思科ASA防火墻精華配置總結(jié)

1、思科ASA防火墻精華配置總結(jié)思科防火墻PIX ASA配置總結(jié)一（基礎(chǔ)）：下面是我工作以來(lái)的配置總結(jié)，有些東西是6.3版本的，但 不影響在7.大版本的配置。一：6 個(gè)基本命令：nameif、interface、ip address、nat、 global、 route o二：基本配置步驟：step1:命名接口名字nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 dmz security50大大7版本的配置是先進(jìn)入接口再命名。step2:配置接口速率interface ethe

2、rnet0 10full autointerface ethernet1 10full autointerface ethernet2 10fullstep3:配置接口地址ip address outside 2ip address inside ip address dmz step4 :地址轉(zhuǎn)換（必須）*安全高的區(qū)域訪問(wèn)安全低的區(qū)域(即內(nèi)部到外部)需NAT 和 global;nat(inside) 1 global(outside) 1 93 48* nat (inside) 0 55表示 這個(gè)地址不需要轉(zhuǎn)換。直接轉(zhuǎn)發(fā)出去。*如果內(nèi)部有服務(wù)器需要映像到公網(wǎng)地址(外網(wǎng)訪問(wèn)內(nèi)網(wǎng))則 需要 st

3、atic 和 conduit 或者 acl.static (inside, outside) 94 40static (inside, outside) 94 40 1000010后面的10000為限制連接數(shù)，10為限制的半開(kāi)連接數(shù)。conduit permit tcp host 94 eq www anyconduit permit icmp any any這個(gè)命令在做測(cè)試期間可以配置，測(cè)試完之后要關(guān)掉，防止不必要的漏洞ACL實(shí)現(xiàn)的功能和conduit 一樣都可實(shí)現(xiàn)策略訪問(wèn)，只是ACL 稍微麻煩點(diǎn)。conduit現(xiàn)在在7版本已經(jīng)不能用了。Access-list 101 permit tcp

4、any host 94 eq wwwAccess-group 101 in interface outside 綁定到接口)*允許任何地址到主機(jī)地址為94的 www的tcp訪問(wèn)。Step5：路由定義：Route outside 0 0 93 1Route inside 1太大如果內(nèi)部網(wǎng)段不是直接接在防火墻內(nèi)口，則需要配置到內(nèi)部的路由Step6：基礎(chǔ)配置完成，保存配置。Write memory write erase 清空配置reload前言防火墻觀念已經(jīng)在企業(yè)網(wǎng)絡(luò)相當(dāng)普及，DataCente提供企業(yè)主機(jī)代管業(yè)務(wù)或是ISP提供企業(yè)VPN需求時(shí)，常需考慮網(wǎng)絡(luò)安全，需要幫客戶(hù)建置防火墻服務(wù)，Data

5、Cente提供為數(shù)眾多的客戶(hù)主機(jī)代管服務(wù)，亦需要為客戶(hù)建置安全網(wǎng)絡(luò)環(huán)境。DataCente在眾多客戶(hù)的網(wǎng)絡(luò)環(huán)境或是大型企業(yè)各個(gè)子公司需要不同防火墻策略時(shí)，即可考慮使用思科ASA系列防火墻的Multiple conte功能來(lái)建置一個(gè)靈活 可擴(kuò)充性高的防火墻環(huán)境。ASA Multiple context是將一個(gè)實(shí)體防火墻分割成多個(gè)虛擬防火墻。每一虛擬 防火墻可以有獨(dú)立虛擬線路、路由表、NAT表、獨(dú)立防火墻策略及個(gè)別管理者。 使用限制上，ASA Multuple context啟動(dòng)后，ASA只支持靜態(tài)路由，不支持動(dòng) 態(tài)路由、Multicast路由以及VPN與Threat Detection功能。一、

6、ASA Multiple conte規(guī)格：目前 CISCO ASA5500 支持 050 個(gè) multiple context .表一、ASA 5500防火墻支持Security conte數(shù)量CiscoCiscoCiscoCiscoCiscoCisco ASA 5580ASAASAASAASAASA55055510552055405550Securitycontext-虛擬防火墻(內(nèi)建/最大)0/02/52/202/502/502/50CISCO ASA防火墻具有強(qiáng)大處理能力最高可達(dá)四百萬(wàn)最小封包每秒，最大聯(lián)機(jī) 數(shù)兩百萬(wàn)個(gè)(ASA5580)，ASA 防火墻型號(hào)有 ASA5505，ASA551

