ASDM使用手冊

1、1 ASDM簡介ASDM是一個基于WEB瀏覽器的JAVA程序的圖形化安全設(shè)備管理工具。ASDM定位為配置工具，通過ASDM可以對安全設(shè)備進(jìn)行配置和監(jiān)控，ASDM的配置功能十分強(qiáng)大，幾乎可以實現(xiàn)命令行全部的操作。但無法實現(xiàn)審計和告警的功能。2 ASDM基礎(chǔ)設(shè)置2.1 ASDM與防火墻軟件的兼容性FWSM版本ASDM/PDM版本4.1(x)需要ASDM 6.2(x)F或更高版本4.0(x)需要ASDM 6.1(x)或更高版本3.2(x)需要ASDM 5.2(x)F或更高版本3.1(x)需要ASDM 5.0(x)F或更高版本2.3(x)需要PDM 4.1(x)2.2(x)需要PDM 4.1(x)1.

2、1(x)需要PDM 2.1(1)2.2 ASDM對于客戶機(jī)的需求2.3 登陸前配置1. 登陸FWSM2. 配置允許登陸的源IP地址hostname(config)# http source_IP_address mask source_interface3. 開啟HTTPS服務(wù)hostname(config)# http server enable4. 打開ASDM歷史記錄功能（可選，用于監(jiān)控功能，詳見第五章節(jié)）asdm history enable如果沒有設(shè)置ASDM的AAA，則登陸時僅需要在password對話框中輸入enable密碼，username對話框不用填。開啟ASDM的AAA認(rèn)證

3、需要使用aaa authentication http console AAA LOCAL命令。2.4 登陸ASDM打開瀏覽器，在地址欄輸入https:/interface_ip_address如52即可打開ASDM頁面。ASDM有兩種運行方式，一種是作為本地程序運行，另一種是作為Java Web程序運行。作為本地程序運行的好處是可以通過桌面快捷方式調(diào)用ASDM而不再需要瀏覽器，并且通過桌面快捷方式可以快速鏈接多個設(shè)備。如果想通過本地程序運行ASDM，點擊Install ASDM Launcher and Run ASDM按鈕即可。以Java Web程序運行

4、，點擊Run ASDM按鈕即可。3 操作界面介紹3.1 ASDM的操作界面ASDM的功能部分主要由菜單欄和功能畫面欄這兩個工具欄及一個設(shè)備列表組成3.2 HOME功能頁面在Home功能按鈕下的home頁面分為5個部分Ø Device Information：用于顯示設(shè)備的軟硬件信息，選擇License標(biāo)簽可以顯示設(shè)備許可特性Ø System Resources Status：用于顯示設(shè)備當(dāng)前的CPU和內(nèi)存占用狀態(tài)Ø Interface Status：用于顯示接口名狀態(tài)及接口流量Ø Traffic Staus：用來顯示活躍的TCP和UDP連接數(shù)，以及穿過外

5、部接口的流量速率Ø Latest ASDM Syslog Messages：用來顯示設(shè)備生產(chǎn)的最新的ASDM系統(tǒng)日志消息。默認(rèn)情況下該功能是被禁用的，為了進(jìn)行日志監(jiān)控應(yīng)開啟該功能。右側(cè)的三角號代表恢復(fù)實時日志顯示，方塊代表停止實時日志顯示，雙齒輪符號代表ASDM syslog過濾器配置。3.3 Configuration（配置）功能頁面Configuration功能頁面下可以修改設(shè)備的配置，主要用來對設(shè)備進(jìn)行配置操作。其中實墻和虛墻界面和功能不同，路由模式和透明模式的界面和功能不同，因此本文以實墻/路由模式和虛墻/透明模式兩種為例編寫，可以覆蓋所有的功能選項。3.3.1 實墻模式/路

