PIX_ASA_虚拟防火墙配置

PIX_ASA_虚拟防火墙配置 防火墙是在两个或者多个安全区域，利用策略对连接的多个区域之间进行流量控制。纵观防火墙的发展历史，经历了无状态过滤防火墙，应用代理防火墙，基于状态的防火墙以及应用防火墙。 目前防火墙融合了很多功能，例如VPN、远程访问、IDS/IPS、反病毒、内容的深层过滤、负载均衡等。但是丰富了安全功能性，同时也带来了很多挑战性。能不能很好的利用这些功能，需要对网络进行合理的设计。 随着安全的不断发展，客户的要求也在不断的变化，从而提出了很多防火墙的新概念，例如虚拟防火墙、模块策略结构MPF(modular policy framework)、透明防火墙。t 虚拟防火墙概念的提出是因为客户需要对不同的部门进行不同的安全策略控制，而且这些安全策略是独立的。PIX 7.0提出了context，分为admin context 与context,首先配置admin context 对其他context进行配置管理。所有这些context的防火墙是相互独立。admin context是用于创建新的context和改变系统的context,可以看到整个防火墙的syslog。虚拟防火墙能简化网络安全的管理，一台设备实现多台设备的功能，同时也降低了成本。PIX虚拟防火墙虽然能带来一定的功能，但同时也限制了一些功能的使用，虚拟防火墙不支持VPN、web VPN、动态路由 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 、组播通信等。每个虚拟防火墙共享一个流量，当一个虚拟防火墙占用了过多流量，那么就会减少其他虚拟防火墙的流量。 模块化策略采用更加灵活的策略过滤，例如PIX 7.0以前的版本只能针对所有的TCP连接或者某一个网段的TCP连接设置最大连接数，而模块化的策略能对具体的TCP协议类型进行更加细化灵活的控制。 应用层防火墙提供了极强的应用层安全性，能对Http等应用层协议的一些具体命令进行过滤，能进行内容过滤，url过滤，能进行状态检查、安全性检查，同时提供了NAT/PAT的支持，动态分配端口号。 应用层防火墙防止基于web的攻击应用非常广泛，因为企业都不会block 80端口，但是很多黑客都利用80端口进行攻击，而且很多软件都走80端口进行数据传输。比如http message等，因此要过滤这些数据需要检查Http message 的数据头是否符合标准的rfc标准或者扩展的方法，如果不符合可以进行阻拦。而且可以检查http包的长度、包的request长度、url长度等进行检查采取相应的动作。还可对ftp 的21端口进行深度检查，通过指定ftp的命令范围防范恶意的攻击。 pix防火墙，TCP穿越防火墙传输采用syn随机化处理，防止外网黑客监听猜测syn number来模仿server建立TCP连接。 透明防火墙是相对于路由模式防火墙而言的。路由防火墙的两边的IP地址是在不同网段的，当用户需要把防火墙加入到网络中时，不想改变两边的网络网段，因此需要个透明防火墙，把两个VLAN桥接在一起。内网与外网的IP地址不做任何变化，都用同一个网关。 透明防火墙能让路由协议通过防火墙，同时也让HSRP、VRRP、GLBP等协议能穿过防火墙，还能让组播协议、 IPX、MPLS、BPDUS等穿过防火墙。透明防火墙的IP地址在作为内部网络的网关而是只用于对防火墙进行管理而用，内网的网关依然是原来的网关。透明防火墙能让防火墙快速的融入到网络中。 防火墙的高可用性，当主防火墙出现问题或者连接中断时，利用state 和 heartbeate两种方法，用heartbeate通知备用防火墙取代主防火墙同时用state把主防火墙在中断前的所有连接 信息移植到备用防火墙，从而不用重新建立连接。pix 7.0支持active-active模式的高可用性，是利用虚拟防火墙技术实现的。能对网络的流量进行分流的控制。 我们可以将一个单一的物理防火墙逻辑上分为多个虚拟防火墙，每个虚拟防火墙都是独立的设备，它们有自己独立的安全策略、接口和管理接口;ASA会为每个虚拟防火墙保存一个配置文件，以保存每个虚拟防火墙的这些策略和配置;这些配置文件可以保存在本地，可以保存在外部服务器上;许多特性在多虚拟防火墙模式下都被支持，包括routing table、防火墙特性、IPS以及管理，但是也有一些特性不被支持，包括VPN、组播以及动态路由协议; Pix防火墙分为单模式——即作为单一物理防火墙，多模式——支持虚拟化防火墙 一、系统配置模式 二、虚拟防火墙配置模式 三、context——可以理解为一个虚拟防火墙 系统配置 在系统配置下，我们可以创建、删除、修改以及管理虚拟防火墙。比如我们在系统配置下面创建虚拟防火墙，并且指定将哪些接口分配给哪些虚拟防火墙等，只有在系统配置下创建了虚拟防火墙后，我们才可以使用changeto命令到单个虚拟防火墙下对其进行配置，虚拟防火墙的配置和物理防火墙的配置方法一样，只不过不支持动态路由协议、组播以及VPN; 系统配置中除了包含有指定的Failover接口外，不包含任何接口; Admin Context Admin context 和其他虚拟防火墙一样，只是用户登录到该虚拟防火墙上以后，就拥有了系统管理员的权限，并能够访问系统以及其他虚拟防火墙;虚拟防火墙必须存储在Flash中，不能够存储在外部服务器上; Admin context必须先于其他的虚拟防火墙进行创建和配置，如果系统已经在多模式或从single模式切换到多模式下的时候，admin context会在Flash中自动创建一个admin.cfg文件。如果不想使用admin.cfg作为admin context，你可以使用admin-context命令改变; 全局下改变防火墙的运行模式为多模式; 使用命令:show mode查看当前路由器运行的模式，如果是single模式，那么使用mode multiple命令启用多虚拟防火墙; 实验拓扑: 这个拓扑中，中间的PIX配置三个虚拟防火墙，Ethernet0连接到一个3550交换机的TRUNK端口，分别接到三个不同的VLAN， 外口Ethernet1连接到Internet，试验中可以使用一台路由器代替。 