今天这篇文章主要内容是:安装介绍思科ASA防火墙如何服务器上成功搭建并且完成基础配置(下一篇文章是关于思科Firepower防火墙的安装介绍)。
我先大概介绍一下防火墙。
防火墙类型:
1、包过滤防火墙
2、代理服务器
3、状态检测包过滤
包过滤防火墙是一个老的防火墙技术,类似于我们使用的访问控制列表ACL。
代理服务器是软件防火墙的主流技术,经常为WEB流量使用代理服务器,代理服务器的特点是存在两个TCP会话、性能低下、支持的运用较少,但是由于代理服务器工作在OSI模型的高层,可以识别应用层数据,天生具有流量清洗的作用,因此他属于最安全的防火墙。
状态检测包过滤是硬件防火墙主流技术,他可以为穿越TCP和UDP流维护状态华表项,对于返回的数据包首先查询状态化表项,如果是以前连接的一部分,就算被ACL拒绝也可以穿越防火墙,因为防火墙的ACL列表只对初始化流量生效。
当然从防火墙的发展历史来划分,防火墙可以分为传统包过滤防火墙、UTM(统一安全威胁)和下一代防火墙NGFW。
对应于思科的产品系,思科PIX防火墙属于传统的包过滤防火墙(目前已经被淘汰),思科ASA防火墙属于统一安全威胁(内置IPS、防病毒、上网行为管理、VPN、URL过滤等功能),思科下一代防火墙NGFW就是收购知名公司Sourcefire的产品,即现在思科的Firepower产品系。
下面开始在服务器上部署ASA防火墙,首先服务器的ESXI底层系统已经搭建完毕,我使用vSphere远程连接到ESXI主界面,如下图:
下面开始部署ASA防火墙,所需任何文件皆可留言找我,在vSphere主界面点击编辑-部署OVF模板
一直下一步,然后在下面界面让你为ASA定义一下在ESXI显示的名字,默认是ASAv,如果你不喜欢可以更改,反正我是挺喜欢这个名字的,然后点击下一步。
选择一个存储,用来安装ASA防火墙。
这里要选择Thin Provision(精简自备),也就是用多少硬盘空间,就占用多少空间,这属于ESXI里面的知识点。
网络映射默认就可以,如果端口不够用可以后续编辑虚拟机设置的时候添加。
部署完毕后打开ASA防火墙的电源,开始基础配置,开机完毕后,看到ciscoasa>模式,属于enable之后要求我们属于密码(默认为空,任意输入字符串也可以进入),进去到特权模式我们可以使用一些基础的命令集查看接口状态,查看路由条目,查看配置信息等。
输入conf t进入到全局配置模式,如下图:
修改名字可以直接在全局配置模式输入hostname +名字,如下图:
如果想清空配置,可以使用write erase然后reload重启ASA防火墙,如下图:
write erase是清空startup-config,也就是启动配置,如果你想清空的是running-config,也就是当前正在运行的命令,并没有保存在启动配置里面,可以使用clear configration all。
ASA防火墙几乎所有命令都可以直接在全局配置模式敲,这和思科的路由器有区别,思科路由器有一些特权模式的命令如果在全局配置模式敲的话需要加do。
下面我们给ASA内网接口Inside配置一个IP地址,如下图:
由于我本级IP地址为192.168.1.0/24网段,ASA防火墙的Inside接口在10.1.1.0/24网段,并且这两个网段都属于公司出口路由器上的网段,因此,我给ASA配置一条静态路由就可以保证我的本级和ASA防火墙互通,如下:
用笔记本Ping ASA防火墙也正常,网络已通。
然后我简单配置一个SSH,这样方便使用本级远程连接ASA防火墙做配置,配置命令如下:
username CISCO password CCIEo123 privilege 15
ssh 192.168.1.0 255.255.255.0 inside
aaa authentication ssh console LOCAL
然后在笔记本上做测试,如下图:
成功连接到ASA防火墙,当然也可以使用ASDM:Adaptive Security Appliance Device Manager借助于WEB页面对ASA进行配置,配置命令如下:
http server enable
http 192.168.1.0 255.255.255.0 inside
aaa authentication http console LOCAL
然后就可以借助于浏览器访问ASA界面了,访问的时候需要PC下载JAVA插件以及ASDM的插件。
今天就说道这里,后续我会专门介绍如何使用ASDM远程管理ASA防火墙并且通过ASA防火墙配置SSL VPN技术。