目录
一、实验原理
1.思科 ASDM特性
2.安全级别security level介绍
3.相同安全级别接口之间的通信
4.同一接口内的通讯
5.运行路由协议
二、实验拓扑
三、实验步骤
四、实验过程
总结
| 实验难度 | 3 |
| 实验复杂度 | 2 |
一、实验原理
1.思科 ASDM特性
(1)可以运行在不同的平台
(2)运行java来提供强大的实时监控
(3)使用SSL来确保和ASA的安全通讯
(4)在新的思科ASA中预安装到flash
(5)能够在同一时间同时管理多个ASA
(6)思科ASDM会话:
---------五个思科ASDM会话单元(单模)或者虚拟防火墙(多模)
---------32个会话单元(多模式)
(7)支持所有的思科ASA
(8)ASA软件版本要的ASDM版本兼容
(9)硬件型号要兼容思科ASCM软件版本
2.安全级别security level介绍
(1)从高级安全级别接口到低安全级别接口的流量叫outbound流量,这种流量默认是允许通过的。
(2)从低级安全级别接口到高安全级别接口的流量叫inbound流量,这种流量默认是不允许的,但是可以使用ACL来放行inbound流量。
(3)相同安全级别接口之间的流量默认是不允许通信的,但是可以使用命令放行。
(4)安全级别的范围为0-100。
(5)默认inside安全级别为100,其实接口默认为0.
3.相同安全级别接口之间的通信
(1)ASA支持101个安全级别和多于101个子接口
(2)可以为不同的接口指定相同的安全级别
(3)默认相同安全级别接口间的流量是不允许的
(4)需要激活inter-interface之间的通讯。
具体的命令:same-security-traffic permit inter-interface
4.同一接口内的通讯
(1)在Hub-and-Spoke VPN的环境中,流量需要从同一个子接口进入和离开防火墙。
(2)默认情况下,这种流量是不被允许通信的。
(3)可以使用命令来激活intra-interface之间的通讯。
具体的命令:same-security-traffic permit intra-interface
5.运行路由协议
ASA支持:RIP/OSPF/EIGRP
它的配置方式与IOS是相同的(重分布、路由过滤等)
ASA 8.0所有的掩码都为正掩码(ACL,路由通告等)
二、实验拓扑
三、实验步骤
1.搭建如图所示的网络拓扑;
2.初始化路由器,配置好相应的IP地址;
3.命令防火墙的名字为ASA,定义相应的三个区域接口(inside/outside/dmz),并配置相应的IP地址;
4.设置ASA的三个接口的安全级别,inside:100,outside:0,dmz:50;
5.在各个路由器上配置默认路由,然后在inside路由器上配置远程登陆信息为:
(1)特权密码:ccie
(2)登陆用户名为:inside
(3)登陆的密码为:ccie
在outside路由器上配置远程登陆信息为:
(1)特权密码:ccie
(2)登陆用户名为:outside
(3)登陆的密码为:ccie
在dmz路由器上配置远程登陆信息为:
(1)特权密码:ccie
(2)登陆用户名为:dmz
(3)登陆的密码为:ccie
6.使用ping与telnet测试手段来测试各个路由器之间的网络连通性;
7.ASA的一些常用查看命令;
四、实验过程
1.搭建如图所示的网络拓扑;
略。
2.初始化路由器,配置好相应的IP地址;
inside:
outside:
dmz:
3.命令防火墙的名字为ASA,定义相应的三个区域接口(inside/outside/dmz),并配置相应的IP地址;
4.设置ASA的三个接口的安全级别,inside:100,outside:0,dmz:50;
测试直连网络的连通性:
现在直连网络是可以相互通信的。
5.在各个路由器上配置默认路由,然后在inside路由器上配置远程登陆信息为:
(1)特权密码:ccie
(2)登陆用户名为:inside
(3)登陆的密码为:ccie
在outside路由器上配置远程登陆信息为:
(1)特权密码:ccie
(2)登陆用户名为:outside
(3)登陆的密码为:ccie
在dmz路由器上配置远程登陆信息为:
(1)特权密码:ccie
(2)登陆用户名为:dmz
(3)登陆的密码为:ccie
inside:
outside:
dmz:
6.使用ping与telnet测试手段来测试各个路由器之间的网络连通性;
(1)ping
(2)telnet
inside路由器:
outside路由器:
DMZ路由器:
以上的实验说明,在默认情况下,ICMP协议是无法穿越防火墙的,因为默认防火墙会把穿越防火墙的ICMP报文丢弃,防火墙它不会维护ICMP的状态表项。防火墙它是可以实现高安全级别到低安全级别的通信的,这种流量是可以被防火墙监控的TCP/UDP流量,若是低安全级别的接口流量的话,默认是不可以与高级安全级别的接口区域通信。
7.ASA的一些常用查看命令;
代码解析:
ASA(config)# show nameif //查看已经命令的接口名称及相应的安全级别信息
ASA(config-if)# nameif inside //命令这个接口的名称为inside,这个inside是可以被防火墙直接调用的
ASA(config-if)# security-level 100 //设定防火墙的安全级别,这个范围为0-100
ASA(config)#show run all //用于查看隐藏的配置 后接关键字可以查找对应的条目
ASA(config)#show cpu usage //查看设备的CPU占用情况
ASA(config)#show memory //查看内存等相关的信息
ASA(config)#show perfmon 可以查看到连接数等信息
ASA(config)#show conn 可以查看连接表,这个的状态表项是针对TCP/UDP协议的
ASA(config)# show interface ip brief //查看防火墙的接口简要信息,这个命令与在路由器、交换机上有点不一样哈,注意
注意:
思科ASA的密码默认为空的,所以当看到未初始化的防火墙需要输入特权密码时,可以直接回车。
总结
本章节介绍了ASA的一些基本的术语、初始化ASA与相关的一些查看命令,为了让大家看得明白,这个防火墙我会尽可能地把相关联的内容分开写这个篇章,也就是细分实验,不然很多朋友都会被那些综合实验搞懵的。好了,我们在下一个章节再见,加油!
