ASA防火墙疑难杂症解答
ASA防火墙疑难杂症解答
1...............................内部网络不能ping通internet
2........................内部网络不能使用pptp拨入服务器
3....................内部网络不能通过被动Mode访问ftp服务器
4.................................内部网络不能进行ipsec NAT
5...................................内网不能访问DMZ区服务器
6................................内网用户不能ping web服务器
1. 内部网络不能ping通internet
对于ASA5510,只要策略允许,则是可以Ping通的,对于ASA550,部分IOS可以ping,如果所以流量都允许还是不能Ping的话,则需要做inspect,对icmp协议进行检查即可
2. 内部网络不能使用pptp拨入服务器
因pptp需要连接TCP 1723端口,同时还需要GRE协议,如果防火墙是linux的Iptables,则需要加载:
modprobe ip_nat_pptp modprobe ip_conntrack_proto_gre
如果防火墙是ASA,则需要inspect pptp。
3. 内部网络不能通过被动Mode访问ftp服务器
同样需要inspect ftp,有些还需要检查相关参数
policy-map type inspect ftp ftpaccess
parameters
match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd
4. 内部网络不能进行ipsec NAT
这种情况不多用,如查进行ipsect :IPSec Pass Through
5. 内网不能访问DMZ区服务器
增加NAT规则,即DMZ到内网的规则
6. 内网用户不能ping web服务器
如果内网中有一台web服务器,且已经配置了NAT,使用internet用户可以通过外部IP
访问这台web服务器。这时如果内网中的机器不能ping这台web服务器,则在配置NAT时,进行DNS rewrite即可,如果故障依然,可以试着关闭arp代理。
7. 待续
Cisco ASA5520防火墙配置
前言
主要从防火墙穿越的角度,描述Cisco ASA5520防火墙的配置
对Pix ASA系列防火墙配置具有参考意义
内容
防火墙与NAT介绍
基本介绍
基本配置
高级配置
其它
案例
防火墙与NAT介绍
防火墙
➢ 门卫
NAT
➢ 过道
区别
➢ 两者可以分别使用
➢ Windows有个人防火墙
➢ Windows有Internet Connect sharing服务
➢ 一般防火墙产品,同时带有NAT
基本介绍
配置连接
工作模式
常用命令
ASA5520介绍
配置连接
初次连接
➢ 使用超级终端登陆Console口
➢ Cicso的波特率设置为9600
Telnet连接
➢ 默认不打开,在使用Console配置后,可以选择开启
➢ 开启命令:telnet ip_addressnetmaskif_name
➢ 连接命令:telnet 默认不允许telnet,开启比较麻烦
ASDM连接
➢ 图形界面配置方式
SSH连接
工作模式
普通模式
➢ 连接上去后模式
➢ 进入普通模式需要有普通模式密码
➢ Enable 进入模式,需要密码
模式
➢ Config terminal 进入配置模式
配置模式
模式转换
➢ exit 或者ctrl-z退出当前模式,到前一模式
➢ 也适用于嵌套配置下退出当前配置
常用命令
命令支持缩写,只要前写到与其它命令不同的地方即可
➢ config terminal = conf term = conf t
➢ Tab键盘补全命令
➢ ?Or help 获取帮助
取消配置
➢ no 命令取消以前的配置
➢ Clear 取消一组配置,具体请查看帮助
查看配置
➢ Show version
➢ show run [all] , write terminal
➢ Show xlat
➢ Show run nat
➢ Show run global
保存配置
➢ Write memory
ASA5520介绍
硬件配置: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz
1个Console口,一个Aux口,4个千兆网口
支持并发:280000个
支持VPN个数:150
支持双机热备、负载均衡
可以通过show version 查看硬件信息
基本配置
接口配置
NAT配置
ACL访问控制
接口配置
四个以太网口
➢ GigabitEthernet0/0、gig0/1、gig0/2、gig0/3
➢ 进入接口配置: interface if_name
配置IP
➢ ip address ip_address [netmask]
➢ ip address ip_addressdhcp
➢ 打开端口: no shutdown
➢ 配置安全级别
➢ security-level [0-100]
➢ 数据从安全级别高的流向底的,不能倒流
➢ 倒流需要保安允许
➢ 所以一般配置为0,内网为100
➢ 配置别名
➢ 供其它命令引用
➢ Nameifif_name
NAT
NAT (Network Address Translate)
NAT类型(与防火墙穿越提到的类型不相关)
➢ Dynamic NAT
➢ PAT
➢ Static NAT & Static PAT
➢ Identity NAT
➢ NAT exemption
➢ Policy NAT
地址表超时
NAT配置
普通NAT
➢ Dynamic NAT
➢ PAT
NAT例外
➢ Static NAT
➢ Identity NAT
➢ NAT exemption
➢ Policy NAT
普通NAT
普通NAT,只允许内网先发起连接
地址池配置
➢ global (if_name) natidstart_addr-end_addrnetmask
➢ 如:global (outside) 1 定义了natid 1 和地址池 NAT
➢ nat (real_ifc) nat_idinside_networkoutside_network
➢ 动态分配给内网一个的IP
PAT
➢ PAT使用1个地址+65535个端口为内网提供地址转换
➢ 地址池中只有一个值时,就是PAT
➢ 分配给内网连接一个固定IP和一个动态的端口
Static NAT
Static NAT
➢ 允许先发起连接
➢ 是一个IP固定一个内网IP
➢ 可以称为IP映射
命令
➢ Static (internal_if_name, external_if_name) maped_addrreal_addr
➢ Maped_addr与real_addr不相同
