應(yīng)用ASDM簡(jiǎn)化防火墻管理

應(yīng)用ASDM簡(jiǎn)化防火墻管理關(guān)鍵字：ASDM、Cisco防火墻管理隨著廣播電視技術(shù)數(shù)字化、網(wǎng)絡(luò)化的不斷深入，無論制播還是日常辦公都離不開計(jì)算機(jī)網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)的依賴必然對(duì)網(wǎng)絡(luò)環(huán)境的安全性提出更高的要求。CiscoAsa5510是一款集應(yīng)用安全、ANTI-X防御、網(wǎng)絡(luò)印制和控制、VPN、智能網(wǎng)絡(luò)服務(wù)于一體的功能強(qiáng)大的防火墻，具體的來說它能夠：過濾不安全的服務(wù)和非法用戶，強(qiáng)化安全策略。有效記錄internet上的活動(dòng)，管理進(jìn)出網(wǎng)絡(luò)的訪問行為。限制暴露用戶，封堵禁止的訪問行為。是一個(gè)安全策略的檢查站，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。筆者所在單位不久前裝了CiscoAsa5510防火墻，顯著提升了網(wǎng)絡(luò)安全性。熟練掌握思科自適應(yīng)安全設(shè)備的管理操作對(duì)網(wǎng)絡(luò)管理崗位的同志提出了新的要求。但借助ASDM軟件，即便對(duì)思科產(chǎn)品不是很熟悉，我們也能直觀的對(duì)防火墻設(shè)備進(jìn)行有效管理，保障網(wǎng)絡(luò)穩(wěn)定高效運(yùn)作。ASDM安裝安裝ASDM前我們需要安裝jre-1_5_0-windows-i586這個(gè)java環(huán)境，然后運(yùn)行ASDM-install.msi，ASDM版本比較多，筆者這邊采用的是6.02。使用ASDM管理ASA防火墻前我們首先要對(duì)防火墻進(jìn)行一些配置：Asa5510#conft進(jìn)入全局模式Asa5510(config)#webvpn進(jìn)入WEBVPN模式Asa5510(config-webvpn)#usernameciscopasswordcisco新建一個(gè)用戶和密碼asa5510(config)#intm0/0進(jìn)入管理口Asa5510(config-if)#ipaddress54添加IP地址Asa5510(config-if)#nameifmanage給管理口設(shè)個(gè)名字Asa5510(config-if)#noshutdown激活接口Asa5510(config)#q退出管理接口Asa5510(config)#httpserverenable開啟HTTP服務(wù)Asa5510(config)#httpmanage在管理口設(shè)置可管理的IP地址Asa5510(config)#showrun查看一下配置Asa5510(config)#wrm保存配置完后，我們就可以在這個(gè)網(wǎng)段內(nèi)的主機(jī)上運(yùn)行ASDM對(duì)asa防火墻進(jìn)行管理。（如圖1）進(jìn)入ASDM后，我們?cè)谲浖醉?yè)可以監(jiān)看到防火墻的各項(xiàng)設(shè)置參數(shù)以及網(wǎng)絡(luò)狀態(tài)。Deviceinformation一欄記錄的是防火墻設(shè)備信息。Interfacestatus記錄的是設(shè)備借口狀態(tài)。VPNstatus記錄了虛擬專用網(wǎng)絡(luò)類型。流量狀態(tài)(Trafficstatus)以及系統(tǒng)資源狀態(tài)(Systemresoursesstatus)用圖形界面統(tǒng)計(jì)出網(wǎng)絡(luò)利用情況。（如圖2）（圖1）（圖2）安全策略配置1、限制內(nèi)部網(wǎng)絡(luò)主機(jī)連接外網(wǎng)權(quán)限：利用ASDM強(qiáng)大的安全策略功能我們能夠擺脫繁瑣的cisco路由交換命令，實(shí)現(xiàn)各種網(wǎng)絡(luò)策略。（如圖3）比如要限制部分主機(jī)上網(wǎng)權(quán)限，重復(fù)輸入傳統(tǒng)的acl命令是一件繁瑣的事情，而在ASDM下將變得十分簡(jiǎn)單：2、流量控制:網(wǎng)絡(luò)服務(wù)質(zhì)量（QoS）作為網(wǎng)絡(luò)的一種安全機(jī)制,是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。在ASDM中可以通過配置策略實(shí)現(xiàn)Qos限速。