【跟我一起读】Cisco ASA 设备使用指南（第3版） - 第2页

fortune · ‎12-17-2017

推荐理由：

现如今，网络攻击人员比以往更为老练、无情和危险。我们推荐大家阅读的第三版书籍，本书在上一版的基础上进行了全面更新，涵盖了新的安全技术（Cisco技术和非Cisco技术），可保护网络环境中端到端的安全。而且讲解了使用Cisco ASA创建完整的安全计划，以及部署、配置、运维和排错安全解决方案的每一个环节。

通过阅读，你可以学到如何使用Cisco ASA自适应识别和缓解服务来系统性地增强各种规模和类型的网络环境的安全。书中提供了全新的配置案例、成熟的设计场景以及真实的调试环节，可以帮助读者在迅速发展的网络中充分使用Cisco ASA设备。

内容简介：

本书总共25章，对包括Cisco ASA系列防火墙在内的大量Cisco安全产品的用法进行了事无巨细的介绍，从设备不同型号之间性能与功能的差异，到产品许可证提供的扩展性能和特性，从各大安全技术的理论和实现方法，再到各类Cisco安全产品提供特性的原理，方方面面不一而足。

针对新的ASA型号进行了更新，涵盖了ASA 5500-X、ASA 5585-X、ASA服务模块、ASA下一代防火墙服务、EtherChannel、全局ACL、集群、IPv6、IKEv2、AnyConnect Secure Mobility VPN客户端等内容。还介绍了ASA设备授权的重大变化、ASA IPS增强的功能，以及配置IPSec、SSL VPN和NAT/NPT等内容。最重要有丰富的配置案例，相当具体的配置过程，它几乎涵盖所有使用了ASA系列产品的环境。

读书规划：

第一周：12月18日-12月24日 4-6章 ASA （8.4版本以上）基本配置维护（已结束）

第二周：12月25日-12月31日 10-12章 NAT 及IP路由（已结束）

第三周：1月2日-1月7日 14-16章虚拟化、透明墙、高可用（已结束）

第四周：1月8日-1月14日 VPN 配置优化故障处理（已结束） 获奖公告

我的心得及分享：

（每周伊始，更新心得体会哦，和我一起读书的小伙伴，欢迎在回复中交流）

2017年12月18日
一台新防火墙ASA需要进行基本的调试才能正常使用，那么ASA 的基本配置是否跟路由器差不多呢？可以通过什么方式来访问呢？我们拿到ASA后应该进行哪些基本的操作呢？《Cisco ASA 设备使用指南（第3版）》前五章图文介绍有很详细的入门知识，赶紧开始学习吧！

2017年12月25日

网络中的ASA的位置最常见的是安装在网络边界，内网与外围交界处，在这种网关模式下，NAT 跟路由是必须做的配置，路由有静态路由、动态路由，各有各的优势。NAT 分为普通内网转公网地址的多对一NAT，也有一对一服务器映射的NAT，还有IP+端口的Port NAT, 这些技术适合什么场景，怎么配置，有什么注意事项？书上都说得很详细，来一起学习静态路由、OSPF、NAT 吧！

2018年1月2日
虚拟防火墙是将一个屋里防火墙虚拟为多个独立的防火墙，每个防火墙都可以作为一个独立的设备使用，可以拥有各自的文件，接口，安全策略，非常适合与大型企业或者ISP ，那么防火墙虚拟化具体怎么配置实现呢？书中有详细的说明！

路由模式的ASA 接入网络需要修改网络拓扑，但是某些环境在不

希望更

改网络拓扑结构的情况下，提供安全防护，这个时候透明墙的部署模式就出现了！
高可用是现在企业网络架构必不可少的！防火墙当然必须能够支持高可用，那么ASA 的高可用有哪些实现方式呢？其优势又是什么呢？来跟我一起打开书籍学习！

2018年1月8日
公司通过增加远程办公链接不断地扩展其运作，这些办公室或者远程移动办公人员需要与公司网络进行链接来实现数据传输与资源访问。那么分公司与外出移动办公人员如何才能访问公司内部资源呢？ VPN 是现阶段最推荐的一种方式，在提供安全保障的同时降低了这一部分的费用开销。不同的场景需要不同的VPN 来实现网络互联，VPN 有SSL VPN、IPSec VPN、L2TP 等等，每一种都有其特点，适应不同环境，那么让我们一起学习，好知识学起来！

书籍内容分享：有需要的小伙伴可以来点击查看！
1.思科ASA的型号：部署与应用。
2.密码恢复内容

我的问题：

1.ASA 9.X 版本有哪些初始化配置呢？您有哪些优化建议？
2.想要通过ASDM 管理ASA ，ASA需要进行哪些配置？Windows有什么兼容性配置才能正常登陆使用ASDM？
3.新旧版本ASA 的数据转发有什么变化？
4.一对一映射，内部服务器IP 端口映射如何配置？新旧版本的NAT 有什么区别？
5.静态路由如何实现监控检测？ASA配置SLA 有哪些常用检测方式？
6.为什么需要虚拟化？有哪些优势
7.透明模式部署有哪些注意事项？
8.ASA 支持哪些高可用？适合什么环境？
9. 站点到站点IPSec VPN 建立有哪些步骤？
10.SSL VPN 有哪些优化配置？
11. 请分享一个或者多个你处理过的VPN 故障案例！

