第一天:防火墙概述与初始化
第1部分:防火墙技术介绍
什么是防火墙?
防火墙是一个连接两个或多个网络区域,
并且基于策略限制区域间流量的设备。
防火墙的四种类型
·Stateless packet filtering(无状态包过滤)
·Stateful packet filtering (状态监控包过滤)
·Stateful packet filtering with Application Inspection and Control
(运用层监控和控制的状态包过滤)
·Proxy server(代理服务器)
什么是DMZ?
·Demilitarized Zone (非军事化区域)
·主要用于连接服务器和VPN设备
第2部分:Cisco ASA特性介绍
·基本网络访问控制特性
·高级网络访问控制特性
·远程访问和站点到站点VPN特性
·远程整合特性
·管理特性
第3部分:Cisco ASA产品线
ASA5500系列
Cisco ASA 5510、5520、and 5540
ASA5512X系列
ASA可以使用Security Services Module (SSM) 扩张功能和特性,
SSM能够安装在5510,5520和5540。
ASA 5550
第4部分:初始化ASA
Cisco ASDM 网管
ASA#write erase /清空Startup Configuration
ASA(config)#clear config all / 清空Running Configuration
ASA#reload /重启ASA
配置接口
interface Ethernet 0/1
nameif Inside
ip address 10.10.1.10 255.255.255.0
no shutdown
开启ASDM网管
开启HTTP服务器:
http server enable
允许源自于10.1.1.0/24网络,对Inside接口的HTTPS网管:
http 10.1.1.0 255.255.255.0 inside
指定ASDM文件(可选项):
asdm image flash:/asdm-645-204.bin
HTTPS登录界面
打开IE:
https://10.1.1.10/
Enter
配置主机名
ciscoasa(config)#hostname ASAFW
配置ethernet 0/0
ASAFW(config)#interface ethernet 0/0
ASAFW(config-if)#ip address 202.100.1.10 255.255.255.0
ASAFW(config-if)#nameif Outside
ASAFW(config-if)#no shutdown
配置ethernet 0/1
1.打开物理接口
ASAFW(config-if)#interface ethernet 0/1
ASAFW(config-if)#no shutdown
2.创建子接口“e0/1.3”并且启用VLAN封装
ASAFW(config)#interface e0/1.3
ASAFW(config-subif)#vlan 3
ASAFW(config-subif)#nameif Inside
ASAFW(config-subif)#ip address 10.1.1.10 255.255.255.0
3.创建子接口“e0/1.4”并且启用VLAN封装
ASAFW(config)#interface e0/1.4
ASAFW(config-subif)#vlan 4
ASAFW(config-subif)#nameif DMZ
ASAFW(config-subif)#security-level 50
ASAFW(config-subif)#ip address 192.168.1.10 255.255.255.0
相同安全级别的接口之间的通讯:
具体命令:same-security-traffic permit inter-interface
同一接口内的通讯:
具体命令:same-security-traffic permit intra-interface
配置静态路由
默认路由:
ASAFW(config)#route outside 0 0 202.100.1.1
静态路由:
ASAFW(config)#route inside 2.2.2.2 255.255.255.255 10.1.1.1
关于动态路由
ASA支持
- RIP
- OSPF
- EIGRP
配置方式与IOS安全相同(重分布,路由过滤...)
