應(yīng)用ASDM簡(jiǎn)化防火墻管理.doc

應(yīng)用ASDM簡(jiǎn)化防火墻管理嵊州廣播電視總臺(tái) 呂秋亮關(guān)鍵字：ASDM、Cisco防火墻管理隨著廣播電視技術(shù)數(shù)字化、網(wǎng)絡(luò)化的不斷深入，無(wú)論制播還是日常辦公都離不開計(jì)算機(jī)網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)的依賴必然對(duì)網(wǎng)絡(luò)環(huán)境的安全性提出更高的要求。Cisco Asa5510是一款集應(yīng)用安全、ANTI-X防御、網(wǎng)絡(luò)印制和控制、VPN、智能網(wǎng)絡(luò)服務(wù)于一體的功能強(qiáng)大的防火墻，具體的來(lái)說(shuō)它能夠：（1） 過(guò)濾不安全的服務(wù)和非法用戶，強(qiáng)化安全策略。（2） 有效記錄internet上的活動(dòng)，管理進(jìn)出網(wǎng)絡(luò)的訪問行為。（3） 限制暴露用戶，封堵禁止的訪問行為。（4） 是一個(gè)安全策略的檢查站，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。筆者所在單位不久前裝了Cisco Asa5510防火墻，顯著提升了網(wǎng)絡(luò)安全性。熟練掌握思科自適應(yīng)安全設(shè)備的管理操作對(duì)網(wǎng)絡(luò)管理崗位的同志提出了新的要求。但借助ASDM軟件，即便對(duì)思科產(chǎn)品不是很熟悉，我們也能直觀的對(duì)防火墻設(shè)備進(jìn)行有效管理，保障網(wǎng)絡(luò)穩(wěn)定高效運(yùn)作。一、 ASDM安裝安裝ASDM前我們需要安裝jre-1_5_0-windows-i586 這個(gè)java環(huán)境，然后運(yùn)行ASDM-install.msi，ASDM版本比較多，筆者這邊采用的是6.02。使用ASDM管理ASA防火墻前我們首先要對(duì)防火墻進(jìn)行一些配置：Asa5510# conf t 進(jìn)入全局模式Asa5510 (config)# webvpn 進(jìn)入WEBVPN模式Asa5510 (config-webvpn)# username cisco password cisco 新建一個(gè)用戶和密碼asa5510 (config)# int m 0/0 進(jìn)入管理口Asa5510 (config-if)# ip address 54 添加IP地址Asa5510 (config-if)# nameif manage 給管理口設(shè)個(gè)名字Asa5510(config-if)# no shutdown 激活接口Asa5510(config)#q 退出管理接口Asa5510(config)# http server enable 開啟HTTP服務(wù)Asa5510(config)# http manage 在管理口設(shè)置可管理的IP地址Asa5510(config)# show run 查看一下配置Asa5510(config)# wr m 保存配置完后，我們就可以在這個(gè)網(wǎng)段內(nèi)的主機(jī)上運(yùn)行ASDM對(duì)asa防火墻進(jìn)行管理。（如圖1）進(jìn)入ASDM后，我們?cè)谲浖醉?yè)可以監(jiān)看到防火墻的各項(xiàng)設(shè)置參數(shù)以及網(wǎng)絡(luò)狀態(tài)。Device information一欄記錄的是防火墻設(shè)備信息。Interface status記錄的是設(shè)備借口狀態(tài)。VPN status記錄了虛擬專用網(wǎng)絡(luò)類型。流量狀態(tài)(Traffic status)以及系統(tǒng)資源狀態(tài)(System resourses status)用圖形界面統(tǒng)計(jì)出網(wǎng)絡(luò)利用情況。