发布时间 : 2024/5/14 9:08:02 星期二 文章GNS3模拟ASA防火墙更新完毕开始阅读

一、Cisco防火墙简介

1、 硬件与软件防火墙

1> 软件防火墙

Cisco新版本的IOS软件提供了IOS防火墙特性集，它具备应用层只能状态检测防火墙引擎。 2> 硬件防火墙

硬件防火墙更具有优势：

→功能更强大，且明确是为了抵御威胁而设计的 →硬件防火墙比软件防火墙的漏洞少

Cisco硬件防火墙技术应用与以下三个领域 →PIX 500系列安全设备

→ASA 5500系列自适应安全设备

→Catalyst 6500系列交换机和Cisco 7600系列路由器的防火墙服务模块（FWSM）

2、 ASA安全设备

Cisco ASA 5500系列自适应安全设备提供了整合防火墙、入侵保护系统（IPS）、高级自适应威胁防御服务。其中包括应用安全和简化网络安全解决方案的VPN服务。

二、ASA的安全算法

1、 状态化防火墙

ASA首先是一个状态化防火墙，状态化防火墙维护一个关于用户信息的连接表，称为conn表，表中信息如下 →源IP地址 →目的IP地址 →IP协议

→IP协议信息（例如TCP序列号，TCP控制位等）

默认情况下，ASA对TCP和UDP协议提供状态化连接，但ICMP协议是非状态化的 2、 安全算法的原理

ASA使用安全算法执行以下三步基本操作

→访问控制列表：基于特定的网络、主机和服务控制网络访问 →连接表（conn）：维护每个连接的状态信息。安全算法使用此信息在已建立的连接中有效转发流量

→检测引擎：执行状态检测和应用层检测。检测规则集是预先定义的，来验证应用是否遵从每个RFC和其他标准 数据的检测过程：

首先检查访问控制列表，确定是否允许连接；然后执行路由查询，如果路由正确， 将会在conn表中创建相应信息；然后在检测引擎中检查预定义的一套规则，如果 已应用，则进一步执行应用层检测；

目的主机相应服务；ASA防火墙查看conn连接表，如果表中存在，则执行放行，

如果不存在，则检测引擎检查，然后访问控制列表检查。

三、ASA的基本配置

1、 使用GNS3模拟ASA防火墙

需要的文件：

→GNS3软件（可以去其官网下载） →asa802-k8.gz镜像文件 →vmlinuz内核文件

所有的东西也可以去http://pan.http://www.china-audit.com//s/1u9eFW（我的百度云下载，GNS3压缩包里面有所有的东西）

打开GNS3后，单击编辑，选择首选项（或者直接按Ctrl+Shift+P）填写以下几项

其他默认即可

使用ASA防火墙的时候，拽一个防火墙，然后将防火墙的网络改为pcnet，这时的

防火墙就可以使用了

2、 配置主机名和密码

1> 配置主机名

可以使用以下命令配置主机名： (config)#hostname 名字

2> 配置密码

（1） 配置特权密码

(config)#enable password 密码

（2） 配置远程登录密码

(config)#passwd 密码

3、 接口的概念与配置

1> 接口的名称

ASA的一个接口通常有两种名称，即物理名称和逻辑名称 1) 物理名称

物理名称与路由器的名称类似，如E0/0，E0/1等

ASA 5510及以上的型号还有专门的管理接口，例如management0/0

2) 逻辑名称

逻辑名称用户大多数的配置命令，用来描述安全区域。例如一般使用inside表示内部区域（安全级别最高），outside表示为外部区域（安全级别最低），DMZ表示为公司服务器区域（一般安全级别在inside和outside之间）

2> 接口的安全级别

ASA的每个接口都有一个安全级别，范围是0-100，数值越大其安全级别越高。当配置接口名为inside时，其安全级别自动设置为100，其他名称则为0. 不同的安全级别互相访问时，遵从以下规则：

→允许出站（outbound）连接，即允许从高安全级别接口到低安全级别接口的流量通过

→禁止入站（inbound）连接，即禁止从低安全接口到高安全级别接口的流量通过

→禁止相同级别的接口之间通信。

若要打破这个规则，则需要建立ACL来明确指定。 3> 接口的配置

→配置接口的名称

(config-if)#nameif 名字

→配置接口的安全级别

(config-if)security-level 级别

4、 配置ACL

在ASA上配置ACL有两个作用：一是允许入站连接，二是控制出站连接的流量。 注意，在防火墙上的访问控制列表没有表号之分，如果为数字只是ACL的名称 →标准ACL

(config)#access-list 名称 [standrad] permit/deny IP地址 子网掩码 →扩展ACL

(config)#access-list 名称 [extended] permit/deny protocol 源IP 子网掩码 目的IP 子网掩码 [操作符 端口号] →将ACL应用到接口

(config)#access-group ACL名字 in/out interface 接口名 1> 允许入站连接