6、由模式 Device Setup.1 Startup Wizard（初始化向?qū)В┯脕韱酉驅(qū)Ｊ綄υO(shè)備進(jìn)行初始化配置。.2 Interface（接口）用來查看和編輯接口相關(guān)配置。.3 Routing（路由）用來查看和配置路由相關(guān)信息。.4 Device Name/Password（設(shè)備名和密碼）設(shè)置hostname、域名及設(shè)備密碼 Firewall.1 Access Rules（訪問規(guī)則）用來配置安全策略.2 NAT Rules（NAT規(guī)則） 查看及配置NAT相關(guān)內(nèi)容。

7、.3 Service Policy Rules（服務(wù)策略規(guī)則） 用于查看及配置服務(wù)策略。.4 AAA Rules（AAA規(guī)則） 用來查看和配置AAA相關(guān)內(nèi)容。.5 Filter Rules（過濾規(guī)則）用來進(jìn)行應(yīng)用層監(jiān)控過濾（需要其他設(shè)備聯(lián)動支持來實現(xiàn)）。.6 Public Servers（公用服務(wù)器）可以通過配置將內(nèi)部服務(wù)器（主要是DMZ區(qū)）的服務(wù)器暴露給外網(wǎng)。.7 URL Filtering Servers（網(wǎng)址過濾）用來配置網(wǎng)址過濾（需要其他設(shè)備聯(lián)動支持）。.8 Objects（對象）用來定義各種對象，包括：Ø

8、 地址對象/地址組Ø 服務(wù)組Ø 類表Ø 檢測表Ø 正則表達(dá)式Ø 規(guī)則Ø 地址池Ø 時間計劃.9 Advanced（高級設(shè)置）Ø 用來配置安全高級配置，包括：Ø 地址欺騙防御Ø 證書管理Ø IP分段Ø TCP選項，用來配置TCP連接參數(shù)Ø 全局超時設(shè)置Ø 虛擬訪問Ø ACL管理器Ø 標(biāo)準(zhǔn)ACL配置 Device Management.1 Management Access（登陸管理）用于配置查看設(shè)

9、備登陸相關(guān)內(nèi)容。.2 Licensing（許可）用于查看許可狀態(tài)和添加許可。.3 System Image/Configuration（系統(tǒng)軟件和配置）配置自動升級功能，用來從網(wǎng)絡(luò)自動更新系統(tǒng)軟件和配置。.4 High Availability（高可用性）用來查看和進(jìn)行雙機(jī)配置。.5 Logging（日志）用來查看和配置日志相關(guān)內(nèi)容。.6 Users/AAA（AAA功能）用來配置AAA相關(guān)內(nèi)容。.7 Certificate Management（證書管理）用來配置證書相關(guān)內(nèi)容。.8 DHCP包括d

10、hcp中繼和dhcp服務(wù)器兩部分，用來配置dhcp相關(guān)內(nèi)容。.9 DNS用來指定設(shè)備的DNS服務(wù)器。.10 Advanced（設(shè)備高級配置）包含靜態(tài)arp表配置和ASDM歷史記錄兩個配置項目。配置靜態(tài)ARP表項。開啟ASDM歷史記錄功能。開啟后可以查看設(shè)備監(jiān)控的歷史信息（最近10分鐘、最近60分鐘、最近12小時、最近5天）.11 Dynamic Resource Allocation3.3.2 虛墻模式/透明模式 SYSTEM墻.1 Context Management.1.1 Security Context

11、s（虛擬防火墻）可以對虛擬防火墻進(jìn)行查看、新增、編輯、更改虛墻模式（路由/透明）、刪除操作。.1.2 Resource Class（資源類）用來配置為防火墻分配資源的資源類。.2 Device Management.2.1 Device Administration（設(shè)備管理）設(shè)備管理選項包括以下幾個內(nèi)容：Ø 命令行提示（用來設(shè)置命令行最前面顯示的字符，默認(rèn)為hostname和context）Ø 設(shè)備名（system墻的hostname）Ø ftp模式（默認(rèn)為被動模式）Ø 安全拷貝（用來開啟或關(guān)閉SCP功能）&#

12、216; 用戶審計（用來創(chuàng)建本地賬戶和權(quán)限分配）.2.2 Activation Key（許可）用于查看許可狀態(tài)和添加許可。.2.3 High Availability（高可用性）用來查看和進(jìn)行雙機(jī)配置。.2.4 Password（密碼）用來配置telnet連接時使用的密碼。.2.5 Resource Allocation（資源分配）包括Dynamic和Static兩個選項。Dynamic用來配置ACP Partitions的分配Static用來配置資源分配的限制。 普通虛墻.1 Device Setup3.3.