（如圖2）（圖1）（圖2）二、 安全策略配置1、限制內(nèi)部網(wǎng)絡(luò)主機(jī)連接外網(wǎng)權(quán)限：利用ASDM強(qiáng)大的安全策略功能我們能夠擺脫繁瑣的cisco路由交換命令，實(shí)現(xiàn)各種網(wǎng)絡(luò)策略。（如圖3）比如要限制部分主機(jī)上網(wǎng)權(quán)限，重復(fù)輸入傳統(tǒng)的acl命令是一件繁瑣的事情，而在ASDM下將變得十分簡(jiǎn)單：（1）首先我們需要在創(chuàng)建模塊(Building blocks)創(chuàng)建一個(gè)禁止上網(wǎng)的ip組,取名lost_connection，并把需要限制的ip地址添加進(jìn)去（如圖3）；（2）在策略配置界面(security policy)我們需要設(shè)置策略的訪問規(guī)則(access rules)。（如圖4）（圖3）（圖4）（3）在事件中選擇deny（禁用），指定inside接口為源網(wǎng)絡(luò)，group中選擇我們創(chuàng)建的分組lost_connection，目的網(wǎng)絡(luò)(destination host/network)我們選擇內(nèi)部接口inside。（4）在策略配置界面激活新創(chuàng)建的規(guī)則。（如圖5）這樣我們就限制了分組內(nèi)的主機(jī)與防火墻通訊，從而實(shí)現(xiàn)了限制分組內(nèi)主機(jī)連接外網(wǎng)的目標(biāo)。值得注意的是在創(chuàng)建新策略時(shí)，后面應(yīng)添加一條inside到inside 全通信的策略。這個(gè)原因和訪問控制列表(ACL)是一樣，有順序要求。如果有兩條語(yǔ)句，一個(gè)拒絕來(lái)自某個(gè)主機(jī)的通信，另一個(gè)允許來(lái)自該主機(jī)的通信，則排在前面的語(yǔ)句將被執(zhí)行，而排在后面的語(yǔ)句將被忽略。由于安全性考慮，系統(tǒng)默認(rèn)動(dòng)作為拒絕(Implicit deny),底層自動(dòng)添加一條deny規(guī)則，拒絕所有通信。因此如果不手動(dòng)添加一條inside到inside通信策略，第一條規(guī)則被執(zhí)行后，將執(zhí)行默認(rèn)規(guī)則，導(dǎo)致內(nèi)部網(wǎng)絡(luò)主機(jī)都連接不到外網(wǎng)。采用類似訪問策略，通過(guò)對(duì)外部網(wǎng)絡(luò)固定服務(wù)器ip的限制，可以實(shí)現(xiàn)禁止對(duì)p2p站點(diǎn)、股票軟件、聊天軟件的服務(wù)器訪問，從而提高網(wǎng)絡(luò)及辦公效率。2、流量控制:網(wǎng)絡(luò)服務(wù)質(zhì)量（QoS）作為網(wǎng)絡(luò)的一種安全機(jī)制, 是用來(lái)解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。在ASDM中可以通過(guò)配置策略實(shí)現(xiàn)Qos限速。（1）創(chuàng)建限速主機(jī)分組speed_limit_group；（2）在策略配置中選service policy rules 添加限速策略；（3）在traffic classification criteria中選source and destination ip address，接著在source host/network中選擇inside,選擇speed_limit_group。接下來(lái)的rule actions中選擇QOS,配置所要限制的流量范圍；這樣我們就可以對(duì)分組內(nèi)的ip的上下行流量予以控制，保證網(wǎng)絡(luò)通暢運(yùn)行。