1、,CISCO ASA5500 系列自適應(yīng)安全產(chǎn)品,ASA5500 產(chǎn)品參數(shù)對比表,ASA IDS 模塊,ASA 防病毒模塊,ASA5500 產(chǎn)品訂貨編號,ASA IPS bundle 訂貨編號,ASA Anti-X bundle 訂貨編號,ASA Anti-X 模塊擴(kuò)展 訂貨編號,ASA FireWall 技術(shù)簡介,ASA IPS 技術(shù)簡介,如何防御攻擊？,入侵保護(hù)系統(tǒng)IPS,入侵檢測系統(tǒng)IDS,IDS,IPS,IPS 產(chǎn)品和IDS產(chǎn)品最大的不同: IPS產(chǎn)品通常串接在防火墻和交換機(jī)之間，這點(diǎn)和以前基于網(wǎng)絡(luò)的IDS不同，串聯(lián)在防火墻后面的IPS檢查所有進(jìn)出的數(shù)據(jù)包，并且根據(jù)特征檢測來識別攻擊的

2、數(shù)據(jù)包，在數(shù)據(jù)包到達(dá)目標(biāo)之前就會被IPS產(chǎn)品中途截獲，并且采取丟棄數(shù)據(jù)包、中止會話、同時修改防火墻策略，進(jìn)行報警和日志的記錄等動作，達(dá)到“防御”的目的。 IDS 產(chǎn)品通常并聯(lián)在交換機(jī)上。IDS產(chǎn)品只能把攻擊信息告訴防火墻，本身不能起到任何防御的作用。,IDS : Intrusion Detection system 入侵檢測系統(tǒng) IPS : Intrunsion Prevention System 入侵防御系統(tǒng),IDS &IPS 區(qū)別,ASA Anti-X 技術(shù)簡介,ASA VPN 技術(shù)簡介,調(diào)試培訓(xùn)內(nèi)容,通過控制臺接口連接到ASA 基本配置命令 設(shè)置 ASA 接口 設(shè)置 NAT 設(shè)置靜態(tài)路由

3、 管理方式ASDM /telnet/ssh 訪問 ASA 配置DHCP 配置ADSL 定義安全策略 設(shè)置透明模式 配置L2L VPN 配置遠(yuǎn)程VPN,實(shí)驗拓?fù)鋱D,,/24,通過控制臺接口連接到ASA,1.打開CRT軟件選擇快速連接 2 選擇協(xié)議中的Serial串行協(xié)議,1.端口設(shè)置在設(shè)備管理器中查看com口 2.波特率:9600 3.其余默認(rèn),基本配置命令,查看命令 asacisco#Show version 查看ASA信息 asacisco#Show run 查看ASA配置信息,是否配成功 asacisco#Show interface 查看接口狀

4、基本 asacisco enable -進(jìn)入全局模式 Password: -第一次登陸密碼是空的 asacisco#conf t -主機(jī)名#號代表進(jìn)入全局模式 conf t進(jìn)入配置模式 asacisco(config)#-全局配置模式 asacisco(config-if)#-接口全局配置模式 asacisco(config-if)#exit-退出接口全局模式,只要退出都可以使用 如果配置錯誤,在你配置的命令前面加no 保存配置 asacisco#Write 將配置寫入ASA asacisco# write erase 恢復(fù)出廠配置,設(shè)置 ASA 接口,asacisco(config)# in

5、terface Ethernet0/0 -進(jìn)入E0/0接口 asacisco(config-if)# nameif inside -定義為接口名稱 asacisco(config-if)#security-level 100 -安全等級為100 asacisco(config-if)#ip address -接口配置地址 asacisco(config-if)#no shut -激活接口 asacisco(config-if)#exit -退出接口,asacisco(config)# interface GigabitEthernet0/1 -

6、進(jìn)入gig0/1接口 asacisco(config-if)# nameif DMZ -定義為接口名稱 asacisco(config-if)#security-level 50 -安全等級為50 asacisco(config-if)#ip address -接口配置地址 asacisco(config-if)#no shut -激活接口 asacisco(config-if)#exit 如果配置錯誤,在你配置的命令前面加no ip address接口的IP地址就刪處掉了,設(shè)置 NAT,PAT端口地址轉(zhuǎn)換 asacisco(config)#

7、nat (inside) 1 -轉(zhuǎn)換內(nèi)部地址 asacisco(config)# nat (inside) 1 -轉(zhuǎn)換所以網(wǎng)段 asacisco(config)# nat (dmz) 1 -轉(zhuǎn)換dmz地址 asacisco(config)# global (outside) 1 interface -NAT轉(zhuǎn)換為外部接口地址上互連網(wǎng) DMZ的NAT asacisco(config)# global (dmz) 1 172.16.1.

