Cisco—ASA的基本思路和应用

Posted 2020-10-26

                 ASA-防火墙-cisco

ASA防火墙的作用 1、在网络中隔离危险流量，不分地点。 ASA防火墙的原理 1、通过安全级别区分不同的区域：内部区域、外部区域、非军事化区域。 默认情况下： 高级别的流量可以去低级别的， 低级别的流量不可以去高级别的， 同级别的不可同信。 Inside 默认安全级别为 100 名字唯一 Outside 默认安全几倍为 0 名字唯一 MDZ（非军事化区域） 默认安全级别为0 名字唯一 2、部署 在需要进行安全防护或者流量隔离的地方部署。 经典部署方案 ISP ----- FW ---- GW ---- Core-Router ---- Core-Switch ISP ----- GW -- outside--- FW -- inside-- Core-Router ---- Core-Switch	DMZ(Server) ISP ----- GW -- outside -- FW --	-- FW ----- Core-Router -- Core-Switch

                             DMZ(server)

3、防火墙接口的配置
1、要配以接口名字（逻辑名字）：nameif xxx
2、要配以接口安全级别 security-level 0~100
3、要配以接口IP ip address xxxx
ASA流量转发
1、流量转发方式
出站流量：从高安全级别的地方去往低级别的流量。
入站流量：从低安全级别的地方去往高级别的流量。
2、转发处理流量的方式，工作过程。
a、只对TCP和UDP的流量，对其他流量统统干掉。
b、从高安全级别发向低安全级别的工作过程。
先匹配本地ASA的路由表，如果匹配则先确定出端口，转发出去，并在conn表内形成一个条目。
匹配不成功则丢弃。
c、当收到发送出去的流量的回包，则先查看conn表，有条目则在查看路由表，转发出去。
没有条目则丢弃。
实验结果
ping不通
telnet通
想要ping通，则在ping包的回端口上调用acl

验证命令：
ASA:
show interface ip brief <---查看接口的状态和IP地址；
show route <---查看 ASA 上面的路由表
show run interface gi0 <----查看某一个接口的配置
ASA(config)# clear config all <----清除正在运行的配置文件
Router:
show ip interface brief
show ip route

ACL和conn表的对比。

实验基本环境 ：
Inside 安全等级100
Outside 安全等级 0
Dmz 安全等级 50
R1可以telnetR2和R4，R4可以telnetR2。
1、在e2的接口上调用一个允许R4访问R1的ACL，能不能访问，会不会形成conn表。
ASA(config)# access-list R1 permit tcp host 192.168.3.1 host 192.168.1.1 eq 23
ASA(config)# access-group R1 in interface DMZ
在R4telnetR1之前
ASA# show conn
0 in use, 1 most usedDMZ#telnet 192.168.1.1
R4telnetR1
Trying 192.168.1.1 ... Open
User Access Verification
Password:
Inside>enable
Password:
Inside#
telnet之后
1 in use, 2 most used
TCP DMZ 192.168.3.1:21477 inside 192.168.1.1:23, idle 0:00:54, bytes 163, flags UIOB
结论：主动流量不管从高到低，还是低到高，如果端口有acl放行规则，则查找路由表，确定出端口，转发出去，同时形成conn表。（注意顺序，不可变）。

2、R1能telnet到R2
a、如果e0调用一个出项acl，会不会通。
b、如果e1条用一个入项acl，会不会通。
ASA(config)# access-list Gdtel deny tcp host 192.168.1.1 eq 23 （注意数据回去的时候的端口）
host 192.168.2.1
ASA(config)# access-list Gdtel permit ip any any 取消最后一条acl的默认拒绝的影响
ASA(config)# access-group Gdtel in interface outside 调用入项
ASA(config)# access-group Gdtel out interface inside 调用出项

Inside#telnet 192.168.2.1
Trying 192.168.2.1 ... Open
Outside>
Outside>en
Outside>enable
Password:
Outside#
结论，只要是从高安全级别出去的流量，形成了conn表，在数据返回时，就相当于多了一道免死金牌，不会被干掉

3、R1能telnet到R2
a、如果在e0调用入项的拒绝acl，会不会通。
b、如果在e1调用出项的拒绝acl，会不会通。
结论，对于a条件，那是必然不通的
对于b条件，也是不同的，且没有conn表。
原因：如果在e1调用出项的拒绝acl，那么数据是可以进入ASA中，并查看路由表，路由表中，包含着R1的telnetR2的路怎么走，从哪个端口出去，这时就要查看这个出端口有没有acl，一查有一个出项的acl，那么这个数据直接被pass，并且不会形成conn表。
如图》》》》

ASA应用 PNAT
8.4版本以后系统中的一种新型配置。

PNAT
内网访问外网
ASA(config)# object network NAT（随意起） 为NAT定义一个对象类型（network）。
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0 相当于创建acl
ASA(config-network-object)# nat (inside（内网端口）,outside（外网端口）) dynamic interface 相当于调 用acl