13、 Startup Wizard（初始化向?qū)В┯脕韱酉驅(qū)Ｊ綄υO(shè)備進(jìn)行初始化配置。.1.2 Interface（接口）用來查看和編輯接口相關(guān)配置。.1.3 Routing（路由）用來查看和配置路由相關(guān)信息。.1.4 Device Name/Password（設(shè)備名和密碼）設(shè)置hostname、域名及設(shè)備密碼.2 Firewall.2.1 Access Rules（訪問規(guī)則）用來配置安全策略.2.2 NAT Rules（NAT規(guī)則） 查看及配置NAT相關(guān)內(nèi)容。.2.3 Service

14、Policy Rules（服務(wù)策略規(guī)則） 用于查看及配置服務(wù)策略。.2.4 AAA Rules（AAA規(guī)則） 用來查看和配置AAA相關(guān)內(nèi)容。.2.5 Filter Rules（過濾規(guī)則）用來進(jìn)行應(yīng)用層監(jiān)控過濾（需要其他設(shè)備聯(lián)動支持來實現(xiàn)）。.2.6 Ethertype Rules（二層策略）用來查看和配置二層策略。.2.7 Public Servers（公用服務(wù)器）可以通過配置將內(nèi)部服務(wù)器（主要是DMZ區(qū)）的服務(wù)器暴露給外網(wǎng)。.2.8 URL Filtering Servers（網(wǎng)址過濾）用來配置網(wǎng)址過濾（需要其他設(shè)備聯(lián)動支

15、持）。.2.9 Objects（對象）用來定義各種對象，包括：Ø 地址對象/地址組Ø 服務(wù)組Ø 類表Ø 檢測表Ø 正則表達(dá)式Ø 規(guī)則Ø 地址池Ø 時間計劃.2.10 Advanced（高級設(shè)置）Ø 用來配置安全高級配置，包括：Ø 地址欺騙防御Ø 證書管理Ø IP分段Ø TCP選項，用來配置TCP連接參數(shù)Ø 全局超時設(shè)置Ø 虛擬訪問Ø ACL管理器Ø 標(biāo)準(zhǔn)ACL配置.3 Device M

16、anagement.3.1 Management Access（登陸管理）用于配置查看設(shè)備登陸相關(guān)內(nèi)容。.3.2 Licensing（許可）用于查看許可狀態(tài)和添加許可。.3.3 High Availability（高可用性）用來查看雙機(jī)配置。.3.4 Logging（日志）用來查看和配置日志相關(guān)內(nèi)容。.3.5 Users/AAA（AAA功能）用來配置AAA相關(guān)內(nèi)容。.3.6 Certificate Management（證書管理）用來配置證書相關(guān)內(nèi)容。.3.7 DHCP包括dhcp中繼和dhcp服

17、務(wù)器兩部分，用來配置dhcp相關(guān)內(nèi)容。.3.8 DNS用來指定設(shè)備的DNS服務(wù)器。.3.9 Advanced（設(shè)備高級配置）包含靜態(tài)arp表配置和ASDM歷史記錄兩個配置項目。ARP部分，可以配置ARP檢測，配置靜態(tài)ARP表項。Bridging部分MAC地址表和MAC學(xué)習(xí)功能。開啟ASDM歷史記錄功能。開啟后可以查看設(shè)備監(jiān)控的歷史信息（最近10分鐘、最近60分鐘、最近12小時、最近5天）3.4 Monitoring（監(jiān)控）功能頁面3.4.1 實墻模式/路由模式 Interfaces.1 ARP Table（ARP表）可以查看ARP表項。3

