任務(wù)9.2 ASA防火墻的配置_第1頁(yè)
任務(wù)9.2 ASA防火墻的配置_第2頁(yè)
任務(wù)9.2 ASA防火墻的配置_第3頁(yè)
任務(wù)9.2 ASA防火墻的配置_第4頁(yè)
任務(wù)9.2 ASA防火墻的配置_第5頁(yè)
已閱讀5頁(yè),還剩29頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

付費(fèi)下載

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

計(jì)算機(jī)網(wǎng)絡(luò)安全管理技術(shù)項(xiàng)目九任務(wù)9.2ASA防火墻的配置防火墻和入侵防御技術(shù)的應(yīng)用【任務(wù)目標(biāo)】

1.理解ASA的概述和特點(diǎn)等2.能描述ASA防火墻模式3.學(xué)會(huì)正確配置ASA防火墻【任務(wù)環(huán)境】1、主流PC機(jī)一臺(tái)2、PacketTracer軟件

任務(wù)9.2ASA防火墻的配置

【網(wǎng)絡(luò)拓?fù)鋱D】

任務(wù)9.2ASA防火墻的配置【網(wǎng)絡(luò)IP地址分配表】

設(shè)備名接口IP地址/子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)ASAVlan1(Et0/1)/24

Vlan2(Et0/0)/24

Vlan3(Et0/2)/24

R1Se0/0/0/24----Fa0/0/24----R2Se0/0/0/24----Fa0/0/24----PC1Fa0自動(dòng)獲取自動(dòng)獲取PC2Fa0/24S1Fa0/24任務(wù)9.2ASA防火墻的配置【知識(shí)支撐】

一、自適應(yīng)安全設(shè)備ASA概述IOS防火墻解決方案適合在小的分支機(jī)構(gòu)部署,以及適合有CiscoIOS使用經(jīng)驗(yàn)的管理員。但是,IOS防火墻解決方案的擴(kuò)展性不好,通常無(wú)法滿足大型企業(yè)的需求。ASA是一個(gè)獨(dú)立的防火墻設(shè)備,是CiscoSecureX架構(gòu)的重要組成部分。ASA有多個(gè)型號(hào),所有產(chǎn)品都提供了高級(jí)的有狀態(tài)防火墻和VPN功能。對(duì)于ASA型號(hào)的選擇,取決于企業(yè)的需求,比如像最大吞吐量、每最大連接數(shù)以及預(yù)算等。

任務(wù)9.2ASA防火墻的配置

ASA軟件把防火墻、VPN集中器、入侵防御功能集成到一個(gè)軟件映像中。之前,這些功能是在三個(gè)不同的設(shè)備中提供的,每一個(gè)有自己的軟件和硬件。結(jié)合這些功能到一個(gè)軟件映像中,會(huì)顯著地提高應(yīng)用的性能。任務(wù)9.2ASA防火墻的配置二、特性1、ASA虛擬化

一個(gè)單獨(dú)的ASA可以被分割成多個(gè)虛擬設(shè)備。每個(gè)虛擬設(shè)備叫做安全上下文(securitycontext),每個(gè)context是一個(gè)單獨(dú)的設(shè)備,擁有自己的安全策略、接口和管理者。多上下文(multiplecontext)就像有多個(gè)獨(dú)立的設(shè)備。在多上下文模式中支持很多特性,包括路由表、防火墻特性、IPS和管理功能。任務(wù)9.2ASA防火墻的配置

2、帶有故障切換的高可用性兩個(gè)相同的ASA可以配對(duì)成活躍/備份的故障切換配置,以提供設(shè)備的冗余。這兩個(gè)ASA的軟件、許可、內(nèi)存和接口,包括安全服務(wù)模塊(SSM),必須相同。任務(wù)9.2ASA防火墻的配置

3、身份防火墻

ASA可以基于IP地址到Windows活動(dòng)目錄登錄信息的關(guān)聯(lián),提供可選的精細(xì)訪問(wèn)控制。例如,當(dāng)客戶端嘗試訪問(wèn)服務(wù)器資源時(shí),它必須先使用基于Microsoft活動(dòng)目錄身份的防火墻服務(wù)進(jìn)行認(rèn)證。通過(guò)指定用戶或組的方式,可以增強(qiáng)現(xiàn)有的訪問(wèn)控制和安全策略機(jī)制?;谏矸莸陌踩呗钥梢院蛡鹘y(tǒng)的基于IP地址的規(guī)則無(wú)限制地交叉使用。任務(wù)9.2ASA防火墻的配置

