ASA 默认配置

ASA 物理机管理接口会有默认配置
管理 ASA - 图2
ASA 管理接口还会启用DHCP
管理 ASA - 图3
ASA 也会默认放行管理口的HTTP管理流量
管理 ASA - 图4
虚拟化 EVE 环境中可以使用命令来恢复默认配置

  1. configure factory-default

向导模式(Ctrl+Z 强制退出)

管理 ASA - 图5

ASA 接口配置

接口安全级别

  • 每个接口都有安全级别

  • 默认接口的安全级别是 0,最高是100

  • 高安全级别到低安全级别的流量默认放行(Outbound),低安全级别的流量到高安全级别的流量默认阻断(Inbound)

  • 更改接口安全级别后需要等待现有安全连接失效后,再次建立才会生效,可以手动用命令clear local-host 命令

接口命名
默认安全级别为0.如果将接口命名为“inside”,并且未明确设置安全级别,则ASA会将安全级别设置为100。
接口介质

  1. media-type rj45|

Management-Only

  • 可以将接口配置为只允许管理流量通过

  • 如果禁用该特性,需要使用 no management-only

  • 需要ASA 5510 的 Security Plus许可证才能将management0 / 0端口用作常规接口

子接口配置

管理 ASA - 图6

配置管理接口

管理 ASA - 图7
管理 ASA - 图8

OOB 接口

用于实现带外网管,在ASA5510上有,从7.2和8.0开始取消OOB端口限制。

光电复用口

交换机中光电复用口是一种端口复用技术!也就是说交换机如果有这种功能的话那么一个光端口会对应一个电口,如果有多个的话是一一对应的,这两个端口在使用的时候只能取其一,也就是说用光口就不能用电口。还有一点就是这个光口肯定是千兆的,那么对应的那个电口也是千兆的这种技术一般是用于接入层交换机或者是汇聚交换机上面 便于同上级互联或者是堆叠! 一般带有这种功能的交换机都是三层交换机 这两个口是可以用作路由接口的。通常可以需要命令更换哪个端口是可用的。

  1. media-type rj45
  2. media-type sfp

DHCP 配置

管理 ASA - 图9

NTP 配置

管理 ASA - 图10

DNS 配置

管理 ASA - 图11

ASA 安全性

ASA状态化表项

ASA首先是一个状态化防火墙,状态化防火墙维护一个关于用户信息的连接表,称为Conn表。

  • 源IP 地址

  • 目的IP地址

  • IP协议

  • IP协议信息

管理 ASA - 图12

ASA 安全策略

访问控制列表:基于特定的网络,主机和服务(TCP/UDP端口号)控制网络访问。
连接表:维护每个连接的状态信息。安全算法使用此信息在已建立的连接中有效转发流量
检测引擎:执行状态检测和应用层检测。检测规则集是预先定义的,来验证应用是否遵从每个RFC和其他标准。

ASA 转发原理

(1)一个新来的TCP SYN报文到达ASA,试图建立一个新的连接。
(2)ASA检查访问列表,确定是否允许连接。
(3)ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接表(XLATE和Conn)中创建一个新条目。
(4)ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进一步执行应用层检测。
(5)ASA根据检测引擎确定是否转发或丢弃报文。如果允许转发,则将报文转发到目的主机。
(6)目的主机响应该报文。
(7)ASA接收返回报文并进行检测,在连接数据库中查询连接,确定会话信息与现有连接是否匹配。
(8)ASA转发属于已建立的现有会话的报文。
ASA的应用层检测是通过检查报文的IP头和有效载荷的内容,对应用层协议流量执行深层检测,检查应用层协议是否遵守RFC标准,从而检测出应用层数据中的恶意行为。

相同安全级别的接口互相访问

  1. same-security-traffic permit inter-interface

同一接口进出流量通信

  1. same-security-traffic permit intra-interface

监控 ASA

ASDM

  1. logging enable
  2. logging debug-trace
  3. logging emblem
  4. # 日志格式为.emblem
  5. logging asdm 7
  6. logging timestamp

Syslog

  1. logging enable
  2. logging timestamp
  3. logging debug-trace
  4. logging trap debugging
  5. logging host mgmt 7.7.3.250
  6. logging host inside 1.1.1.1 TCP/1500
  7. # 指定Log server TCP和端口
  8. logging permit-hostdown 
  9. # 当使用以TCP为端口的服务器,当服务器不可达时,ASA将断掉所有业务流量。该命令可以允许当服务器不可达时继续转发业务。
  10. logging queue size
  11. # 相当于log转发buffer。如果log过多,queue被塞满,可能导致log无法发送出去。

Event-list 日志信息过滤列表

  1. Logging enable
  2. logging list Permit_OSPF levle information class ospf
  3. logging asdm Permit_OSPF
  4. # 只允许 information 级别的OSPF日志

ASA 设备管理

ASA 重置密码

  1. 重新插拔电源线,重启ASA

  2. 按ESC或Ctrl+Break,进去ROM Monitor 模式

  3. 输入命令confreg查看当前寄存器的值

  4. 寄存器的初始值为0x00000001,ASA会寻味是否改变寄存器的值

  5. 改变寄存器的值为0x41,命令: confreg 0x41

  6. 重启设备:boot

  7. 此时ASA会跳过startup配置,启动完成后直接进入用户模式

  8. 进入特权模式,并保存startup-config到running-config

  9. 重置特权模式密码

  10. 修改回原寄存器的值,强制ASA从startup读取配置启动

  11. 查看当前寄存器的值,保存配置

  1. rommon #0> confreg
  2. rommon #1> confreg 0x41
  3. rommon #2> boot
  4. ciscoasa> enable
  5. password:
  6. ciscoasa#
  7. ciscoasa#copy startup-config running-config
  8. Destination filename [running-config]?
  9. ciscoasa# conf t
  10. ciscoasa(config)# enable password 123456
  11. ciscoasa(config)# password 123
  12. ciscoasa(config)# config-register 0x11
  13. ciscoasa(config)# exit
  14. ciscoasa# show version
  15. ciscoasa# copy run start
  16. Source filename [running-config]
  17. ciscoasa# reload

