应用ASDM简化防火墙理管理.doc

应用ASDM简化防火墙管理 嵊州广播电视总台 吕秋亮 关键字：ASDM、Cisco防火墙管理 随着广播电视技术数字化、网络化的不断深入，无论制播还是日常办公都离不开计算机网络，对网络的依赖必然对网络环境的安全性提出更高的要求。 Cisco Asa5510是一款集应用安全、ANTI-X防御、网络印制和控制、VPN、智能网络服务于一体的功能强大的防火墙，具体的来说它能够： 过滤不安全的服务和非法用户，强化安全策略。 有效记录internet上的活动，管理进出网络的访问行为。 限制暴露用户，封堵禁止的访问行为。 是一个安全策略的检查站，对网络攻击进行检测和告警。 笔者所在单位不久前装了Cisco Asa5510防火墙，显著提升了网络安全性。熟练掌握思科自适应安全设备的管理操作对网络管理岗位的同志提出了新的要求。但借助ASDM软件，即便对思科产品不是很熟悉，我们也能直观的对防火墙设备进行有效管理，保障网络稳定高效运作。 ASDM安装 安装ASDM前我们需要安装jre-1_5_0-windows-i586 这个java环境，然后运行ASDM-install.msi，ASDM版本比较多，笔者这边采用的是6.02。 使用ASDM管理ASA防火墙前我们首先要对防火墙进行一些配置： 　　Asa5510# conf t 进入全局模式 　　Asa5510 (config)# webvpn 进入WEBVPN模式 　　Asa5510 (config-webvpn)# username cisco password cisco 新建一个用户和密码 　　asa5510 (config)# int m 0/0 进入管理口 　　Asa5510 (config-if)# ip address 54 添加IP地址 　　Asa5510 (config-if)# nameif manage 给管理口设个名字 　　Asa5510(config-if)# no shutdown 激活接口 　　Asa5510(config)#q 退出管理接口 　　Asa5510(config)# http server enable 开启HTTP服务 　　Asa5510(config)# http manage 在管理口设置可管理的IP地址 　　Asa5510(config)# show run 查看一下配置 　　Asa5510(config)# wr m 保存 配置完后，我们就可以在这个网段内的主机上运行ASDM对asa防火墙进行管理。（如图1） 进入ASDM后，我们在软件首页可以监看到防火墙的各项设置参数以及网络状态。Device information一栏记录的是防火墙设备信息。Interface status记录的是设备借口状态。VPN status记录了虚拟专用网络类型。流量状态(Traffic status)以及系统资源状态(System resourses status)用图形界面统计出网络利用情况。（如图2） （图1） （图2） 安全策略配置 1、限制内部网络主机连接外网权限： 利用ASDM强大的安全策略功能我们能够摆脱繁琐的cisco路由交换命令，实现各种网络策略。（如图3） 比如要限制部分主机上网权限，重复输入传统的acl命令是一件繁琐的事情，而在ASDM下将变得十分简单： （1）首先我们需要在创建模块(Building blocks)创建一个禁止上网的ip组,取名lost_connection，并把需要限制的ip地址添加进去（如图3）； （2）在策略配置界面(security policy)我们需要设置策略的访问规则(access rules)。（如图4） （图3） （图4） （3）在事件中选择deny（禁用），指定inside接口为源网络，group中选择我们创建的分组lost_connection，目的网络(destination host/network)我们选择内部接口inside。 （4）在策略配置界面激活新创建的规则。（如图5） 这样我们就限制了分组内的主机与防火墙通讯，从而实现了限制分组内主机连接外网的目标。值得注意的是在创建新策略时，后面应添加一条inside到inside 全通信的策略。这个原因和访问控制列表(ACL)是一样，有顺序要求。如果有两条语句，一个拒绝来自某个主机的通信，另一个允许来自该主机的通信，则排在前面的语句将被执行，而排在后面的语句将被忽略。由于安全性考虑，系统默认动作为拒绝(Implicit deny),底层自动添加一条deny规则，拒绝所有通信。因此如果不手动添加一条inside到inside通信策略，第一条规则被执行后，将执行默认规则，导致内部网络主机都连接不到外网。 采用类似访问策略，通过对外部网络固定服务器