转换,10.1.1.0去别的网络继续NAT asacisco(config)#access-list l2lvpn permit ip 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 asacisco(config)#access-list nonat permit ip 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 Asacisco(config)#access-list nonat deny ip 10.1.1.0 255.255.255.0 any 写一个标准的

35、ACL,在后面将用在组策略属性中的路由注入 access-list vpnsplit standard permit 10.1.1.0 255.255.255.0 建立VPN用户 Asacisco(config)#username cisco password cisco,internet,211.1.1.2/24,总部,10.1.1.0/24,internet,总部第一阶段: asacisco(config)# crypto isakmp enable outside 在outside接口上开启IKE asacisco(config)#crypto isakmp identity addre

36、ss 基于地址ISAKMPasacisco(config)# crypto isakmp policy 10 进入IKE asacisco(config-isakmp)# authentication pre-share 定义认证方式 asacisco(config-isakmp)# encryption 3DES 定义加密算法 asacisco(config-isakmp)# hash md5 定义验证数据完整性 asacisco(config-isakmp)# group 2 定义组为2 asacisco(config-isakmp)# lifetime 86400 遂道时间,配置远程 V

37、PN,211.1.1.2/24,总部,10.1.1.0/24,internet,总部第二阶段: 1.配置IPsec参数,定义遂道数据中的加密方式.配置数据转换集名字为vpnset 两端参数一致 asacisco(config)#crypto ipsec transform-set vpnset esp-3des esp-md5-hmac 2.远程拨入的用户需要配置IPsec组策略名字为vpnclient asacisco(config)# group-policy vpnclient internal -定义为内部组 asacisco(config)# group-policy vpnclie

38、nt attributes -定义组属性split-tunnel-policy tunnelspecified split-tunnel-network-list value vpnsplit -将准阶段的建立的标准的ACLvpnsplit 加入注策略exit 3.配置IPsec遂道属性及密码 建立新的遂道组,名字用vpnclinet , 属性是ipsec-ra远程 asacisco(config)# tunnel-group vpnclient type ipsec-ra asacisco(config)# tunnel-group vpnclient general-attributes

39、-定义全局属性authentication-server-group (outside) LOCAL -用本地数据库认证default-group-policy vpnclient -将刚才建立的远程策略组加入遂道exit asacisco(config)# tunnel-group vpnclient ipsec-attributespre-shared-key cisco -定义密码为ciscoexit,配置远程 VPN,总部第二阶段: 4.因为是远程用户是移动的,我们要首先建立一个动态加密图 名字dymap asacisco(config)# crypto dynamic-map dym

40、ap 10 set transform-set vpnset 将数据转换集加入动态加密图 asacisco(config)# crypto dynamic-map dymap 10 set reverse-route 5.因物理接口下面不支持动态加密图,所以我们在建立一个静态的加密图,在把刚建立的动态图加入静太加密图里面,然后用在物理接口上面. asacisco(config)#crypto map VPNMAP 10 ipsec-isakmp dynamic dymap -把动态图加入静态图里面 )#crypto map VPNMAP interface outside - 将加密图应用到o

41、utside的接口上 6.对10.1.1.0到10.0.0.0不做NAT转换 asacisco(config)#nat (inside) 0 access-list nonat -把nonat ACL应用到nat中 配置完成,配置远程 VPN,VPNclinet安装说明,一、安装过程 1、选择软件语言,VPNclinet安装说明,2、点击下一步,VPNclinet安装说明,3、选择下一步,VPNclinet安装说明,4、选择安装目录,完毕后点击下一步,VPNclinet安装说明,5、安装完毕重启计算机,VPNclinet安装说明,二、VPN软件配置 1、启动VPN软件,VPNclinet安装说明,2、点击NEW按钮,弹出配置对话框,VPNclinet安装说明,3、Connection Entry:连接名称 Host:键入outside口IP地址211.1.1.2 Group AuthenticationName:遂道组名vpnclient Password:遂道密码cisco,VPNclinet安装说明,4 右下方小锁,锁住证明VPN建立成功,VPNclinet安装说明,VPNclinet安装说明,VPNclinet安装说明,VPNclinet安装说明,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报