ASA防火墻遠程管理方式

在對思科ASA系列防火墻進行初始化配置時，是通過其Console端口進行的。在很多時候。需要對其進行遠程管理，其常用方法包括Telnet，SSH，HTTPS，SNMP等。對于Telnet管理方法來說，存在安全性較差的問題，而SSH管理方式則比較安全。對于很多網絡設備來說，都支持Web方式的管理，使用HTTPS加密連接，可以提高ASA防火墻的安全性。使用基于SNMP協議的網管工作站，對ASA防護墻進行管理和監控。

使用Telnet實現遠程管理

對于網絡設備的管理，通常分為帶內網管和帶外網管兩種模式。對于后者來說其優點在于不占用業務流量。ASA防火墻上帶有專用的帶外網關接口，當然，也可以將任意端口配置為專用的管理端口。例如在ASA防火墻管理界面中執行“int g1”，“management-only”命令，將G1口設置為專用管理端口。為安全起見，需要為該端口配置最高安全級別。注意，流量不能穿越管理接口，而且建議使用ACL拒絕所有的穿越流量，需要使用管理訪問策略來允許訪問，當然，最好使用物理管理接口。

對 于Telnet管 理方式來說，啟用的方法很簡單，例如執行“telnet 172.16.10.1.1 255.255.255.255 inside”命令，后跟允許訪問的網段或者主機，這里只允許IP為172.16.10.1的主機通過Inside接口進行訪問。執行“telnet 0 0 DMZ”命令，允許DMZ區所有主機進行訪問，其中的“0 0”表示任意網絡。注意，對于Outside等最低安全級別的接口不支持Telnet。當使用Telnet登錄時，需要到使用Enable特權模式密碼，其默認為空。執 行“enable password”命令，來修改該密碼。

對于本地用戶認證，可以執行“aaa authentication telnet console LOCAL”命 令，針對Telnet控制臺開啟3A認證，使用的是本地的賬戶數據庫。執行“username admin password xxxxxx privilege 15”命令，添加名稱為“admin”的本地賬戶，并為其設置密碼（這里為“xxxxxx”）和最高權限等級。執行“show run telnet”命令，可以查看和Telnet訪問相關的信息。執行“show local-host all”命令，可以查看到達ASA防火墻的流量。執 行“clear local-host xxx.xxx.xxx.xxx”命令，可以中斷指定IP的連接。

使用SSH實現遠程訪問

對于SSH遠程管理方式來說，啟用的方式是先執 行“hostname ASAFW”命令，為其設置主機名。執行“domain-name.xxx.com”命令，為其設置域名。執行“crypto key generate ras modulus 1024” 命 令為其生成一個密鑰，這里的密鑰長度為1024。執行“SSH 172.16.10.9 255.255.255.255 Inside”命令，允許目標主機通過Inside口進行訪問。執行“SSH 00 DMZ”命令，允許DMZ區內所有主機進行訪問。執行“ssh 172.16.11.0 255.255.255.0 dmz” 命令，只允許DMZ區指定的主機進行訪問。如果想通過Outside口訪問ASA防火墻，必須使用SSH方式而不能使用Telnet方式。

例 如 執 行“ssh 0 0 outside” 命 令，允 許Outside口的所有主機進行SSH訪問。對于本地用戶認證來說，可以執行“aaa authentication SSH console LOCAL”命令，針對SSH訪問開啟3A認證，使用的是本地的賬戶數據庫。執行“username admin password xxxxxx privilege 15”命令，添加名稱為“admin”的本地賬戶，并為其設置密碼和最高權限等級。在客戶端進行連接時，可以執行“ssh -l admin -p 22 xxx.xxx.xxx.xxx”命令，來連接ASA防火墻，“xxx.xxx.xxx.xxx”為 其 地 址。在ASA防火墻上執行“show ssh sessions”命令，來查看連接會話信息。

使用HTTPS實現遠程訪問

使用HTTPS連接方式，可以在Web界面訪問ASA防火墻。執行“conf t”命令進入全局配置模式。執行“http server enable”命令，來啟用HTTPS訪問方式，注意這里雖然使用了“http”字樣，其實啟用的是HTTPS方式。例如，執 行“http 172.61.10.0 255.255.255.0 outside”命令，指定允許通過Outside接口連接的主機IP。執行“http 0 0 dmz”命令，針對DMZ去內的主機啟用HTTPS訪問機制。對于HTTPS訪問方式來說，只能使用ASDM來實現。ASDM即自適應安全設備管理器，是一個基于Web瀏覽器的Java程序的圖形化安全設備管理工具。ASDM可以運行在不同的平臺，使用Java來提供強大的實時監控功能，通過SSL來確保主機和ASA的安全通訊。

