精华内容
下载资源
问答
  • 2020-07-21 09:48:59
    WZ-2A10-SAS5525-0938# show running-config 
    : Saved
    
    : 
    : Serial Number: FCH17307098
    : Hardware:   ASA5525, 8192 MB RAM, CPU Lynnfield 2394 MHz, 1 CPU (4 cores)
    :
    ASA Version 9.8(2) 
    !
    hostname WZ-2A10-SAS5525-0938
    enable password $sha512$5000$HztVSx0o3cSsFEoY7TKS8A==$lJrGN+VDV6hYZDCSxnx4SQ
    更多相关内容
  • 思科防火墙设置知识.pdf
  • 思科防火墙设置

    2012-11-15 16:33:36
    思科防火墙设置
  • 需求将内网主机10.24.11.216的80端口映射到外网19909端口 ASA5506X> en Password: ******** ASA5506X# conf t ASA5506X(config)# object network serverMES216_port80_map ASA5506X(config-network-object)# host ...
  • 包含防火墙介绍,访问控制,防卫控制列表,访问规则,身份防火墙
  • 思科ASA防火墙培训培训内容:-Image从7.x升级到8.x/ASDM 5.x 升级到6.x-通过ASDM登陆设备-Syslog设置-通过telnet/ssh访问ASA-设置ASA接口
  • 思科防火墙配置命令(详细命令总结归纳)

    千次阅读 多人点赞 2021-10-08 07:01:58
    防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置...

    目录

    前言

    一、防火墙介绍

    二、防火墙配置

    1、防火墙的基本配置

    2、配置特权密码

    3、配置远程登录密码(在使用Telnet或SSH时需要输入的密码)

    4、配置接口名称和接口安全级别

    5、配置ACL

    (1)允许入站连接

    (2)控制出站连接的流量

    (3)ACL其他配置

    6、配置静态路由

    7、配置命令补充

    8、远程管理ASA

    (1)Telnet配置实例

    (2)配置SSH接入

    9、ASA防火墙配置NAT

    (1)动态PAT转换配置

    (2)静态NAT转换配置

    (3)静态PAT转换配置方法

    (4)NAT豁免配置方法

    结语


    前言


         防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置方法


    一、防火墙介绍


         防火墙用于维护一个关于用户信息的连接表,称为Conn表,表中信息有:源ip地址、目的ip地址、ip协议(如http、ftp等)、ip协议信息(协议端口号等),防火墙能够基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问


    二、防火墙配置


    1、防火墙的基本配置

    ciscoasa> en
    Password:默认特权密码为空,直接回车即可
    ciscoasa# conf t
    ciscoasa(config)# hostname 防火墙名称

    2、配置特权密码

    asa(config)# enable password 密码

    3、配置远程登录密码(在使用Telnet或SSH时需要输入的密码)

    asa(config)# passwd 密码

    4、配置接口名称和接口安全级别

    asa(config)# in e0/0
    asa(config-if)# nameif 接口名称
    asa(config-if)# security-level 安全级别{0~100}
    如果ASA的型号是5505,则不支持在物理接口上直接进行以上配置,必须通过VLAN虚接口来配置
    asa(config)#int vlan 1
    asa(config-if)# nameif inside
    asa(config-if)# security-level 100
    asa(config-if)#ip add 10.1.1.254 255.255.255.0
    asa(config-if)# no shut
    查看conn表
    asa#show conn detail

    5、配置ACL

    (1)允许入站连接

    asa(config)# access-list out_to_in permit ip host 172.16.1.5 host 10.1.1.7允许外网主机172.16.1.5访问内网主机10.1.1.7,out_to_in为ACL组名
    asa(config)# access-group out_to_in in int outside将组名为out_to_in的ACL应用在outside接口

    (2)控制出站连接的流量

    asa(config)# access-list in_to_out deny ip 10.0.0.0 255.0.0.0 any拒绝内网10.0.0.0网段 访问外网所有网段
    asa(config)# access-list in_to_out permit ip any any允许其他所有流量通行,因为ACL有隐含的拒绝语句,所以配置ACL时,一般都需要允许所有流量
    asa(config)# access-group in_to_out in int inside应用在内网接口

