思科ASA防火牆精華配置總結
思科防火牆 PIX ASA 配置總結一(基礎):
下面是我工作以來的配置總結,有些東西是6.3版本的,但不影響在7.*版本的配置。
一:6個基本命令: nameif、 interface、 ip address 、nat、 global、 route。
二:基本配置步驟:
step1: 命名接口名字
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
**7版本的配置是先進入接口再命名。
step2:配置接口速率
interface ethernet0 10full auto
interface ethernet1 10full auto
interface ethernet2 10full
step3:配置接口地址
ip address outside 218.106.185.82
ip address inside 192.168.100.1 255.255.255.0
ip address dmz 192.168.200.1 255.255.255.0
step4:地址轉換(必須)
* 安全高的區域訪問安全低的區域(即內部到外部)需NAT和global;
nat(inside) 1 192.168.1.1 255.255.255.0
global(outside) 1 222.240.254.193 255.255.255.248
*** nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1這個地址不需要轉換。直接轉發出去。
* 如果內部有服務器需要映像到公網地址(外網訪問內網)則需要static和conduit或者acl.
static (inside, outside) 222.240.254.194 192.168.1.240
static (inside, outside) 222.240.254.194 192.168.1.240 10000 10
后面的10000為限制連接數,10為限制的半開連接數。
conduit permit tcp host 222.240.254.194 eq www any
conduit permit icmp any any (這個命令在做測試期間可以配置,測試完之后要關掉,防止不必要的漏洞)
ACL實現的功能和conduit一樣都可實現策略訪問,只是ACL稍微麻煩點。conduit現在在7版本已經不能用了。
Access-list 101 permit tcp any host 222.240.254.194 eq www
Access-group 101 in interface outside (綁定到接口)
***允許任何地址到主機地址為222.240.254.194的www的tcp訪問。
Step5:路由定義:
Route outside 0 0 222.240.254.193 1
Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
**如果內部網段不是直接接在防火牆內口,則需要配置到內部的路由。
Step6:基礎配置完成,保存配置。
Write memory write erase 清空配置
reload
前言
防火牆觀念已經在企業網絡相當普及,DataCenter提供企業主機代管業務或是ISP提供企業VPN需求時,常需考慮網絡安全,需要幫客戶建置防火牆服務,DataCenter提供為數眾多的客戶主機代管服務,亦需要為客戶建置安全網絡環境。DataCenter在眾多客戶的網絡環境或是大型企業各個子公司需要不同防火牆策略時,即可考慮使用思科ASA系列防火牆的Multiple context 功能來建置一個靈活可擴充性高的防火牆環境。
ASA Multiple context 是將一個實體防火牆分割成多個虛擬防火牆。每一虛擬防火牆可以有獨立虛擬線路、路由表、NAT表、獨立防火牆策略及個別管理者。使用限制上,ASA Multuple context啟動后,ASA只支持靜態路由,不支持動態路由、Multicast路由以及VPN與Threat Detection功能。
一、ASA Multiple context 規格:
目前CISCO ASA5500 支持0~50個multiple context .
表一、ASA 5500防火牆支持Security contexts 數量
Cisco ASA 5505 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540 Cisco ASA 5550 Cisco ASA 5580
Security context-虛擬防火牆
(內建/最大) 0/0 2/5 2/20 2/50 2/50 2/50
CISCO ASA 防火牆具有強大處理能力最高可達四百萬最小封包每秒,最大聯機數兩百萬個(ASA5580),ASA防火牆型號有ASA5505 ,ASA5510,ASA5520,ASA5540,ASA5550,ASA5580-20,ASA5580-40,適用於家庭、中小企業到大型Service provider,客戶可依網絡環境需求作調度配置,且具備備援機制,提供可靠的網絡安全。也具備方便靈活的圖形化管理接口(ASDM),讓管理者輕易上手。
二、Multiple context 架構規划
ISP 能夠利用ASA Multiple context 是將一個實體防火牆分割成多個虛擬防火牆,再搭配SWITCH(CISCO 7600) 的IEEE 802.1Q功能,將多個客戶都接到SWITCH上,就可以節省線路成本、電力成本、設備成本。配合SWITCH(CISCO 7600) MPLS 功能可以規划客戶設備IP都使用相同網段,將網段規則一致化,可以簡化網管,由ISP統一管理所有虛擬防火牆的policy,如下列兩個比較圖。
圖一 : 建置個別客戶防火牆
圖二 : DataCenter 以ASA5580 multi-context 為客戶建置防火牆
優化后,只需要兩台ASA5580做實體設備備援的架構,相較於舊架構三組防火牆共六部實體防火牆來的省錢,而且收容客戶數越多,ASA5580就更加節省整體建置成本。
三、ASA 5580 Multi-context 建置
1. 啟動Multi-context
將兩台備援使用的ASA5580 啟動multi-context,指令為 mode multiple。
example : ASA(config)# mode multiple
系統在指令下完以后,會自動重開機。系統開機后會自動建立一個admin context . admin context 是一個獨立context ,他的配置文件儲存路徑為 flash:/admin.cfg,默認沒有任何接口配置於admin,但可手動加入網絡接口。若防火牆管理是由DataCenter集中管理時,建議將admin context 當做管理性質的平台。
2. 建立新的context
(1) 命名 指令: pixfirewall(config)# context cisco 區別每一個context
(2) 配置文件位置 指令: pixfirewall(config)# config-url flash:/cisco
指定配置文件路徑,待登入 cisco 這個context做存盤動作時,會寫入到此路徑檔案。系統搬遷時,也會用到。例如客戶A從實體防火牆搬到另外一個實體防火牆時,只要搬動此配置文件到對應的ASA防火牆,客戶A設定即可回復。
(3) 配置網絡接口 新增網絡接口,並設定好vlan ID,因為實體接口與其他context 共享,所以用不同vlan ID區隔開。
例: pixfirewall(config-subif)# interface gigabitethernet 0.101
pixfirewall(config-subif)# vlan 101
(4) 將網絡接口指定給context
例: pixfirewall(config)# context cisco
pixfirewall(config-ctx)# allocate-interface GigabitEthernet0/0.101
此時,進入context cisco ,可以看到多出網絡接口GigabitEthernet0/0.101可以設定ip及使用。
在system模式底下以指令show context 可以檢視系統目前所有context 及其配置的網絡接口。
3. 配置系統資源
ASA5580 需要配置各項資源到每一個虛擬防火牆單位(context),包括ASDM 聯機數、connection 數量、telnet聯機數、ssh 聯機數、使用者數量及NAT 數量。
指令:
pixfirewall(config)#class test
pixfirewall(config-class)# limit-resource ASDM 5
pixfirewall(config-class)#limit-resource Conns 1000
pixfirewall(config-class)#limit-resource Hosts 10
pixfirewall(config-class)#limit-resource SSH 5
pixfirewall(config-class)#limit-resource Telnet 5
pixfirewall(config-class)#limit-resource Xlates 50
套用到指定的context 指令:
pixfirewall(config)#context cisco
pixfirewall(config-ctx)#member test
配置接口范例如下,其中有multi-context failover的設定
ASA# show running-config
: Saved:
ASA Version 8.0(4)
! system 密碼,個別context 的密碼設定需要到context底下去設定
enable password
!
