Cisco ASA防火墙——远程控制与多安全区域

news2024/11/18 16:41:04

  • 作者简介:一名在校云计算网络运维学生、每天分享网络运维的学习经验、和学习笔记。 

  •  座右铭:低头赶路,敬事如仪

  • 个人主页:网络豆的主页​​​​​​

目录

 前言

一.远程管理ASA

1.配置Telnet接入

2.配置SSH接入

3.配置ASDM接入

二.多安全区域

1.DMZ的概念和作用

2.默认的访问规则

图中六条默认的访问规则如下所述。

3.DMZ的基本配置


 前言

本章将会讲解思科防火墙的远程接入方式与DMZ配置。在讲解之前可以先回顾一下Cisco ASA基础——安全算法与基本配置


一.远程管理ASA

ASA支持三种主要的远程管理接入方式:Telnet.SSH和ASOM.


 

1.配置Telnet接入

由于使用 Telnet 远程管理是不安全的,所以一般禁止从外部接口使用Telnet接入,而只允许在
内网使用Teinet.

(1)配置允许Telnet接入.命令如下。

asa(config)#telnet {network}ip-address) mask interface_name

例如,配置允许从lrside 区域内的192.168.0.0/24网段使用Telnet 接入,命令如下。

asa(config)#telnet 192.168.0.0 255.255.255.0 inside

可以配置为只允许从主机192.168.0.1/24使用Telnet 接入.命令如下。

asa (config)# telnet 192.168.0.1 255.255.255.255 inside

(2)(可选)配置空闲超时时间,命令如下,

asa (config)# telnet timeout minutes

参数mirutes的取值范围为1-1440min,默认值是5min.


 

2.配置SSH接入

 

使用SSH可以安全地对ASA进行远程管理,配置SSH接入分为四个步骤。

(1)配置主机名和域名.在生成RSA密钥对的过程中需要用到主机名和城名,以下命令为ASA

配置主机名为asa802.配置域名为asadomain.com.

asa(config)# host asa802

asa802(conflg)# domain-name asadomain.com

(2)生成RSA密钥对,命令如下。

asa802(config)# crypto key generate rsa modulus 1024

可以指定modulus的大小为512位,768位,1024位或2048位默认是1024位,表示生成的

RSA密钥的长度。

(3)配置允许SSH接入,配置SSH的命令语法与配置Telnet类似,但是SSH可以配置为从外部

接口接入,命令如下。

ana802(config)# ssh 192.168.0.0 255.255.255.0 inside

asa802(config)# ssh 0 0 outaide

(4)其他可选配置。

配置空闲超时时间,与配置Telnet类似,如设置为30min,命令如下。

asa802(config)4 ssh timeout 30

配置SSH的版本,默认情况下,SSH同时支持版本1和版本2.要限定使用哪个版本,可

以使用如下命令。

asa802 (config)# ssh version versfon_number

其中,参数version_nunber为1或2.例如,限定只使用SSH版本2,命令如下,

asa802(config)4 ssh version 2

配置完成后,可以在Outside 区城内的主机上使用SecureCRT或Putty 等工具登录ASA的Outside
接口(IP地址为200.0.0.2)。注意ASA默认使用用户名pix,密码为使用pesswd命令设置的密码。


3.配置ASDM接入

除了使用命令行管理方式外,ASA还支持GU)远程管理方式,即自适应安全设备管理器(ASDM).
要使用ASDM,首先要保证ASA的Flash中有ASDM映像,可以通过dir命令查看。

在ASA上配置使用ASDM的步骤如下,

(1)启用HTTPS服务器功能,命令如下,

asa (config)# http server anable [port]

默认端口是443.允许指定另外的端口。

(2)配置允许HTTPS接入,命令如下。

asa(config)#http {network|ip-address} mask interface_name

(3)指定ASDM映像的位置,命令如下。

asa(config)# asdm image disk0:/asdmfile

(4)配置客户端登录使用的用户名和密码,命令如下。

asa(config)# username uaer password pasavord privilege 15

如果不配置用户名和密码,ASDM默认使用用户名adnin.密码为使用enable pessword命令设置
的密码。


二.多安全区域

之前介绍了ASA的基本配置,其中只用到了ihside和Outside两个安全区域,实际上ASA可以
配置多个安全区域,比较常用的是配置DMZ。



1.DMZ的概念和作用

DMZ(DeMilitarizedZone)称为隔离区,也称非军事化区,是位于企业内部网络和外部网络之间
的一个网络区域,在这个网络区域内可以放置一些必须公开的服务器,如Web服务器、FTP服务器
和论坛等,如图。