18、. DHCP可以配置DHCP相關(guān)配置內(nèi)容。.3 Dynamic ACLs（動態(tài)ACL）查看動態(tài)ACL應(yīng)用狀態(tài)。.4 Interface Graphs（接口統(tǒng)計圖）監(jiān)控接口相關(guān)數(shù)據(jù)信息。.5 IPv6 Neighbor Discovery Cache（IPv6鄰居發(fā)現(xiàn)緩存） 查看IPv6鄰居發(fā)現(xiàn)緩存。 Routing.1 OSPF LSAs（OSPF LSA） 查看OSPF的LSA。.2 OSPF Neighbors（OSPF鄰居） 查看OSPF鄰居信息。.3 EIGRP Neighb

19、ors（EIGRP鄰居） 查看EIGRP鄰居信息。.4 Routes（路由表） 查看路由表。 Properties.1 AAA Servers（AAA服務(wù)器）查看AAA服務(wù)器配置。.2 Device Access（設(shè)備訪問）查看設(shè)備登陸信息。.3 Connection Graphs（連接統(tǒng)計圖） 可以查看Xlate監(jiān)控表。.4 CRL.5 DNS Cache（DNS緩存） 查看DNS緩存。.6 Failover（故障倒換） 查看故障倒換信息和監(jiān)控故障倒換。.7 Syst

20、em Resources Graphs（系統(tǒng)資源統(tǒng)計圖） 可以查看系統(tǒng)資源的圖表（包括內(nèi)存塊、cpu、memory）。 Logging.1 Real-Time Log Viewer（實時日志查看）可以查看實時日志信息。.2 Log Buffer（日志緩存） 可以查看日志緩存信息。3.4.2 虛墻模式/透明模式監(jiān)控功能頁面用來顯示與設(shè)備軟硬件相關(guān)的統(tǒng)計數(shù)據(jù)，為檢測設(shè)備的健康情況及狀態(tài)提供了圖像化的監(jiān)測功能。 SYSTEM墻.1 Failover.1.1 System（系統(tǒng)故障倒換） 可以查看和故障倒換功能3.4.

21、 Failover Group 1（故障倒換組一）查看故障倒換組1信息及調(diào)整活躍狀態(tài)。.1.3 Failover Group 2（故障倒換組2）查看故障倒換組1信息及調(diào)整活躍狀態(tài)。.2 Context Resourse Usage.2.1 ASDM/Telnet/SSH用來監(jiān)控用戶對設(shè)備的訪問情況。.2.2 Xlates查看Xlates表項。.2.3 NATs查看NAT表項。.2.4 Syslogs 查看Syslog發(fā)送速率信息。 普通虛墻.1 Interfaces3.

22、.1 ARP Table（ARP表）可以查看ARP表項。.1.2 DHCP可以配置DHCP相關(guān)配置內(nèi)容。.1.3 Dynamic ACLs（動態(tài)ACL）查看動態(tài)ACL應(yīng)用狀態(tài)。.1.4 Interface Graphs（接口統(tǒng)計圖）監(jiān)控接口相關(guān)數(shù)據(jù)信息。.1.5 MAC Address Table（MAC地址表） 查看MAC地址信息。.2 Routing.2.1 Routes（路由表） 查看虛墻路由表。.3 Properties.3.1 AAA Servers（AAA服

23、務(wù)器）查看AAA服務(wù)器配置。.3.2 Device Access（設(shè)備訪問）查看設(shè)備登陸信息。.3.3 Connection Graphs（連接統(tǒng)計圖） 可以查看Xlate監(jiān)控表。.3.4 CRL.3.5 DNS Cache（DNS緩存） 查看DNS緩存。.3.6 Failover（故障倒換） 查看故障倒換信息和監(jiān)控故障倒換。.3.7 System Resources Graphs（系統(tǒng)資源統(tǒng)計圖） 可以查看系統(tǒng)資源的圖表（包括內(nèi)存塊、cpu、memory）。.4 Logging.4