interface GigabitEthernet0/0.101
description Customer1 inside
vlan 101
!
interface GigabitEthernet0/0.102
description Customer2 inside
vlan 102
!
!
interface GigabitEthernet0/1.501
description Customer1 outside
vlan 501
!
interface GigabitEthernet0/1.502
description Customer2 outside
vlan 502
!指定failover界面
interface GigabitEthernet0/2
description LAN Failover Interface
!指定stateful failover界面
interface GigabitEthernet0/3
description STATE Failover Interface
!
!系統資源分配
class cisco
limit-resource All 0
limit-resource ASDM 5
limit-resource SSH 5
limit-resource Telnet 5
!
boot system disk0:/asa804-k8.bin
ftp mode passive
clock timezone TPE 8
pager lines 24
!以下是active active failover的設定
failover
failover lan unit primary
failover lan interface failover GigabitEthernet0/2
failover polltime unit 1 holdtime 3
failover polltime interface 3 holdtime 15
failover replication http
failover link stateful GigabitEthernet0/3
failover interface ip failover 10.44.1.1 255.255.255.252 standby 10.44.1.2
failover interface ip stateful 10.44.1.5 255.255.255.252 standby 10.44.1.6
failover group 1
preempt 10
replication http
failover group 2
secondary
preempt 10
replication http
!以下是圖形管理接口檔案位置
asdm image disk0:/asdm-615.bin
!虛擬防火牆admin
admin-context admin
context admin
config-url disk0:/admin.cfg
!虛擬防火牆Customer1,設定為Failover group1
context Customer1
description Customer1
allocate-interface GigabitEthernet0/0.101 visible
allocate-interface GigabitEthernet0/1.501 visible
config-url disk0:/Customer1
join-failover-group 1
! 虛擬防火牆Customer2,設定為Failover group2
context Customer2
description Customer2
allocate-interface GigabitEthernet0/0.102 visible
allocate-interface GigabitEthernet0/1.502 visible
config-url disk0:/Customer2
join-failover-group 2
!
!
username cisco password password
prompt hostname context
Cryptochecksum:3f8df13b36f2850f49d8b29b66ccabe2
: end
4. 個別context 設定與Active/Active failover
個別context 設定與single mode 沒有差異,步驟是設定interface nameif 、security level 、接口 ip 地址、遠程管理、密碼、路由信息、NAT、防火牆策略等等。
以上failover設定,將PRIMARY ASA設定為failover group 1,SECONDARY ASA 設定為failover group 2,而Customer1 預設為failover group 1 群組,Customer2 預設為failover group 2 群組,並啟動stateful failover。
兩個客戶封包路徑如下圖:
當ASA primary 故障時,流量集中到良好設備線路上,此時session不會中斷,服務保持正常,達到failover預期效果。
檢視ASA failover 信息,指令:show failover
5. 管理ASA5580 multi-context 。
登入ASA后有三個模式,system , admin和context 模式。
system : 整體系統信息,在此模式可以看到每一個context 的接口配置,class配置,及實體接口設定。
admin 模式: 由system登入admin,使用指令 changeto context admin
范例 pixfirewall# changeto context admin
pixfirewall/admin#
登入后命令提示字符表示方式多了/admin。跳回system 需使用指令 change system。此模式為系統默認產生,可供指定管理界面,成為管理使用的context, 也可以是一般context .
context 模式:自行新增的context 都屬於這種模式,分配給個別客戶使用,切換到此模式的方式與admin相同。
如果context 由客戶自行管理時,客戶可以直接以ssh 登入所屬的context,如范例中的Customer1或Customer2,此時,無法再切換到admin 或system .此為安全考慮。
結語
ASA 5500系列防火牆超高的效能以及靈活的配置運用,搭配multi-context,是企業或DatsCenter 最佳的防火牆設備,不但節能省設備成本,更有簡潔的指令接口,和善的圖形管理接口,新版軟件更有先進的管理除錯功能packet tracer.每項優點都是網絡管理者所需,必備的工具。