思科ASA防火墙精华配置总结

思科防火墙 PIX ASA 配置总结一(基础):
    下面是我工作以来的配置总结,有些东西是6.3版本的,但不影响在7.*版本的配置。
    一:6个基本命令: nameif、 interface、 ip address 、nat、 global、 route。

二:基本配置步骤:
    step1: 命名接口名字
    nameif ethernet0 outside security0
    nameif ethernet1 inside security100
    nameif ethernet2 dmz security50
    **7版本的配置是先进入接口再命名。
    step2:配置接口速率
    interface ethernet0 10full auto
    interface ethernet1 10full auto
    interface ethernet2 10full
    step3:配置接口地址
    ip address outside 218.106.185.82
    ip address inside 192.168.100.1 255.255.255.0
    ip address dmz 192.168.200.1 255.255.255.0
    step4:地址转换(必须)
    * 安全高的区域访问安全低的区域(即内部到外部)需NAT和global;
    nat(inside) 1 192.168.1.1 255.255.255.0
    global(outside) 1 222.240.254.193 255.255.255.248
    *** nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。直接转发出去。
    * 如果内部有服务器需要映像到公网地址(外网访问内网)则需要static和conduit或者acl.
    static (inside, outside) 222.240.254.194 192.168.1.240
    static (inside, outside) 222.240.254.194 192.168.1.240 10000 10
    后面的10000为限制连接数,10为限制的半开连接数。
    conduit permit tcp host 222.240.254.194 eq www any
    conduit permit icmp any any (这个命令在做测试期间可以配置,测试完之后要关掉,防止不必要的漏洞)
    ACL实现的功能和conduit一样都可实现策略访问,只是ACL稍微麻烦点。conduit现在在7版本已经不能用了。
    Access-list 101 permit tcp any host 222.240.254.194 eq www
    Access-group 101 in interface outside (绑定到接口)
      ***允许任何地址到主机地址为222.240.254.194的www的tcp访问。
    Step5:路由定义:
    Route outside 0 0 222.240.254.193 1
    Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
      **如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。
    Step6:基础配置完成,保存配置。
    Write memory write erase 清空配置
    reload

  
前言
防火墙观念已经在企业网络相当普及,DataCenter提供企业主机代管业务或是ISP提供企业VPN需求时,常需考虑网络安全,需要帮客户建置防火墙服务,DataCenter提供为数众多的客户主机代管服务,亦需要为客户建置安全网络环境。DataCenter在众多客户的网络环境或是大型企业各个子公司需要不同防火墙策略时,即可考虑使用思科ASA系列防火墙的Multiple context 功能来建置一个灵活可扩充性高的防火墙环境。

ASA Multiple context 是将一个实体防火墙分割成多个虚拟防火墙。每一虚拟防火墙可以有独立虚拟线路、路由表、NAT表、独立防火墙策略及个别管理者。使用限制上,ASA Multuple context启动后,ASA只支持静态路由,不支持动态路由、Multicast路由以及VPN与Threat Detection功能。
 
一、ASA Multiple context 规格:
目前CISCO ASA5500 支持0~50个multiple context .
表一、ASA 5500防火墙支持Security contexts 数量
 Cisco ASA 5505Cisco ASA 5510Cisco ASA 5520Cisco ASA 5540Cisco ASA 5550Cisco ASA 5580
Security context-虚拟防火墙
(内建/最大)0/02/52/202/502/502/50
 
 

CISCO ASA 防火墙具有强大处理能力最高可达四百万最小封包每秒,最大联机数两百万个(ASA5580),ASA防火墙型号有ASA5505 ,ASA5510,ASA5520,ASA5540,ASA5550,ASA5580-20,ASA5580-40,适用于家庭、中小企业到大型Service provider,客户可依网络环境需求作调度配置,且具备备援机制,提供可靠的网络安全。也具备方便灵活的图形化管理接口(ASDM),让管理者轻易上手。   
二、Multiple context 架构规划
ISP 能够利用ASA Multiple context 是将一个实体防火墙分割成多个虚拟防火墙,再搭配SWITCH(CISCO 7600) 的IEEE 802.1Q功能,将多个客户都接到SWITCH上,就可以节省线路成本、电力成本、设备成本。配合SWITCH(CISCO 7600) MPLS 功能可以规划客户设备IP都使用相同网段,将网段规则一致化,可以简化网管,由ISP统一管理所有虚拟防火墙的policy,如下列两个比较图。
图一 : 建置个别客户防火墙

图二 : DataCenter 以ASA5580 multi-context 为客户建置防火墙

优化后,只需要两台ASA5580做实体设备备援的架构,相较于旧架构三组防火墙共六部实体防火墙来的省钱,而且收容客户数越多,ASA5580就更加节省整体建置成本。
三、ASA 5580 Multi-context 建置
1.          启动Multi-context
将两台备援使用的ASA5580 启动multi-context,指令为 mode multiple。
example : ASA(config)# mode multiple

