ASA防火墻遠(yuǎn)程管理方式

在對思科ASA系列防火墻進(jìn)行初始化配置時(shí)，是通過其Console端口進(jìn)行的。在很多時(shí)候。需要對其進(jìn)行遠(yuǎn)程管理，其常用方法包括Telnet，SSH，HTTPS，SNMP等。對于Telnet管理方法來說，存在安全性較差的問題，而SSH管理方式則比較安全。對于很多網(wǎng)絡(luò)設(shè)備來說，都支持Web方式的管理，使用HTTPS加密連接，可以提高ASA防火墻的安全性。使用基于SNMP協(xié)議的網(wǎng)管工作站，對ASA防護(hù)墻進(jìn)行管理和監(jiān)控。

使用Telnet實(shí)現(xiàn)遠(yuǎn)程管理

對于網(wǎng)絡(luò)設(shè)備的管理，通常分為帶內(nèi)網(wǎng)管和帶外網(wǎng)管兩種模式。對于后者來說其優(yōu)點(diǎn)在于不占用業(yè)務(wù)流量。ASA防火墻上帶有專用的帶外網(wǎng)關(guān)接口，當(dāng)然，也可以將任意端口配置為專用的管理端口。例如在ASA防火墻管理界面中執(zhí)行“int g1”，“management-only”命令，將G1口設(shè)置為專用管理端口。為安全起見，需要為該端口配置最高安全級(jí)別。注意，流量不能穿越管理接口，而且建議使用ACL拒絕所有的穿越流量，需要使用管理訪問策略來允許訪問，當(dāng)然，最好使用物理管理接口。

對 于Telnet管 理方式來說，啟用的方法很簡單，例如執(zhí)行“telnet 172.16.10.1.1 255.255.255.255 inside”命令，后跟允許訪問的網(wǎng)段或者主機(jī)，這里只允許IP為172.16.10.1的主機(jī)通過Inside接口進(jìn)行訪問。執(zhí)行“telnet 0 0 DMZ”命令，允許DMZ區(qū)所有主機(jī)進(jìn)行訪問，其中的“0 0”表示任意網(wǎng)絡(luò)。注意，對于Outside等最低安全級(jí)別的接口不支持Telnet。當(dāng)使用Telnet登錄時(shí)，需要到使用Enable特權(quán)模式密碼，其默認(rèn)為空。執(zhí) 行“enable password”命令，來修改該密碼。

對于本地用戶認(rèn)證，可以執(zhí)行“aaa authentication telnet console LOCAL”命 令，針對Telnet控制臺(tái)開啟3A認(rèn)證，使用的是本地的賬戶數(shù)據(jù)庫。執(zhí)行“username admin password xxxxxx privilege 15”命令，添加名稱為“admin”的本地賬戶，并為其設(shè)置密碼（這里為“xxxxxx”）和最高權(quán)限等級(jí)。執(zhí)行“show run telnet”命令，可以查看和Telnet訪問相關(guān)的信息。執(zhí)行“show local-host all”命令，可以查看到達(dá)ASA防火墻的流量。執(zhí) 行“clear local-host xxx.xxx.xxx.xxx”命令，可以中斷指定IP的連接。

使用SSH實(shí)現(xiàn)遠(yuǎn)程訪問

對于SSH遠(yuǎn)程管理方式來說，啟用的方式是先執(zhí) 行“hostname ASAFW”命令，為其設(shè)置主機(jī)名。執(zhí)行“domain-name.xxx.com”命令，為其設(shè)置域名。執(zhí)行“crypto key generate ras modulus 1024” 命 令為其生成一個(gè)密鑰，這里的密鑰長度為1024。執(zhí)行“SSH 172.16.10.9 255.255.255.255 Inside”命令，允許目標(biāo)主機(jī)通過Inside口進(jìn)行訪問。執(zhí)行“SSH 00 DMZ”命令，允許DMZ區(qū)內(nèi)所有主機(jī)進(jìn)行訪問。執(zhí)行“ssh 172.16.11.0 255.255.255.0 dmz” 命令，只允許DMZ區(qū)指定的主機(jī)進(jìn)行訪問。如果想通過Outside口訪問ASA防火墻，必須使用SSH方式而不能使用Telnet方式。