ASA 8.0 所有掩码都为正掩码(ACL,路由宣告)
router ospf 1
network 192.168.1.0 255.255.255.0 area 0
第5部分:监控ASA
可以在任何位置使用 show run
show run+特定关键字=查看running配置
- show run interface
- show run nat
- show run tunnel-group
show run all +特定关键字=查看详细配置
- show run all tunnel-group
监控性能
show cpu usage
show memory
show perfmon
show version
查看路由表
show route
查看接口状态
show interface
查看接口IP与nameif
show interface ip brief
show nameif
查看连接状态信息
ASAFW#show conn
本地连接表
ASAFW#show local-host
管理与清除连接
从连接表中删除一个连接,中断这个连接(如果是TCP会话,其他的会话能够重新创建它们的连接对象)
ASAFW#clear conn [all] [protocol {tcp|udp}] [address src_ip[-src_ip][netmask mask]]
[port src_port[-src_port]] [address dest_ip[-dest_ip[-dest_ip]
[netmask mask]] [port dest_port[-dest_port]]
清除一个本地主机对象(并且摧毁它的所有的连接)
ASAFW#clear local-host [ip_address] [all]
第二天:系统管理与日志
第1部分:基本设备管理
配置主机名:
hostname Yeslab-ASA
配置域名:
dns server-group DefaultDNS
domain-name yeslab.net
配置Enable密码:
enable password cisco
在DMZ区域启用DNS解析:
dns domain-lookup DMZ
配置DNS服务器为 192.168.1.100:
dns server-group DefaultDNS
name-server 192.168.1.100
DNS测试
Yeslab-ASA#ping outrouter
Yeslab-ASA#ping outrouter.yeslab.com
配置时间
配置时区:
clock timezone GMT +8
配置时间:
clock set 03:10:25 oct 19 2012
配置NTP同步
配置NTP:
ntp authenticate
ntp authentication-key 1 md5 cisco
ntp trusted-key 1
ntp server 202.100.1.1 key 1 source Outside
NTP测试
Yeslab-ASA#show clock detail
Yeslab-ASA#show ntp status
配置ASA启动文件
配置ASA启动OS:
boot system disk0:/asa842-k8.bin
配置ASDM文件:
asdm image disk0:/asdm-645-206.bin
配置ASA启动配置文件:
boot config disk0:/boot.cfg
第2部分:管理事件和会话日志
激活ASA的日志功能:
logging enable
日志的不同输出目的
把严重级别为“Information”的日志输出到本地缓存:
logging buffered informational
把严重级别为“Information”的日志输出到日志服务器:
logging trap informational
把严重级别为“debugging”的日志输出到ASDM:
logging asdm debugging
Event-List 事件过滤技术
创建Event-List:
logging list Test level critical
logging list Test level informational class ospf
使用Event-List技术对输出到console口的日志进行过滤:
logging console Test
修改特定日志
禁用日志106001,并且修改严重级别到errors:
no logging message 106001
logging message 106001 level errors
定义日志服务器:
logging host Inside 10.1.1.100
查看logging配置与本地buffered日志
Yeslab-ASA#show logging
第3部分:基本排错工具介绍
Yeslab-ASA#ping 10.1.1.1
Packet Tracer实例(Outbound)
Yeslab-ASA#packet-tracer input inside tcp 10.1.1.1 1024 202.100.1.1 23
Yeslab-ASA#packet-tracer input outside icmp 202.100.1.1 8 0 10.1.1.1
在命令行中使用Packet Capture
Yeslab-ASA#capture test interface inside
Yeslab-ASA#no capture test interface inside
Yeslab-ASA#show capture test
第4部分:配置管理访问
配置带外网管口(CLI)
配置Inside接口为专用带外网管口:
interface Ethernet 0/1
nameif Inside
security-level 100
ip address 10.1.1.10 255.255.255.0
management-only
·注意management0/0 接口默认为专用带外网管口
启用Telnet网管
telnet 10.1.1.1 255.255.255.255 Inside
telnet 0 0 DMZ (DMZ所有主机都能Telnet)
·最低安全级别的接口不支持Telnet(例如Outside)
用本地用户认证的配置如下:
- username admin password cisco123 privilege 15
- aaa authentication telnet console LOCAL
启用SSH网管
hostname ASAFW
domain-name mingjiao.com
crypto key generate rsa
SSH 10.1.1.1 255.255.255.255 Inside
SSH 0 0 DMZ (DMZ所有主机都能够SSH)
·远程网管必须使用SSH,不能使用Telnet
用本地用户认证的配置如下:
- username localadmin password cisco privilege 15
- aaa authentication SSH console LOCAL
创建本地管理员账号:
ASA(config)#username yeslabadmin password cisco
ASA(config)#username yeslabadmin attributes
ASA(config-username)#service-type ?
username mode commands/options:
admin User is allowed access to the configuration prompt.
nas-prompt User is allowed access to the exec prompt.
remote-access User is allowed network access.