24、.1 Real-Time Log Viewer（實時日志查看）可以查看實時日志信息。.4.2 Log Buffer（日志緩存） 可以查看日志緩存信息。3.5 SYSTEM墻的操作界面在虛墻模式下登陸admin虛墻點擊system虛墻即可進(jìn)入管理模式，可以通過對所有虛擬防火墻及system墻進(jìn)行管理及監(jiān)控。點擊單個虛墻，即可進(jìn)入單個虛擬防火墻的管理配置界面。4 操作4.1 測試工具4.1.1 Ping在工具欄中選擇 Tools> Ping 打開Ping工具菜單，填寫ping的目的地址，源接口選項用來指定ping的源地址，這是一個可選項。填寫完成后點擊PING按鈕，即可在窗口中

25、查看到ping的結(jié)果信息。4.1.2 抓包點擊Wizards> Packet Capture Wizards打開抓包向?qū)ёグ驅(qū)У谝粋€頁面提示了在ASDM上抓包一共需要5個步驟：1. 選擇一個進(jìn)接口2. 選擇一個出接口3. 設(shè)置緩存參數(shù)4. 運行抓包5. 保存抓包結(jié)構(gòu)到PC（可選）在Ingress Interface中選擇流量入接口，在Select access-list中選擇匹配需要抓取流量的ACL，如果之前沒有定義，可以點擊Manage按鈕配置ACL。完成配置后點擊NEXT進(jìn)入下一步驟。選擇出接口抓包配置（一遍情況在入接口抓包即可，出接口可以隨意配置），配置方式與入接口抓包方式相同。

26、緩存參數(shù)配置部分的Packet Size代表著可以抓取的數(shù)據(jù)包最大長度（默認(rèn)為1522byte），Buffer Size代表抓包的緩存大小（默認(rèn)為524288byte）。在默認(rèn)設(shè)置下可以抓取334個數(shù)據(jù)包，如果超出緩存容量則停止抓包，如果勾選了下方的use circular buffer可以實現(xiàn)循環(huán)緩存功能，在數(shù)據(jù)包超出緩存容量時可以通過清除緩存末端的數(shù)據(jù)來存放新的數(shù)據(jù)包。確認(rèn)抓包配置確認(rèn)配置后進(jìn)入抓包頁面，點擊start開始抓包，stop停止抓包，抓取數(shù)據(jù)包后點擊get capture buffer即可顯示抓取到的數(shù)據(jù)包。清除抓包緩存數(shù)據(jù)可以通過點擊下方的clear buffer on按鈕實

27、現(xiàn)。抓包結(jié)果可以保存到PC上進(jìn)行分析查看，點擊下方的save capture彈出保存窗口選擇存儲格式（ASCII格式及文本格式，PACP格式為通用抓包格式，可以使用wireshark打開進(jìn)行查看分析）后點擊想要保存的接口，在彈出菜單中選擇pc的存儲路徑后點擊保存即可。操作完成后點擊finish即可結(jié)束抓包。4.2 管理操作4.2.1 查看配置點擊File>Show running configuration in New Window后會彈出瀏覽器。輸入登陸防火墻的用戶名密碼后，即可在瀏覽器窗口中查看配置文件4.2.2 保存配置在ASDM中可以保存配置到flash或TFTP服務(wù)器。4.2

28、.2.1 保存配置到Flash保存配置到Flash可以通過點擊File>SaveRunning Configuration to Flash實現(xiàn)（快捷鍵Ctrl+S）。也可以通過點擊功能欄中的Save按鈕來實現(xiàn)在虛墻模式下，在選擇system墻進(jìn)行操作時可以通過點擊Save All Running Configurations to Flash一次性保存全部虛墻的配置 保存配置到TFTP保存配置到TFTP服務(wù)器可以通過點擊File>SaveRunning Configuration to TFTP Server來實現(xiàn)。打開保存窗口后輸入TFTP服務(wù)器的IP地址和配置文

29、件保存的文件名后點擊Save Configuration按鈕即可將配置文件保存至TFTP服務(wù)器4.2.3 文件管理點擊Tools>File Management即可打開文件管理窗口。文件管理可以實現(xiàn)防火墻文件的瀏覽、剪切、復(fù)制、刪除、重命名等操作，需要注意的是虛墻模式下的文件管理功能只能在system墻下才可以使用。4.2.4 文件傳輸文件傳輸是ASDM文件管理中的一個功能，可以方便的在防火墻和外部設(shè)備之間交換文件，可以支持直接上傳PC上的本地文件到防火墻，相比命令行方式操作起來更加方便。在文件管理窗口中單機(jī)File Transfer即可打開文件傳輸窗口。文件傳輸窗口分為上下兩部分，上部

