文章标签 ‘ASA’
ASA5520-1:
ciscoasa> en
Password:
ciscoasa# conf t
ciscoasa(config)# hostname ASA5520
ASA5520(config)# int g0/0
ASA5520(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA5520(config-if)# no shut
ASA5520(config-if)# ip add 100.1.1.1 255.255.255.0
ASA5520(config-if)# int g0/1
ASA5520(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA5520(config-if)# no shut
ASA5520(config-if)# ip add 192.168.0.1 255.255.255.0
ASA5520(config-if)# interface Management0/0
ASA5520(config-if)# no shut
ASA5520(config-if)# exit
ASA5520(config)# failover lan unit primary
ASA5520(config)# failover lan interface failover Management0/0
INFO: Non-failover interface config is cleared on Management0/0 and its sub-interfaces
ASA5520(config)# failover interface ip failover 1.1.1.1 255.255.255.0 standby 1.1.1.2
ASA5520(config)# failover
ASA5520(config)# write memory
Building configuration…
Cryptochecksum: b6bb8357 a400eae0 d063037d 1ef88a951893 bytes copied in 3.520 secs (631 bytes/sec)
[OK]
ASA5520(config)#
ASA5520-2:
ciscoasa> en
Password:
ciscoasa# conf t
ciscoasa(config)# interface Management0/0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# exit
ciscoasa(config)# failover lan unit secondary
ciscoasa(config)# failover lan interface failover Management0/0
INFO: Non-failover interface config is cleared on Management0/0 and its sub-interfaces
ciscoasa(config)# failover interface ip failover 1.1.1.1 255.255.255.0 standby 1.1.1.2
ciscoasa(config)# failover
ciscoasa(config)# .Detected an Active mate
Beginning configuration replication from mate.
ASA5520(config)# End configuration replication from mate.
ASA5520(config)#
ASA5520(config)# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: failover Management0/0 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.0(8), Mate 7.0(8)
Last Failover at: 09:22:55 UTC Sep 7 2009
This host: Secondary – Standby Ready
Active time: 0 (sec)
slot 0: ASA5520 hw/sw rev (2.0/7.0(8)) status (Up Sys)
slot 1: empty
Interface outside (0.0.0.0): Normal (Waiting)
Interface inside (0.0.0.0): Normal (Waiting)
Other host: Primary – Active
Active time: 1477 (sec)
slot 0: ASA5520 hw/sw rev (2.0/7.0(8)) status (Up Sys)
slot 1: empty
Interface outside (100.1.1.1): Normal (Waiting)
Interface inside (192.168.0.1): Normal (Waiting)Stateful Failover Logical Update Statistics
Link : Unconfigured.ASA5520(config)#
当关闭ASA5520-1时,show failover:
ASA5520(config)# sh fa
Failover On
Failover unit Secondary
Failover LAN Interface: failover Management0/0 (Failed – No Switchover)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.0(8), Mate 7.0(8)
Last Failover at: 10:00:56 UTC Sep 7 2009
This host: Secondary – Active
Active time: 7 (sec)
slot 0: ASA5520 hw/sw rev (2.0/7.0(8)) status (Up Sys)
slot 1: empty
Interface outside (100.1.1.1): No Link (Waiting)
Interface inside (192.168.0.1): No Link (Waiting)
Other host: Primary – Failed
Active time: 1726 (sec)
slot 0: ASA5520 hw/sw rev (2.0/7.0(8)) status (Up Sys)
slot 1: empty
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)Stateful Failover Logical Update Statistics
Link : Unconfigured.ASA5520(config)#
擦除防火墙配置的命令是write erase而不是erase flash!
当ASA5510的flash被erase后,如何将新的IOS拷贝到5510内呢? 如下:
1、 当flash被erase后设备会因为找不到启动文件而不断地重启
Launching BootLoader…
Default configuration file contains 1 entry.
Searching / for images to boot.