    (3)ACL其他配置

    ICMP协议
    默认情况下,禁止ICMP报文穿越ASA是基于安全性的考虑,有时候为了方便调试,可以配置暂时允许ICMP应答报文穿越ASA

    ciscoasa(config)# access-list 111 permit icmp any any定义ACL
    ciscoasa(config)# access-group 111 in int outside应用到outside接口

    6、配置静态路由

    asa(config)# route outside 172.16.0.0 255.255.0.0 10.0.0.1去往外网172.16.0.0网段的流量下一跳为10.0.0.1
    asa(config)# route inside 192.168.1.0 255.255.255.0 192.168.2.1去往内网192.168.1.0网段的流量下一跳为192.168.2.1

    7、配置命令补充

    no在前面,当配置错一条命令后,可以在原先的配置命令前加no即可删除配置错的那条命令

    ciscoasa# write memory保存running configuration配置到startup configuration
    ciscoasa# copy running-config startup-config保存running configuration配置到startup configuration
    ciscoasa(config)# clear configure all清除running configuration的所有配置
    ciscoasa(config)# clear configure access-list清除所有acces-list命令的配置
    ciscoasa(config)# clear configure access-list in_to_out只清除access-list in_to_out 的配置
    ciscoasa# write erase删除startup-config配置文件

    8、远程管理ASA

    ASA支持三种主要的远程管理接入方式:Telnet 、ssh和ASDM

    (1)Telnet配置实例

    由于使用Telnet远程管理是不安全的,所以一般禁止从外部接口使用Telnet接入,而只允许在内网使用Telnet

    配置允许从inside区域内的192.168.0.0/24网段使用telnet接入
    ciscoasa(config-if)# telnet 192.168.0.0 255.255.255.0 inside(接口名字)
    或者允许单个主机Telnet防火墙(两者根据需要二选一即可)
    ciscoasa(config)# telnet 192.168.0.1 255.255.255.255 inside(接口名字)
    配置空闲超时时间为30分钟
    ciscoasa(config)# telnet timeout 30(1~1440min,默认5min)

    (2)配置SSH接入

    配置主机名和域名,因为在生成RSA密钥对的过程中需要用到主机名和域名
    ciscoasa(config-if)# host 主机名配置主机名
    aaa(config)# domain-name 域名{.com}配置域名
    aaa(config)# crypto key generate rsa modulus 1024指定modulus的大小为1024位,大小可以为512位,768位,1024位或2048位,表示生成的RSA密钥的长度
    aaa(config)# ssh 192.168.1.0 255.255.255.0 inside允许内网1.0的网段SSH接入
    aaa(config)# ssh 0 0 outside允许外网任何主机SSH接入
    aaa(config)# ssh timeout 30配置超时时间为30分钟
    aaa(config)# ssh version 2启用SSH的版本2,该命令为可选

    版本1和版本2,区别是安全机制不一样,配置SSH接入完成后,可以在outside区域内的主机上使用SecureCRT或putty等工具登录ASA的outside接口,注意ASA默认使用用户名为pix,密码为使用password命令设置的密码

    9、ASA防火墙配置NAT

    (1)动态PAT转换配置

    把内部全局地址10.1.1.2转换为30.1.1.100
    ASA(config)# nat (×××ide){名称,outside或inside} nat名称 10.1.1.0 255.255.255.0声明内部地址
    ASA(config)# global (outside) nat名称 30.1.1.100-30.1.1.200声明全局地址,nat名称与内部nat名称要相同
    ASA(config)# show xlate detai查看NAT地址转换表
    转换为outside接口的地址
    ASA(config)# nat (×××ide){名称,outside或inside} nat名称 10.1.1.0 255.255.255.0声明内部地址,nat-id为1
    ASA(config)# global (outside) 1 interface声明内部地址全部转换为outside区域接口地址

    (2)静态NAT转换配置

    dmz区域的20.1.1.2 映射成公网地址100.1.1.1访问
    ASA(config)# static (dmz,outside) 100.1.1.1 20.1.1.2第一个IP地址是公网IP地址,第二地址是dmz区域服务器的真实IP地址
    ASA(config)# access-list 100 permit ip host 30.1.1.2 host 100.1.1.1
    ASA(config)# access-group 100 in int outside设置ACL允许outside区域访问dmz区域,但是访问的是映射后的地址