HTTPS网管
启用HTTPS网管:
http server enable
http 10.1.1.0 255.255.255.0 Outside
产生密钥(CLI)
crypto key generate rsa label asa.mingjiao.org modulus 1024
产生自签名证书(CLI)
crypto ca trustpoint Yeslab-ASDM-TrustPoint
enrollment self
subject-name CN=ASA.mingjiao.org
keypair asa.mingjiao.org
在特定接口上使用自签名证书(CLI)
ssl trust-point Yeslab-ASDM-TrustPoint Inside
SNMP基本配置与V3用户(CLI)
snmp-server group Authentication&Encryption v3 priv
snmp-server user yeslabuser Authentication&Encryption v3 auth md5 123 priv des 321
snmp-server location CYTD601
snmp-server contact MINGJIAO
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
snmp-server host DMZ 192.168.1.100 verion 3 yeslabuser
SNMP服务器(CLI)
snmp-server host Inside 10.1.1.1 version 3 yeslabuser
第5部分:认证管理访问
配置AAA Server Group (CLI)
aaa-server 3A protocol tacacs+
aaa-server 3A (DMZ) host 192.168.1.241
key cisco
配置SSH使用AAA认证(CLI)
aaa authentication ssh console 3A LOCAL
第三天:访问控制列表与穿越用户认证
第1部分:访问控制列表
基本ACL配置(CLI)
配置访问列表:
access-list Outside_access_in extended permit tcp 202.100.1.0 255.255.255.0 10.1.1.0 255.255.255.0 eq telnet
access-list Outside_access_in extended permti tcp 202.100.1.0 255.255.255.0 192.168.1.0 255.255.255.0 eq www
access-list Outside_access_in extended deny ip any any log notifications
调用访问控制列表到Outside接口入方向:
access-group Outside_access_in in interface Outside
Telnet测试
Outside#telnet 10.1.1.1
Trying 10.1.1.1 ...Open
User Access Verification
Password:
Inside>
Outside#telnet 192.168.1.1 80
配置Time-range(CLI)
time-range MingJiao-Time
periodic weekdays 9:00 to 18:00
配置基于时间的ACL(CLI)
access-list Outside_access_in extended permit tcp 202.100.1.0 255.255.255.0 10.1.1.0 255.255.255.0 eq ftp time-range MingJiao-Time
创建网络类型Object-Group(CLI)
object network Inside-Server1
host 10.1.1.1
object network Inside-Server2
host 10.1.1.2
object network Inside-Server3
host 10.1.1.3
object-group network Inside-Server
network-object object Inside-Server1
network-object object Inside-Server2
network-object object Inside-Server3
创建服务类型Object-Group(CLI)
object-group service Inside-Service
service-object icmp
service-object esp
service-object tcp destination eq ftp
service-object udp destination eq domain
配置ACL(CLI)
access-list Outside_access_in extended permit object-group object-group Inside-Service 202.100.1.0 255.255.255.0 object-group Inside-Server
注意:你可以同时配置全局访问控制规则和接口的访问规则,在这种情况下,
接口访问规则总是优先于全局访问规则处理。
配置:Global ACL(CLI)
access-list global_access extended permit icmp any any
access-list global_access extended permit tcp any any eq telent
access-group global_access global
测试Global ACL
Outside#telnet 10.1.1.1 (permit pass)
Outside#telnet 192.168.1.1 (permit pass)
Outside#ping 10.1.1.1 (permit pass)
Outside#ping 192.168.1.1 (permit pass)
配置接口ACL(ACL)
access-list Outside_access_in extended deny tcp any any eq telnet
access-group Outside_access_in in interface Outside
测试接口ACL优先
Outside#ping 10.1.1.1 (permit pass)
Outside#ping 192.168.1.1 (permit pass)
Outside#telnet 10.1.1.1 (deny no-pass)
启用uRPF(CLI)
ip verify reverse-path interface Outside
命令行配置Shunning
限制10.1.1.1 穿越防火墙:
Yeslab-ASA#shun 10.1.1.1
查看shun的状态:
Yeslab-ASA#show shun statistics
查看shun:
Yeslab-ASA#show shun
清除shun:
Yeslab-ASA#clear shun
第2部分:Cut Through
基于用户策略(CUT-Through Proxy)
实验一:穿越Telnet认证
初始化配置(1)
hostname Outside
!