8、200-30 netmask DMZ使用的隨機(jī)IP地址池(這條命令可以使inside的多臺主機(jī)訪問dmz服務(wù)器) 一對一映射配置命令 asacisco(config)# static (dmz,outside) tcp 外部地址 80 外部端口 0 dmz地址 80 dmz端口 netmask 55 精確主機(jī)掩碼 asacisco(config)# static (dmz,outside) tcp 80 0 80 netmask 255.25

9、5.255.255 asacisco(config)# static (inside,outside) tcp 外部地址 21 外部端口 內(nèi)部地址 21 內(nèi)部端口 netmask 55 asacisco(config)# static (inside,outside) tcp 21 0 21 netmask 55 如果配置錯誤, no nat (inside) 1 這個應(yīng)該用就刪處掉了,設(shè)置靜態(tài)路由,asacisco(config)#

10、route outside -外部路由 去所有網(wǎng)段的數(shù)據(jù)包 的下一跳,是網(wǎng)通的網(wǎng)關(guān) asacisco(config)#route inside -內(nèi)部路由 如果客戶內(nèi)網(wǎng)不是一個網(wǎng)段,可以使用內(nèi)部回指路由,管理方式ASDM /telnet/ssh 訪問 ASA,asacisco(config)#http server enable -開啟WEB管理 asacisco(config)#http inside 準(zhǔn)許所有內(nèi)部源

11、地址,訪問WEB asacisco(config)#username cisco password cisco privilege 15 設(shè)置ASDM使用的用戶名 密碼,授予15級最高,通過 ASDM 登陸設(shè)備（/24）,我們將安裝一個 ASDM launcher 到本機(jī)器，下次再登陸 ADSM 時就可以直接運(yùn)行該管理軟件。,輸入用戶名和密碼 Username:cisco passwd:cisco,輸入用戶名和密碼為 CISCO,安裝 ASDM LAUNCHER 文件后下次登陸就可以直接運(yùn)行l(wèi)auncher,telnet/ssh 訪問 ASA,telnet 配置 asacisc

12、o(config)#telnet inside 準(zhǔn)許所有內(nèi)部源地址,telnet ASA asacisco(config)#passwd cisco 配置telnet 密碼 asacisco(config)# Enable password cisco -配置進(jìn)入全局模式密碼,ssh 配置 asacisco(config)# domain-name -定義域名 asacisco(config)#crypto key generate rsa modulus 512 -定義加密算法 asacisco(config)#ssh outs

13、ide 準(zhǔn)許所有外部源地址,ssh ASA asacisco(config)#ssh timeout 60 -超時時間 asacisco(config)# username cisco password cisco privilege 15 設(shè)置ssh使用的用戶名 密碼,授予15級最高,Telnet 登陸測試,利用 SSH client 軟件進(jìn)行登陸,配置DHCP,dhcpd dns 0 51 配置DNS服務(wù)器地址 dhcpd wins 0 配置WINS服務(wù)器 dhcpd address 00-00

14、inside 分配地址100-200在inside接口 dhcpd enable inside -開啟inside接口上的DHCP dhcpd address 0-0 dhcpd enable dmz,配置ADSL,asacisco(config)# interface Ethernet0/0 -進(jìn)入接口 asacisco(config-if)# nameif outside asacisco(config-if)# security-level 0 asacisco(config-if)# pppoe client vpdn group ADSL 開啟

15、pppoe asacisco(config-if)# ip address pppoe setroute 自動創(chuàng)建一個缺省路由,asacisco(config)# vpdn group ADSL request dialout pppoe -請求pppoe撥號 asacisco(config)# vpdn group ADSL localname fs87829050 ADSL用戶名 asacisco(config)# vpdn group ADSL ppp authentication pap -認(rèn)證方式 asacisco(config)# vpdn username fs87829050