    (3)静态PAT转换配置方法

    将内部的服务器映射到公网同一个IP,不同端口号
    ASA(config)# static (dmz,outside) tcp 100.1.1.1 http 20.1.1.2 http
    ASA(config)# static (dmz,outside) tcp 100.1.1.1 smtp 20.1.1.3 smtp将内部服务器地址映射到同一个公网地址不同端口号
    ASA(config)# access-list out_to_dmz permit ip host 30.1.1.2 host 100.1.1.1
    ASA(config)# access-group out_to_dmz in int outside设置ACL允许outside区域访问dmz区域,但是访问的是映射后的地址

    (4)NAT豁免配置方法

    ASA(config)# nat-control表示通过ASA防火墙的数据包都必须使用NAT地址转换技术
    ASA(config)# access-list ACL组名 extended permit ip 10.1.1.0 255.255.255.0 30.1.1.0 255.255.255.0
    ASA(config)# nat (×××ide) 0 access-list ACL组名×××ide接口应用ACL,注意nat名称为0 表示使用NAT豁免,优先级最高,就是ACL中的地址经过ASA防火墙时,不需要进行地址转换

    结语


         在互联网上防火墙是一种非常有效的网络安全防范设备,通过它可以隔离风险区域 (即Internet或有一定风险的网络)与安全区域 (局域网)的连接 ,所以它一般连接在核心交换机与外网之间,在内部网络与外网之间起到一个把关的作用

    展开全文
  • 例如,在1.2.5之前的思科数字网络体系结构(DNA)中心版本的软件映像管理元素中发现了防火墙漏洞(CVE-2019-1841)。 此漏洞源于对用户提供的输入的验证不足,并且可能允许经过身份验证的远程攻击者向未经授权的...

    思科防火墙5510打开端口

    标准安全性实践是任何产品的基准,即使是最初级的软件开发人员也应了解任何项目的最低安全性要求。 然而,诸如缺少输入验证之类的简单问题仍然困扰着整个行业。

    例如,在1.2.5之前的思科数字网络体系结构(DNA)中心版本的软件映像管理元素中发现了防火墙漏洞(CVE-2019-1841)。 此漏洞源于对用户提供的输入的验证不足,并且可能允许经过身份验证的远程攻击者向未经授权的内部服务发送任意HTTP请求。

    检查防火墙安全性

    根据CVSS V3的8.1评分,此防火墙漏洞的严重性排名为高,在机密性和完整性类别中的评分也很高。 攻击者可以读取或更改防火墙规则表,和/或发现哪些内部服务在防火墙主机上受到保护。

    黑客可能会绕过思科的高端下一代防火墙(NGFW)进行攻击。 以威胁为中心的NGFW提供了高级威胁检测和补救以及传统NGFW的所有功能。 防火墙使用网络和端点事件关联来帮助检测逃避或可疑的网络活动,而统一策略则有助于降低威胁的复杂性。 但是,攻击者可以使用Cisco DNA Center绕过防火墙并修改防火墙规则表。

    具体来说,绕过漏洞是由防火墙实施和配置引起的弱点,黑客可以利用该弱点从防火墙外部或内部攻击可信网络。

    可以利用此Cisco防火墙漏洞的程度取决于三件事:

    • 整体防火墙技术;
    • 防火墙的配置; 和
    • 防火墙实施的复杂性。

    与高级防火墙相比,代理服务器更容易受到防火墙攻击,因为它仅限于提供内容缓存和防止来自外部的直接连接。

    如何消除防火墙漏洞

    为了克服此限制,状态检测防火墙被设计为允许或阻止基于状态,端口和协议的流量。 这种类型的防火墙不会检测到不必要的打开端口,不使用时不会关闭,并且包括默认情况下由操作系统隐藏的打开端口。

    防火墙发展的最高层是统一的威胁管理防火墙。 这种类型的防火墙包括状态检查,并允许管理员设置与入侵防御,防病毒软件和其他服务的松散耦合。

    下一代防火墙所做的不只是简单的数据包过滤和状态检查。 它们阻止高级恶意软件和应用程序层攻击,并自动执行安全操作,以节省企业网络中的时间。 如果您的预算允许,请考虑移至下一代防火墙,以帮助避免安全故障。

