ASA PNAT ACL 基本

ASA-防火墻-cisco

ASA防火墻的作用 1、在網絡中隔離危險流量，不分地點。 ASA防火墻的原理 1、通過安全級別區分不同的區域：內部區域、外部區域、非軍事化區域。 默認情況下： 高級別的流量可以去低級別的， 低級別的流量不可以去高級別的， 同級別的不可同信。 Inside 默認安全級別為 100 名字唯一 Outside 默認安全幾倍為 0 名字唯一 MDZ（非軍事化區域） 默認安全級別為0 名字唯一 2、部署 在需要進行安全防護或者流量隔離的地方部署。 經典部署方案 ISP ----- FW ---- GW ---- Core-Router ---- Core-Switch ISP ----- GW -- outside--- FW -- inside-- Core-Router ---- Core-Switch	DMZ(Server) ISP ----- GW -- outside -- FW --	-- FW ----- Core-Router -- Core-Switch

                             DMZ(server)

3、防火墻接口的配置
1、要配以接口名字（邏輯名字）：nameif xxx
2、要配以接口安全級別 security-level 0~100
3、要配以接口IP ip address xxxx

ASA流量轉發
1、流量轉發方式
出站流量：從高安全級別的地方去往低級別的流量。
入站流量：從低安全級別的地方去往高級別的流量。
2、轉發處理流量的方式，工作過程。
a、只對TCP和UDP的流量，對其他流量統統幹掉。
b、從高安全級別發向低安全級別的工作過程。
先匹配本地ASA的路由表，如果匹配則先確定出端口，轉發出去，並在conn表內形成一個條目。
匹配不成功則丟棄。
c、當收到發送出去的流量的回包，則先查看conn表，有條目則在查看路由表，轉發出去。
沒有條目則丟棄。
實驗結果
ping不通
telnet通
想要ping通，則在ping包的回端口上調用acl

驗證命令：
ASA:
show interface ip brief <---查看接口的狀態和IP地址；

show route <---查看 ASA 上面的路由表
show run interface gi0 <----查看某一個接口的配置
ASA(config)# clear config all <----清除正在運行的配置文件
Router:
show ip interface brief
show ip route

ACL和conn表的對比。

實驗基本環境 ：
Inside 安全等級100
Outside 安全等級 0
Dmz 安全等級 50
R1可以telnetR2和R4，R4可以telnetR2。
1、在e2的接口上調用一個允許R4訪問R1的ACL，能不能訪問，會不會形成conn表。
ASA(config)# access-list R1 permit tcp host 192.168.3.1 host 192.168.1.1 eq 23
ASA(config)# access-group R1 in interface DMZ
在R4telnetR1之前
ASA# show conn
0 in use, 1 most usedDMZ#telnet 192.168.1.1
R4telnetR1
Trying 192.168.1.1 ... Open
User Access Verification
Password:
Inside>enable
Password:
Inside#
telnet之後
1 in use, 2 most used
TCP DMZ 192.168.3.1:21477 inside 192.168.1.1:23, idle 0:00:54, bytes 163, flags UIOB
結論：主動流量不管從高到低，還是低到高，如果端口有acl放行規則，則查找路由表，確定出端口，轉發出去，同時形成conn表。（註意順序，不可變）。

2、R1能telnet到R2
a、如果e0調用一個出項acl，會不會通。
b、如果e1條用一個入項acl，會不會通。
ASA(config)# access-list Gdtel deny tcp host 192.168.1.1 eq 23 （註意數據回去的時候的端口）
host 192.168.2.1
ASA(config)# access-list Gdtel permit ip any any 取消最後一條acl的默認拒絕的影響
ASA(config)# access-group Gdtel in interface outside 調用入項
ASA(config)# access-group Gdtel out interface inside 調用出項

Inside#telnet 192.168.2.1
Trying 192.168.2.1 ... Open
Outside>
Outside>en
Outside>enable
Password:
Outside#
結論，只要是從高安全級別出去的流量，形成了conn表，在數據返回時，就相當於多了一道免死金牌，不會被幹掉

3、R1能telnet到R2
a、如果在e0調用入項的拒絕acl，會不會通。
b、如果在e1調用出項的拒絕acl，會不會通。
結論，對於a條件，那是必然不通的
對於b條件，也是不同的，且沒有conn表。
原因：如果在e1調用出項的拒絕acl，那麽數據是可以進入ASA中，並查看路由表，路由表中，包含著R1的telnetR2的路怎麽走，從哪個端口出去，這時就要查看這個出端口有沒有acl，一查有一個出項的acl，那麽這個數據直接被pass，並且不會形成conn表。
如圖》》》》

ASA應用 PNAT
8.4版本以後系統中的一種新型配置。

PNAT
內網訪問外網
ASA(config)# object network NAT（隨意起） 為NAT定義一個對象類型（network）。
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0 相當於創建acl
ASA(config-network-object)# nat (inside（內網端口）,outside（外網端口）) dynamic interface 相當於調 用acl

Cisco—ASA的基本思路和應用