防火墙的安装和配置.pptVIP

Cisco ASDM简介 作为自适应安全设备管理器，Cisco ASDM以图形界面方式，配置和管理Cisco PIX和Cisco ASA安全设备。 Cisco ASDM具有如下特点： 1. 集成化管理提高管理效率 2. 启动向导加速安全设备的部署 3. 仪表盘提供重要实时系统状态信息 4. 安全策略管理降低运营成本 5. 安全服务实现基于角色的、安全的管理访问 6. VPN管理将安全连接扩展到远程站点 7. 管理服务与应用检测相互协作 8. 智能用户界面简化网络集成 9. 安全管理界面提供一致的管理服务 10. 监控和报告工具实现关键业务数据分析 Cisco ASDM主页 VPN配置 高级OSPF配置 监控和报告工具实现关键业务数据分析 （1）监控工具 （2）系统图 （3）连接图 （4）攻击保护系统图 （5）接口图 （6）VPN统计和连接图 1. 运行ASDM Cisco ASDM主窗口 2. 为NAT创建IP地址池 （1）指定DMZ的IP地址范围 （2）为外部端口指定IP地址池 3. 配置内部客户端访问DMZ区的Web服务器 5. 为Web服务器配置外部ID 4. 配置内部客户端访问Internet 6. 允许Internet用户访问DMZ的Web服务 8.3.5 对出站实施NAT 1．在PIX 6.x中配置NAT nat [（local-interface）] id local-ip [mask [ dns ] [ outside | [ norandomseq ] [max_conns [emb_limit]]] pix（config）# nat （insids）1 global [（if-name）] nat-id {global-ip [-global-ip] [netmask global-mask]} | interface pix（config）# global （outside）1 0-5 netmask 40 pix（config）# global （outside） 1 interface outside interface address added to PAT pool pix（config）# 2．在PIX 7.x中配置NAT nat (real-ifc) nat-id real-ip [mask [dns] [outside] [[tcp] tcp-max-conns [emb-limit]] [udp udp-max-conns] [norandomseq]] global (mapped-ifc) nat-id {mapped-ip [-mapped-ip] [netmask mask] | interface} pix(config)# nat-control pix(config)# nat (inside)1 pix(config)# global (outside)1 0-4 netmask 40 pix(config)# global (outside)1 interface INFO: outside interface address added to PAT pool pix(config)# 8.3.6 配置ACLs 配置和实施ACL分两步完成： 定义ACL以及实施ACE； 将ACL应用于某接口。 1．定义ACL和实施ACE PIX支持多种不同类型的ACL： EtherType访问列表——这种ACL根据EtherType值来过滤流量； 扩展访问列表——这是最常用的ACL实施类型，它用来对基于TCP/IP的流最进行通用目的的过滤； 标准访问列表——该ACL用来指定目的IP地址，它可以用来在路由映射表（routemap）中进行OSPF路由重分布； WebType访问列表——该ACL用来进行WebVPN的过滤，只在PIX 7.1或者更新版本中才被支持。 创建一组ACL的过程非常简单直接，通常需要定义如下的参数。 流量需要通过什么样的方式去匹配ACL中的ACE？ 需要使用什么样的协议？ 流量的源是什么？ 流量的目的是什么？ 使用了哪个/哪些应用端口？ 参数 描述 default （可选项）使用缺省的日志方式，即为每个被拒绝的报文发送同步日志消息106023 deny 拒绝条件配置报文。在网络访问的环境中（access-group命令），该关键字阻止报文穿越安全工具。在类映射（class-map和inspect命令）中进行应用检查的环境中，该关键字将使得报文免受检查。一些特性并不允许使用拒绝ACE，比如说NAT。查阅各种特性的命令文档以获得更多关于ACL的信息 dest_ip 指定报文发往的网络或者主机的IP地址。在IP地址之前