ASA防火墙疑难杂症解答
ASA防火墙疑难杂症解答
1...............................内部网络不能ping通internet 2........................内部网络不能使用pptp拨入vpn服务器 3....................内部网络不能通过被动Mode访问ftp服务器 4.................................内部网络不能进行ipsec NAT 5...................................内网不能访问DMZ区服务器 6................................内网用户不能ping web服务器
1. 内部网络不能ping通internet
对于ASA5510,只要策略允许,则是可以Ping通的,对于ASA550,部分IOS可以ping,如果所以流量都允许还是不能Ping的话,则需要做inspect,对icmp协议进行检查即可
2. 内部网络不能使用pptp拨入vpn服务器
因pptp需要连接TCP 1723端口,同时还需要GRE协议,如果防火墙是linux的Iptables,则需要加载:
modprobe ip_nat_pptp modprobe ip_conntrack_proto_gre
如果防火墙是ASA,则需要inspect pptp。
3. 内部网络不能通过被动Mode访问ftp服务器
同样需要inspect ftp,有些还需要检查相关参数 policy-map type inspect ftp ftpaccess
parameters
match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd
4. 内部网络不能进行ipsec NAT
这种情况不多用,如查进行ipsect :IPSec Pass Through
5. 内网不能访问DMZ区服务器
增加NAT规则,即DMZ到内网的规则
6. 内网用户不能ping web服务器
如果内网中有一台web服务器,且已经配置了NAT,使用internet用户可以通过外部IP访问这台web服务器。这时如果内网中的机器不能ping这台web服务器,则在配置NAT时,进行DNS rewrite即可,如果故障依然,可以试着关闭arp代理。
7. 待续
Cisco ASA5520防火墙配置 前言
? 主要从防火墙穿越的角度,描述Cisco ASA5520防火墙的配置 ? 对Pix ASA系列防火墙配置具有参考意义 内容
? 防火墙与NAT介绍 ? 基本介绍 ? 基本配置 ? 高级配置 ? 其它 ? 案例
防火墙与NAT介绍
? 防火墙
? 门卫
? NAT
? 过道
? 区别
? 两者可以分别使用
? Windows有个人防火墙
? Windows有Internet Connect sharing服务 ? 一般防火墙产品,同时带有NAT
基本介绍
? 配置连接 ? 工作模式 ? 常用命令
? ASA5520介绍 配置连接
? 初次连接
? 使用超级终端登陆Console口 ? Cicso的波特率设置为9600
? Telnet连接
? 默认不打开,在使用Console配置后,可以选择开启 ? 开启命令:telnet ip_addressnetmaskif_name
? 连接命令:telnet 默认不允许外网telnet,开启比较麻烦
? ASDM连接
? 图形界面配置方式
? SSH连接 工作模式
? 普通模式
? 连接上去后模式
? 进入普通模式需要有普通模式密码 ? Enable 进入特权模式,需要特权密码
? 特权模式
? Config terminal 进入配置模式
? 配置模式 ? 模式转换
? exit 或者ctrl-z退出当前模式,到前一模式 ? 也适用于嵌套配置下退出当前配置
常用命令
? 命令支持缩写,只要前写到与其它命令不同的地方即可
? config terminal = conf term = conf t ? Tab键盘补全命令 ? ?Or help 获取帮助
? 取消配置
? no 命令取消以前的配置
? Clear 取消一组配置,具体请查看帮助
? 查看配置
? Show version
? show run [all] , write terminal ? Show xlat ? Show run nat ? Show run global
? 保存配置
? Write memory
ASA5520介绍
? 硬件配置: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz ? 1个Console口,一个Aux口,4个千兆网口 ? 支持并发:280000个 ? 支持VPN个数:150 ? 支持双机热备、负载均衡
? 可以通过show version 查看硬件信息 基本配置
? 接口配置 ? NAT配置
? ACL访问控制 接口配置
? 四个以太网口
? GigabitEthernet0/0、gig0/1、gig0/2、gig0/3 ? 进入接口配置: interface if_name
? 配置IP
? ip address ip_address [netmask] ? ip address ip_addressdhcp ? 打开端口: no shutdown ? 配置安全级别
? security-level [0-100]
? 数据从安全级别高的流向底的,不能倒流 ? 倒流需要保安允许
? 所以外网一般配置为0,内网为100 ? 配置别名
? 供其它命令引用 ? Nameifif_name
NAT
? NAT (Network Address Translate)
? NAT类型(与防火墙穿越提到的类型不相关)
? Dynamic NAT ? PAT
? Static NAT & Static PAT ? Identity NAT ? NAT exemption ? Policy NAT
? 地址表超时 NAT配置
? 普通NAT
? Dynamic NAT ? PAT
? NAT例外
? Static NAT ? Identity NAT ? NAT exemption ? Policy NAT
普通NAT
? 普通NAT,只允许内网先发起连接 ? 地址池配置
? global (if_name) natidstart_addr-end_addrnetmask
? 如:global (outside) 1 定义了natid 1 和地址池 NAT ? nat (real_ifc) nat_idinside_networkoutside_network ? 动态分配给内网一个独立的IP
? PAT
? PAT使用1个地址+65535个端口为内网提供地址转换 ? 地址池中只有一个值时,就是PAT
? 分配给内网连接一个固定IP和一个动态的端口
Static NAT
? Static NAT
? 允许外网先发起连接
? 是一个外网IP固定一个内网IP ? 可以称为IP映射
? 命令
? Static (internal_if_name, external_if_name) maped_addrreal_addr ? Maped_addr与real_addr不相同
Static PAT
? Static PAT
? 允许外网先发起连接
? 是一个内网IP+一个端口转换成一个固定的外网IP+固定的外网端口 ? 可以称为端口映射
? 命令
? static (real_interface,mapped_interface) {tcp | udp} {mapped_ip |interface}
mapped_portreal_ipreal_port [netmask mask]
Identity NAT
? Identity NAT
? 不使用地址转换,采用原地址出去 ? 只能内网发起连接
? 外网必须配置ACL permit才能先发起连接
? 命令
? NAT (real_if_name)0 addr/network networkmask
? 如: nat (inside) 0 Identity NAT
? 不使用地址转换,采用原地址出去 ? 内外网都可先发起连接
? 命令
? static (real_interface,mapped_interface) real_ipreal_ip
NAT exemption
? NAT exemption
? Identity NAT和ACL的混合,功能更加强大 ? 不使用地址转换,采用原地址出去 ? 内外网均可发起连接
? 命令
? 例1:access-list EXEMPT permit any ? nat (inside) 0 access-list EXEMPT
? 例2:access-list NET1 permit ip NET1 permit ip (inside) 0 access-list
NET1
Policy NAT
? Policy NAT & Policy PAT
ASA防火墙疑难杂症与Cisco ASA 防火墙配置