    对于Cisco DNA Center防火墙漏洞,服务不会被拒绝。 它会继续运行, 同时攻击者可以访问内部服务。 Cisco DNA Center版本1.2.10包括漏洞修复程序,并且可用。

    翻译自: https://www.theserverside.com/blog/Coffee-Talk-Java-News-Stories-and-Opinions/Input-validation-issues-open-Cisco-firewall-vulnerability

    思科防火墙5510打开端口

    展开全文
  • 这个防火墙是从来没有设置过的。他说,这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。你以前从来没有使用过PIX防火墙。你如何进行这种设置?在阅读完这篇文章之后,这个设置就很容易了。本文让...
  • 思科PIX防火墙设置详解借鉴.pdf
  • 12-思科防火墙:ASA会话超时

    千次阅读 2018-07-07 18:55:55
    一、实验拓扑:二、实验要求:DCD:死亡检测时间,默认R2 Telnet上去保持时间为1个小时,超时就会被清除掉,这里要求变为4小时,每15s就会发送5个DCD检测包,如没回应就剔除掉,回收资源。有时候R2挂机、死机这类的...

    一、实验拓扑:
    12-思科防火墙:ASA会话超时
    二、实验要求:
    DCD:死亡检测时间,默认R2 Telnet上去保持时间为1个小时,超时就会被清除掉,这里要求变为4小时,每15s就会发送5个DCD检测包,如没回应就剔除掉,回收资源。有时候R2挂机、死机这类的,就会一直暂用连接数量,暂用状态化信息和资源。
    1、配置每15秒内发5个DCD检测包;
    2、如对方没有回复,则认为对方挂掉,清除连接。
    三、命令部署:
    1、抓包——>class-map——>policy-map——>service-policy
    ASA(config)# access-list tel permit tcp host 10.1.1.2 host 202.100.1.1 eq 23

    ASA(config)# class-map abc
    ASA(config-cmap)# match access-list tel

    ASA(config-cmap)# policy-map yy
    ASA(config-pmap)# class abc
    ASA(config-pmap-c)# set connection timeout idle 04:00:00 reset dcd 0:0:15 5

    ASA(config-pmap-c)# service-policy yy interface inside

    四、验证:
    1、ASA行查看超时时间:
    ASA(config)# show run timeout
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
    timeout tcp-proxy-reassembly 0:01:00
    timeout floating-conn 0:00:00
    2、R2远程登录R1以后,ASA查看连接:
    R2#telnet 202.100.1.1
    Trying 202.100.1.1 ... Open
    User Access Verification
    Username: aa
    Password:
    R1>
    ASA(config)# show conn
    1 in use, 1 most used
    TCP outside 202.100.1.1:23 inside 10.1.1.2:62020, idle 0:00:58, bytes 117, flags UIO
    结论:模拟器没有效果!

    转载于:https://blog.51cto.com/13856092/2138598

    展开全文
  • Cisco 防火墙 ASADHCP配置 实验目标 1、网络初始化(防火墙IP地址配置,以及接口nameif) 2、外网接口通过DHCP获取地址与DNS信息(由于PT模拟器不支持PPPOE,所以用DHCP模拟) 3、配置DHCP功能以及特性,实现内网...
  • 实验四 cisco思科asa 5505 从内网访问DMZ服务器(真实防火墙).pdf
  • 今天朗联来为大家分享CISCO防火墙端口映射配置方法,首先先简单介绍一下什么是防火墙,Cisco防火墙是网络间的墙,主要为防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和...
  • 防火墙设置开放端口

    2021-05-06 20:21:49
    一 查看防火墙端口 1.1 查看防火墙状态 [root@localhost ~]# firewallsystemctl status firewalld bash: firewallsystemctl: command not found... [root@localhost ~]# systemctl status firewalld ● firewalld....
  • 思科防火墙

    千次阅读 2017-12-01 16:16:03
    ASA防火墙   1:接口名称和安全级别    1.1:ASA的接口名称通常有两种,一种是物理名称一种是逻辑名称 物理名称:通常指的就是与路由器的接口一样,如E0/0 E0/1. 逻辑名称:通常指的就是配置命令的ACL...
  • 思科防火墙模拟器

