取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

December 2020

December 2020

ASA 配置优化建议[原创]

2028
查看次数
10
有帮助
3
评论
220734btm0fpjsmzpuku2i.jpg
ASA 是大家接触比较多的思科防火墙,对于安全产品来说,除了做安全策略,VPN,路由等等,最好是优化配置,使我们的安全设备更安全稳定。
下面是一些优化配置建议,希望对大家有帮助:
1.密码登录重试锁定
ASA允许管理员在配置的失败登录尝试次数后锁定本地用户帐户。 用户被锁定后,该帐户将被锁定,直到管理员将其解锁。 使用此功能无法锁定配置了权限级别15的授权用户。 具有特权级别15的用户数必须保持最少。
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
aaa local authentication attempts max-fail 5
!
username
!
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
aaa local authentication attempts max-fail 5
!
username XX password XXX encrypted
2.禁用密码恢复
防止任何具有控制台访问权限的用户不安全地访问设备配置并清除密码。
no service password-recovery
3.禁用未使用的服务(很多情况攻击都是利用一些我们平时不关心,不适用的,开启了的一些服务)
作为安全设备,思科防火墙默认情况下不会运行许多服务(例如,bootp,finger,cdp )
这些不需要的服务,尤其是那些使用UDP的服务,很少用于合法目的,但也可用于启动DoS和其他由数据包过滤阻止的攻击。
4.会话时间 (无需多说,这个是必须要设置一下)
要设置EXEC命令解释程序在终止会话之前等待用户输入的时间间隔,管理员可以使用 timeout全局配置命令。 必须使用该命令注销闲置的会话(Telnet,SSH,控制台)。 默认情况下,会话在5分钟不活动后断开连接。
ssh timeout
telnet timeout
console timeout
5.内存阈值告警设置
snmp-server enable traps memory-threshold
snmp-server host community
6.CPU 阈值设置告警
snmp-server enable traps cpu-threshold
snmp cpu threshold rising 75% 30
snmp-server host community
7.加密会话连接
这个就是现在都是SSH 了,不在使用Telnet链接了
crypto key generate rsa modulus 2048
XXXXX 不多说了
8.Banners 设置,登录提示
可以写一些告警标语,比如禁止上班时间修改配置什么的
banner
login

9.使用SNMP V3 更加安全
snmp-server group AUTHGROUP v3 auth
snmp-server group PRIVGROUP v3 priv
snmp-server user snmpv3user1 AUTHGROUP v3 auth md5 authpassword
snmp-server user snmpv3user2 PRIVGROUP v3 auth md5 authpassword priv 3des privpassword
10.日志缓存设置
配置缓冲日志记录时,有两个配置选项:日志记录缓冲区大小和缓冲区中存储的消息严重性。 使用全局配置命令logging buffer-size
配置日志缓冲区的大小。 使用logging buffered命令配置缓冲区中包含的最低严重性。 管理员可以通过show logging EXEC命令查看
日志记录缓冲区的内容。
logging buffer-size 16384
logging buffered 5
11.路由一些启用认证
rip authentication mode {text | md5}
rip authentication key [key] key-id [key-id]
ospf authentication [message-digest | null]
ospf authentication-key [key]
12. 限制对ASA 访问的源IP 地址
ssh ip 接口name
13.单播反向路径转发 uRPF
网络管理员可以使用单播反向路径转发(uRPF)来帮助限制网络上的恶意流量。 此安全功能的工作原理是使路由器能够验证正在转发
的数据包中源地址的可达性。 此功能可以限制网络上欺骗地址的外观。 如果源IP地址无效,则丢弃该数据包。
(config)#ip verify reverse-path interface interface_name
14.InspectionCisco ASA通过自适应安全算法功能支持应用程序检查。 通过自适应安全算法使用的状态应用程序检查,Cisco ASA跟踪遍历防火墙的每个连接并确保其有效。 防火墙通过状态检查还监视连接状态,以编译信息以放置在状态表中。 除了管理员定义的规则之外,还使用状态表,过滤决策基于先前通过防火墙的数据包建立的上下文。
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
service-policy global_policy global
15.拒绝服务保护
Antispoofing将确保不会从网络内部发起DoS攻击。 建议管理员按照此过程在内部接口上启用反欺骗,以确保不会无意中从安全设备内部启动DoS攻击。
步骤1:使用类映射识别要应用连接限制的流量
ASA(config)#访问列表CONNS-ACL扩展许可ip任何10.1.1.1 255.255.255.255
ASA(config)#class-map CONNS-MAP
ASA(config-cmap)#match access-list CONNS-ACL
步骤2:添加策略映射以设置要对类映射流量执行的操作
ASA(config)#policy-map CONNS-POLICY
ASA(config-pmap)#class CONNS-MAP
! 以下设置连接数限制
ASA(config-pmap-c)#set connection {[conn-max n] [embryonic-conn-max n]
[per-client-embryonic-max n] [per-client-max n] [random-sequence-number {enable |禁用}]}
16.修改默认的SNMP配置
默认的SNMP字符串“public”和“private”是众所周知的。 应始终将这些更改为更安全的字符串。
17.配置NTP 同步时间,这个很有必要
评论
zhengwei272
Rising star
学习学习:):)
xuxianda7
Engager
谢谢分享,学习了
one-time
Expert
感谢版主精彩分享,谢谢!
创建
认可您的同行
Content for Community-Ad