16、password * -adsl用戶名密碼,定義安全策略,ACL(訪問控制列表)分為標(biāo)準(zhǔn)和擴(kuò)展,區(qū)別在與標(biāo)準(zhǔn)的只基于源,而擴(kuò)展的基于源和目的 ACL號標(biāo)準(zhǔn)的1-99 擴(kuò)展100-199 asacisco(config)# access-list (word) (permit/deny) (源網(wǎng)絡(luò),源主機(jī)) asacisco(config)# access-list 10 standard permit 擴(kuò)展ACL asacisco(config)# access-list (word) (permit/deny) (協(xié)議tcp/udp/ip)

17、 (源網(wǎng)絡(luò),源主機(jī)) (目的網(wǎng)絡(luò),目的主機(jī)) asacisco(config)# access-list 101 permit ip (-允許/24網(wǎng)段訪問,/24網(wǎng)段) asacisco(config)# access-list 100 permit tcp any(源) host (目的) eq 80 -any 所有源地址 host 只針對主機(jī) ep就是= 80端口 asacisco(config)# access-lis

18、t 100 extended permit tcp any host eq 80 -允許外部所有主機(jī)訪問的80端口 asacisco(config)# access-group 100 in interface outside - 將100 ACL應(yīng)用到 outside接口上 asacisco(config)# access-group 101 in interface inside 將101 ACL 應(yīng)用到inside接口上 對象分組 asacisco(config)# object-group service 對象分組名字 tcp/udp協(xié)議 obje

19、ct-group service yongyou tcp（例子） port-object eq 5872 開啟的端口 port-object eq 1872 開啟的端口 Exit 退出 asacisco(config)# access-list out extended permit tcp any host object-group yongyou （寫一個ACL命名為out 協(xié)議為tcp允許外部所有主機(jī)訪問 的58721872） asacisco(config)# access-group out in interface outside（將ACL應(yīng)該

20、在outside接口上）,設(shè)置透明模式,轉(zhuǎn)換模式,設(shè)置透明模式,定義接口,設(shè)置透明模式,設(shè)置管理 IP(/24),透明模式下安全策略的定義和路由模式的設(shè)置是一樣的,VPN,借助IPSec，用戶可以通過互聯(lián)網(wǎng)等不受保護(hù)的網(wǎng)絡(luò)傳輸敏 感信息。IPSec在網(wǎng)絡(luò)層操作，能保護(hù)和鑒別所涉及的IPSec設(shè) 備（對等物）之間的IP包。 IPSec提供的網(wǎng)絡(luò)安全服務(wù)如下： 數(shù)據(jù)保密性在通過網(wǎng)絡(luò)傳輸之前，IPSec發(fā)送者可以對包進(jìn)行加密； 數(shù)據(jù)完整性IPSec接收者可以對IPSec發(fā)送者發(fā)出的包進(jìn)行鑒別，以保證數(shù)據(jù)在傳輸過程中未被篡改； 數(shù)據(jù)來源鑒別IPSec接收者可以識別所發(fā)送的IPSec包

21、的來源，這種服務(wù)與數(shù)據(jù)完整性服務(wù)相關(guān)；,IPSec自動建立安全通道的過程分為兩個階段： 第一階段：這個階段通過互聯(lián)網(wǎng)密鑰交換（IKE）協(xié)議實(shí)施，能建立一對IKE SA。IKE SA用于協(xié)商一個或多種IPSec SA，以便實(shí)際傳輸應(yīng)用數(shù)據(jù)。 第二階段：這個階段使用IKE SA提供的安全通道協(xié)商IPSec SA。當(dāng)這個階段結(jié)束時，兩臺對等設(shè)備均已建立了一對IPSec SA，以便提供傳輸應(yīng)用數(shù)據(jù)所需的安全通道。SA參數(shù)之一是壽命，可配置的壽命期結(jié)束之后，SA將自動終止，因此，這個參數(shù)能提 高IPSec的安全性。 IKE=isakmp,配置L2L VPN,/24,/