由于这里Ethernet0是和交换机的TRUNK端口相连，来接收不同VLAN的流量，所以这里使用子接口为TRUNK去VLAN标签， 并将这些子接口分配给各个虚拟防火墙，是内部各个VLAN都能访问Internet 首先配置3550交换机: interface FastEthernet0/2 switchport access vlan 2 ! interface FastEthernet0/3 switchport access vlan 3 ! interface FastEthernet0/4 switchport access vlan 4 ! interface FastEthernet0/10 //和PIX的Ethernet0口相连 switchport trunk encapsulation dot1q //PIX的默认的TRUNK类型就是dot1q switchport trunk allowed vlan 2,3,4 switchport mode trunk --------------------------------------------------------------------------------------------------------------------------------------------------- PIX的配置: changeto system: //切换到系统模式进行整体的全局配置 interface Ethernet0 no shutdown ! interface Ethernet0.2 //创建子接口 vlan 2 //为子接口进行封装，去VLAN标签 interface Ethernet0.3 vlan 3 interface Ethernet0.4 vlan 4 ! interface Ethernet1 no shutdown ! admin-context admin //指定管理虚拟防火墙名称为admin context admin //创建虚拟防火墙admin allocate-interface Ethernet0.2 Intf1 //分配E0.2子接口到虚拟防火墙admin，别名是Intf1 allocate-interface Ethernet1 Intf0 //分配接口E1到虚拟防火墙admin，别名是Intf0 config-url flash:/admin.cfg //指定该虚拟防火墙的配置文件 ! context DepartmentA //创建虚拟防火墙名称为DepartmentA allocate-interface Ethernet0.3 Intf1 allocate-interface Ethernet1 Intf0 config-url flash:/DepartmentA.cfg ! context DepartmentB allocate-interface Ethernet0.4 Intf1 allocate-interface Ethernet1 Intf0 config-url flash:/DepartmentB.cfg --------------------------------------------------------------------------------------------------------------------------------------------------- changeto context admin://切换到虚拟防火墙admin中 interface Intf1 nameif inside security-level 100 ip address 192.168.2.1 255.255.255.0 ! interface Intf0 mac-address 00aa.0000.01c1 nameif outside security-level 0 ip address 192.168.1.10 255.255.255.0 --------------------------------------------------------------------------------------------------------------------------------------------------- changeto context DepartmentA: interface Intf1 nameif inside security-level 100 ip address 192.168.3.1 255.255.255.0 ! interface Intf0 mac-address 00aa.0000.01c2 nameif outside security-level 0 ip address 192.168.1.11 255.255.255.0 --------------------------------------------------------------------------------------------------------------------------------------------------- changeto context DepartmentB: interface Intf1 nameif inside security-level 100 ip address 192.168.4.1 255.255.255.0 ! interface Intf0 mac-address 00aa.0000.01c3 nameif outside security-level 0 ip address 192.168.1.12 255.255.255.0 最后在试验中代替Internet的路由器上进行验证: 成功ping通每个虚拟接口上配置的IP地址。 