30、分用來選擇文件傳輸源，下半部分選擇文件傳輸目的。源和目的都有遠(yuǎn)程服務(wù)器、防火墻Flash、本地PC三個選項。在使用文件傳輸時只要正確選擇文件源和目的后點擊Transfer File即可傳輸文件，下圖顯示的是傳輸ADMIN.cfg到tftp服務(wù)器的配置。4.2.5 軟件升級ASDM集成了軟件升級功能，相比于命令行的升級方式ASDM更加直觀方便。虛墻模式下僅能在system下進(jìn)行升級操作。升級系統(tǒng)軟件需要以下個步驟：一、 查看當(dāng)前軟件版本二、 進(jìn)入升級軟件界面進(jìn)行系統(tǒng)軟件升級軟件三、 重啟設(shè)備四、 升級后查看軟件版本 升級系統(tǒng)軟件在升級前可以通過Home窗口中的Device Info

31、rmation窗口下的General選項卡中的內(nèi)容了解當(dāng)前的軟件版本。點擊Tools-Upgrade Sofeware from Local Computer進(jìn)入升級軟件界面。選擇升級FWSM（防火墻系統(tǒng)軟件選項）后在下方的Source File Path中選擇防火墻系統(tǒng)軟件文件后點擊Upload Image開始系統(tǒng)軟件的升級。升級過程需要數(shù)分鐘才能完成，過程中界面如下所示。 升級完成后彈出升級成功界面，升級成功后需要重啟設(shè)備，需要注意ASDM軟件版需要和升級后的防火墻軟件相匹配才能繼續(xù)使用ASDM。設(shè)備重啟需要點擊Tools-System彈出重啟界面。在重啟界面中的Configuration

32、 State選項中選擇Save the running configuration at time of reload（重啟時保存配置）。在Reload without saving the running configuration選項中選擇Now后點擊下方的Schedule Reload按鈕重啟設(shè)備。點擊Yes確認(rèn)需要重啟。重啟后通過重新連接設(shè)備，通過Home窗口中的Device Information窗口下的General選項卡確認(rèn)當(dāng)前的軟件版本。 升級ASDM在升級前可以通過Home窗口中的Device Information窗口下的General選項卡中的內(nèi)容了解當(dāng)前的

33、軟件版本。點擊Tools-Upgrade Sofeware from Local Computer進(jìn)入升級軟件界面。選擇升級ASDM后在下方的Source File Path中選擇防火墻系統(tǒng)軟件文件后點擊Upload Image開始系統(tǒng)軟件的升級。升級過程需要數(shù)分鐘才能完成，過程中界面如下所示。 升級完成后需要點擊上方的Save按鈕保存即完成了ASDM軟件的升級。4.3 配置操作4.3.1 安全策略 查看安全策略配置點擊Configuration > Firewall > Access Rules即可進(jìn)入策略配置窗口進(jìn)行策略的查看。 界面右側(cè)的窗口可以進(jìn)行地址組、服務(wù)

34、組、時間計劃的查看和配置。通過ASDM可以查看到每個接口下配置的安全策略和策略的命中數(shù)量 點擊Diagrom按鈕后下方會以圖形化的形式顯示出策略部署的原理。 導(dǎo)出安全策略在安全策略配置窗口點擊Export按鈕按提示操作即可導(dǎo)出策略到本地計算機(jī)。導(dǎo)出策略有兩種保存格式，一種是保存為可以用Excel打開的CVS格式文件，另一種是HTML文件。 配置安全策略.1 添加策略添加策略共分為三個步驟：1. 定義地址組2. 定義服務(wù)組3. 添加安全策略下面以添加一下安全策略為例演示安全策略的添加object-group network GENERAL-OFFICE-