ASA 恢复出厂设置

  1. ciscoasa(config)# configure factory-default 10.1.1.1 255.255.255.0
  2. 恢复默认配置,并将管理口配置为上述IP地址

ASA 升级与降级

  1. In privileged EXEC mode, copy the ASA software to flash memory.
  3. copy ftp:// [[user[: password]@ ]server[/ path]/ asa_image_name disk n:/ [path/ ]asa_image_name
  5. Example:
  7. ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asa991-smp-k8.bin disk0:/asa991-smp-k8.bin
  9. Step 2    
  10. Copy the ASDM image to flash memory.
  12. copy ftp:// [[user[: password]@ ]server[/ path]/ asdm_image_name disk n:/ [path/ ]asdm_image_name
  14. Example:
  16. ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-771791.bin disk0:/asdm-771791.bin
  18. Step 3    
  19. Access global configuration mode.
  21. configure terminal
  23. Example:
  25. ciscoasa# configure terminal
  26. ciscoasa(config)#
  28. Step 4    
  29. Show the current boot images configured (up to 4):
  31. show running-config boot system
  33. The ASA uses the images in the order listed; if the first image is unavailable, the next image is used, and so on. You cannot insert a new image URL at the top of the list; to specify the new image to be first, you must remove any existing entries, and enter the image URLs in the order desired, according to the next steps.
  35. Example:
  37. ciscoasa(config)# show running-config boot system
  38. boot system disk0:/cdisk.bin
  39. boot system disk0:/asa931-smp-k8.bin
  41. Step 5    
  42. Remove any existing boot image configurations so that you can enter the new boot image as your first choice:
  44. no boot system disk n:/ [path/ ]asa_image_name
  46. Example:
  48. ciscoasa(config)# no boot system disk0:/cdisk.bin
  49. ciscoasa(config)# no boot system disk0:/asa931-smp-k8.bin
  51. Step 6    
  52. Set the ASA image to boot (the one you just uploaded):
  54. boot system disk n:/ [path/ ]asa_image_name
  56. Repeat this command for any backup images that you want to use in case this image is unavailable. For example, you can re-enter the images that you previously removed.
  58. Example:
  60. ciscoasa(config)# boot system disk0:/asa991-smp-k8.bin
  62. Step 7    
  63. Set the ASDM image to use (the one you just uploaded):
  65. asdm image disk n:/ [path/ ]asdm_image_name
  67. You can only configure one ASDM image to use, so you do not need to first remove the existing configuration.
  69. Example:
  71. ciscoasa(config)# asdm image disk0:/asdm-771791.bin
  73. Step 8    
  74. Save the new settings to the startup configuration:
  76. write memory
  78. Step 9    
  79. Reload the ASA:
  81. reload
  83. Step 10    
  84. If you are upgrading the ASA FirePOWER module, disable the ASA REST API or else the upgrade will fail.
  86. no rest-api agent
  88. You can reenable it after the upgrade:
  90. rest-api agent
  92. Note     
  93. The ASA 5506-X series does not support the ASA REST API if you are running the FirePOWER module Version 6.0 or later.
  95. Step 11    
  96. Upgrade the ASA FirePOWER module.
  1. downgrade [/noconfirm] old_image_url old_config_url [activation-key old_key]

导入镜像报错

  1. ciscoasa(config)# copy ftp://anonymous@10.140.249.114/asdm-791.bin disk0:
  3. Address or name of remote host [10.140.249.114]?
  5. Source username [anonymous]?
  7. Source filename [asdm-791.bin]?
  9. Destination filename [asdm-791.bin]?
  11. Accessing ftp://anonymous@10.140.249.114/asdm-791.bin...!
  12. %Error copying ftp://anonymous@10.140.249.114/asdm-791.bin (Not enough space on device)
  13. ciscoasa(config)#
  15. ciscoasa(config)# show disk
  16. --#--  --length--  -----date/time------  path
  17. 11060  108563072   Jun 09 2019 15:38:51  asa982-lfbff-k8.SPA
  18. 11049  0           Jun 09 2019 15:24:43  coredumpinfo
  19. 11050  59          Jun 09 2019 15:24:43  coredumpinfo/coredump.cfg
  20.  8653  0           Jun 09 2019 15:24:41  crypto_archive
  21.  8528  0           Jun 09 2019 15:23:50  log
  22. 10974  125         Jun 09 2019 15:23:50  log/asa-appagent.log
  24. 0 bytes total (0 bytes free)
  25. # 看到已经没有存储空间了,但是其实根本没有满。
  27. # 解决方案
  28. ciscoasa(config)# format flash:
  30. Format operation may take a while. Continue? [confirm]
  32. Format operation will destroy all data in "flash:".  Continue? [confirm]
  33. Initializing partition - done!
  34. Creating FAT32 filesystem
  35. mkdosfs 2.11 (12 Mar 2005)
  37. System tables written to disk
  39. Format of disk0 complete
  41. # 确保disk0中没有重要内容,格式化disk0.

ASA 性能

https://community.cisco.com/t5/security-documents/revisiting-firewall-performance-parameters/ta-p/3122547