自适应安全设备 (ASA) 的基本配置
先决条件 - 自适应安全设备 (ASA)
自适应安全设备 (ASA) 是一种思科安全设备,将经典防火墙功能与 VPN、入侵防御和防病毒功能相结合。它有能力在攻击扩散到网络之前提供威胁防御。
作为管理员,我们必须确保防止未经授权访问我们的防火墙。我们可以设置登录密码,为此启用密码。此外,我们还将讨论在 ASA 接口上配置 IP 地址。
管理配置 –
启动接口并将 IP 地址分配给 ASA。
要在 ASA 的接口上配置 IP 地址,我们必须配置 4 件事:
1.调出界面——
进入全局接口模式后,使用命令no shut调出接口。
2. 为 ASA 的接口分配 IP 地址 –
启动接口后,通过命令分配 IP 地址
IP address IP_address Subnet_Mask 这与我们为路由器接口分配 IP 地址的方式相同。但不同之处在于,我们也可以为 ASA 接口分配 IP 地址,而无需子网掩码。
IP address IP_address现在,如果我们不提供子网掩码,它会自动采用有类子网掩码。例如,如果我们将 192.168.1.1 分配给 ASA 接口,它将自动将 255.255.255.0 作为子网掩码。
3. 为 ASA 接口分配一个 nameif –
在 ASA 中,我们还为接口分配名称,否则接口将关闭。最常见的名称是 INSIDE OUTSIDE 或 DMZ。这些名称在应用策略时使用,但对转发流量没有任何作用。
我们可以通过以下命令为 ASA 接口分配名称:
nameif NAME NAME 是您要赋予接口的名称。
4. 为接口分配安全级别 –
安全级别是一个整数值,范围从0 到100。它告诉一个接口的可信度,即哪个接口最受信任。 0 表示可信度较低,而 100 表示可信度最高。
如果我们为接口提供名称 INSIDE,它将自动为其提供安全级别 100,如果我们提供任何其他名称,如 OUTSIDE 或 DMZ,它将自动为其分配 0,但可以手动更改。
我们可以通过以下命令为接口分配安全级别:
Security-level {value} 这是一个示例,我们将提供 IP 地址 192.268.1.1 和子网掩码 255.255.255.0,名称为 INSIDE,安全级别为 100。
asa(config)#int e0
asa(config-if)#no shut
asa(config-if)#ip address 192.168.1.1 255.255.255.0
asa(config-if)#nameif INSIDE
asa(config-if)#security level 100为 ASA 提供主机名 –
它用于为设备设置名称,向设备说明身份。它由在路由器上使用的相同命令给出:-
asa(config)#hostname ciscoasa
ciscoasa(config)#设置密码 –
由于 ASA 是一种安全设备,默认情况下,它会在我们尝试进入特权模式时要求输入密码。默认情况下,没有设置密码,因此只需点击回车,我们就可以进入特权模式。
启用密码 –
启用密码用于保护特权模式。在路由器中,此密码在运行配置中以明文形式显示,但在 ASA 中,此密码已加密(因此不需要启用密钥。)密码是一个区分大小写的密码,最多包含 16 个字母数字和特殊字符。我们可以通过以下方式设置启用密码
asa(config)#enable password GeeksforGeeks 或者通过命令
asa(config)#enable passwd GeeksforGeeks 其中 GeeksforGeeks 是密码。
如果我们想禁用此密码或将密码设置为默认值,则只需输入命令。
asa(config)#enable password 登录密码 -
此密码用于通过 Telnet 或 SSH 访问 ASA。默认情况下,登录密码为“Cisco”。我们可以通过命令改变它
asa(config)#password GeeksforGeeks
or
asa(config)#passwd GeeksforGeeks 其中 GeeksforGeeks 是登录密码。
使用本地数据库登录:
在设备上配置了一个本地数据库(用户名和密码),以便可以将其用于登录目的。它的配置方式与在路由器上配置的方式相同。可以使用命令在设备上配置本地数据库
asa(config)#username SAURABH password GeeksforGeeks 其中 SAURABH 是用户名,密码是 GeeksforGeeks。
如果我们希望 ASA 使用其本地数据库进行登录,那么我们可以使用命令
asa(config)#aaa authentication serial console LOCAL在这里,请注意 LOCAL 区分大小写