22、24,總部,s0/0,internet,分部,s0/0,/24,/24,主要類型：站點(diǎn)到站點(diǎn)VPN和遠(yuǎn)程接入VPN是VPN的兩個類型。,總部準(zhǔn)備配置 寫兩個ACL,在后面的配置會應(yīng)用到 第一個用來定義要加密的源和目的,也是感興趣流 從總部的的數(shù)據(jù)到 的數(shù)據(jù)加密 第二個ACL,從總部的的數(shù)據(jù)到 不做NAT轉(zhuǎn)換,去別的網(wǎng)絡(luò)繼續(xù)NAT asacisco(config)#access-list l2lvpn permit ip 255.255.255

23、.0 asacisco(config)#access-list nonat permit ip Asacisco(config)#access-list nonat deny ip any,分部準(zhǔn)備配置 寫兩個ACL,在后面的配置會應(yīng)用到 第一個用來定義要加密的源和目的,也是感興趣流 從總部的的數(shù)據(jù)到 的數(shù)據(jù)加密 第二個ACL,從總部的192.168.10.

24、0的數(shù)據(jù)到 不做NAT轉(zhuǎn)換, 去別的網(wǎng)絡(luò)繼續(xù)NAT asacisco(config)#access-list l2lvpn permit ip asacisco(config)#access-list nonat permit ip Asacisco(config)#access-list nonat deny ip 255.255

25、.255.0 any,/24,/24,總部,s0/0,internet,分部,s0/0,/24,/24,總部第一階段: asacisco(config)# crypto isakmp enable outside 在outside接口上開啟IKE asacisco(config)# crypto isakmp policy 10 進(jìn)入IKE asacisco(config-isakmp)# authentication pre-share 定義認(rèn)證方式 asacisco(config-isakmp)# encrypti

26、on 3DES 定義加密算法 asacisco(config-isakmp)# hash md5 定義驗證數(shù)據(jù)完整性 asacisco(config-isakmp)# group 2 定義組為2 asacisco(config-isakmp)# lifetime 86400 遂道時間,分部第一階段: asacisco(config)# crypto isakmp enable outside 在outside接口上開啟IKE asacisco(config)# crypto isakmp policy 10 進(jìn)入IKE asacisco(config-isakmp)# authenticati

27、on pre-share 定義認(rèn)證方式 asacisco(config-isakmp)# encryption 3DES 定義加密算法 asacisco(config-isakmp)# hash md5 定義驗證數(shù)據(jù)完整性 asacisco(config-isakmp)# group 2 定義組為2 asacisco(config-isakmp)# lifetime 86400 遂道時間,L2LVPN兩端的IKE參數(shù)必須一致,不然無法完成第一階段的IKE通道的建立,配置L2L VPN,/24,/24,總部,s0/0,internet,分部,s0/0,10.1

28、.1.0/24,/24,總部第二階段: 1.配置IPsec參數(shù),定義遂道數(shù)據(jù)中的加密方式.配置數(shù)據(jù)轉(zhuǎn)換集名字為vpnset 兩端參數(shù)一致 asacisco(config)#crypto ipsec transform-set vpnset esp-3des esp-md5-hmac 2.配置IPsec遂道密碼 進(jìn)入遂道組,名字用DefaultL2LGroup ,屬性是ipsec asacisco(config)# tunnel-group DefaultL2LGroup ipsec-attributes pre-shared-key cisco -定義密碼為cisco

29、3.創(chuàng)建數(shù)據(jù)加密圖名字為VPNMAP asacisco(config)#crypto map VPNMAP 10 match address l2lvpn -把準(zhǔn)備步驟中的l2lvpn ACL應(yīng)用到加密圖 asacisco(config)#crypto map VPNMAP 10 set peer - 指定要建立VPN遂道的對端IP地址 asacisco(config)#crypto map VPNMAP 10 set transform-set -vpnset 將轉(zhuǎn)換集應(yīng)用到加密圖中 asacisco(config)#crypto map VPNMAP interface

30、 outside - 將加密圖應(yīng)用到outside的接口上 4.對到不做NAT轉(zhuǎn)換 asacisco(config)#nat (inside) 0 access-list nonat -把nonat ACL應(yīng)用到nat中 配置完成,配置L2L VPN,/24,/24,總部,s0/0,internet,分部,s0/0,/24,/24,分部第二階段: 1.配置IPsec參數(shù),定義遂道數(shù)據(jù)中的加密方式.配置數(shù)據(jù)轉(zhuǎn)換集名字為vpnset 兩端參數(shù)一致,不然無法建立第二階段 asacisc

