应用ASDM简化防火墙管理.docx
《应用ASDM简化防火墙管理.docx》由会员分享,可在线阅读,更多相关《应用ASDM简化防火墙管理.docx(10页珍藏版)》请在冰豆网上搜索。
应用ASDM简化防火墙管理
应用ASDM简化防火墙管理
应用ASDM简化防火墙管理
嵊州广播电视总台吕秋亮
关键字:
ASDM、Cisco防火墙管理
随着广播电视技术数字化、网络化的不断深入,无论制播还是日常办公都离不开计算机网络,对网络的依赖必然对网络环境的安全性提出更高的要求。
CiscoAsa5510是一款集应用安全、ANTI-X防御、网络印制和控制、VPN、智能网络服务于一体的功能强大的防火墙,具体的来说它能够:
(1)过滤不安全的服务和非法用户,强化安全策略。
(2)有效记录internet上的活动,管理进出网络的访问行为。
(3)限制暴露用户,封堵禁止的访问行为。
(4)是一个安全策略的检查站,对网络攻击进行检测和告警。
笔者所在单位不久前装了CiscoAsa5510防火墙,显著提升了网络安全性。
熟练掌握思科自适应安全设备的管理操作对网络管理岗位的同志提出了新的要求。
但借助ASDM软件,即便对思科产品不是很熟悉,我们也能直观的对防火墙设备进行有效管理,保障网络稳定高效运作。
一、ASDM安装
安装ASDM前我们需要安装jre-1_5_0-windows-i586这个java环境,然后运行ASDM-install.msi,ASDM版本比较多,笔者这边采用的是6.02。
使用ASDM管理ASA防火墙前我们首先要对防火墙进行一些配置:
Asa5510#conft进入全局模式
Asa5510(config)#webvpn进入WEBVPN模式
Asa5510(config-webvpn)#usernameciscopasswordcisco新建一个用户和密码
asa5510(config)#intm0/0进入管理口
Asa5510(config-if)#ipaddress192.168.0.254255.255.255.0添加IP地址
Asa5510(config-if)#nameifmanage给管理口设个名字
Asa5510(config-if)#noshutdown激活接口
Asa5510(config)#q退出管理接口
Asa5510(config)#httpserverenable开启HTTP服务
Asa5510(config)#http192.168.0.0255.255.255.0manage在管理口设置可管理的IP地址
Asa5510(config)#showrun查看一下配置
Asa5510(config)#wrm保存
配置完后,我们就可以在192.168.0.0这个网段内的主机上运行ASDM对asa防火墙进行管理。
(如图1)
进入ASDM后,我们在软件首页可以监看到防火墙的各项设置参数以及网络状态。
Deviceinformation一栏记录的是防火墙设备信息。
Interfacestatus记录的是设备借口状态。
VPNstatus记录了虚拟专用网络类型。
流量状态(Trafficstatus)以及系统资源状态(Systemresoursesstatus)用图形界面统计出网络利用情况。
(如图2)
(图1)
(图2)
二、安全策略配置
1、限制内部网络主机连接外网权限:
利用ASDM强大的安全策略功能我们能够摆脱繁琐的cisco路由交换命令,实现各种网络策略。
(如图3)
比如要限制部分主机上网权限,重复输入传统的acl命令是一件繁琐的事情,而在ASDM下将变得十分简单:
(1)首先我们需要在创建模块(Buildingblocks)创建一个禁止上网的ip组,取名lost_connection,并把需要限制的ip地址添加进去(如图3);
(2)在策略配置界面(securitypolicy)我们需要设置策略的访问规则(accessrules)。
(如图4)
(图3)
(图4)
(3)在事件中选择deny(禁用),指定inside接口为源网络,group中选择我们创建的分组lost_connection,目的网络(destinationhost/network)我们选择内部接口inside。
(4)在策略配置界面激活新创建的规则。
(如图5)
这样我们就限制了分组内的主机与防火墙通讯,从而实现了限制分组内主机连接外网的目标。
值得注意的是在创建新策略时,后面应添加一条inside到inside全通信的策略。
这个原因和访问控制列表(ACL)是一样,有顺序要求。
如果有两条语句,一个拒绝来自某个主机的通信,另一个允许来自该主机的通信,则排在前面的语句将被执行,而排在后面的语句将被忽略。