注意: 因为当前E1只有一个MAC地址，2层数据帧在到达防火墙E1口时，将不知道如何将数据帧发给谁，需要在D1、D2的E1接口上 指定不同的MAC地址来分类流量。为该共享接口指定一个不同的MAC地址，该MAC地址可以自动产生，也可以手工指定 补充 说明 关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书 :流量分类 将一个物理防火墙划分为多个虚拟的防火墙，那么就要涉及到一个对流量分类的问题， 物理防火墙收到一个流量/连接后，要能够区分出该连接是属于哪个虚拟防火墙的;ASA 对流量的分类有三中方法: ? 将一个接口唯一的划分到一个虚拟防火墙中(基于接口) 如果一个接口唯一的只属于一个虚拟防火墙，那么所有从这个接口进入的流量都应该只属于这一个防火墙。在透明模式下，一个接口唯一属于一个虚拟防火墙是必须的; ? 基于MAC地址 多虚拟防火墙中，如果一个接口同时属于多个虚拟防火墙(即共享接口)，那么可以使用基于MAC地址来对流量进行分类。这时候就要求在每个虚拟防火墙上，为该共享接口指定一个不同的MAC地址，该MAC地址可以自动产生，也可以手工指定; ? 基于NAT 除了基于MAC地址分类以外，还可以基于NAT来对流量进行分类;分类器会截取流量，并执行一个目的地址查找，所有其他域都被忽略，只有目的地址被使用。为了使用目的地址对流量进行分类，那么分类器就必须知道每个虚拟防火墙后面的子网。分类器根据NAT的配置，来决定每个虚拟防火墙后面的子网;分类器将目的地址和static命令或global做匹配; 以下的方法不被用于包的分类: ? NAT免除 ? 路由表——如果一个虚拟防火墙包含一个到达一个子网(A)的指向外部路由器的静态路由，并且同时包含一个关于子网A的static路由，那么分类器使用static命令来对包进行分类; 以下是包分类的例子: 基于MAC地址进行分类: 如图，GE0/0.1为共享接口，被同时分配给多个虚拟防火墙，Context B后面的主机209.165.201.1要访问Internet。数据包在传输过程中，如果不做NAT转换，IP地址是不会改变的，只有MAC地址改变;因此，连接Internet的路由器收到后，显示的IP地址是主机B的209.165.201.1，源MAC地址为Context B的GE0/0.1的接口的MAC地址，并把该对应条目写到ARP表中，当流量返回的时候，目的地址是主机B的地址，然后就会被封装成Context B的GE0/0.1接口的MAC地址; 下图展示了多个虚拟防火墙共享outside接口，并且不使用MAC地址分类，而使用配置的NAT表进行分类，图中分类器会将包转发给Context B，因为Context B包含有目的地址的地址转换连接 配置多虚拟防火墙 我们可以按照以下步骤配置多虚拟防火墙: ? 全局下改变防火墙的运行模式为多模式; 使用命令:show mode查看当前路由器运行的模式，如果是single模式，那么使用mode multiple命令启用多虚拟防火墙; ? 在系统配置下创建虚拟防火墙，并为每个虚拟防火墙指定一个配置URL; 首先配置指定admin context: hostname(config)#admin-context name 然后可以增加创建context: hosname(config)#context name //eg :hostname(config)#context c1 注意:虚拟防火墙的名字大小写字母敏感; 为虚拟防火墙分配接口: hostname(config-ctx)#allocate-interface physical_interface [map_name] [visible | invisible] map_name:为接口关联一个别名，然后在该虚拟防火墙上调用的时候就可以直接调用该名字;注意，别名必须以字母开头，以字母或数字结束; visible/invisible:该关键字指明在show interface的时候，可以看到物理接口ID，即使你设置了mapped name;缺省的是invisible，即只能够看到mapped name; eg :hostname(config-ctx)#allocate-interface e0 int0 ? 为虚拟防火墙指定下载配置的URL连接: hostname(config-ctx)#config-url url //eg:hostname(config-ctx)#config-url c1.cfg ? 验证配置信息:show context 自动为Context共享接口产生MAC地址: 在系统配置下，使用命令:mac-address auto MAC地址自动产生的规则和格式: ? Active 设备MAC地址:12_slot .port_subid.contextid ? Standby设备MAC地址:02_slot.port_subid.contextid 在系统和虚拟防火墙、虚拟防火墙和虚拟防火墙之间切换:changeto context_name | sys 10.4 实验练习 需求: ? 在ASA5510上建立管理虚拟防火墙，名字为admin;然后划分出两个虚拟防火墙，名字分别为c1和c2(注意大小写敏感) ? 划两个分子接口:E0/0.1和E0/0.2 ? 虚拟防火墙的接口分配如下: Nat control默认情况是关闭的，不要启用NAT control，要求R1、R2、R3之间能够互相ping通;同时，要求R2能够telnet到R1上; ? 配置admin防火墙，要求只有PC才能够SSH到admin防火墙上; 需求2: ? 拓扑和接口分配如需求1 ? 要求启用NAT control，要求R1、R2、R3的loopback0口之间都能够互相ping通，并且要求R1能够到R2上;(做NAT的地址池自己定义，如果需要也可以考虑使用PAT) ? admin防火墙上 配置admin防火墙，要求只有PC才能够SSH到