no ip domain lookup
!
username cisco privilege 15 password 0 cisco
!
interface FastEthernet 0/0
ip address 202.100.1.1 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 202.100.1.10
!
ip http server
ip http authentication local
!
line vty 0 15
password cisco
---------------------------
hostname Inside
!
no ip domain lookup
!
interface FastEthernet 0/0
ip address 10.1.1.1 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 10.1.1.10
!
line vty 0 15
password cisco
初始化配置(2)
hostname ASA
!
interface Ethernet 0/0
nameif Outside
security-level 0
ip address 202.100.1.10 255.255.255.0
!
interface Ethernet 0/1
nameif Inside
security-level 100
ip address 10.1.1.10 255.255.255.0
!
interface Ethernet 0/2
nameif DMZ
security-level 50
ip address 192.168.1.10 255.255.255.0
!
http server enable
http 0.0.0.0 0.0.0.0 Inside
!
username admin password cisco privilege 15
aaa authentication http console LOCAL
配置3A服务器(CLI)
配置3A服务器:
aaa-server MingJiao-ACS protocol radius
aaa-server MingJiao-ACS (DMZ) host 192.168.1.241
key cisco
测试3A服务器:
ASA#test aaa authentication MingJiao-ACS
Server IP Address or name: 192.168.1.241
Username: acsuser
Password: *****
INFO:Attempting Authentication test to IP address <192.168.1.241>(timeout:12 seconds)
INFO:Authentication Successful
Cut-Through Proxy(CLI)
配置ACL匹配认证流量:
access-list Inside_authentication extended permit tcp 10.1.1.0 255.255.255.0 host 202.100.1.1 eq telnet
对进入Inside接口的匹配“Inside_authentication”的流量进行认证:
aaa authentication match Inside_authentication Inside MingJiao-ACS
测试Cut-Through Proxy
Inside#telnet 202.100.1.1
trying 202.100.1.1 ... Open
Username:acsuser
Passsword:
User Access Verification
Password:
Outside>q
[Connection to 202.100.1.1 closed by foreign host]
查看用户认证信息
ASA#show uauth
Cut-through 安全问题
·剩余时间地址欺骗
·多用户操作系统
查看默认超时时间
ASA#show run timeout
调整超时时间(CLI)
调整认证绝对超时时间为1个小时:
ASA(config)#timeout uauth 1:00:00 absolute
调整认证闲置超时时间为10分钟:
ASA(config)#timeout uauth 0:10:00 inactivity
查看调整后uauth
ASA(config)#show uauth
实验二:穿越HTTP认证
Cut-Through Proxy (CLI)
配置ACL匹配认证流量:
access-list Inside_authentication extended permit tcp 10.1.1.0 255.255.255.0 host 202.100.1.1 eq www
对进入Inside接口的匹配“Inside_authentication”的流量进行认证:
aaa authentication match Inside_authentication Inside MingJiao-ACS
修改提示信息(CLI)
修改Cut-Through Porxy提示信息:
auth-prompt prompt Welcome MingJiao
auth-prompt accept Accepted By MingJiao
auth-prompt reject Rejected By MingJiao
实验三:HTTP重定向
配置HTTP重定向(CLI)
aaa authentication listener http Inside port www redirect
实验四:Secure HTTP
配置Secure HTTP(CLI)
aaa authentication secure-http-client
实验五:虚拟HTTP
配置虚拟HTTP地址(CLI)
virtual http 202.100.1.101 warning
第四天:Modular Policy Framework
第五天:基于用户的MPF、高级访问控制和地址转换
第六天:透明墙与多模式防火墙
第七天:接口和网络冗余技术 FO
第1部分:防火墙技术介绍
什么是防火墙?