由于安全性考虑,系统默认动作为拒绝(Implicitdeny),底层自动添加一条deny规则,拒绝所有通信。
因此如果不手动添加一条inside到inside通信策略,第一条规则被执行后,将执行默认规则,导致内部网络主机都连接不到外网。
采用类似访问策略,通过对外部网络固定服务器ip的限制,可以实现禁止对p2p站点、股票软件、聊天软件的服务器访问,从而提高网络及办公效率。
2、流量控制:
网络服务质量(QoS)作为网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。
在ASDM中可以通过配置策略实现Qos限速。
(1)创建限速主机分组speed_limit_group;
(2)在策略配置中选servicepolicyrules添加限速策略;
(3)在trafficclassificationcriteria中选sourceanddestinationipaddress,接着在sourcehost/network中选择inside,选择speed_limit_group。
接下来的ruleactions中选择QOS,配置所要限制的流量范围;
这样我们就可以对分组内的ip的上下行流量予以控制,保证网络通畅运行。
三、VPN的配置
内联虚拟专用网(IntranetVPN)技术的发展使得企业内部多个LAN之间的互联变得更加安全,比如在很多电视台内制播网络、媒资管理网络、办公网络之间都采用VPN实现连接。
ASDM提供了IKE和IPSEC的VPN管理。
(如图6)
(图5)
(图6)
可以对通道策略(TunnelPolicy)进行直观的配置,大大提供了管理效率。
多媒体压缩技术的迅猛发展,对网络传输的可靠性提出了更高要求。
IPSEC协议在数据完整性,保密性,应用透明的安全性方面的优势将更加明显。
在对IPSec实现VPN的过程中,我们需要3步配置:
1、为IPSec确定详细的加密策略,包括确定要保护的主机和网络,选择认证方法,确认现有的访问控制列表允许IPSec数据通过。
(1)根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1,或者主模式)策略;
(2)确定IPSec(IKE阶段2)策略,包括IPSec对等体的细节信息;
(3)检查当前配置;
(4)确认在没有使用加密前网络能够正常工作;
(5)确认在边界路由器和防火墙中已有的访问控制列表(ACL)允许IPSec数据流通过,或者想要的数据流可以被过滤出来。
2、配置IKE预共享密钥。
3、配置IPSec
(1)配置加密用访问控制列表;
(2)配置全局性的IPSec安全关联的生存期;
(3)配置加密图;
(4)应用端口。
用命令配置IPSec具体实现VPN需要几十条命令,但在ASDM中我们只需根据配置向导输入关键参数就行,不仅快速而且可以有效避免敲错命令等人为错误。
(如图7)
(图7)
四、日常维护管理
在日常网络维护中,我们还可以对内部主机的访问日志进行查看。
在Monitoring选项下选择Logging,点选view,即可查看所有主机的通讯情况。
也可以在fittlerby下输入目标ip查看单用户通信记录。
通过monitoring->interface->arptable可以对网络内主机的mac地址进行查看。
通过monitoring->routing->routes可查看路由表信息。
在monitoring->vpn->vpnstatistics可以查看远程拨入防火墙用户的详细信息。
五、应用过程当中的一些不足
ASDM虽然简化了对cisco防火墙的操作管理,不再依赖于枯燥的路由交换命令但它根本上还是一个命令集的界面形式体现,是作用于网络层的管理软件。
在功能上不能完全替代命令在网络配置上的作用,因此在网络管理功能上不如一些专业的网管软件来的强大。
比如在平时我们要对物理地址进行绑定,或者是实现对某一台流量过高的主机实现自动断网,ASDM是无法做到的。
对有目的的攻击防御效果相对较弱,比如当外部知道本单位公网ip地址时,就容易对80端口进行恶意攻击,造成网站拥塞。
另外英文界面对广大中国用户来说也是一个麻烦。
广播电视行业作为政府的喉舌,在政策传播、抢险救灾、舆论宣传方面都担负着举足轻重的使命。
行业的特殊重要性对节目的制作播出环境历来苛刻,保障广播电视单位网络安全是制播安全的基础。
硬件防火墙是网络安全的第一道屏障,防火墙安全技术的不断纯熟,使得其在各行各业日益普及,熟练掌握对硬件防火墙的管理是广电系统每一个网络管理人员的基本要求。
升级会员 