7、0，ASA5520， ASA5540，ASA5550， ASA5580-20，ASA5580-40，適用于家庭、中小企業(yè)到大型 Service provide客戶(hù)可依網(wǎng)絡(luò)環(huán)境需求作調(diào)度配置，且具備備援機(jī)制，提供可 靠的網(wǎng)絡(luò)安全。也具備方便靈活的圖形化管理接口(ASDM)，讓管理者輕易上手。二、Multiple context 架構(gòu)規(guī)劃ISP能夠利用ASA Multiple context是將一個(gè)實(shí)體防火墻分割成多個(gè)虛擬 防火墻，再搭配SWITCH(CISCO 7600)的IEEE 802.1Q功能，將多個(gè)客戶(hù)都 接到SWITCH上，就可以節(jié)省線路成本、電力成本、設(shè)備成本。配合 SWITCH(C

8、ISCO 7600) MPLS功能可以規(guī)劃客戶(hù)設(shè)備IP都使用相同網(wǎng)段，將 網(wǎng)段規(guī)則一致化，可以簡(jiǎn)化網(wǎng)管，由ISP統(tǒng)一管理所有虛擬防火墻的policy 如下列兩個(gè)比較圖。圖一：建置個(gè)別客戶(hù)防火墻圖二：DataCente以ASA5580 multi-conte為客戶(hù)建置防火墻CustomerA /24CustomerC/24優(yōu)化后，只需要兩臺(tái)ASA5580做實(shí)體設(shè)備備援的架構(gòu)，相較于舊架構(gòu)三組防火 墻共六部實(shí)體防火墻來(lái)的省錢(qián)，而且收容客戶(hù)數(shù)越多，ASA5580就更加節(jié)省整體 建置成本。三、ASA 5580 Multi-conte建置啟動(dòng) Multi-context將兩臺(tái)備援使用的ASA5580啟動(dòng)

9、multi-contex指令為mode multiple example : ASA(config)# mode multiple系統(tǒng)在指令下完以后，會(huì)自動(dòng)重開(kāi)機(jī)。系統(tǒng)開(kāi)機(jī)后會(huì)自動(dòng)建立一個(gè) admin context . admin co是一個(gè)獨(dú)立context，他的配置文件儲(chǔ)存路 徑為flash:/admin.，cf|g認(rèn)沒(méi)有任何接口配置于admin，但可手動(dòng)加入 網(wǎng)絡(luò)接口。若防火墻管理是由DataCente集中管理時(shí)，建議將admin context當(dāng)做管理性質(zhì)的平臺(tái)。建立新的context命名 指令：pixfirewall(config)# coise區(qū)別每一個(gè) context配置文件位

10、置 指令：pixfirewall(config)# config-urlcolash:/ 指定配置文件路徑，待登入cisco這個(gè)contex做存盤(pán)動(dòng)作時(shí)，會(huì)寫(xiě) 入到此路徑檔案。系統(tǒng)搬遷時(shí)，也會(huì)用到。例如客戶(hù)A從實(shí)體防火 墻搬到另外一個(gè)實(shí)體防火墻時(shí)，只要搬動(dòng)此配置文件到對(duì)應(yīng)的ASA 防火墻，客戶(hù)A設(shè)定即可回復(fù)。配置網(wǎng)絡(luò)接口新增網(wǎng)絡(luò)接口，并設(shè)定好vlan ID因?yàn)閷?shí)體接口與 其他context共享，所以用不同vlan I區(qū)隔開(kāi)。例：pixfirewall(config-subif)# interface gigabitethernet 0.101 pixfirewall(config-subif)

11、# vlan 101(4)將網(wǎng)絡(luò)接口指定給context例：pixfirewall(config)# context ciscopixfirewall(config-ctx)# allocate-interface GigabitEthernet0/0.101此時(shí)，進(jìn)入context cis可以看到多出網(wǎng)絡(luò)接口GigabitEthernet0/0.可以設(shè)定 1?及使用。在system模式底下以指令show contex可以檢視系統(tǒng)目前所有context及其配置的網(wǎng)絡(luò)接口。3. 配置系統(tǒng)資源ASA5580需要配置各項(xiàng)資源到每一個(gè)虛擬防火墻單位(context)包括ASDM 聯(lián)機(jī)數(shù)、connect