No images in /
Error 15: File not found
2、 进入监控模式,恢复设备系统使其可以正常启动。如何进入监控模式?如果大家仔细观察能够发现,在设备启动时会有提示按某个键进入监控模式。如下:
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
按“ESC”键进入监控模式。
3、 监控模式下的显示和交换机路由器没有什么区别。命令格式也大同小异只要大家变通一下就不难恢复。
rommon #0>
在监控模式下可以用“?”或“help”获得命令帮助,下面是用“?”或“help”后提示的恢复命令。
rommon #0> ?
Variables: Use "sync" to store in NVRAM
ADDRESS=local IP address
CONFIG=config file path/name
GATEWAY=gateway IP address
IMAGE=image file path/name
LINKTIMEOUT=Link UP timeout (seconds)
PKTTIMEOUT=packet timeout (seconds)
PORT=ethernet interface port
RETRY=Packet Retry Count (Ping/TFTP)
SERVER=server IP address
VLAN=enable/disable DOT1Q tagging on the selected port
4、 升级IOS需要对ASA进行一些简单的设置,如设置ASA5510设备的地址、设置tftp服务器的地址、设置IOS软件的文件名、sync保存、用ping命令测试与tftpserver的连通性、最后执行命令tftpdnld,软件开始装入。
注意:在监控模式下我们需要将电脑和ASA5510的带外管理接口相连,IP地址也是为带外管理接口设置的。
rommon #1> ADDRESS=192.168.0.3
rommon #2> GATEWAY=192.168.0.1
rommon #3> IMAGE=asa708-k8.bin
rommon #4> SERVER=192.168.0.1
rommon #5>
rommon #5> syncUpdating NVRAM Parameters…
rommon #6> ping 192.168.0.1
Link is UPSending 20, 100-byte ICMP Echoes to 192.168.0.1, timeout is 4 seconds:
?!!!!!!!!!!!!!!!!!!!
Success rate is 95 percent (19/20)
5、 执行tftpdnld命令,执行后显示如下
rommon #7> tftpdnld
ROMMON Variable Settings:
ADDRESS=192.168.0.3
SERVER=192.168.0.1
GATEWAY=192.168.0.1
PORT=Management0/0
VLAN=untagged
IMAGE=asa708-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20tftp asa708-k8.bin@192.168.0.1 via 192.168.0.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
此时IOS也没有装入5510,而是从tftp引导启动设备。这一点当设备启动完毕后可以用show version命令看到:
System image file is "tftp://192.168.0.1/asa708-k8.bin"
启动完毕后需要将tftp server连接到除带外管理接口以外的其它接口,然后再升级IOS
注意:配置IP地址。
Asa5510#copy tftp: flash:
Tftp server IP address:
Source file name:
Destination file name:
此时5510的ios已经copy到flash了,即便是重启也不会丢失。
6、 ios恢复以后呢还需要将图形界面管理软件拷贝到5510,和copy IOS的命令是一样的。
注意:不同版本的IOS需要不同的ASDM软件支持,具体什么型号的IOS需要什么型号的ASDM请大家在下在ASDM时注意观察描述。
ciscoasa(config)# sh run
: Saved
:
ASA Version 7.0(8)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
dns-guard
!
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface GigabitEthernet0/1
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
nameif outside
security-level 0
ip address 1.1.1.1 255.0.0.0
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
access-list 101 extended permit tcp any host 1.1.1.66 eq www
access-list 101 extended permit icmp any any
access-list 101 extended permit ip any any
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
no asdm history enable
arp timeout 14400
global (outside) 1 1.1.1.65 netmask 255.255.255.192
nat (inside) 1 192.168.0.0 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 1.1.1.66 192.168.0.3 netmask 255.255.255.255
static (outside,inside) 192.168.0.4 1.1.1.3 netmask 255.255.255.255
access-group 101 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa(config)#
很多年来,cisco pix一直都是cisco确定的防火墙。但是在2005年5月,cisco推出了一个新的产品——适应性安全产品(asa,adaptive security appliance)。不过,pix还依旧可用。我已听到很多人在多次询问这两个产品线之间的差异到底是什么。让我们来看一看。
cisco pix是什么?