（1）創(chuàng)建限速主機(jī)分組speed_limit_group；（2）在策略配置中選servicepolicyrules添加限速策略；（3）在trafficclassificationcriteria中選sourceanddestinationipaddress，接著在sourcehost/network中選擇inside,選擇speed_limit_group。接下來的ruleactions中選擇QOS,配置所要限制的流量范圍；這樣我們就可以對(duì)分組內(nèi)的ip的上下行流量予以控制，保證網(wǎng)絡(luò)通暢運(yùn)行。三、VPN的配置內(nèi)聯(lián)虛擬專用網(wǎng)(IntranetVPN)技術(shù)的發(fā)展使得企業(yè)內(nèi)部多個(gè)LAN之間的互聯(lián)變得更加安全，比如在很多電視臺(tái)內(nèi)制播網(wǎng)絡(luò)、媒資管理網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)之間都采用VPN實(shí)現(xiàn)連接。ASDM提供了IKE和IPSEC的VPN管理。(如圖6)（圖5）（圖6）可以對(duì)通道策略(TunnelPolicy)進(jìn)行直觀的配置，大大提供了管理效率。多媒體壓縮技術(shù)的迅猛發(fā)展，對(duì)網(wǎng)絡(luò)傳輸?shù)目煽啃蕴岢隽烁咭?。IPSEC協(xié)議在數(shù)據(jù)完整性，保密性，應(yīng)用透明的安全性方面的優(yōu)勢(shì)將更加明顯。在對(duì)IPSec實(shí)現(xiàn)VPN的過程中，我們需要3步配置：1、為IPSec確定詳細(xì)的加密策略，包括確定要保護(hù)的主機(jī)和網(wǎng)絡(luò)，選擇認(rèn)證方法，確認(rèn)現(xiàn)有的訪問控制列表允許IPSec數(shù)據(jù)通過。（1）根據(jù)對(duì)等體的數(shù)量和位置在IPSec對(duì)等體間確定一個(gè)IKE(IKE階段1，或者主模式)策略；（2）確定IPSec(IKE階段2)策略，包括IPSec對(duì)等體的細(xì)節(jié)信息；（3）檢查當(dāng)前配置；（4）確認(rèn)在沒有使用加密前網(wǎng)絡(luò)能夠正常工作；（5）確認(rèn)在邊界路由器和防火墻中已有的訪問控制列表(ACL)允許IPSec數(shù)據(jù)流通過，或者想要的數(shù)據(jù)流可以被過濾出來。2、配置IKE預(yù)共享密鑰。3、配置IPSec（1）配置加密用訪問控制列表；（2）配置全局性的IPSec安全關(guān)聯(lián)的生存期；（3）配置加密圖；（4）應(yīng)用端口。用命令配置IPSec具體實(shí)現(xiàn)VPN需要幾十條命令，但在ASDM中我們只需根據(jù)配置向?qū)л斎腙P(guān)鍵參數(shù)就行，不僅快速而且可以有效避免敲錯(cuò)命令等人為錯(cuò)誤。（如圖7）（圖7）四、日常維護(hù)管理在日常網(wǎng)絡(luò)維護(hù)中，我們還可以對(duì)內(nèi)部主機(jī)的訪問日志進(jìn)行查看。在Monitoring選項(xiàng)下選擇Logging,點(diǎn)選view,即可查看所有主機(jī)的通訊情況。也可以在fittlerby下輸入目標(biāo)ip查看單用戶通信記錄。通過monitoring->interface->arptable可以對(duì)網(wǎng)絡(luò)內(nèi)主機(jī)的mac地址進(jìn)行查看。通過monitoring->routing->routes可查看路由表信息。在monitoring->vpn->vpnstatistics可以查看遠(yuǎn)程撥入防火墻用戶的詳細(xì)信息。五、應(yīng)用過程當(dāng)中的一些不足ASDM雖然簡(jiǎn)化了對(duì)cisco防火墻的操作管理，不再依賴于枯燥的路由交換命令但它根本上還是一個(gè)命令集的界面形式體現(xiàn)，是作用于網(wǎng)絡(luò)層的管理軟件。在功能上不能完全替代命令在網(wǎng)絡(luò)配置上的作用，因此在網(wǎng)絡(luò)管理功能上不如一些專業(yè)的網(wǎng)管軟件來的強(qiáng)大。比如在平時(shí)我們要對(duì)物理地址進(jìn)行綁定，或者是實(shí)現(xiàn)對(duì)某一臺(tái)流量過高的主機(jī)實(shí)現(xiàn)自動(dòng)斷網(wǎng)，ASDM是無法做到的。對(duì)有目的的攻擊防御效果相對(duì)較弱，比如當(dāng)外部知道本單位公網(wǎng)ip地址時(shí)，就容易對(duì)80端口進(jìn)行惡意攻擊，造成網(wǎng)站擁塞。另外英文界面對(duì)廣大中國(guó)用戶來說也是一個(gè)麻煩。廣播電視行業(yè)作為政府的喉