目錄
一、實驗原理
1.思科 ASDM特性
2.安全級別security level介紹
3.相同安全級別介面之間的通信
4.同一介面內的通訊
5.運行路由協議
二、實驗拓撲
三、實驗步驟
四、實驗程序
總結
| 實驗難度 | 3 |
| 實驗復雜度 | 2 |
一、實驗原理
1.思科 ASDM特性
(1)可以運行在不同的平臺
(2)運行java來提供強大的實時監控
(3)使用SSL來確保和ASA的安全通訊
(4)在新的思科ASA中預安裝到flash
(5)能夠在同一時間同時管理多個ASA
(6)思科ASDM會話:
---------五個思科ASDM會話單元(單模)或者虛擬防火墻(多模)
---------32個會話單元(多模式)
(7)支持所有的思科ASA
(8)ASA軟體版本要的ASDM版本兼容
(9)硬體型號要兼容思科ASCM軟體版本
2.安全級別security level介紹
(1)從高級安全級別介面到低安全級別介面的流量叫outbound流量,這種流量默認是允許通過的,
(2)從低級安全級別介面到高安全級別介面的流量叫inbound流量,這種流量默認是不允許的,但是可以使用ACL來放行inbound流量,
(3)相同安全級別介面之間的流量默認是不允許通信的,但是可以使用命令放行,
(4)安全級別的范圍為0-100,
(5)默認inside安全級別為100,其實介面默認為0.
3.相同安全級別介面之間的通信
(1)ASA支持101個安全級別和多于101個子介面
(2)可以為不同的介面指定相同的安全級別
(3)默認相同安全級別介面間的流量是不允許的
(4)需要激活inter-interface之間的通訊,
具體的命令:same-security-traffic permit inter-interface
4.同一介面內的通訊
(1)在Hub-and-Spoke VPN的環境中,流量需要從同一個子介面進入和離開防火墻,
(2)默認情況下,這種流量是不被允許通信的,
(3)可以使用命令來激活intra-interface之間的通訊,
具體的命令:same-security-traffic permit intra-interface
5.運行路由協議
ASA支持:RIP/OSPF/EIGRP
它的配置方式與IOS是相同的(重分布、路由過濾等)
ASA 8.0所有的掩碼都為正掩碼(ACL,路由通告等)
二、實驗拓撲
三、實驗步驟
1.搭建如圖所示的網路拓撲;
2.初始化路由器,配置好相應的IP地址;
3.命令防火墻的名字為ASA,定義相應的三個區域介面(inside/outside/dmz),并配置相應的IP地址;
4.設定ASA的三個介面的安全級別,inside:100,outside:0,dmz:50;
5.在各個路由器上配置默認路由,然后在inside路由器上配置遠程登陸資訊為:
(1)特權密碼:ccie
(2)登陸用戶名為:inside
(3)登陸的密碼為:ccie
在outside路由器上配置遠程登陸資訊為:
(1)特權密碼:ccie
(2)登陸用戶名為:outside
(3)登陸的密碼為:ccie
在dmz路由器上配置遠程登陸資訊為:
(1)特權密碼:ccie
(2)登陸用戶名為:dmz
(3)登陸的密碼為:ccie
6.使用ping與telnet測驗手段來測驗各個路由器之間的網路連通性;
7.ASA的一些常用查看命令;
四、實驗程序
1.搭建如圖所示的網路拓撲;
略,
2.初始化路由器,配置好相應的IP地址;
inside:
outside:
dmz:
3.命令防火墻的名字為ASA,定義相應的三個區域介面(inside/outside/dmz),并配置相應的IP地址;
4.設定ASA的三個介面的安全級別,inside:100,outside:0,dmz:50;
測驗直連網路的連通性:
現在直連網路是可以相互通信的,
5.在各個路由器上配置默認路由,然后在inside路由器上配置遠程登陸資訊為:
(1)特權密碼:ccie
(2)登陸用戶名為:inside
(3)登陸的密碼為:ccie
在outside路由器上配置遠程登陸資訊為:
(1)特權密碼:ccie
(2)登陸用戶名為:outside
(3)登陸的密碼為:ccie
在dmz路由器上配置遠程登陸資訊為:
(1)特權密碼:ccie
(2)登陸用戶名為:dmz
(3)登陸的密碼為:ccie
inside:
outside:
dmz:
6.使用ping與telnet測驗手段來測驗各個路由器之間的網路連通性;
(1)ping
(2)telnet
inside路由器:
outside路由器:
DMZ路由器:
以上的實驗說明,在默認情況下,ICMP協議是無法穿越防火墻的,因為默認防火墻會把穿越防火墻的ICMP報文丟棄,防火墻它不會維護ICMP的狀態表項,防火墻它是可以實作高安全級別到低安全級別的通信的,這種流量是可以被防火墻監控的TCP/UDP流量,若是低安全級別的介面流量的話,默認是不可以與高級安全級別的介面區域通信,
7.ASA的一些常用查看命令;
代碼決議:
ASA(config)# show nameif //查看已經命令的介面名稱及相應的安全級別資訊
ASA(config-if)# nameif inside //命令這個介面的名稱為inside,這個inside是可以被防火墻直接呼叫的
ASA(config-if)# security-level 100 //設定防火墻的安全級別,這個范圍為0-100
ASA(config)#show run all //用于查看隱藏的配置 后接關鍵字可以查找對應的條目
ASA(config)#show cpu usage //查看設備的CPU占用情況
ASA(config)#show memory //查看記憶體等相關的資訊
ASA(config)#show perfmon 可以查看到連接數等資訊
ASA(config)#show conn 可以查看連接表,這個的狀態表項是針對TCP/UDP協議的
ASA(config)# show interface ip brief //查看防火墻的介面簡要資訊,這個命令與在路由器、交換機上有點不一樣哈,注意
注意:
思科ASA的密碼默認為空的,所以當看到未初始化的防火墻需要輸入特權密碼時,可以直接回車,
總結
本章節介紹了ASA的一些基本的術語、初始化ASA與相關的一些查看命令,為了讓大家看得明白,這個防火墻我會盡可能地把相關聯的內容分開寫這個篇章,也就是細分實驗,不然很多朋友都會被那些綜合實驗搞懵的,好了,我們在下一個章節再見,加油!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/240458.html
標籤:其他
下一篇:計算機體系結構--記分牌演算法