防火墙是一个连接两个或多个网络区域,
并且基于策略限制区域间流量的设备。
防火墙的四种类型
·Stateless packet filtering(无状态包过滤)
·Stateful packet filtering (状态监控包过滤)
·Stateful packet filtering with Application Inspection and Control
(运用层监控和控制的状态包过滤)
·Proxy server(代理服务器)
什么是DMZ?
·Demilitarized Zone (非军事化区域)
·主要用于连接服务器和VPN设备
第2部分:Cisco ASA特性介绍
·基本网络访问控制特性
·高级网络访问控制特性
·远程访问和站点到站点VPN特性
·远程整合特性
·管理特性
第3部分:Cisco ASA产品线
ASA5500系列
Cisco ASA 5510、5520、and 5540
ASA5512X系列
ASA可以使用Security Services Module (SSM) 扩张功能和特性,
SSM能够安装在5510,5520和5540。
ASA 5550
第4部分:初始化ASA
Cisco ASDM 网管
ASA#write erase /清空Startup Configuration
ASA(config)#clear config all / 清空Running Configuration
ASA#reload /重启ASA
配置接口
interface Ethernet 0/1
nameif Inside
ip address 10.10.1.10 255.255.255.0
no shutdown
开启ASDM网管
开启HTTP服务器:
http server enable
允许源自于10.1.1.0/24网络,对Inside接口的HTTPS网管:
http 10.1.1.0 255.255.255.0 inside
指定ASDM文件(可选项):
asdm image flash:/asdm-645-204.bin
HTTPS登录界面
打开IE:
https://10.1.1.10/
Enter
配置主机名
ciscoasa(config)#hostname ASAFW
配置ethernet 0/0
ASAFW(config)#interface ethernet 0/0
ASAFW(config-if)#ip address 202.100.1.10 255.255.255.0
ASAFW(config-if)#nameif Outside
ASAFW(config-if)#no shutdown
配置ethernet 0/1
1.打开物理接口
ASAFW(config-if)#interface ethernet 0/1
ASAFW(config-if)#no shutdown
2.创建子接口“e0/1.3”并且启用VLAN封装
ASAFW(config)#interface e0/1.3
ASAFW(config-subif)#vlan 3
ASAFW(config-subif)#nameif Inside
ASAFW(config-subif)#ip address 10.1.1.10 255.255.255.0
3.创建子接口“e0/1.4”并且启用VLAN封装
ASAFW(config)#interface e0/1.4
ASAFW(config-subif)#vlan 4
ASAFW(config-subif)#nameif DMZ
ASAFW(config-subif)#security-level 50
ASAFW(config-subif)#ip address 192.168.1.10 255.255.255.0
相同安全级别的接口之间的通讯:
具体命令:same-security-traffic permit inter-interface
同一接口内的通讯:
具体命令:same-security-traffic permit intra-interface
配置静态路由
默认路由:
ASAFW(config)#route outside 0 0 202.100.1.1
静态路由:
ASAFW(config)#route inside 2.2.2.2 255.255.255.255 10.1.1.1
关于动态路由
ASA支持
- RIP
- OSPF
- EIGRP
配置方式与IOS安全相同(重分布,路由过滤...)