對于新的思科ASA設備來說，需要預先將ASDM安裝到Flash存儲中。執行“dir disk0:/”命令，在ASA的磁盤列表中顯示“asdm-xxxxxx.bin”的文件，說明對應版本ASDM已經安裝完成。執行“asdm image disk0:/asdm-xxx-xxx”命令，來指向安裝的ASDM軟件。利用ASDM，可以在同一時間同時管理多個ASA設備。

為了便于使用，需要在客戶機上JDK組件。運行Firefox瀏覽器，訪問“https://xxx.xxx.xxx.xxx/admin”，其 中 的“xxx.xxx.xxx.xxx”為 ASA防 火墻IP，初次使用會提示連接不安全，點擊高級按鈕，為該證書添加例外。在登錄窗口中可以輸入上述賬戶名（例如“admin”等）和密碼，在打開頁面中點擊“Install ASDM Laucher and Run ASDM”按鈕，下載并安裝“dmlauncher.msi”程序。運行該程序，在登錄界面中輸入ASA設備的IP，賬戶名和密碼，點擊確定后，可以和防火墻建立加密連接。

在其主界面工具欄上點擊“Home”按鈕，可以顯示管理的ASA設備列表。點擊“Configuration”按鈕，可以對設置向導、路由信息、設備名稱和密碼、系統時間、鏈路聚合、防火墻等對象進行配置。例如在“Device Setup”面板中選擇“Route”節點，在其下可以配置相關的路由項目，包括靜態、OSPF、RIP、EIGRP等路由類型。當添加了新的路由信息后，點擊“Apply”按鈕，會顯示對應的指令。點擊“Send”按鈕，將其發送到ASA設備上執行，之后在ASA防火墻上執行“show route”命令，就會顯示新增加的路由。依次點擊“Tools”、“Preferences”項，在打開窗口中選擇“Preview command before sending then the device”項，表示向防火墻進行配置操作前可以將使用的命令顯示出來。

使用SNMP實現遠程管理

對于ASA防火墻只能支持只讀的SNMP訪問，不能對其進行修改操作，當然這是為了提高安全性。所有的基于SNMP的訪問必須進行認證，對于SNMP v1和V2c版本來說，使用的是基于IP地址和Community進行的。對于SNMP V3版本來說，使用的是基于用戶名和密碼的認證。例如對于前者來說，在全局配置模式下執行“snmp-server community tuanti1”命令，配置名為“tuanti1”的團體名。執行“snmp-server host inside 192.168.2.200 community tuanti1”命令，表示允許向Inside口的IP為192.168.2.200主機發送信息，其所屬的團體名為“tuanti1”。

執 行“snmp-server location new001”，“snmpserver contact lianxiren@xxx.com”，命令，設置位置和聯系人信息。執行“snmpserver enable traps snmp linkup warmstart”命 令，啟用相應的陷阱消息。執行“sh run snmp-server” 命令，顯示SNMP配置信息。在客戶端可以運行IP Network Browser這一工具，來搜索和發現開啟了SNMP服務的網絡設備。在該工具主界面中的“Scan an IP Address Range”欄中輸入包含ASA防火墻IP的起始和結束地址范圍，點擊“Scan Address Range”按鈕，就可以掃描到該IP范圍內開啟了SNMP服務的網絡設備。例如可以發現開啟了SNMP的ASA防火墻。在搜索列表中選擇目標ASA防火墻設備，可以顯示其設備名稱、系統信息、接口卡、路由表、ARP表等內容。對于后者來說，可以在防火墻上執行“snmpserver group newgroup v3 priv”命令，將其加入到名為“newgroup”的組中。

首先執行“snmp-server user adminuser1 newgroup v3 auth sha newkey1 priv aes 256 ciscokey”命令，配置一個名為“adminuser1”的用戶，然后將其加入到上述組中。在這里采用的是哈希認證算法，其認證密鑰為“newkey1”，采用的是AES加密算法，密鑰長度為256位，密鑰為“ciscokey”。之后執行“snmp-server host dmz 172.16.11.100 version 3 adminuser1”命令，表示通過 DMZ（或 者 Outside接口）接口發送，其對應的IP為“172.16.11.100”, 指定 的 用 戶為“adminu ser1”，采 用 的 版 本 為 V3版。然后執行“snmp-server location new001”，“snmpserver contact lian xiren@xxx.com”命 令，依次設置好位置和聯系人信息。最后執行“snmpserver enable traps snmp authentication linkup warmstart”命令，啟用所需的陷阱消息類型。