例 如 執(zhí) 行“ssh 0 0 outside” 命 令，允 許Outside口的所有主機(jī)進(jìn)行SSH訪問。對于本地用戶認(rèn)證來說，可以執(zhí)行“aaa authentication SSH console LOCAL”命令，針對SSH訪問開啟3A認(rèn)證，使用的是本地的賬戶數(shù)據(jù)庫。執(zhí)行“username admin password xxxxxx privilege 15”命令，添加名稱為“admin”的本地賬戶，并為其設(shè)置密碼和最高權(quán)限等級(jí)。在客戶端進(jìn)行連接時(shí)，可以執(zhí)行“ssh -l admin -p 22 xxx.xxx.xxx.xxx”命令，來連接ASA防火墻，“xxx.xxx.xxx.xxx”為 其 地 址。在ASA防火墻上執(zhí)行“show ssh sessions”命令，來查看連接會(huì)話信息。

使用HTTPS實(shí)現(xiàn)遠(yuǎn)程訪問

使用HTTPS連接方式，可以在Web界面訪問ASA防火墻。執(zhí)行“conf t”命令進(jìn)入全局配置模式。執(zhí)行“http server enable”命令，來啟用HTTPS訪問方式，注意這里雖然使用了“http”字樣，其實(shí)啟用的是HTTPS方式。例如，執(zhí) 行“http 172.61.10.0 255.255.255.0 outside”命令，指定允許通過Outside接口連接的主機(jī)IP。執(zhí)行“http 0 0 dmz”命令，針對DMZ去內(nèi)的主機(jī)啟用HTTPS訪問機(jī)制。對于HTTPS訪問方式來說，只能使用ASDM來實(shí)現(xiàn)。ASDM即自適應(yīng)安全設(shè)備管理器，是一個(gè)基于Web瀏覽器的Java程序的圖形化安全設(shè)備管理工具。ASDM可以運(yùn)行在不同的平臺(tái)，使用Java來提供強(qiáng)大的實(shí)時(shí)監(jiān)控功能，通過SSL來確保主機(jī)和ASA的安全通訊。

對于新的思科ASA設(shè)備來說，需要預(yù)先將ASDM安裝到Flash存儲(chǔ)中。執(zhí)行“dir disk0:/”命令，在ASA的磁盤列表中顯示“asdm-xxxxxx.bin”的文件，說明對應(yīng)版本ASDM已經(jīng)安裝完成。執(zhí)行“asdm image disk0:/asdm-xxx-xxx”命令，來指向安裝的ASDM軟件。利用ASDM，可以在同一時(shí)間同時(shí)管理多個(gè)ASA設(shè)備。

為了便于使用，需要在客戶機(jī)上JDK組件。運(yùn)行Firefox瀏覽器，訪問“https://xxx.xxx.xxx.xxx/admin”，其 中 的“xxx.xxx.xxx.xxx”為 ASA防 火墻IP，初次使用會(huì)提示連接不安全，點(diǎn)擊高級(jí)按鈕，為該證書添加例外。在登錄窗口中可以輸入上述賬戶名（例如“admin”等）和密碼，在打開頁面中點(diǎn)擊“Install ASDM Laucher and Run ASDM”按鈕，下載并安裝“dmlauncher.msi”程序。運(yùn)行該程序，在登錄界面中輸入ASA設(shè)備的IP，賬戶名和密碼，點(diǎn)擊確定后，可以和防火墻建立加密連接。