三、VPN的配置內(nèi)聯(lián)虛擬專用網(wǎng)(Intranet VPN)技術(shù)的發(fā)展使得企業(yè)內(nèi)部多個(gè)LAN之間的互聯(lián)變得更加安全，比如在很多電視臺(tái)內(nèi)制播網(wǎng)絡(luò)、媒資管理網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)之間都采用VPN實(shí)現(xiàn)連接。ASDM提供了IKE和IPSEC的 VPN管理。(如圖6)（圖5）（圖6）可以對(duì)通道策略(Tunnel Policy)進(jìn)行直觀的配置，大大提供了管理效率。多媒體壓縮技術(shù)的迅猛發(fā)展，對(duì)網(wǎng)絡(luò)傳輸?shù)目煽啃蕴岢隽烁咭?。IPSEC協(xié)議在數(shù)據(jù)完整性，保密性，應(yīng)用透明的安全性方面的優(yōu)勢(shì)將更加明顯。在對(duì)IPSec實(shí)現(xiàn)VPN的過(guò)程中，我們需要3步配置：1、為IPSec確定詳細(xì)的加密策略，包括確定要保護(hù)的主機(jī)和網(wǎng)絡(luò)，選擇認(rèn)證方法，確認(rèn)現(xiàn)有的訪問控制列表允許IPSec數(shù)據(jù)通過(guò)。（1）根據(jù)對(duì)等體的數(shù)量和位置在IPSec對(duì)等體間確定一個(gè)IKE(IKE階段1，或者主模式)策略；（2）確定IPSec(IKE階段2)策略，包括IPSec對(duì)等體的細(xì)節(jié)信息；（3）檢查當(dāng)前配置；（4）確認(rèn)在沒有使用加密前網(wǎng)絡(luò)能夠正常工作；（5）確認(rèn)在邊界路由器和防火墻中已有的訪問控制列表(ACL)允許IPSec數(shù)據(jù)流通過(guò)，或者想要的數(shù)據(jù)流可以被過(guò)濾出來(lái)。2、配置IKE預(yù)共享密鑰。3、配置IPSec（1）配置加密用訪問控制列表；（2）配置全局性的IPSec安全關(guān)聯(lián)的生存期；（3）配置加密圖；（4）應(yīng)用端口。用命令配置IPSec 具體實(shí)現(xiàn)VPN需要幾十條命令，但在ASDM中我們只需根據(jù)配置向?qū)л斎腙P(guān)鍵參數(shù)就行，不僅快速而且可以有效避免敲錯(cuò)命令等人為錯(cuò)誤。（如圖7）（圖7）四、日常維護(hù)管理在日常網(wǎng)絡(luò)維護(hù)中，我們還可以對(duì)內(nèi)部主機(jī)的訪問日志進(jìn)行查看。在Monitoring選項(xiàng)下選擇Logging,點(diǎn)選view,即可查看所有主機(jī)的通訊情況。也可以在fittler by 下輸入目標(biāo)ip查看單用戶通信記錄。通過(guò)monitoring-interface-arp table 可以對(duì)網(wǎng)絡(luò)內(nèi)主機(jī)的mac地址進(jìn)行查看。通過(guò)monitoring-routing-routes可查看路由表信息。在monitoring-vpn-vpn statistics可以查看遠(yuǎn)程撥入防火墻用戶的詳細(xì)信息。五、應(yīng)用過(guò)程當(dāng)中的一些不足ASDM雖然簡(jiǎn)化了對(duì)cisco防火墻的操作管理，不再依賴于枯燥的路由交換命令但它根本上還是一個(gè)命令集的界面形式體現(xiàn)，是作用于網(wǎng)絡(luò)層的管理軟件。在功能上不能完全替代命令在網(wǎng)絡(luò)配置上的作用，因此在網(wǎng)絡(luò)管理功能上不如一些專業(yè)的網(wǎng)管軟件來(lái)的強(qiáng)大。比如在平時(shí)我們要對(duì)物理地址進(jìn)行綁定，或者是實(shí)現(xiàn)對(duì)某一臺(tái)流量過(guò)高的主機(jī)實(shí)現(xiàn)自動(dòng)斷網(wǎng)，ASDM是無(wú)法做到的。對(duì)有目的的攻擊防御效果相對(duì)較弱，比如當(dāng)外部知道本單位公網(wǎng)ip地址時(shí)，就容易對(duì)80端口進(jìn)行惡意攻擊，造成網(wǎng)站擁塞。