ASA防火墙配置要点.docx
《ASA防火墙配置要点.docx》由会员分享,可在线阅读,更多相关《ASA防火墙配置要点.docx(12页珍藏版)》请在冰豆网上搜索。
ASA防火墙配置要点
ASA防火墙技术要点
二〇〇六年九月二十七日
1.基本配置
配置名称
hostnamemelcohkasa
domain-name
配置用户及密码:
usernameahsupasswordWtIBQAqhMu/Lx5iyencryptedprivilege15
aaaauthenticationhttpconsoleLOCAL
aaaauthenticationsshconsoleLOCAL
aaaauthenticationtelnetconsoleLOCAL
aaaauthenticationenableconsoleLOCAL
enablepasswordiraxXocttscgektgencrypted
配置时区:
clocktimezoneHKST8
ntpserversourceinsideprefer或
ntpserversourceoutsideprefer
shclock显示时间信息
配置http和telnet管理:
management-accessinside
httpinside
telnetinside
2.常用技巧
Shruntp查看与ntp有关的
Shrucrypto查看与vpn有关的
Shru|inccrypto只是关健字过滤而已
copyrunning-configflash:
/.cfg把某一天的配置保存一下
3.故障倒换
failover
failoverlanunitprimary
failoverlaninterfacetestintEthernet0/3
failoverlinktestintEthernet0/3
failovermacaddressEthernet0/1macaddressEthernet0/0macaddressEthernet0/2macaddressManagement0/0interfaceiptestint10.3.3.1standby注:
最好配置虚拟MAC地址
shfailover显示配置信息
writestandby写入到备用的防火墙中
failover命令集如下:
configuremodecommands/options:
interfaceConfiguretheIPaddressandmasktobeusedforfailover
and/orstatefulupdateinformation
interface-policySetthepolicyforfailoverduetointerfacefailures
keyConfigurethefailoversharedsecretorkey
lanSpecifytheunitasprimaryorsecondaryorconfigurethe
interfaceandvlantobeusedforfailovercommunication
linkConfiguretheinterfaceandvlantobeusedasalinkfor
statefulupdateinformation
macSpecifythevirtualmacaddressforaphysicalinterface
polltimeConfigurefailoverpollinterval
replicationEnableHTTP(port80)connectionreplication
timeoutSpecifythefailoverreconnecttimeoutvaluefor
asymmetricallyroutedsessions
shfailover命令集如下:
historyShowfailoverswitchinghistory
interfaceShowfailovercommandinterfaceinformation
stateShowfailoverinternalstateinformation
statisticsShowfailovercommandinterfacestatisticsinformation
|Outputmodifiers
4.配置telnet、ssh及http管理
usernamejiangpasswordCsmep3VzvPQPCbkxencryptedprivilege15
aaaauthenticationenableconsoleLOCAL
aaaauthenticationtelnetconsoleLOCAL
aaaauthenticationsshconsoleLOCAL
aaaauthorizationcommandLOCAL
httpmanagement
sshinside(打开ssh服务:
cryptokeygeneratersa)
5.vpn常用管理命令
shvpn-sessiondbfulll2l显示sitetosite之vpn通道情况
shipsecstats显示ipsec通道情况
shvpn-sessiondbsummary显示vpn汇总信息
shvpn-sessiondbdetaill2l显示ipsec详细信息
shvpn-sessiondbdetailsvc查看sslclient信息
shvpn-sessiondbdetailwebvpn查看webvpn信息
shvpn-sessiondbdetailfulll2l相当于linux下的ipsecwhack–status如果没有建立连接,则表示ipsec通道还没有建立起来。
6.配置访问权限
可以建立对象组,设定不同的权限,如:
object-groupnetworktestgroup
descriptiontest
network-objectaccess-listinside_access_inline2extendedpermitipobject-groupallany
access-groupinside_access_inininterfaceinside
7.配置端口NAT(PAT)
对于存在多个IP地址时,直接配置NAT即可,比较简单,略
对于ASA只有一个IP地址(如连接ADSL)时,可用外部接口的IP地址进行PAT,如通过outside接口IP地址访问内网中的一台terminal服务器:
static(inside,outside)tcpinterface33893389netmaskdns
8.NAT一般规则
对于ASA防火墙,如果存在DMZ区,一般NAT规则为:
◆inside接口:
建立动态规则,到ouside和DMZ时NAT成接口地址;如果需要把内网中一组IP地址NAT成一个固定的公网IP地址,则需要建立动态策略NAT规则。
◆DMZ接口:
建立静态规则,10.2.2.165到ouside时NAT成一个固定的公网IP
◆Outside接口:
一般不需要做规则
◆一般情况下:
outside和DMZ都设置为Proxy-ARP
注:
以上配置好之后,可以使用内网和DMZ区访问internet,intenet可以访问DMZ区服务器。
内网可以通过10.2.2.x访问DMZ(ping会自动解析为)
9.DMZ区访问内网服务器
对于DMZ区的服务器,如果想访问内网中的服务器(如数据库及DC),除一般规则外,还需要如下NAT规则:
static(inside,dmz)10.2.2.16netmaskdnstcp00udp0
即DMZ的服务器访问10.2.2.16即为访问内网中的DC服务器(内网IP为)
注:
DMZ接口一定要打开Proxy-ARP功能。
10.配置sitetosite之VPN