在其主界面工具欄上點(diǎn)擊“Home”按鈕，可以顯示管理的ASA設(shè)備列表。點(diǎn)擊“Configuration”按鈕，可以對設(shè)置向?qū)А⒙酚尚畔ⅰ⒃O(shè)備名稱和密碼、系統(tǒng)時(shí)間、鏈路聚合、防火墻等對象進(jìn)行配置。例如在“Device Setup”面板中選擇“Route”節(jié)點(diǎn)，在其下可以配置相關(guān)的路由項(xiàng)目，包括靜態(tài)、OSPF、RIP、EIGRP等路由類型。當(dāng)添加了新的路由信息后，點(diǎn)擊“Apply”按鈕，會(huì)顯示對應(yīng)的指令。點(diǎn)擊“Send”按鈕，將其發(fā)送到ASA設(shè)備上執(zhí)行，之后在ASA防火墻上執(zhí)行“show route”命令，就會(huì)顯示新增加的路由。依次點(diǎn)擊“Tools”、“Preferences”項(xiàng)，在打開窗口中選擇“Preview command before sending then the device”項(xiàng)，表示向防火墻進(jìn)行配置操作前可以將使用的命令顯示出來。

使用SNMP實(shí)現(xiàn)遠(yuǎn)程管理

對于ASA防火墻只能支持只讀的SNMP訪問，不能對其進(jìn)行修改操作，當(dāng)然這是為了提高安全性。所有的基于SNMP的訪問必須進(jìn)行認(rèn)證，對于SNMP v1和V2c版本來說，使用的是基于IP地址和Community進(jìn)行的。對于SNMP V3版本來說，使用的是基于用戶名和密碼的認(rèn)證。例如對于前者來說，在全局配置模式下執(zhí)行“snmp-server community tuanti1”命令，配置名為“tuanti1”的團(tuán)體名。執(zhí)行“snmp-server host inside 192.168.2.200 community tuanti1”命令，表示允許向Inside口的IP為192.168.2.200主機(jī)發(fā)送信息，其所屬的團(tuán)體名為“tuanti1”。

執(zhí) 行“snmp-server location new001”，“snmpserver contact lianxiren@xxx.com”，命令，設(shè)置位置和聯(lián)系人信息。執(zhí)行“snmpserver enable traps snmp linkup warmstart”命 令，啟用相應(yīng)的陷阱消息。執(zhí)行“sh run snmp-server” 命令，顯示SNMP配置信息。在客戶端可以運(yùn)行IP Network Browser這一工具，來搜索和發(fā)現(xiàn)開啟了SNMP服務(wù)的網(wǎng)絡(luò)設(shè)備。在該工具主界面中的“Scan an IP Address Range”欄中輸入包含ASA防火墻IP的起始和結(jié)束地址范圍，點(diǎn)擊“Scan Address Range”按鈕，就可以掃描到該IP范圍內(nèi)開啟了SNMP服務(wù)的網(wǎng)絡(luò)設(shè)備。例如可以發(fā)現(xiàn)開啟了SNMP的ASA防火墻。在搜索列表中選擇目標(biāo)ASA防火墻設(shè)備，可以顯示其設(shè)備名稱、系統(tǒng)信息、接口卡、路由表、ARP表等內(nèi)容。對于后者來說，可以在防火墻上執(zhí)行“snmpserver group newgroup v3 priv”命令，將其加入到名為“newgroup”的組中。

首先執(zhí)行“snmp-server user adminuser1 newgroup v3 auth sha newkey1 priv aes 256 ciscokey”命令，配置一個(gè)名為“adminuser1”的用戶，然后將其加入到上述組中。在這里采用的是哈希認(rèn)證算法，其認(rèn)證密鑰為“newkey1”，采用的是AES加密算法，密鑰長度為256位，密鑰為“ciscokey”。之后執(zhí)行“snmp-server host dmz 172.16.11.100 version 3 adminuser1”命令，表示通過 DMZ（或 者 Outside接口）接口發(fā)送，其對應(yīng)的IP為“172.16.11.100”, 指定 的 用 戶為“adminu ser1”，采 用 的 版 本 為 V3版。然后執(zhí)行“snmp-server location new001”，“snmpserver contact lian xiren@xxx.com”命 令，依次設(shè)置好位置和聯(lián)系人信息。最后執(zhí)行“snmpserver enable traps snmp authentication linkup warmstart”命令，啟用所需的陷阱消息類型。