31、o(config)#crypto ipsec transform-set vpnset esp-3des esp-md5-hmac 2.配置IPsec遂道密碼 進(jìn)入遂道組,名字用DefaultL2LGroup ,屬性是ipsec asacisco(config)# tunnel-group DefaultL2LGroup ipsec-attributes pre-shared-key cisco 定義密碼為cisco 3.創(chuàng)建數(shù)據(jù)加密圖 asacisco(config)#crypto map VPNMAP 10 match address l2lvpn -把準(zhǔn)備步驟中的l2lvpnACL應(yīng)用到

32、加密圖 asacisco(config)#crypto map VPNMAP 10 set peer - 指定要建立VPN遂道的對端IP地址 asacisco(config)#crypto map VPNMAP 10 set transform-set -vpnset 將轉(zhuǎn)換集應(yīng)用到加密圖中 asacisco(config)#crypto map VPNMAP interface outside - 將加密圖應(yīng)用到outside的接口上 4.對到不做NAT轉(zhuǎn)換 asacisco(config)#nat (inside) 0 acces

33、s-list nonat -把nonat ACL應(yīng)用到nat中 配置完成,配置L2L VPN,配置遠(yuǎn)程 VPN,/24,總部,/24,總部準(zhǔn)備配置 為遠(yuǎn)程撥入的VPN client用戶配置地址池,給撥入ASA VPN用戶分配地址!名字為vpnpool,在后面配置中會用到 asacisco(config)#ip local pool vpnpool -54 mask 寫兩個ACL,在后面的配置會應(yīng)用到 第一個用來定義要加密的源和目的,也是感興趣流 從總部的的數(shù)據(jù)到 的數(shù)據(jù)

34、加密 第二個ACL,從總部的的數(shù)據(jù)到 不做NAT轉(zhuǎn)換,去別的網(wǎng)絡(luò)繼續(xù)NAT asacisco(config)#access-list l2lvpn permit ip asacisco(config)#access-list nonat permit ip Asacisco(config)#access-list nonat deny ip 255

35、.255.255.0 any 寫一個標(biāo)準(zhǔn)的ACL,在后面將用在組策略屬性中的路由注入 access-list vpnsplit standard permit 建立VPN用戶 Asacisco(config)#username cisco password cisco,internet,/24,總部,/24,internet,總部第一階段: asacisco(config)# crypto isakmp enable outside 在outside接口上開啟IKE asacisco(config)#crypto

36、isakmp identity address 基于地址ISAKMP asacisco(config)# crypto isakmp policy 10 進(jìn)入IKE asacisco(config-isakmp)# authentication pre-share 定義認(rèn)證方式 asacisco(config-isakmp)# encryption 3DES 定義加密算法 asacisco(config-isakmp)# hash md5 定義驗證數(shù)據(jù)完整性 asacisco(config-isakmp)# group 2 定義組為2 asacisco(config-isakmp)# life

37、time 86400 遂道時間,配置遠(yuǎn)程 VPN,/24,總部,/24,internet,總部第二階段: 1.配置IPsec參數(shù),定義遂道數(shù)據(jù)中的加密方式.配置數(shù)據(jù)轉(zhuǎn)換集名字為vpnset 兩端參數(shù)一致 asacisco(config)#crypto ipsec transform-set vpnset esp-3des esp-md5-hmac 2.遠(yuǎn)程撥入的用戶需要配置IPsec組策略名字為vpnclient asacisco(config)# group-policy vpnclient internal -定義為內(nèi)部組 asacisco(config)# group-policy vpnclient attributes -定義組屬性 split-tunnel-policy tunnelspecified split-tunnel-network-list value vpnsplit -將準(zhǔn)階段的建立的標(biāo)準(zhǔn)的ACLvpnsplit 加入注策略 exit 3.配置IPsec遂道屬性及密碼 建立新的遂道組,名字用vpnclinet , 屬性是ipsec-ra遠(yuǎn)程