12、ion數(shù)量、telne聯(lián)機(jī)數(shù)、ssh聯(lián)機(jī)數(shù)、使用者數(shù)量及NAT數(shù)量。指令：pixfirewall(config)#class testpixfirewall(config-class)# limit-resource ASDM 5pixfirewall(config-class)#limit-resource Conns 1000pixfirewall(config-class)#limit-resource Hosts 10pixfirewall(config-class)#limit-resource SSH 5pixfirewall(config-class)#limit-resourc

13、e Telnet 5pixfirewall(config-class)#limit-resource Xlates 50套用到指定的context指令：pixfirewall(config)#context ciscopixfirewall(config-ctx)#member test配置接口范例如下，其中有multi-context fai的設(shè)定ASA# show running-config:Saved:ASA Version 8.0(4) ! system密碼，個(gè)別context!勺密碼設(shè)定需要到contex底下去設(shè)定 enable password !interface Gigabi

14、tEthernet0/0.101description Customer1 insidevlan 101 !interface GigabitEthernet0/0.102description Customer2 insidevlan 102 ! !interface GigabitEthernet0/1.501description Customer1 outsidevlan 501網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) HYPERLINK !interface GigabitEthernet0/1.502description Customer2 outsidevlan 502!指定failove界面inter

15、face GigabitEthernet0/2description LAN Failover Interface!指定 stateful fail界Mirinterface GigabitEthernet0/3description STATE Failover Interface !系統(tǒng)資源分配class ciscolimit-resource All 0limit-resource ASDM 5limit-resource SSH 5limit-resource Telnet 5 !boot system disk0:/asa804-k8.binftp mode passiveclock

16、 timezone TPE 8pager lines 24!以下是 active active faifllOiVe定failoverfailover lan unit primaryfailover lan interface failover GigabitEthernet0/2failover polltime unit 1 holdtime 3failover polltime interface 3 holdtime 15failover replication httpfailover link stateful GigabitEthernet0/3failover interfa

17、ce ip failover 52 standby failover interface ip stateful 52 standby failover group 1preempt 10replication httpfailover group 2secondarypreempt 10replication http!以下是圖形管理接口檔案位置asdm image disk0:/asdm-615.bin!虛擬防火墻adminadmin-context admincontext adminconfig-url disk0:/admin.cfg!虛擬防火墻Customer!設(shè)定為Failove

18、r group1 context Customer!description Customer!allocate-interface GigabitEthernet0/0.101 visibleallocate-interface GigabitEthernet0/1.501 visibleconfig-url disk0:/Customer1 join-failover-group 1!虛擬防火墻Customer?設(shè)定為Failover group2 context Customer?description Customer2allocate-interface GigabitEthernet

19、0/0.102 visibleallocate-interface GigabitEthernet0/1.502 visibleconfig-url disk0:/Customer2 join-failover-group 2!username cisco password passwordprompt hostname contextCryptochecksum:3f8df13b36f2850f49d8b29b66ccabe2:end4. 個(gè)別 context設(shè)定與 Active/Active failover個(gè)別context設(shè)定與single mode沒(méi)有差異，步驟是設(shè)定interfac

20、e nameifsecurity leve接口 ip地址、遠(yuǎn)程管理、密碼、路由信息、NAT、防 火墻策略等等。以上 failove設(shè)定，將 PRIMARY ASA 設(shè)定為 failover group1,SECONDARY ASA 設(shè)定為 failover grou而 Customerl預(yù)設(shè)為 failovergroup 1 群組，Customer2預(yù)設(shè)為 failover group群組，并啟動(dòng) statefulfailover兩個(gè)客戶(hù)封包路徑如下圖：Customerl/24當(dāng)ASA primary故障時(shí)，流量集中到良好設(shè)備線路上，此時(shí)session 不會(huì)中斷，服務(wù)保持正常，達(dá)到failov

21、er預(yù)期效果。Customer!/24failover GigafciitEthernet0/2 (up) frequency 1 seconds, holdtime 3 seconds Poll frequency 3 seconds, holdtline 15 seconds Policy 1 Interfaces 5 of 250 inaxiinuin檢視 ASA failover 信息，指令:show failover ASA# show failover Failover On Failover unit Primary Failover LAN Interface: Unit Poll Interface Interface Monitoredfailover replication http Version: Ours S. (4)f Hate 8.0 (4)Group 1lastfailover at: 10:04:37 PHSTNov 20200SGroup 2lastfailover at: 10:04:37 PHSTNov 20200SThishost:Pri