cisco pix是一种专用的硬件防火墙。所有版本的cisco pix都有500系列的产品号码。最常见的家用和小型网络用产品是pix 501;而许多中型企业则使用pix 515作为企业防火墙。
pix防火墙使用pix操作系统。虽然pix操作系统和cisco ios看起来非常的接近,但是对那些非常熟悉ios的用户来说,还是有足够的差异性弄得他们头昏脑胀。
pix系列的防火墙使用pdm(pix设备管理器,pix device manager)作为图形接口。该图形界面系统是一个通过网页浏览器下载的java程序。
一般情况下,一台pix防火墙有个外向接口,用来连到一台internet路由器中,这台路由器再连到internet上。同时,pix也有一个内向接口,用来连到一台局域网交换机上,该交换机连入内部网络。
cisco asa是什么?
而asa是cisco系列中全新的防火墙和反恶意软件安全用具。(不要把这个产品和用于静态数据包过滤的pix搞混了)
asa系列产品都是5500系列。企业版包括4种:firewall,ips,anti-x,以及vpn。而对小型和中型公司来说,还有商业版本。
总体来说,cisco一共有5种型号。所有型号均使用asa 7.2.2版本的软件,接口也非常近似cisco pix。cisco pix和asa在性能方面有很大的差异,但是,即使是asa最低的型号,其所提供的性能也比基础的pix高得多。
和pix类似,asa也提供诸如入侵防护系统(ips,intrusion prevention system),以及vpn集中器。实际上,asa可以取代三种独立设备——cisco pix防火墙,cisco vpn 3000系列集中器,以及cisco ips 4000系列传感器。
现在,我们已经看过了两种安全工具各自的基本情况,下面我们来看看他们互相比较的结果。
pix对asa
虽然pix是一款非常优秀的防火墙,但是安全方面的情况却在日新月异。仅仅使用一台静态数据包过滤防火墙来对你的网络进行保护已远远不够了。对网络而言,新的威胁层出不穷——包括病毒,蠕虫,多余软件(比如p2p软件,游戏,即时通讯软件),网络欺诈,以及应用程序层面的攻击等等。
如果一台设备可以应付多种威胁,我们就称其提供了“anti-x”能力,或者说它提供了“多重威胁(multi-threat)”防护。但pix恰恰无法提供这种层次的防护。
绝大多数公司不希望采用安装一台pix进行静态防火墙过滤,同时再使用一些其他的工具来防护其他威胁的办法。他们更希望采用一台“集所有功能于一身”的设备——或是采用一台UTM(统一威胁管理)设备。
而asa恰好针对这些不同类型的攻击提供了防护。它甚至比一台utm设备更厉害——不过,要成为一台真正的utm,它还需要装一个csc-ssm模块(csc-ssm,内容安全以及控制安全服务,content security and control security service)才行。该模块在asa中提供anti-x功能。如果没有csc-ssm,那asa的功能看起来会更像一台pix。
那么,到底哪一个才适合你的企业呢?正如我们通常所说的,这要看你企业的需求而定。不过,我还是倾向于优先选择asa,而后才是pix。首先,一台asa的价格要比同样功能的pix要低。除去成本的原因不谈,至少从逻辑上来说,选择asa就意味着选择了更新更好的技术。
对于那些已经在使用cisco pix的人来说,cisco已经提供了一个迁移指南,以解决如何从cisco pix迁移到asa上的问题。就我观点而言,我觉得这起码预示了一点,就是cisco终止pix的日子正离我们越来越近。虽然cisco公司尚未明确宣布这一点,但是我认为这只是一个时间问题罢了。
要记住,面对internet上五花八门的不同威胁,我们无法再简单地像以往那样有了一套防火墙就万事大吉了;对完整的防护措施而言,一个多重防护的方法必不可少。虽然asa的确是很好的一个选择,但是这也并不意味着它是你的唯一选项。许多生产商都提供了很好的产品,在你最终选择asa之前,建议你不妨对它们多了解了解。