35、USER network-object 3 55object-group network LED-SERVER network-object 55object-group service LED-SVR service-object tcp-udp eq 6600access-list INSIDE extended permit object-group LED-SVR object-group GENERAL-OFFICE-USER object-group LED-SERVER.1

36、.1 定義資源ASDM中共有3個可以定義資源的地方，三種定義資源的方法配置界面基本一致，本文以第一種方法為例介紹資源定義方法。定義資源的三種方式分別是：1.在Configuration > Firewall > Access Rules中點擊Add按鈕中的Add Access Rule，進(jìn)入策略添加頁面，點擊資源后的省略號進(jìn)入策略配置頁面2. 在Configuration > Firewall > Access Rules頁面的右方可以配置資源3.在Configuration > Firewall > Objects > Network Objects

37、/Groups中可以定義資源.1.1.1 定義地址組選擇Configuration > Firewall > Objects > Network Objects/Groups進(jìn)入地址組定義頁面，點擊Add中的Add Object選項打開添加地址對象對話框，輸入地址和掩碼后點擊OK，即可添加地址對象。點擊Add中的Add Object Group選項打開添加地址組對話框。在Group Name中輸入地址組名稱，選擇左側(cè)的要添加到地址組里的地址對象，點擊ADD添加到地址組中，地址對象全部添加完成后點擊OK按鈕即可完成地址組的定義工作。添加完成后需要點擊下方的APPL

38、Y按鈕保存配置。.1.1.2 定義服務(wù)組選擇Configuration > Firewall > Objects > Service Groups進(jìn)入服務(wù)組定義頁面，點擊Add中的Service Group進(jìn)入添加服務(wù)組頁面。在Group Name欄中填入服務(wù)組名，選定下方的的creat new number后填寫要添加的端口（如需添加端口范圍，在起始和終止端口之間加 - 即可）后點擊Add按鈕即可將服務(wù)添加到服務(wù)組中，如果之前定義過或需要調(diào)用系統(tǒng)默認(rèn)存在的地址組，選定Existing Service/Service Group中的服務(wù)即可。選定后點擊OK按鈕確

39、認(rèn)添加地址組后點擊下方的APPLY按鈕添加配置到設(shè)備。.1.2 添加安全策略進(jìn)入Configuration > Firewall > Access Rules添加策略頁面，選中策略要掛載的接口后點擊ADD按鈕中的Add Access Rule（添加策略到第一行，如需插入策略則點擊要插入的位置，選擇ADD按鈕中的insert在上方插入或insert after在下方插入選項）即可進(jìn)入添加策略頁面。在添加策略頁面填寫源地址、目的地址、服務(wù)后點擊OK按鈕即可添加策略。添加策略后需要點擊APPLY按鈕保存配置。.2 刪除策略刪除策略的操作首先要選定需要刪除的策略

40、，然后點擊Delete按鈕刪除策略，刪除后點擊下方的Apply按鈕應(yīng)用變更即可刪除策略。注意：該操作僅刪除了安全策略，如需要刪除策略調(diào)用的地址組或服務(wù)組，需要在Configuration > Firewall > Objects > Network Objects/Groups或Configuration > Firewall > Objects > Service Groups中單獨進(jìn)行刪除。.3 調(diào)整策略順序選中需要調(diào)整的策略后點擊上下箭頭按鈕即可調(diào)整策略的順序，調(diào)整后需要點擊Apply按鈕保存后才能生效。.4 剪切/復(fù)制/粘

41、貼策略選中要操作的策略，點擊剪切、復(fù)制、粘貼按鈕按提示即可完成操作，操作完成后需要點擊下方的Apply按鈕進(jìn)行保存。5 監(jiān)控5.1 日志監(jiān)控5.1.1 查看實時日志實時日志功能可以持續(xù)查看正在產(chǎn)生的日志。點擊Monitoring > Logging > Real-Time Log Viewer進(jìn)入實時日志查看，選擇查看的日志級別和緩存大小后點擊VIEW即可進(jìn)入日志瀏覽器。日志瀏覽器界面如下圖所示：該窗口操作方式為：Ø Pause按鈕：暫停實時日志顯示，點擊后變?yōu)閞esume按鈕，點擊resume按鈕恢復(fù)實時日志顯示Ø Copy按鈕：點擊選擇一條日志后點擊Copy