4、威脅控制和抑制服務(wù)所有的ASA型號(hào)都支持基本的IPS特性。然而,高級(jí)的IPS特性只能由ASA架構(gòu)中集成的專門硬件模塊來(lái)提供。IPS功能是通過(guò)使用高級(jí)的檢測(cè)和防御模塊來(lái)提供的,而反惡意軟件功能可以和內(nèi)容安全和控制模塊整合部署。它們還可以使用專門的IPS檢測(cè)引擎和數(shù)千的特征,來(lái)防護(hù)數(shù)百萬(wàn)潛在的未知漏洞及變種。任務(wù)9.2ASA防火墻的配置

三、ASA防火墻模式

1、路由模式當(dāng)防火墻的兩個(gè)或多個(gè)接口用來(lái)分割第三層網(wǎng)絡(luò)時(shí),此時(shí)通常部署防火墻的路由模式。ASA在網(wǎng)絡(luò)中被認(rèn)為是一個(gè)路由器,并且可以在連接的網(wǎng)絡(luò)間執(zhí)行NAT。路由模式支持多接口。每個(gè)接口在不同的子網(wǎng)內(nèi),并且需要該子網(wǎng)的一個(gè)IP地址。當(dāng)流量穿越防火墻時(shí),接口會(huì)對(duì)流量應(yīng)用策略。任務(wù)9.2ASA防火墻的配置

2、透明模式在透明模式中,ASA的功能類似一個(gè)第2層設(shè)備。透明模式通常被稱為“線路插件”或“隱形防火墻”。在透明模式下,ASA的功能類似于第2層交換機(jī),不被當(dāng)做路由器。ASA在本地網(wǎng)絡(luò)中分配了一個(gè)IP地址,用于實(shí)現(xiàn)管理的目的。透明防火墻可以來(lái)簡(jiǎn)化網(wǎng)絡(luò)配置,或者是部署在現(xiàn)有IP編址不能改變的場(chǎng)景中。透明模式的另外一個(gè)好處就是對(duì)于攻擊者來(lái)說(shuō)它是不可見(jiàn)的。然而,使用透明模式的缺點(diǎn)包括不支持動(dòng)態(tài)路由協(xié)議、VPN、QoS和DHCP中繼。任務(wù)9.2ASA防火墻的配置

【任務(wù)要求】在該任務(wù)中,PC1模擬公司內(nèi)部電腦,S1模擬公司內(nèi)部服務(wù)器,PC2模擬外網(wǎng)電腦,R1和R2模擬外部網(wǎng)絡(luò)路由器,ASA模擬內(nèi)部網(wǎng)絡(luò)防火墻,現(xiàn)要求配置ASA防火墻,實(shí)現(xiàn)以下要求:任務(wù)9.2ASA防火墻的配置1)PC1可以在ASA防火墻上動(dòng)態(tài)獲取IP地址2)PC1可以ping通PC2和S1,PC2不可以ping通PC1和S1,S1不可以ping通PC1和PC23)只有PC1可以使用Telnet協(xié)議遠(yuǎn)程登錄到ASA防火墻上進(jìn)行管理4)PC1和PC2都可以訪問(wèn)S1的HTTPS服務(wù)任務(wù)9.2ASA防火墻的配置

【任務(wù)實(shí)施】1、繪制網(wǎng)絡(luò)拓?fù)鋱D2、根據(jù)網(wǎng)絡(luò)IP地址分配表,配置設(shè)備接口IP地址等參數(shù)

任務(wù)9.2ASA防火墻的配置

3、網(wǎng)絡(luò)基本環(huán)境的搭建

1)在R1和R2上配置路由,使外部網(wǎng)絡(luò)互通主要配置命令如下:2)在S1上開(kāi)啟HTTPS服務(wù)R1(config)#iproutes0/0/0//配置去往/24網(wǎng)段的靜態(tài)路由R1(config)#iproute//配置指向ASA防火墻的默認(rèn)靜態(tài)路由R2(config)#iproutes0/0/0//配置指向R1的默認(rèn)靜態(tài)路由任務(wù)9.2ASA防火墻的配置

4、ASA防火墻的基本配置

1)配置ASA防火墻的主機(jī)名和域名主要配置命令如下:ciscoasa(config)#hostnameASA//配置防火墻主機(jī)名為ASAASA(config)#domain-name//配置防火墻域名為任務(wù)9.2ASA防火墻的配置2)配置ASA防火墻enable密碼主要配置命令如下:ASA(config)#enablepasswordP@ssw0rd//配置防火墻enable密碼任務(wù)9.2ASA防火墻的配置3)配置ASA防火墻接口主要配置命令如下:ASA(config)#intvlan1//vlan1為內(nèi)部網(wǎng)絡(luò)vlan,其中Et0/1默認(rèn)位于該vlan內(nèi)ASA(config-if)#nameifinside//為該接口命名為insideASA(config-if)#ipaddress//為該接口配置ip地址ASA(config-if)#security-level100//為該接口配置安全級(jí)別值為100,該值范圍為0-100,值越大安全級(jí)別越高,一般將內(nèi)部網(wǎng)絡(luò)接口指定為100,而外部網(wǎng)絡(luò)接口指定為0,其他接口介于兩者之間。任務(wù)9.2ASA防火墻的配置

