二.安全NA之ASA基础

一、ASA常用命令

show run interface    #查看接口配置
show ip address        #查看IP地址
show conn             #查看防火墙状态信息，U代表up；I，代表进流量；O，代表出流量；B，代表从outside过来的始发流量

write  erase     #清空startup-config,并立即重启
clear configuration all   #清空startup-config配置
reload   #重启

二、ASA的接口配置

#接口配置
interface GigabitEthernet0/0
 nameif Inside             #设置安全区域
 security-level 100       #安全区域级别
 ip address 10.1.1.1 255.255.255.0
 no shut

三、ASA的SSH配置

#配置ssh登陆
username test password 111111 privilege 15   #设置本地用户名和密码
crypto key generate rsa modulus 1024   #配置RSA密钥对
ssh 10.1.1.0 255.255.255.0 inside   #允许10.1.1.0/24网段通过inside区来登陆
aaa authentication ssh console LOCAL #通过ssh认证，用户名密码来自于LCOAL

#注:默认enable没有密码，直接按回车就可以进入#模式

四、ASA配置ASDM(图形化)登陆

#配置ssh登陆
username test password 111111 privilege 15   #设置本地用户名和密码
http server enable   #开启http服务
http 10.1.1.0 255.255.255.0 inside   #允许10.1.1.0/24网段通过inside区来http登陆
aaa authentication httpconsole LOCAL #通过http认证，用户名密码来自于

五、Security Level介绍

#1.从高安全级别接口到低安全级别接口的流量叫outbound流量，这种流量默认是允许的

#2.从低安全级别接口到高安全级别接口的流量叫inbound流量，这种流量默认是不允许的，但是可以通过acl来放行inbound流量

#3.相同安全级别接口之间的流量默认是不允许的，但是可以使用命令(same-security-traffic permit inter-interface)打开,使其可通

#4.安全级别的范围为0-100

#5.默认inside安全级别为100，其余接口默认为0，可修改

　　5.2 ASA关于ACL的介绍

#1.Cisco ASA接口访问规则控制网络应用穿越ASA,不影响到本地的流量(与路由器交换机等网络设备不一样)

#2.接口访问规则决定哪些“新建连接”能够进入ASA连接表(connection table)（acl只对始发流量起作用，即对syn起作用）

　　5.3 配置ACL放行Inbound流量

access-list test_out permit tcp host 202.100.1.1 10.1.1.0 255.255.255.0 eq 23   #在ASA上网段用的是掩码，而非反码，此点与路由器或者交换机上的acl不一样
access-group test_out in interface outside #全局模式