    千次阅读 2020-07-03 20:33:02
    思科防火墙模拟器 步骤1 1)首先解压文件名为ASA-8.42-VMWare.rar。解压后可得三个文件,分别是ASA-8.42文件夹,piped.exe,securecrt.exe 如图1 图1 2)解压完成后用VMware打开一个虚拟器,文件在ASA-8.42文件夹...
  • Cisco防火墙基础介绍及配置

    万次阅读 多人点赞 2019-05-22 17:39:11
    Cisco硬件防火墙技术应用领域: PIX 500 系列安全设备。 ASA 5500系列自适应安全设备。 Catalyst 6500 系列交换机和Cisco 7600 系列路由器的防火墙服务模块。 Cisco ASA 5500 系列自适应安全设备提供了整合防火墙、...
  • 防火墙系列---思科防火墙 ASA

    千次阅读 2019-06-23 22:03:02
    此文章是关于介绍如何搭建思科防火墙ASA环境。 借助的模拟软件是EVE,有关EVE模拟器的介绍使用,点击此处–> 《EVE模拟器的使用》 链接:https://pan.baidu.com/s/1rlzLTKkOexz_jezVf5IoIA 提取码:z1sr .....
  • 防火墙设置与配置开放端口

    千次阅读 2020-06-17 16:56:34
    一、iptables防火墙 1、 查看防火墙状态 service iptables status 出现Active: active (running)高亮显示则表示是启动状态。 出现 Active: inactive (dead)灰色表示停止状态。 2、 CentOS6关闭防火墙使用以下命令:...
  • 思科防火墙基本配置思路及命令

    万次阅读 2018-02-06 12:25:55
    修改防火墙名称 config# hostname xxxx 配置特权密码 config# enable password xxxx 远程登陆密码 config# password xxxx 配置接口名称 config-if # nameif xxxx 配置接口安全级别 config-if # security-level ...
  • ASA 端口映射:将DMZ区内的主机192.168.169.2映射到防火墙outside接口的interface地址:设置需要映射的主机object network server1host 192.168.169.2设置需要映射的端口ciscoasa(config)# object service 3389cisco...
  • 防火墙中开放端口

    2020-06-12 15:18:15
    防火墙可以保护系统更安全,不过防火墙的开启不免会对一些端口进行限制,而如果你想使用这个端口,又不关闭防火墙的话,我们就需要在防火墙中进行设置! linux系统: (1) 重启后永久性生效: 开启:chkconfig ...
  • 思科ASA防火墙接口区域基本信息

    千次阅读 2021-11-26 10:17:30
    hostname ASA //改防火墙名字为ASA interface gigabitEthernet0/0 //进入接口0/0 nameif inside //设置接口为inside区域(内网区域) (必须创建区域名称才行) (区域名字叫inside默认安全级别为100 其他的区域名称...
  • Cisco Adaptive Security Appliance Software Version 9.5(2) Device Manager Version 7.5(2) Compiled on Sat 28-Nov-15 00:16 PST by builders System image file is "disk0:/asa952-lfbff-k8.SPA" Config file ...
  • 思科防火墙配置命令

    千次阅读 2018-01-25 11:22:20
    本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢! CD-ASA5520# ...
  • 思科ASA 5505防火墙是通过创建vlan,将端口加入vlan,对vlan的安全等级进行设置的方式创建安全区域,通过ACL对vlan之间的流量进行控制; 0x01 ,搭建实验拓扑如下: 实验要求及目的:配置安全区域,安全规则,实现...
  • 很多人都玩过破解或者恢复Windows的密码,直接使用PE等工具,使用一个U盘就可以搞定。工作中可能会需要破解一些网络设备的密码,比如,路由器、交换机、防火墙等。
  • 思科防火墙4

    2019-08-25 10:26:12
    圆规之所以画圆,是因为脚在走,心不变! ==========================激情 负责任 ... 1,防火墙 -----控制 2,安全区域 : trust 受信任区域 ---安全级别85 ----内网区域 untrust 非受信任区域 ---安全级别5 ...
  • 实施URL过滤一般分为以下三个步骤: 1.创建class-map(类映射),识别传输流量; 2.创建policy-map(策略映射),关联class-map; 3.应用policy-map到接口上。创建class-map,识别传输流量 ...ASA...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 3,903
精华内容 1,561
关键字:

思科防火墙设置