ASA 8.0 所有掩码都为正掩码(ACL,路由宣告)
router ospf 1
network 192.168.1.0 255.255.255.0 area 0
第5部分:监控ASA
可以在任何位置使用 show run
show run+特定关键字=查看running配置
- show run interface
- show run nat
- show run tunnel-group
show run all +特定关键字=查看详细配置
- show run all tunnel-group
监控性能
show cpu usage
show memory
show perfmon
show version
查看路由表
show route
查看接口状态
show interface
查看接口IP与nameif
show interface ip brief
show nameif
查看连接状态信息
ASAFW#show conn
本地连接表
ASAFW#show local-host
管理与清除连接
从连接表中删除一个连接,中断这个连接(如果是TCP会话,其他的会话能够重新创建它们的连接对象)
ASAFW#clear conn [all] [protocol {tcp|udp}] [address src_ip[-src_ip][netmask mask]]
[port src_port[-src_port]] [address dest_ip[-dest_ip[-dest_ip]
[netmask mask]] [port dest_port[-dest_port]]
清除一个本地主机对象(并且摧毁它的所有的连接)
ASAFW#clear local-host [ip_address] [all]
第二天:系统管理与日志
第1部分:基本设备管理
配置主机名:
hostname Yeslab-ASA
配置域名:
dns server-group DefaultDNS
domain-name yeslab.net
配置Enable密码:
enable password cisco
在DMZ区域启用DNS解析:
dns domain-lookup DMZ
配置DNS服务器为 192.168.1.100:
dns server-group DefaultDNS
name-server 192.168.1.100
DNS测试
Yeslab-ASA#ping outrouter
Yeslab-ASA#ping outrouter.yeslab.com
配置时间
配置时区:
clock timezone GMT +8
配置时间:
clock set 03:10:25 oct 19 2012
配置NTP同步
配置NTP:
ntp authenticate
ntp authentication-key 1 md5 cisco
ntp trusted-key 1
ntp server 202.100.1.1 key 1 source Outside
NTP测试
Yeslab-ASA#show clock detail
Yeslab-ASA#show ntp status
配置ASA启动文件
配置ASA启动OS:
boot system disk0:/asa842-k8.bin
配置ASDM文件:
asdm image disk0:/asdm-645-206.bin
配置ASA启动配置文件:
boot config disk0:/boot.cfg
第2部分:管理事件和会话日志
激活ASA的日志功能:
logging enable
日志的不同输出目的
把严重级别为“Information”的日志输出到本地缓存:
logging buffered informational
把严重级别为“Information”的日志输出到日志服务器:
logging trap informational
把严重级别为“debugging”的日志输出到ASDM:
logging asdm debugging
Event-List 事件过滤技术
创建Event-List:
logging list Test level critical
logging list Test level informational class ospf
使用Event-List技术对输出到console口的日志进行过滤:
logging console Test
修改特定日志
禁用日志106001,并且修改严重级别到errors:
no logging message 106001
logging message 106001 level errors
定义日志服务器:
logging host Inside 10.1.1.100
查看logging配置与本地buffered日志
Yeslab-ASA#show logging
第3部分:基本排错工具介绍
Yeslab-ASA#ping 10.1.1.1
Packet Tracer实例(Outbound)
Yeslab-ASA#packet-tracer input inside tcp 10.1.1.1 1024 202.100.1.1 23
Yeslab-ASA#packet-tracer input outside icmp 202.100.1.1 8 0 10.1.1.1
在命令行中使用Packet Capture
Yeslab-ASA#capture test interface inside
Yeslab-ASA#no capture test interface inside
Yeslab-ASA#show capture test
第4部分:配置管理访问
配置带外网管口(CLI)
配置Inside接口为专用带外网管口:
interface Ethernet 0/1
nameif Inside
security-level 100
ip address 10.1.1.10 255.255.255.0
management-only
·注意management0/0 接口默认为专用带外网管口
启用Telnet网管
telnet 10.1.1.1 255.255.255.255 Inside
telnet 0 0 DMZ (DMZ所有主机都能Telnet)
·最低安全级别的接口不支持Telnet(例如Outside)
用本地用户认证的配置如下:
- username admin password cisco123 privilege 15
- aaa authentication telnet console LOCAL
启用SSH网管
hostname ASAFW
domain-name mingjiao.com
crypto key generate rsa
SSH 10.1.1.1 255.255.255.255 Inside
SSH 0 0 DMZ (DMZ所有主机都能够SSH)
·远程网管必须使用SSH,不能使用Telnet
用本地用户认证的配置如下:
- username localadmin password cisco privilege 15
- aaa authentication SSH console LOCAL
创建本地管理员账号:
ASA(config)#username yeslabadmin password cisco
ASA(config)#username yeslabadmin attributes
ASA(config-username)#service-type ?
username mode commands/options:
admin User is allowed access to the configuration prompt.
nas-prompt User is allowed access to the exec prompt.
remote-access User is allowed network access.
