BizSmooth——企顺学校博客

概述
如今网络安全日益重要，网络面临的威胁也越来越大，来自企业网内部和外部的网络攻击可能为企业带来严重的损失，问题产生时我们该如何解决？
防火墙是我们的首选考虑。思科防火墙在业界一直享有盛名，它集高安全性和高可扩展性于一身，能够对病毒、垃圾邮件、非授权访问等进行实时监控，企业用户的理想选择。前期在讲授网络高级课程安全模块时，防火墙技术主要是以讲解理论为主，配合ASA模拟器介绍常用命令的用法。没有把ASA放在一个具体的生产环境中来研究它是如何工作的，最近研究了一下VMware和QEMU,发现完全可以把二者结合起来，这样基于ASA的实验就更加完整了。同时，对于那些技术爱好者来说，也是不错的选择。于是我整理了一下文档，以一个企业常见拓扑为例来介绍ASA的典型配置。

文档分2部分：
第一部分：搭建VMware+ASA环境
第二部分：配置ASA应用

PS:由于实验过程截图较多，需要的朋友通过后面的链接下载附件。这里仅列出主要配置。

应用案例：

企业需求：

1、初始化配置
2、接口参数配置
3、配置远程管理接入
4、配置ASA静态路由
5、配置网络地址转换NAT
6、配置ACL实现内网正常访问外网
7、发布DMZ区域web服务器
8、配置URL过滤
9、其它配置

1、初始化配置命令
  hostname ciscoasa  ————————-//配置主机名
  domain-name cisco.com ————————-//配置域名
 enable password ciscoasa ————————-//配置特权模式密码
 passwd telciscoasa ————————-//配置telnet密码
 show firewall  ————————-//查看ASA工作模式（路由和透明）
 
 2、接口参数配置
 int e0/0 ————————-//进入接口模式
 nameif outside ————————-//命名接口
 security-level 0 ————————-//安全级别设置为0
 ip address 200.1.1.1 255.255.255.0 ————————-//配置outside接口IP地址
 no shutdown ————————-//开启端口
 exit
 int e0/1 ————————-//同上
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
 no shutdown
 exit
 int e0/2 ————————-//同上
 nameif dmz
 security-level 50
 ip address 172.16.1.1 255.255.255.0
 no shutdown
 exit
 show interface interface brief ————————-//查看接口IP信息
 
 3、配置远程管理接入
  username admin password admin privilege 15 ————————-//建立本地特权用户账号
  telnet 192.168.1.0 255.255.255.0 inside ————————-//允许内网机器从inside接口接入
  telnet timeout 60 ————————-//超时时间为60秒
  aaa authentication telnet console LOCAL ————————-//启用本地账户身份验证
 
  crypto key generate rsa modu 1024 ————————-//生成RSA密钥对
  ssh 0 0 outside  ————————-//允许任意机器从outside接口加密连接
  ssh timeout 60 ————————-//超时时间为60秒
  ssh ver 2 ————————-//启用SSH 版本2
  aaa authentication ssh console LOCAL  //认证使用本地数据库
 
 4、配置ASA静态路由
  route outside 0 0 200.1.1.2 ————————-//配置缺省路由
  sh route ————————-//查看路由表
 
  5、配置网络地址转换NAT
  nat (inside) 1 192.168.1.0 255.255.255.0 ————————-//设置被转换地址范围及local接口
  global (outside) 1 interface ————————-//设置转换地址及global接口
  global (dmz) 1 interface ————————-//设置转换地址及global接口
  sh xlate ————————-//查看NAT转换表
 
  6、配置ACL实现内网正常访问外网
  access-list 101 extended permit tcp 192.168.1.0 255.255.255.0 any eq 80 ————————-//允许内部网段访问外部http服务
  access-list 101 extended permit tcp 192.168.1.0 255.255.255.0 any eq 53
  access-list 101 extended permit udp 192.168.1.0 255.255.255.0 any eq 53 ————————-//允许内部网段访问外部DNS服务
  access-list 101 extended permit tcp 192.168.1.0 255.255.255.0 any eq 554 ————————-//允许内部网段访问外部流媒体服务
  access-group 101 in interface inside ————————-//应用ACL到inside接口进方向
 
 
  7、发布DMZ区域web服务器
  static (dmz,outside) 200.1.1.1 tcp interface 172.16.1.2 www ————————-//设置静态NAT并进行端口映射
  access-list 102 extended permit tcp any interface outside eq 80 ————————-//开启访问outside接口80端口
  access-group 102 in interface outside ————————-//应用ACL102到outside接口进方向
 
  8、配置URL过滤
  step1：定义Regex(正则表达式)-定义URL匹配的字符串
  step2：创建class-map(类映射)-识别传输流量，分类流量
  step3：创建policy-map(策略映射)-针对不同的类执行不同的操作
  step4：应用policy-map应用接口上
 
   regex url1 “\.sohu\.com”
—————————————————————————————————–
   access-list tcp_filter permit tcp 192.168.10.0 255.255.255.0 any eq www
   class-map tcp_filter_class
   match access-list tcp_filter 
—————————————————————————————————–
   class-map type inspect http http_class
   match request header host regex url1
—————————————————————————————————–
   policy-map type inspect http http_url_policy
   class http_class
   drop-connection log 
—————————————————————————————————–
   policy-map inside_http_url_policy 
   class tcp_filter_class
   inspect http http_url_policy
—————————————————————————————————–
   service-policy inside_http_url_policy interface inside
 
 
  其他配置
  清空当前ASA相关协议配置
  clear config route|static|nat|global
 
  清空ASA所有配置
  clear config all
 
  配置ASA日志管理服务器
  logging enable
  logging trap informational
  logging host inside 192.168.1.2
 
  高级配置
  启用IDS功能
  ASA防火墙上配置IPSecVPN
  ASA上配置SSL/Easy Vpn
  配置Failover增加可用性
  配置负载均衡
  希望大家继续关注！

配置ASA防火墙