100G骨幹設備採購案ASA 教育訓練

2016/7/19

1

教育學術研究骨幹網路頻寬效能提升計畫—100G骨幹設備採購案

ASA 教育訓練

2016/6/27

ASA產品介紹產品介紹產品介紹產品介紹

2016/7/19

2



2016/7/19

3



2016/7/19

4


ASA FIREWALL 運作模式介紹運作模式介紹運作模式介紹運作模式介紹

2016/7/19

5

ASA FIREWALL 運作模式介紹運作模式介紹運作模式介紹運作模式介紹

基本設定基本設定基本設定基本設定(含含含含CLI操作操作操作操作)

� CLI CLI CLI CLI

� Command Line InterfaceCommand Line InterfaceCommand Line InterfaceCommand Line Interface

� 初步初步初步初步ASAASAASAASA設備使用步驟設備使用步驟設備使用步驟設備使用步驟

� 插入電源並開機插入電源並開機插入電源並開機插入電源並開機

� 連接連接連接連接ConsoleConsoleConsoleConsole

� 基本設定基本設定基本設定基本設定

� 連入連入連入連入IPIPIPIP設定設定設定設定

� ASDM ASDM ASDM ASDM 新版本指定新版本指定新版本指定新版本指定

2016/7/19

6



2016/7/19

7


� 提示符號提示符號提示符號提示符號� >>>>

� 代表一般使用模式代表一般使用模式代表一般使用模式代表一般使用模式，，，，指令有許多侷限指令有許多侷限指令有許多侷限指令有許多侷限。。。。

� ####

� 代表特權模式代表特權模式代表特權模式代表特權模式，，，，可供設定可供設定可供設定可供設定。。。。


2016/7/19

8



2016/7/19

9



InternetG0/0 G0/1

• 介面基本設定• ip address

• 設定介面的自屬IP及遮罩• security level

• 定義介面的安全等級 (0~100)

• 封包由Security level 數值高到低，預設值為全部允許；相反的，如果是由Security level 數值低到高，預設值為全部阻擋。

• Security level 數值相同時，預設為全部阻擋；但透過指令開啟(same-security-traffic permit inter-interface)功能後，則可互通。

• nameif

• 定義介面名稱• 一般而言都是以『inside』、『outside』、『dmz』

• 預設 inside security level 為 100，outside 為 0。• no shutdown

• 啟用該介面

2016/7/19

10


InternetG0/0

Inside

Sec Lv 100

G0/1

Outside

Sec Lv0

• Security level and nameif 說明• 一般而言，我們會將面對 Internet 的介面設定

• nameif為 outside

• security level 0

• 一般而言，我們會將面對 Intranet 的介面設定• nameif為 inside

• security level 100

• ciscoasa(config)# interface g0/0

• ciscoasa(config-if)# ip addr 192.168.254.100 255.255.255.0

• ciscoasa(config-if)# nameif inside

• ciscoasa(config-if)# security-level 100

• ciscoasa(config-if)# no shutdown


InternetG0/0

Inside

Sec Lv 100

G0/1

Outside

Sec Lv0

2016/7/19

11


InternetG0/0

Inside

Sec Lv 100

G0/1

Outside

Sec Lv0

TFTP Server

• Copy檔案上傳至ASA當中• 更換 ASA.bin

• 更換 ASDM

• 語法： ciscoasa# copy tftp flash

• 說明：由 tftp-server 上傳檔案至 ASA的 flash 當中


2016/7/19

12


• 查看ASA flash檔案• ciscoasa# dir

• 指定ASDM Image

• 語法： ciscoasa(config)# asdm image flash:/asdm-752-153.bin


2016/7/19

13



2016/7/19

14



2016/7/19

15


• 常用指令• show running-config• show ip address• show interface• show log• show route• show xlate• show version • show cpu usage• show memory• copy running-config startup-config

• 如同 write 一樣。

• reload • 重啟ASA！使用此指令請確認情況是否允許重啟ASA。

• 遠端管理設定• TELNET

• SSH

• ASDM

• 帳號新增

啟用啟用啟用啟用ASDM及操作教學及操作教學及操作教學及操作教學

2016/7/19

16



2016/7/19

17



ASA的IP

登入帳號

登入密碼

思科推薦穩定JRE版本為 7 update 45

http://www.cisco.com/c/en/us/td/docs/security/asdm/7_5/release/notes/rn75.html

2016/7/19

18


ASAASA運作狀態運作狀態

ASAASA工具工具列列

登入後就是此頁面，可看到目前ASA的運作狀態(機型、介面狀態、ASA版本、ASDM版本、防火牆運作模式、設備使用時間、CPU與記憶體使用率、網路傳輸的使用率、傳輸紀錄…等。)


ASDMASDM設定邏輯設定邏輯

當設定完成後，這時候設定並不會生效。要按下該頁面的 Apply 鈕，才會生效套用到 running-config。假設點選了Apply，直接跳離開ASDM。此時，ASDM將會告警是否要將剛剛Apply的設定值儲存到Flash(startup-config)當中。

所以建議使用上的邏輯而是『確認設定的部分完成後，點選「Apply」(下方紫色圈選處)套用到running-config，並且點選「Save」(上方紫色圈選處)將Apply過的設定儲存到startup-config(Flash)當中。