HTTPS网管
启用HTTPS网管:
http server enable
http 10.1.1.0 255.255.255.0 Outside
产生密钥(CLI)
crypto key generate rsa label asa.mingjiao.org modulus 1024
产生自签名证书(CLI)
crypto ca trustpoint Yeslab-ASDM-TrustPoint
enrollment self
subject-name CN=ASA.mingjiao.org
keypair asa.mingjiao.org
在特定接口上使用自签名证书(CLI)
ssl trust-point Yeslab-ASDM-TrustPoint Inside
SNMP基本配置与V3用户(CLI)
snmp-server group Authentication&Encryption v3 priv
snmp-server user yeslabuser Authentication&Encryption v3 auth md5 123 priv des 321
snmp-server location CYTD601
snmp-server contact MINGJIAO
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
snmp-server host DMZ 192.168.1.100 verion 3 yeslabuser
SNMP服务器(CLI)
snmp-server host Inside 10.1.1.1 version 3 yeslabuser
第5部分:认证管理访问
配置AAA Server Group (CLI)
aaa-server 3A protocol tacacs+
aaa-server 3A (DMZ) host 192.168.1.241
key cisco
配置SSH使用AAA认证(CLI)
aaa authentication ssh console 3A LOCAL
第三天:访问控制列表与穿越用户认证
第1部分:访问控制列表
基本ACL配置(CLI)
配置访问列表:
access-list Outside_access_in extended permit tcp 202.100.1.0 255.255.255.0 10.1.1.0 255.255.255.0 eq telnet
access-list Outside_access_in extended permti tcp 202.100.1.0 255.255.255.0 192.168.1.0 255.255.255.0 eq www
access-list Outside_access_in extended deny ip any any log notifications
调用访问控制列表到Outside接口入方向:
access-group Outside_access_in in interface Outside
Telnet测试
Outside#telnet 10.1.1.1
Trying 10.1.1.1 ...Open
User Access Verification
Password:
Inside>
Outside#telnet 192.168.1.1 80
配置Time-range(CLI)
time-range MingJiao-Time
periodic weekdays 9:00 to 18:00
配置基于时间的ACL(CLI)
access-list Outside_access_in extended permit tcp 202.100.1.0 255.255.255.0 10.1.1.0 255.255.255.0 eq ftp time-range MingJiao-Time
创建网络类型Object-Group(CLI)
object network Inside-Server1
host 10.1.1.1
object network Inside-Server2
host 10.1.1.2
object network Inside-Server3
host 10.1.1.3
object-group network Inside-Server
network-object object Inside-Server1
network-object object Inside-Server2
network-object object Inside-Server3
创建服务类型Object-Group(CLI)
object-group service Inside-Service
service-object icmp
service-object esp
service-object tcp destination eq ftp
service-object udp destination eq domain
配置ACL(CLI)
access-list Outside_access_in extended permit object-group object-group Inside-Service 202.100.1.0 255.255.255.0 object-group Inside-Server
注意:你可以同时配置全局访问控制规则和接口的访问规则,在这种情况下,
接口访问规则总是优先于全局访问规则处理。
配置:Global ACL(CLI)
access-list global_access extended permit icmp any any
access-list global_access extended permit tcp any any eq telent
access-group global_access global
测试Global ACL
Outside#telnet 10.1.1.1 (permit pass)
Outside#telnet 192.168.1.1 (permit pass)
Outside#ping 10.1.1.1 (permit pass)
Outside#ping 192.168.1.1 (permit pass)
配置接口ACL(ACL)
access-list Outside_access_in extended deny tcp any any eq telnet
access-group Outside_access_in in interface Outside
测试接口ACL优先
Outside#ping 10.1.1.1 (permit pass)
Outside#ping 192.168.1.1 (permit pass)
Outside#telnet 10.1.1.1 (deny no-pass)
启用uRPF(CLI)
ip verify reverse-path interface Outside
命令行配置Shunning
限制10.1.1.1 穿越防火墙:
Yeslab-ASA#shun 10.1.1.1
查看shun的状态:
Yeslab-ASA#show shun statistics
查看shun:
Yeslab-ASA#show shun
清除shun:
Yeslab-ASA#clear shun
第2部分:Cut Through
基于用户策略(CUT-Through Proxy)
实验一:穿越Telnet认证
初始化配置(1)
hostname Outside
!
