您好,欢迎访问三七文档
ASA安全基础配置张丽娜18618453953防火墙网络访问控制/单向控制/深度检测数据包作用:区域间的访问控制,至少有两个或两个以上区域默认情况下相同安全级别接口之间无法通信,如需相同安全级别接口间通信敲Same-security-trafficpermitinter-interface命令可以做网关基于路由表转发数据、支持ACL/NAT/静态路由/动态路由/vpn等技术防火墙通常架设在边界处主要作用:区域间的访问控制配置:pixfirewall(config)#showhisconftinte0nameifinsideipadd10.1.1.10255.255.255.0noshusecurity-level100inte1nameifoutside配置接口名字security-level0配置接口的安全级别ipadd202.100.1.10255.255.255.0noshutexit如接口命名为Inside系统默认授予其的安全级别为100,其余接口命名均默认授予其安全级别为0DMZ区域(非军事化管理区域)安全级别介于Inside和Outside之间,为缓冲区域,通常用来放置服务器、数据库等设备防火墙(firewall)常用命令:showfirewall查看防火墙模式showversion查看:系统软件版本、运行持续的时间、系统镜像文件保存的位置、加载配置的文件、硬件信息、接口信息、防火墙支持的功能、防火墙的SerialNumber(唯一的)shinterface查看接口的详细参数shipaddress查看接口的ip配置情况shmemory查看内存大小shcpuusage查看CPU的利用率shhistory查看最近使用的命令showconn查看流量由高安全级别区域去往底安全级别区域时防火墙对该流量记录的状态信息,且根据状态化信息放行其返回流量防火墙默认不记录(监控)ICMP的状态化信息的,需强制firewall监控icmppolicy-mapglobal_policyclassinspection_defaultinspectdnspreset_dns_mapinspecticmp防火墙启用telnet1、telnet网段子网接口命名passwd密码2、telnet00inside3、username名字pass密码定义telnet的认证方式aaaauthenticationtelnetconsoleLOCAL(必须大写)4、防火墙的outside接口不支持telnet远程登录,只能使用SSH进行远程SSH配置:启用ssh网段子网outside定义aaaauthenticationsshconsoleLOCSL清除telnet的配置clearconfiguretelnet查看正在telnet的用户who踢掉正在远程telnet的用户kill线程号码查看正在SSH远程的用户showsshsessions踢掉ssh远程的用户sshdisconnect线程号静态路由配置routeinside目标网段掩码下一条地址防火墙最多支持三个相同方向默认路由防火墙不支持反码,虚拟接口ACL-防火墙访问控制列表与路由器访问控制列表的区别1.防火墙访问控制列表只能控制穿越防火墙的流量,不能控制抵达防火墙自身的流量。2.防火墙的访问控制列表只对初始化的数据包起作用防火墙ACL配置格式access-listout(ACL的名字)permit(使用permit默认就是扩展ACL)acess-listoutstandard(标准ACL)挂载access-groupoutininterfaceoutside(接口名字)查看ACL状态信息showaccess-list查看ACL配置信息showrunaccess-list添加插入ACL的条目access-listout(ACL名字)line(插入的号码)更改ACL的名字access-listrename备注ACLaccess-listoutremarkaccess-listoutline1remark十二月十日闲置访问控制列表结尾加inactive例:access-listoutextendedpermittcp2.2.2.0255.255.255.0host1.1.1.1eq23inactive决定ACL生效时间与结束时间1.绝对时间timerangeabsolutestart起始时间日月年end终止时间日月年2.相对时间(周期性的)timerangeperiodic星期起始时间to终止时间挂载到ACLaccess-listoutextendedpermiticmpanyanytime-range(名字)查看防火墙时间showclock修改防火墙时区clocktimezoneGMT+8修改防火墙时间clockset时间日月年object-group(可对IP协议端口ICMP数据包的类型进行归类)(归类ip地址)object-groupnetwork名字network-object网段子网阻止外网用户PING通icmppermitanyecho-replyoutside更改防火墙默认启动的配置bootconfigflash:/文件名更改默认启动的OISbootsystemflash:/OIS名字OSI备份到tftpcopyflsh:/名字tftp:IP地址防火墙的NAT静态NAT基本配置(config)#static(inside,outside)公网地址私网地址查看NAT转换项showxlate默认保存24个小时。动态NAT基本配置(config)#nat(inside)序列号—不能选择0内网网段子网匹配外网网段(config)#global(outside)序列号-与inside相同公网—公网端口复用(config)#nat(inside)序列号00(config)#global(outside)序列号interface防火墙的每个接口都在不同的vlan中划分防火墙的子接口interfacee0noshutdowninterfacee0.1启用子接口inte0.1ipaddvlannameif透明模式防火墙1、三层流量需要内外明确放行(ospf/eigrp)2、直连网络必须在相同子网内3、必须要配置一个网管IP4、网管IP必须和内外接口网段相同5、网管IP不能作为网管使用6、可以为防火墙指定一个网关,这条路由仅在网管时起作用7、每个接口必须在不同的VLAN8、CDP是无法穿越的(CDP思科私有的发现协议)9、ARP不需要放行就能够穿越10、不支持NAT、动态路由协议、IPv6、VPN11、组播、广播流量必须使用ACL明确放行(inbound/outbound)切换防火墙模式firewalltransparent切换路由模式nofirewalltranspaten配置网管地址(config)#ipadd一、网络安全1.源认证2.完整性3.私密性4.不可否认性二、密码学1.对称密码学算法DES支持56bit3DES支持168bitAES支持128、192、256bit注:密钥长度越长加密的强度越大优点:加密的速度快加密后的密文很紧凑缺点:交换密钥存在一定问题2.非对称密码学算法Diffie-HellmanRSAECC优点:减化了密钥发布和管理的难度可以支持众多的安全服务如数据的保密性、完整性、源认证、不可抵赖性和数字签名等缺点:加解密速度比较慢要想让非对称密钥算法取得与对称密钥算法相同的安全强度,就必须使用更长的密钥散列函数任意的输入固定的输出雪崩效应冲突避免MD5(128)SHA(160)VPN特点1.保证异地局域网之间的连通性和安全性VPN通过建立一个隧道,利用加密技术对传输数据进行加密,以保证数据的私有性和安全性。在VPN设备上需添加:对端vpnpeer的加密点路由与通信点路由加密点:调用vpn策略的接口,且该接口与vpnpeer加密点接口底层可达通信点:需要和对端局域网通信的网段感兴趣流:本端通信点到对端通信点的流量注:配置VPN时,两端设备需配置相同策略cryptoisakmppolicy10创建第一阶段策略(用途:建立vpn连接)authenticationpre-sharegroup5根据实际情况做参数修改(策略参数要求与对端一致)cryptoisakmpkey****addx.x.x.x定义预共享密钥(与对端一致),指定peer地址(告诉设备将与谁建立vpn连接)cryptoipsectransform-set1205besp-desesp-md5-hmac第二阶段策略,定义使用什么算法协议为数据包封装加密。(策略参数要求与对端一致)配置感兴趣流ipaccess-listextendedvpn(自定义名字)permitip本端通信网段反码对端通信网段反码建立加密图cryptomap名字序号ipsec-isamatchaddressvpn2关联感兴趣流,名字叫“vpn”的ACLsettransform-set1205bsetpeer对端通信点接口IP接口下调用inf0/0cryptomap名字查看策略定义域共享密钥建立VPN连接showcryptoisakmppolicy查看加密解密数据包的数量showcryptoengineconnectionsactive
本文标题:路由交换笔记
链接地址:https://www.777doc.com/doc-2045233 .html