PS:若未「Apply」點選而點選 Refresh 鈕，將會詢問是否放棄先前未Apply之設定。

2016/7/19

19


ASAASA設備基本設定設備基本設定此頁面提供ASA基礎設定Interfaces : ASA實體介面、子介面…等設定。主要可定義該

介面所屬的介面名稱(nameif)、安全等級(Security level)、IP Address、Subnet mask、註解…等。(如同透過指令方式來設定)

Routing ： ASA 路由協議。主要定義ASA的靜態路由、動態路由(RIP、OSPF、EIGRP…等)。

Device Name/Password ： ASA 定義自身名稱與登入密碼。Hostname、Domain name、Enable password、Telnet password。

System Time ：設定ASA日期時間與所在時區。可手動設定或者透過NTP Server同步ASA自身的日期與時間。


此頁面提供ASA裝置設定Management Acceess : 這部分主要設定Remote Control(遠端管

理)。ASDM/HTTPS/SSH/Telnet的網段存取控制、CLI的設定、ASA檔案系統、ICMP可否直接PING到ASA、SNMP設定…等。

Licensing ：這部分主要是設定ASA授權啟動金鑰。System Image/Configuration ：指定ASA開機檔案與ASDM檔案(如

同先前章節所提過的透過指令方式來指定ASA或ASDM版本)

High Avaliability and Scalability ：設定FailoverLogging ：設定系統記錄訊息、傳遞系統紀錄至紀錄伺服器等。User/AAA ：設定使用者帳號、權限及密碼與驗證機制(AAA)。Certificate Management : 設定CA憑證。DHCP : 設定ASA提供DHCP Server或Relay服務。

2016/7/19

20


G0/0

InsideASDM

Command Line Interface : CLI。透過ASDM介面模擬出來。

Packet Tracer : 透過自我產生封包進行關卡通聯測試。

Ping、Traceroute : ICMP對PING測試、封包路由測試。

File Management : ASA自身檔案管理Upgrade Software form Local Computer : 這功能就是稍後會進行解說的檔案上傳。Backup Configurations : 設定備份Restore Configurations : 設定回朔System Reload : ASA 重開機

InternetG0/0

Inside

Sec Lv 100

G0/1

Outside

Sec Lv0

Client

• Copy檔案上傳至ASA當中• 更換 ASA

• 更換 ASDM


2016/7/19

21


InternetG0/0

Inside

Sec Lv 100

G0/1

Outside

Sec Lv0

Client

在於預設的情況下，Global的區塊會顯示一條隱含的防火牆規則條目Any → Any ip Deny !!!


假設左手處的PC想要存取右手處(Ineternet)的Web Server，封包的流向為由PC發出要求：� PC IP Address : [Random Port]

→ ASA G0/0(Inside) → ASA G0/1 Outside

→ Internet Web Server : 80

InternetG0/0

Inside

Sec Lv 100

G0/1

Outside

Sec Lv0

再Web Server回應PC要求：� Internet Web Server : 80

→ ASA G0/0(Inside) → ASA G0/1 Outside

→PC IP Address : [Random Port]

2016/7/19

22


因此規則的新增為：

輸入PC IP，假設PC IP為 192.168.254.200，則輸入 192.168.254.100/32

該條防火牆規則的註解

輸入Web ServerIP (方法與PC IP雷同)

可透過下拉選端選擇 http

啟用規則的紀錄

啟用規則規則流向


如此，即完成一條規則的新增。當然以管理的方式會建議以『物件、群組』的方式搭配，

更能靈活運用！

2016/7/19

23


網路物件(Object)與群組(Group)的建立，分為三大類(Address、Services、Time Ranges)

透過這三大類的建立與管理規則搭配，更能夠條理清晰的管理。


就以 Services 來建立群組可先建立一個群組叫做Web ，加入 TCP 80 及 443。

2016/7/19

24


點選剛剛的管理規則，滑鼠右箭選『Edit』。


2016/7/19

25

ANYCONNECT建置與使用教學建置與使用教學建置與使用教學建置與使用教學


2016/7/19

26



2016/7/19

27



2016/7/19

28



2016/7/19

29


Dynamic Access Policies (DAP)

可提供Anyconnect連入時的管控設定，透過DAP可管控連入的情況。

Network ACL : 主要邏輯雷同於防火牆規則，管控連入連線至內部。

Webtype ACL : 以服務的方式設定規則，管控連入連線至內部。


2016/7/19

30


Policy 與 Network List 兩者間取消勾選 Inherit(繼承)，並各自選擇『Tunnel Network List Below』與剛剛新建的ACE之『AnyConnect_Network_ACL』。


2016/7/19

31


接下來開始說明 Anyconnect Client Agent 的安裝

●首先透過Internet連入到ASA的WAN端(Outside)

建議可使用微軟網頁瀏覽器 IE 8.0

例如：https://1.2.3.4

輸入先前建立的帳號與密碼


登入成功後，如看到此一頁面而無自動執行！可自行直接點選『Download』鈕，進行 Cisco Anyconnect agent 安裝！

2016/7/19

32


透過 Cisco Anyconnect Agent 連入成功後將會在執行緒列當中出現 Anyconnect agent 的 ICON


2016/7/19

33


這時候已經連入到這時候已經連入到Cisco Cisco AnyconnectAnyconnect VPNVPN裡面，可透過裡面，可透過VPNVPN進行內網存取！進行內網存取！

Thanks

100G骨幹設備採購案ASA 教育訓練

Documents

Transcript of 100G骨幹設備採購案ASA 教育訓練