DMZ内通常放置一些不含机密信息的公用服务器,这样来自外部网络的访问者可以访问DMZ中
的服务,但不能访问内部网络中的公司机密等信息,即使DMZ中的服务器受到攻击。也不会对内
部网络中的机密信息造成影响,所以通过DMZ区城可以有效地保护内部网络。


2.默认的访问规则

 

图中六条默认的访问规则如下所述。

  1. Inside 可以访问Outside.
  2. Inside 可以访问DMZ.
  3. DMZ可以访问Outside.
  4. DMZ不能访问 inside.
  5. Outside 不能访问 inside.
  6. Outside 不能访问DMZ.

3.DMZ的基本配置

(1)配置接口。
Ethernet0/0接口的配置如下。

asa(config)# Int E0/0

asa (config-if)#namelf outside

asa (config-if)# security-level 0

asa(config-if)# ip addresa 172.16.1.254 255.255.255.0

ana (config-if)# no shutdown


Etheret0/1接口的配置如下。

asa(config)# int E0/1

asa (config-1f)# nameif inaide

ass (config-if)# security-Ievel 100

asa (config-1f)# 1p address 10.1.1.254 255.255.255.0

asa (config-if)# no ahutdovn

Ethemet0/2接口的配置如下。

asa (config)#int E0/2

asa (config-if)#nameif dmz

asa(config-if)# security-level 50

asa(conflg-1f)# lp address 192.168.1.254 255.255.255.0

asa(config-if)# no ahutdown

(2)分别配置R1.R2和R3模拟PC并启用Telnet.验证在R1上可以Telnet到R2和R3.在R3

上可以Telnet到R2但不能Telnet到R1.在R2上不能Telnet到R1和R3.

(3)配置ACL.实现R2能够Telnet 到R3.

(4)使用show com detail命令查看Corn表.

(5)使用show route 命令查看路由表。


 创作不易,求关注,点赞,收藏,谢谢~ 

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/54938.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java数据结构与Java算法学习Day02---算法排序

目录 一、简单排序 1.1Comparable接口介绍 11 1.2冒泡排序 12、13、14 1.3选择排序 15、16、17 1.4插入排序 18、19、20 二、高级排序 2.1希尔排序 21、22、23 2.2归并排序 24 2.2.1递归 24 2.2.2归并排序 25 2.3快速排序 32 2.3.1快速排序的原理 32 2.3.2快速排序…

这可能是我见过最可爱的乒乓女孩了!

3D角色艺术家Carlos Sanz曾在U-tab学习动画,在CICE学习角色创作,现在正致力于创作她的作品集并成为3D动画行业的一员,本文是作者在ZBrush和Maya等软件中设计乒乓女孩角色造型的教程: 首先给大家做个自我介绍。我叫Carlos Sanz&am…

[附源码]计算机毕业设计springboot网上电影购票系统

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

(阅读笔记)急性卒中CT灌注分析在临床中的实际问题

(阅读笔记)急性卒中CT灌注分析在临床中的实际问题IntroductionUnderstanding the basics of CTP acquisition and processingCTP thresholds and quantificationPitfalls of perfusion imagingTechnical pitfallsPatient motionContrast bolusRadiationC…

CMMI和SPCA是一样的吗?有什么区别

CMMI资质相信有很多企业都了解了,对于SPCA可能有些企业是比较陌生的,不太了解什么是SPCA,简单来说可以理解为CMMI是国外的资质,而SPCA可以理解为国内的,那现在就跟随同邦信息科技的小编一起来看看具体的区别是哪些吧 C…

进程以及线程

目录 🐼今日良言:希望是生命的源泉,失去它生命就会枯萎。 🐯一、进程 🐕1.概念 🐕2.PCB 🐕3.进程调度 🐭二、线程 🐑1.概念 🐇三、进程和线程的联系和区别 &…

Qt实现抽奖程序

一、简介 该程序命名为Lucky,实现的功能如下: 1. 加载抽奖人员名单,并保存加载路径; 2. 单击左键或者点击ctrls开始抽奖,并滚动显示人员名单,显示的人员名单格式为 部门-姓名。 3. 单击左键或者点击ctrls…