cryptoipsectransform-setESP-3DES-SHAesp-3desesp-sha-hmac
cryptomapoutside_map20matchaddressoutside_cryptomap_20_1
cryptomapoutside_map20setpfs
cryptomapoutside_map20setpeermapoutside_map20settransform-setESP-3DES-SHA
cryptomapoutside_mapinterfaceoutside
isakmpidentityaddress
isakmpenableoutside
isakmppolicy10authenticationpre-share
isakmppolicy10encryption3des
isakmppolicy10hashsha
isakmppolicy10group2
isakmppolicy10lifetime86400
tunnel-grouptypeipsec-l2l
tunnel-groupipsec-attributes
pre-shared-key*
peer-id-validatenocheck
tunnel-group-mapenablerules
注:
打打PFS并设定以IP地址作为peer名,一个接口只能有一个加密图
11.webvpn配置(sslvpn)
webvpn
enableoutside
character-encodinggb2312
csdimagedisk0:
/3.1.1svcimagedisk0:
/1.1.01
svcenable
customizationcustomization1
titletextCMLWebVPNsystem
titlestylebackground-color:
white;color:
rgb(51,153,0);border-bottom:
5pxgroo
ve#669999;font-size:
larger;vertical-align:
middle;text-align:
left;font-weight:
bold
tunnel-group-listenable
注:
也可通过ASDM图形界面进行配置
登录后,可访问内部资源,如下例:
(客户端首先要安装Java插件,并打开浏览器的ActiveX)
1)输入用户名和密码
2)出现工具条
3)在EnterWebAddress内输入即可访问内部网站
4)在browsenetwork输入即可访问共享文件
12.5)点击applicationaccess,即可查看端口转发设置,如使用putty访问本机的2023端口,则即可通过ssh登录
远程拨入VPN
相关的ASA配置命令如下:
access-listinside_access_inextendedpermitipobject-groupremotegroupany
access-listinside_access_inextendedpermiticmpobject-groupremotegroupany
access-listremotevpn_splitTunnelAclstandardpermitvpnclient_splitTunnelAclstandardpermitlocalpooldialuserIPmaskremotevpnattributes
dns-servervaluedefault-domainvaluejiangpasswordCsmep3VzvPQPCbkxencryptedprivilege15
cryptoipsectransform-setESP-3DES-SHAesp-3desesp-sha-hmac
cryptoipsectransform-setESP-DES-MD5esp-desesp-md5-hmac
cryptoipsectransform-setESP-DES-SHAesp-desesp-sha-hmac
cryptodynamic-mapoutside_dyn_map20setpfs
cryptodynamic-mapoutside_dyn_map20settransform-setESP-3DES-SHA
cryptodynamic-mapoutside_dyn_map20setreverse-route
cryptomapoutside_map65535ipsec-isakmpdynamicoutside_dyn_map
cryptomapoutside_mapinterfaceoutside
tunnel-groupremotevpntypeipsec-ra
tunnel-groupremotevpngeneral-attributes
address-pooldialuserIP
default-group-policyremotevpn
tunnel-groupremotevpnipsec-attributes
pre-shared-key*
客户端设置如下:
13.日志服务器配置
loggingenable
loggingtimestamp
loggingemblem
loggingtrapinformational
loggingasdmwarnings
logginghostinsideformatemblem
loggingpermit-hostdown
vpn-simultaneous-logins3
注:
在linuxvpn服务器上:
asa查看警告信息、asainfo查看asa的访问信息
14.Snmp网管配置
snmp-serverhostinsidecommunitycmlsystem
snmp-serverlocationDG-CML
snmp-servercontactjiangdaoyou:
6162
snmp-servercommunitycmlsystem
snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart
注:
指定主机后,才可能进行管理
15.ACS配置
安装后管理:
通过ACS可以进行授权、认证等等很多功能
16.AAA配置
Aaa服务器配置:
aaa-serverradius_dghostkeydfdfdfdf146**U
authentication-port1812
accounting-port1813
radius-common-pwdfdfdfdf146**U
对于拨入vpn的配置
tunnel-groupvg_testerpgeneral-attributes
address-poolciscovpnuser
authentication-server-groupradius_dg
default-group-policyvg_testerp
然后在dc03上安装IAS服务,并进行设置,如下:
17.升级IOS
copydisk0:
/
bootsystemdisk0:
/(多个Image时使用)
asdmimagedisk0:
/
激活3des功能(由K8变成k9)
activation-key0x850d314d0x485d8ce10x28f319ac0x8a3c941c0x4833ca88
然后reload重新启动即可
18.疑难杂症
在远程子网不能ping通过对方的网关,如在无锡格兰不能ping输入命令:
management-accessinside(通过ASDM不能设置这一项)
1)NAT有时不能快速启作用
使用命令:
clearxlate即可
2)内网不能ping通内部的web服务器内网IP地址
设置静态NAT后,取消inside接口的ProxyARP功能即可
升级会员 