ASA(config)#intvlan2//vlan2為外部網(wǎng)絡(luò)vlan,其中Et0/0默認(rèn)位于該vlan內(nèi)ASA(config-if)#nameifoutside//為該接口命名為outsideASA(config-if)#ipaddressASA(config-if)#security-level0ASA(config)#intvlan3//創(chuàng)建并進(jìn)入vlan3接口ASA(config-if)#noforwardinterfacevlan1//限制該接口發(fā)起去往vlan1的流量ASA(config-if)#nameifdmz//為該接口命名為dmzASA(config-if)#ipaddressASA(config-if)#security-level50ASA(config)#inte0/2ASA(config-if)#switchportaccessvlan3//將Et0/2接口劃入vlan3中任務(wù)9.2ASA防火墻的配置

5、在ASA防火墻上配置默認(rèn)路由主要配置命令如下:ASA(config)#routeoutside//配置指向R1的默認(rèn)靜態(tài)路由任務(wù)9.2ASA防火墻的配置

6、在ASA防火墻上為內(nèi)部網(wǎng)絡(luò)配置DHCP服務(wù)主要配置命令如下:ASA(config)#dhcpdenableinside//在inside接口上開(kāi)啟dhcp服務(wù)ASA(config)#dhcpdaddress0-0inside//為inside接口下的終端設(shè)備提供ip地址,范圍為0到0ASA(config)#dhcpddnsinterfaceinside//為inside接口下的終端設(shè)備提供dns地址任務(wù)9.2ASA防火墻的配置

7、在ASA防火墻上配置AAA及Telnet服務(wù)1)配置AAA服務(wù)主要配置命令如下:ASA(config)#aaaauthenticationtelnetconsoleLOCAL//為telnet服務(wù)開(kāi)啟AAA本地認(rèn)證ASA(config)#usernameuser01passwordP@ssw0rd

//創(chuàng)建本地用戶數(shù)據(jù)庫(kù)任務(wù)9.2ASA防火墻的配置2)配置Telnet服務(wù)主要配置命令如下:ASA(config)#telnetinside//配置/24網(wǎng)段的主機(jī)允許訪問(wèn)telnet服務(wù)ASA(config)#telnettimeout10//配置telnet服務(wù)超時(shí)時(shí)間為10分鐘,默認(rèn)為5分鐘任務(wù)9.2ASA防火墻的配置

8、在ASA防火墻上配置NAT服務(wù)

1)為inside接口下的終端設(shè)備配置PAT服務(wù)主要配置命令如下:ASA(config)#objectnetworkinside//創(chuàng)建名為inside的NAT對(duì)象ASA(config-network-object)#subnet//指定內(nèi)網(wǎng)地址范圍ASA(config-network-object)#nat(inside,outside)dynamicinterface//為內(nèi)網(wǎng)訪問(wèn)外網(wǎng)提供PAT服務(wù)任務(wù)9.2ASA防火墻的配置2)為dmz接口下的終端設(shè)備配置靜態(tài)NAT服務(wù)主要配置命令如下:ASA(config)#objectnetworkdmz//創(chuàng)建名為dmz的NAT對(duì)象ASA(config-network-object)#host//指定內(nèi)部主機(jī)地址ASA(config-network-object)#nat(dmz,outside)static0//為內(nèi)網(wǎng)主機(jī)地址訪問(wèn)外網(wǎng)提供靜態(tài)NAT服務(wù)任務(wù)9.2ASA防火墻的配置

9、在ASA防火墻上開(kāi)啟默認(rèn)全局策略主要配置命令如下:ASA(config)#class-mapinspction_default//定義默認(rèn)分類inspction_defaultASA(config-cmap)#matchdefault-inspection-traffic//匹配所有檢查的默認(rèn)端口ASA(config)#policy-mapglobal_policy//定義默認(rèn)策略global_policyASA(config-pmap)#classinspction_default//調(diào)用默認(rèn)分類inspction_defaultASA(config-pmap-c)#inspecticmp//為ICMP協(xié)議提供檢查服務(wù)ASA(config)#service-policyglobal_policyglobal//配置服務(wù)策略為調(diào)用默認(rèn)策略global_policy任務(wù)9.2ASA防火墻的配置

10、在ASA防火墻上配置訪問(wèn)控制列表主要配置命令如下:ASA(config)#access-listdmz1permittcpanyhosteq443//創(chuàng)建名為dmz1的訪問(wèn)控制列表,允許所有流

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論