ASA防火墻遠程管理方式

在對思科ASA系列防火墻進行初始化配置時，是通過其Console端口進行的。在很多時候。需要對其進行遠程管理，其常用方法包括Telnet，SSH，HTTPS，SNMP等。對于Telnet管理方法來說，存在安全性較差的問題，而SSH管理方式則比較安全。對于很多網絡設備來說，都支持Web方式的管理，使用HTTPS加密連接，可以提高ASA防火墻的安全性。使用基于SNMP協議的網管工作站，對ASA防護墻進行管理和監控。

使用Telnet實現遠程管理

對于網絡設備的管理，通常分為帶內網管和帶外網管兩種模式。對于后者來說其優點在于不占用業務流量。ASA防火墻上帶有專用的帶外網關接口，當然，也可以將任意端口配置為專用的管理端口。例如在ASA防火墻管理界面中執行“int g1”，“management-only”命令，將G1口設置為專用管理端口。為安全起見，需要為該端口配置最高安全級別。注意，流量不能穿越管理接口，而且建議使用ACL拒絕所有的穿越流量，需要使用管理訪問策略來允許訪問，當然，最好使用物理管理接口。

對 于Telnet管 理方式來說，啟用的方法很簡單，例如執行“telnet 172.16.10.1.1 255.255.255.255 inside”命令，后跟允許訪問的網段或者主機，這里只允許IP為172.16.10.1的主機通過Inside接口進行訪問。執行“telnet 0 0 DMZ”命令，允許DMZ區所有主機進行訪問，其中的“0 0”表示任意網絡。注意，對于Outside等最低安全級別的接口不支持Telnet。當使用Telnet登錄時，需要到使用Enable特權模式密碼，其默認為空。執 行“enable password”命令，來修改該密碼。

對于本地用戶認證，可以執行“aaa authentication telnet console LOCAL”命 令，針對Telnet控制臺開啟3A認證，使用的是本地的賬戶數據庫。執行“username admin password xxxxxx privilege 15”命令，添加名稱為“admin”的本地賬戶，并為其設置密碼（這里為“xxxxxx”）和最高權限等級?！?br>