系统在指令下完以后,会自动重开机。系统开机后会自动建立一个admin context . admin context 是一个独立context ,他的配置文件储存路径为 flash:/admin.cfg,默认没有任何接口配置于admin,但可手动加入网络接口。若防火墙管理是由DataCenter集中管理时,建议将admin context 当做管理性质的平台。
2.          建立新的context
(1)   命名  指令: pixfirewall(config)# context cisco 区别每一个context
(2)   配置文件位置 指令: pixfirewall(config)# config-url flash:/cisco
指定配置文件路径,待登入 cisco 这个context做存盘动作时,会写入到此路径档案。系统搬迁时,也会用到。例如客户A从实体防火墙搬到另外一个实体防火墙时,只要搬动此配置文件到对应的ASA防火墙,客户A设定即可回复。
(3)   配置网络接口 新增网络接口,并设定好vlan ID,因为实体接口与其他context 共享,所以用不同vlan ID区隔开。
例: pixfirewall(config-subif)# interface gigabitethernet 0.101
pixfirewall(config-subif)# vlan 101
(4)   将网络接口指定给context
例: pixfirewall(config)# context cisco
   pixfirewall(config-ctx)# allocate-interface GigabitEthernet0/0.101
此时,进入context cisco ,可以看到多出网络接口GigabitEthernet0/0.101可以设定ip及使用。
在system模式底下以指令show context 可以检视系统目前所有context 及其配置的网络接口。
3.          配置系统资源
ASA5580 需要配置各项资源到每一个虚拟防火墙单位(context),包括ASDM 联机数、connection 数量、telnet联机数、ssh 联机数、使用者数量及NAT 数量。
指令:
pixfirewall(config)#class test
pixfirewall(config-class)# limit-resource ASDM 5
pixfirewall(config-class)#limit-resource Conns 1000
pixfirewall(config-class)#limit-resource Hosts 10
pixfirewall(config-class)#limit-resource SSH 5
pixfirewall(config-class)#limit-resource Telnet 5
pixfirewall(config-class)#limit-resource Xlates 50
套用到指定的context 指令:
      pixfirewall(config)#context cisco
      pixfirewall(config-ctx)#member test

配置接口范例如下,其中有multi-context failover的设定
ASA# show running-config
: Saved:
ASA Version 8.0(4)
! system 密码,个别context 的密码设定需要到context底下去设定
enable password
!
interface GigabitEthernet0/0.101
 description Customer1 inside
 vlan 101
!
interface GigabitEthernet0/0.102
 description Customer2 inside
 vlan 102
!
!
interface GigabitEthernet0/1.501
 description Customer1 outside
 vlan 501
!
interface GigabitEthernet0/1.502
 description Customer2 outside
 vlan 502
!指定failover界面
interface GigabitEthernet0/2
 description LAN Failover Interface
!指定stateful failover界面
interface GigabitEthernet0/3
 description STATE Failover Interface
!
!系统资源分配
class cisco
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!            
boot system disk0:/asa804-k8.bin
ftp mode passive
clock timezone TPE 8
pager lines 24
!以下是active active failover的设定
failover
failover lan unit primary
failover lan interface failover GigabitEthernet0/2
failover polltime unit 1 holdtime 3
failover polltime interface 3 holdtime 15
failover replication http
failover link stateful GigabitEthernet0/3
failover interface ip failover 10.44.1.1 255.255.255.252 standby 10.44.1.2
failover interface ip stateful 10.44.1.5 255.255.255.252 standby 10.44.1.6
failover group 1  
  preempt 10
  replication http
failover group 2
  secondary
  preempt 10
  replication http
!以下是图形管理接口档案位置
asdm image disk0:/asdm-615.bin
!虚拟防火墙admin
admin-context admin
context admin
  config-url disk0:/admin.cfg
!虚拟防火墙Customer1,设定为Failover group1
context Customer1
  description Customer1
  allocate-interface GigabitEthernet0/0.101 visible
  allocate-interface GigabitEthernet0/1.501 visible
  config-url disk0:/Customer1
  join-failover-group 1
! 虚拟防火墙Customer2,设定为Failover group2
context Customer2
  description Customer2
  allocate-interface GigabitEthernet0/0.102 visible
  allocate-interface GigabitEthernet0/1.502 visible
  config-url disk0:/Customer2
  join-failover-group 2
!
!
username cisco password password
prompt hostname context
Cryptochecksum:3f8df13b36f2850f49d8b29b66ccabe2
: end
 
4.          个别context 设定与Active/Active failover
个别context 设定与single mode 没有差异,步骤是设定interface nameif 、security level 、接口 ip 地址、远程管理、密码、路由信息、NAT、防火墙策略等等。
以上failover设定,将PRIMARY ASA设定为failover group 1,SECONDARY ASA 设定为failover group 2,而Customer1 预设为failover group 1 群组,Customer2 预设为failover group 2 群组,并启动stateful failover。
两个客户封包路径如下图:
 
当ASA primary 故障时,流量集中到良好设备线路上,此时session不会中断,服务保持正常,达到failover预期效果。

检视ASA failover 信息,指令:show failover

 
5.          管理ASA5580 multi-context 。
登入ASA后有三个模式,system , admin和context 模式。
system : 整体系统信息,在此模式可以看到每一个context 的接口配置,class配置,及实体接口设定。
admin 模式: 由system登入admin,使用指令 changeto context admin
范例 pixfirewall# changeto context admin
          pixfirewall/admin#  
登入后命令提示字符表示方式多了/admin。跳回system 需使用指令 change system。此模式为系统默认产生,可供指定管理界面,成为管理使用的context, 也可以是一般context .
context 模式:自行新增的context 都属于这种模式,分配给个别客户使用,切换到此模式的方式与admin相同。
如果context 由客户自行管理时,客户可以直接以ssh 登入所属的context,如范例中的Customer1或Customer2,此时,无法再切换到admin 或system .此为安全考虑。
结语
ASA 5500系列防火墙超高的效能以及灵活的配置运用,搭配multi-context,是企业或DatsCenter 最佳的防火墙设备,不但节能省设备成本,更有简洁的指令接口,和善的图形管理接口,新版软件更有先进的管理除错功能packet tracer.每项优点都是网络管理者所需,必备的工具。

(0)

相关推荐