Static PAT
Static PAT
➢ 允许先发起连接
➢ 是一个内网IP+一个端口转换成一个固定的IP+固定的端口
➢ 可以称为端口映射
命令
➢ static (real_interface,mapped_interface) {tcp | udp} {mapped_ip
|interface} mapped_portreal_ipreal_port [netmask mask]
Identity NAT
Identity NAT
➢ 不使用地址转换,采用原地址出去
➢ 只能内网发起连接
➢ 必须配置ACL permit才能先发起连接
命令
➢ NAT (real_if_name)0 addr/network networkmask
如: nat (inside) 0 Identity NAT
➢ 不使用地址转换,采用原地址出去
➢ 内都可先发起连接
命令
➢ static (real_interface,mapped_interface) real_ipreal_ip
NAT exemption
NAT exemption
➢ Identity NAT和ACL的混合,功能更加强大
➢ 不使用地址转换,采用原地址出去
➢ 内均可发起连接
命令
➢ 例1:access-list EXEMPT permit any
➢ nat (inside) 0 access-list EXEMPT
➢ 例2:access-list NET1 permit ip NET1 permit ip (inside) 0
access-list NET1
Policy NAT
Policy NAT & Policy PAT
➢ 用ACL定义的NAT和PAT
➢ 更加灵活
命令
➢ Policy nat : static (real_interface,mapped_interface) {mapped_ip |
interface}access-list acl_name
➢ Policy pat : static (real_interface,mapped_interface) {tcp | udp}
{mapped_ip |interface} mapped_port access-list acl_name
举例
➢ hostname(config)# access-list NET1 permit ip access-list NET2
permit ip nat (inside) 1 access-list NET1
➢ hostname(config)# global (outside) 1 nat (inside) 2 access-list NET2
hostname(config)# global (outside) 2 地址表超时
地址转换表超时
➢ 查看命令:show run timeout xlate
➢ 默认超时为3小时
➢ 设置命令:timeout xlatehh:mm:ss
➢ 清除当前表:clear xlat
➢ 在重新配置了NAT后,如果不重启,只有等到当前表超时才能生效,可以强
制清除表,但此时的连接都将中断
连接超时
➢ 查看命令: show run timeout conn
➢ 默认超时为1小时
➢ 设置命令:timeout conn hh:mm:ss
➢ 清除当前连接:clear conn
➢ 清除当前连接,当前的连接都将中断
ACL访问控制
ACL访问控制
➢ 权限列表,定义数据包是否可以进入
➢ Deny 优先
➢ 配合NAT, Static等命令使用
➢ 内网一般配置成允许所有,需要根据实际情况配置
命令
➢ access-list access_list_name [line line_number] [extended]{deny |
permit} protocol source_address mask [operator port] dest_address mask [operator port | icmp_type] [inactive]
➢ 与接口绑定: access-group access_list_name in/out interface if_name
ACL访问控制
举例
➢ access-list ACL_IN extended permit ip any any
➢ access-list ACL_IN extended permit ip alout extended permit tcp
any interface outside eq 33
➢ access-list alout extended permit tcpany host eq 33
➢ Access-group alout in interface outside
高级配置
对象组
应用层协议检查
AAA认证
VPN配置
对象组
对象组(Object-group)
➢ 对其它命令(NAT、access-listd等)用到类似的对象进行的分组
➢ 有四种类型的对象组
icmp-type Specifies a group of ICMP types, such as echo
network Specifies a group of host or subnet IP addresses
protocol Specifies a group of protocols, such as TCP, etc
service Specifies a group of TCP/UDP ports/services
命令
➢ Object-group grpTypegrpName
➢ description 组描述
➢ group-object 组中嵌套别的组
➢ network-object 具体的一个Object定义,这里举network类型的情况
对象组
举例
➢ Object-group network grpNetWork
➢ network-object alout permit tcp object-group grpNetWork any
应用层协议检查
应用层协议检查
➢ 除使用当前连接,还需要协商使用其它端口的协议。如ftp/tftp, sip, rtsp
➢ 一定程度代替端口映射的工作
➢ 实现了防火墙穿越
命令
➢ policy-map global_policy
➢ class inspection_default
➢ inspect ftp/no inspect ftp
其它
配置查看
➢ show 命令
➢ show startup-config查看启动配置
➢ show running-config [all] 查看当前配置all,显示默认配置
配置保存
➢ Write memory
➢ 重新启动:reload/reboot
单项配置查看
➢ Show 单项名称如: show access-list
➢ Show run 单项名称如:show run static