了解并应用数字隔离器的安全限值

介绍 电流隔离在工业和汽车系统中很常见,作为防止高电压或抵消接地电位差的一种手段。设计人员传统上使用光耦合器进行隔离,但在过去几年中,使用电容和磁隔离的数字隔离器变得越来越流行。对于任何此类隔离器,了解其安全限值的重…

关于如何找环形链表的入环点

目录一、判断一个链表是否有环二、找到链表入环的第一个节点一、判断一个链表是否有环 给你一个链表的头节点 head ,判断链表中是否有环。 如果链表中有某个节点,可以通过连续跟踪 next 指针再次到达,则链表中存在环。 为了表示给定链表中的…

菇多糖-聚乙二醇-大环配体NOTA,大环配体NOTA-PEG-香菇多糖

菇多糖-聚乙二醇-大环配体NOTA,大环配体NOTA-PEG-香菇多糖 中文名称:香菇多糖-大环配体NOTA 英文名称:Lentinan-NOTA 别称:NOTA修饰香菇多糖,NOTA-香菇多糖 PEG接枝修饰香菇多糖 Lentinan-PEG-NOTA 香菇多糖-聚乙…

设置Excel表格“只读模式”的两种方法

Excel表格的“只读模式”可以帮助我们防止意外更改表格,根据不同需求,表格可以设置“有密码”和“无密码”的两种“只读模式”,下面来说说具体设置方法。 一、无密码“只读模式” 如果主要是想防止自己意外修改了表格,可以设置没…

Jenkins拉分支代码 + tortoiseGit删除分支

日常部署测试代码都使用Jenkins代码手工上传代码,主要减减减减工作量,提高工作效率; 一、安装Git、git-parameter插件及配置方法,安装方法忽略一万字,解决不了绕道度娘问问 二、创建项目,设置参数 This pr…

[操作系统笔记]基本分页存储管理

内容系听课复习所做笔记,图例多来自课程截图 基本分页存储管理 两次访存,第一次查页表,第二次访问目标内存单元 将内存空间分为一个个大小相等的分区(比如每个分区4KB),每个分区就是一个“页框”&#xff0…

[附源码]计算机毕业设计springboot物业管理系统

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

澜沧古茶在港交所上市申请失效:收入不及八马茶业,股东提前套现

12月1日,贝多财经从港交所披露易了解到,普洱澜沧古茶股份有限公司(下称“澜沧古茶”)的上市申请材料失效,目前已无法正常查看或下载。据贝多财经了解,“失效”并不意味着上市失败。 事实上,招股…

selnium操作输入框无法输入内容

问题描述 分析问题 1、开始以为等待时间问题没有找到元素(没解决) 2、使用js操作元素(没解决) 3、定位到光标元素 4、种cookie直接走接口调用 问题描述 selenium.common.exceptions.ElementNotInteractableException: Mess…

企业数据图表- FineReport函数计算组成和语法概述

1. 概述 1.1 版本 1.2 功能简介 在设计模板时用户需要频繁的使用公式函数,例如:求和、求个数、做判断等等。 本文介绍函数的计算组成和语法。 2. 计算语法 2.1 概览 组成部分 语法 示例 函数 SUM(合同金额)、SUM(A1) 数据列 可输入有数据列的…

基于Vue+nodejs+Element-ui的聊天框项目

目录一、项目简介二、环境介绍三、系统展示四、视频功能展示五、前端核心代码展示六、MySQL 数据库创建功能展示七、node.js 核心代码八、总结一、项目简介 本项目基于纯前端(移动端)技术开发一个聊天系统,界面美观大方,采用Node…

PowerShell禁止运行脚本

运行脚本报错(pnpm -v) pnpm : 无法加载文件 D:\win11\program\NVM\nodejs\pnpm.ps1,因为在此系统上禁止运行脚本。有关详细信息,请参阅 https:/go.mi crosoft.com/fwlink/?LinkID135170 中的 about_Execution_Policies。 所在位置 行:1 字符: 1pnpm -v…

洛谷千题详解 | P1019 [NOIP2000 提高组] 单词接龙【C++、Java语言】

博主主页:Yu仙笙 专栏地址:洛谷千题详解 目录 题目描述 输入格式 输出格式 输入输出样例 解析: C源码: Java源码: -----------------------------------------------------------------------------------------------…