42、按鈕即可將該條日志復(fù)制到系統(tǒng)剪切板中Ø Save按鈕：點擊Save按鈕后選擇存儲路徑，即可將日志信息以EXCEL可以打開的CSV文件存儲到PC上Ø Color setting按鈕：可以設(shè)備不同級別日志顯示的顏色Ø Filter By：在Filter By窗口中輸入關(guān)鍵字后點擊Filter按鈕后即可顯示帶有關(guān)鍵字的所有日志，點擊Show ALL后恢復(fù)正常顯示Ø Find：在Find窗口中輸入關(guān)鍵字后依次點擊后方的放大鏡即可依次查看帶有關(guān)鍵字的日志下方小窗口可以查看日志的解釋（Explanation）、推薦動作（Recommended Action）和詳細(xì)信

43、息（Details）。5.1.2 查看日志緩存內(nèi)容實時日志功能可以持續(xù)查看緩存中的日志。點擊Monitoring > Logging > Log Buffer進(jìn)入日志查看，選擇查看的日志級別后點擊VIEW即可進(jìn)入日志瀏覽器。日志瀏覽器界面如下圖所示：該窗口操作方式為：Ø Pause按鈕：暫停實時日志顯示，點擊后變?yōu)閞esume按鈕，點擊resume按鈕恢復(fù)實時日志顯示Ø Copy按鈕：點擊選擇一條日志后點擊Copy按鈕即可將該條日志復(fù)制到系統(tǒng)剪切板中Ø Save按鈕：點擊Save按鈕后選擇存儲路徑，即可將日志信息以EXCEL可以打開的CSV文件存儲到P

44、C上Ø Color setting按鈕：可以設(shè)備不同級別日志顯示的顏色Ø Filter By：在Filter By窗口中輸入關(guān)鍵字后點擊Filter按鈕后即可顯示帶有關(guān)鍵字的所有日志，點擊Show ALL后恢復(fù)正常顯示Ø Find：在Find窗口中輸入關(guān)鍵字后依次點擊后方的放大鏡即可依次查看帶有關(guān)鍵字的日志下方小窗口可以查看日志的解釋（Explanation）、推薦動作（Recommended Action）和詳細(xì)信息（Details）。5.2 故障倒換監(jiān)控5.2.1 實墻或業(yè)務(wù)虛墻實墻下不僅可以監(jiān)控，還能進(jìn)行控制。虛墻下的控制需要在admin墻上進(jìn)行。5.2.2

45、 虛墻模式系統(tǒng)虛墻5.3 接口監(jiān)控選擇Monitoring > Interfaces > Interface Graphs后指定要查看的接口，在Graph selection中選擇需要查看的項目，點擊ADD按鈕添加到選擇列表中后，點擊show graphs按鈕即可顯示接口的狀態(tài)統(tǒng)計圖。共有五個可監(jiān)控的項目，分別是字節(jié)計數(shù)、數(shù)據(jù)包計數(shù)、數(shù)據(jù)包速率、字節(jié)速率、丟棄數(shù)據(jù)包計數(shù)。最多可以在一個窗口中同時監(jiān)控四個項目。監(jiān)控窗口可以選擇統(tǒng)計圖（Graph）和表格（Table）兩種顯示方式。在統(tǒng)計圖上右鍵另存為可以將統(tǒng)計圖以圖片格式存儲在PC上。查看歷史數(shù)據(jù)需要在設(shè)備上使用asdm history enable命令開啟該功能，開啟后即可點擊監(jiān)控窗口下方的View里的選項來查看歷史數(shù)據(jù)。5.4 路由監(jiān)控點擊Monitoring > Routing > Routes即可進(jìn)入路由監(jiān)控窗口，點擊Routing即可查看設(shè)備的路由表5.5 性能監(jiān)控5.5.1 CPU點擊Moni