应用ASDM简化防火墙管理.doc

应用ASDM简化防火墙管理 嵊州广播电视总台 吕秋亮 关键字：ASDM、Cisco防火墙管理 随着广播电视技术数字化、网络化的不断深入，无论制播还是日常办公都离不开计算机网络，对网络的依赖必然对网络环境的安全性提出更高的要求。 Cisco Asa5510是一款集应用安全、ANTI-X防御、网络印制和控制、VPN、智能网络服务于一体的功能强大的防火墙，具体的来说它能够： 过滤不安全的服务和非法用户，强化安全策略。 有效记录internet上的活动，管理进出网络的访问行为。 限制暴露用户，封堵禁止的访问行为。 是一个安全策略的检查站，对网络攻击进行检测和告警。 笔者所在单位不久前装了Cisco Asa5510防火墙，显著提升了网络安全性。熟练掌握思科自适应安全设备的管理操作对网络管理岗位的同志提出了新的要求。但借助ASDM软件，即便对思科产品不是很熟悉，我们也能直观的对防火墙设备进行有效管理，保障网络稳定高效运作。 ASDM安装 安装ASDM前我们需要安装jre-1_5_0-windows-i586 这个java环境，然后运行ASDM-install.msi，ASDM版本比较多，笔者这边采用的是6.02。 使用ASDM管理ASA防火墙前我们首先要对防火墙进行一些配置： 　　A# conf t 进入全局模式 　　A (config)# webvpn 进入WEBVPN模式 　　A (config-webvpn)# username cisco password cisco 新建一个用户和密码 　　asa(config)# int m 0/0 进入管理口 　　A(config-if)# ip address 54 添加IP地址 　　A(config-if)# nameif manage 给管理口设个名字 　　sa5510(config-if)# no shutdown 激活接口 　　sa5510(config)#q 退出管理接口 　　sa5510(config)# http server enable 开启HTTP服务 　　sa5510(config)# http manage 在管理口设置可管理的IP地址 　　sa5510(config)# show run 查看一下配置 　　sa5510(config)# wr m 保存 )以及系统资源状态(System resourses status)用图形界面统计出网络利用情况。（如图2） （图1） （图2） 安全策略配置 1、限制内部网络主机连接外网权限： 利用ASDM强大的安全策略功能我们能够摆脱繁琐的cisco路由交换命令，实现各种网络策略。（如图3） 比如要限制部分主机上网权限，重复输入传统的acl命令是一件繁琐的事情，而在ASDM下将变得十分简单： （1）首先我们需要在创建模块(Building blocks)创建一个禁止上网的ip组,取名lost_connection，并把需要限制的ip地址添加进去（如图3）； （2）在策略配置界面(security policy)我们需要设置策略的访问规则(access rules)。（如图4） （图3） （图4） （3）在事件中选择deny（禁用），指定inside接口为源网络，group中选择我们创建的分组lost_connection，目的网络(destination host/network)我们选择内部接口inside。 （4）在策略配置界面激活新创建的规则。（如图5） 这样我们就限制了分组内的主机与防火墙通讯，从而实现了限制分组内主机连接外网的目标。值得注意的是在创建新策略时，后面应添加一条inside到inside 全通信的策略。这个原因和访问控制列表(ACL)是一样，有顺序要求。如果有两条语句，一个拒绝来自某个主机的通信，另一个允许来自该主机的通信，则排在前面的语句将被执行，而排在后面的语句将被忽略。由于安全性考虑，系统默认动作为拒绝(Implicit deny),底层自动添加一条deny规则，拒绝所有通信。因此如果不手动添加一条inside到inside通信策略，第一条规则被执行后，将执行默认规则，导致内部网络主机都连接不到外网。 采用类似访问策略，通过对外部网络固定服务器ip的限制，可以实现禁止对p2p站点、股票软件、聊天软件的服务器访问，从而提高网络及办公效率。 2、流量控制: 网络服务质量（QoS）作为网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。防火墙是网络安全的第