no ip domain lookup
!
username cisco privilege 15 password 0 cisco
!
interface FastEthernet 0/0
ip address 202.100.1.1 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 202.100.1.10
!
ip http server
ip http authentication local
!
line vty 0 15
password cisco
---------------------------
hostname Inside
!
no ip domain lookup
!
interface FastEthernet 0/0
ip address 10.1.1.1 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 10.1.1.10
!
line vty 0 15
password cisco
初始化配置(2)
hostname ASA
!
interface Ethernet 0/0
nameif Outside
security-level 0
ip address 202.100.1.10 255.255.255.0
!
interface Ethernet 0/1
nameif Inside
security-level 100
ip address 10.1.1.10 255.255.255.0
!
interface Ethernet 0/2
nameif DMZ
security-level 50
ip address 192.168.1.10 255.255.255.0
!
http server enable
http 0.0.0.0 0.0.0.0 Inside
!
username admin password cisco privilege 15
aaa authentication http console LOCAL
配置3A服务器(CLI)
配置3A服务器:
aaa-server MingJiao-ACS protocol radius
aaa-server MingJiao-ACS (DMZ) host 192.168.1.241
key cisco
测试3A服务器:
ASA#test aaa authentication MingJiao-ACS
Server IP Address or name: 192.168.1.241
Username: acsuser
Password: *****
INFO:Attempting Authentication test to IP address <192.168.1.241>(timeout:12 seconds)
INFO:Authentication Successful
Cut-Through Proxy(CLI)
配置ACL匹配认证流量:
access-list Inside_authentication extended permit tcp 10.1.1.0 255.255.255.0 host 202.100.1.1 eq telnet
对进入Inside接口的匹配“Inside_authentication”的流量进行认证:
aaa authentication match Inside_authentication Inside MingJiao-ACS
测试Cut-Through Proxy
Inside#telnet 202.100.1.1
trying 202.100.1.1 ... Open
Username:acsuser
Passsword:
User Access Verification
Password:
Outside>q
[Connection to 202.100.1.1 closed by foreign host]
查看用户认证信息
ASA#show uauth
Cut-through 安全问题
·剩余时间地址欺骗
·多用户操作系统
查看默认超时时间
ASA#show run timeout
调整超时时间(CLI)
调整认证绝对超时时间为1个小时:
ASA(config)#timeout uauth 1:00:00 absolute
调整认证闲置超时时间为10分钟:
ASA(config)#timeout uauth 0:10:00 inactivity
查看调整后uauth
ASA(config)#show uauth
实验二:穿越HTTP认证
Cut-Through Proxy (CLI)
配置ACL匹配认证流量:
access-list Inside_authentication extended permit tcp 10.1.1.0 255.255.255.0 host 202.100.1.1 eq www
对进入Inside接口的匹配“Inside_authentication”的流量进行认证:
aaa authentication match Inside_authentication Inside MingJiao-ACS
修改提示信息(CLI)
修改Cut-Through Porxy提示信息:
auth-prompt prompt Welcome MingJiao
auth-prompt accept Accepted By MingJiao
auth-prompt reject Rejected By MingJiao
实验三:HTTP重定向
配置HTTP重定向(CLI)
aaa authentication listener http Inside port www redirect
实验四:Secure HTTP
配置Secure HTTP(CLI)
aaa authentication secure-http-client
实验五:虚拟HTTP
配置虚拟HTTP地址(CLI)
virtual http 202.100.1.101 warning
第四天:Modular Policy Framework
第五天:基于用户的MPF、高级访问控制和地址转换
第六天:透明墙与多模式防火墙
第七天:接口和网络冗余技术 FO
扫一扫
732
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