积极参与【跟我一起读】活动有丰厚奖品等你呦

点击查看活动奖励及规则

fortune · ‎12-21-2017

wuleihen 发表于 2017-12-21 16:44
一开始我是没有创建key,现象是ssh就连接不了的，后来我创建了key,ssh可以链接了，但我怎么输用户名密码， ...

crypto key generate rsa modulus 2048
http server enable
http 0.0.0.0 0.0.0.0 inside
telnet 0 0 inside
ssh 0 0 inside
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
这些配置有么？

wuleihen · ‎12-21-2017

vsop5207 发表于 2017-12-21 16:51
crypto key generate rsa modulus 2048
http server enable

aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
没有这配置，:(

fortune · ‎12-21-2017

wuleihen 发表于 2017-12-22 09:41
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL

这是必配配置啊，多看看资料咯，如果要搞ASA ，上面的那本书不错

wuleihen · ‎12-21-2017

vsop5207 发表于 2017-12-22 09:50
这是必配配置啊，多看看资料咯，如果要搞ASA ，上面的那本书不错

OK，好的，谢谢，了解

Rockyw · ‎12-21-2017

1.ASA 9.X 版本有哪些初始化配置呢？您有哪些优化建议？
初始化配置主要有密码、时间、内网IP地址及掩码、机器名、域名、管理设备IP地址等。我的建议是最好通过交互菜单形式进行配置，免得出现漏配的情况。
2.想要通过ASDM 管理ASA ，ASA需要进行哪些配置？Windows有什么兼容性配置才能正常登陆使用ASDM？
想要通过ASDM 管理ASA，管理员必须首先在ASA的本地Flash上安装ASDM软件的镜像文件。
Windows要能正常登陆使用ASDM，浏览器需要安装并启用了Java插件1.4(2)以上的。

938332752 · ‎12-23-2017

1.ASA 9.X 版本有哪些初始化配置呢？您有哪些优化建议？我来说说我的基本配置：
机器命名：hostname ASA5512
接口基本配置
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 200.xxx.xx.178 255.255.255.240
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
object network inside-net
subnet 192.168.0.0 255.255.255.0 //只能内网网段
nat (inside,outside) dynamic interface //内网网段上网做NAT
crypto key gen rsa mod 1024
aaa authentication ssh console LOCAL
ssh 0 0 inside // 配置SSH 内网可以访问
http server enable // 启用ASDM 访问
http 0.0.0.0 0.0.0.0 inside
route outside 0.0.0.0 0.0.0.0 200.xx.x.x 配置默认路由（静态公网IP 的情况下）
username XX password XX 配置本地用户名密码
有了这些基本配置就能上网正常使用了
2.优化配置或者注意事项吧：
1.一般都是SSH ，不用Telnet了
2.SSH 可以指定内网IP host 或者网段来访问设备，设置访问限制，不让任何人都能访问
3.就算是相同的security level 不通端口也有放通策略才能访问，默认不能访问
4.如果是PPPOE 建议mtu设置为1450 或者更低，不然会出问题
5.内网如果有服务器映射，记得安全策略之放通必要端口，不要为了方便全部放通，不安全
2.想要通过ASDM 管理ASA ，ASA需要进行哪些配置？Windows有什么兼容性配置才能正常登陆使用ASDM？
http server enable 启用ASDM 访问
asdm image disk0:/asdm-614.bin 指定ASDM 文件

Windows的Java 需要比较新才兼容，如果没有就去java网站下载，一般最好是自己去下载ASDM win软件，兼容性好，如果用web版本下载的需要浏览器兼容，也是比较麻烦的

938332752 · ‎12-24-2017

对了，很多情况下是pppoe 拨号配置，这里我也发一个pppoe 配置出来
hostname(config)# vpdn group group_name request dialout pppoe
hostname(config)# vpdn group group_name ppp authentication {chap | mschap | pap}
hostname(config)# vpdn group group_name localname username
hostname(config)# vpdn username username password password [store-local]
Step 1
Enable the PPPoE client by entering the following command from interface configuration mode:
hostname(config-if)# ip address pppoe [setroute]

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ip address pppoe
Step 2
Specify a VPDN group for the PPPoE client to use with the following command from interface configuration mode (optional):
hostname(config-if)# pppoe client vpdn group grpname
mtu outside 1452

fortune · ‎12-25-2017

分享几页纸ASA 这本书的拍照，大家看看是否适合s自己s，适合的可以入手一本哦

fortune · ‎12-25-2017

来一个密码恢复的截图

YilinChen · ‎12-25-2017

3.新旧版本ASA 的数据转发有什么变化？一有了地址对象，和地址组的概念，并且可以嵌套，
二是有Twice NAT的概念，旧版NAT 0 被 Twice NAT取代；

4.一对一映射，内部服务器IP 端口映射如何配置？新旧版本的NAT 有什么区别？
同样是基于object来配置，同时要注意配置对应的ACL，放通从外向内对应的端口；
配置举例：把DMZ区的IP192.168.200.201 80端口映射到公网出口接口上
ASA(config)#object network WWW
ASA(config -network-object)# host 192.168.200.201
ASA(config -network-object)#nat (dmz,outside) static interface serivce tcp www www
ASA(config -network-object)#exit
ASA(config)#access-list WWW extened permit tcp any host 192.168.200.201 eq www
ASA(config)#access-group WWW in interface outside

5.静态路由如何实现监控检测？ASA配置SLA 有哪些常用检测方式？
静态路由可以跟RTR的配置，或者换个说法，就叫IP SLA，常用检测方式可基于ICMP/TCP/UDP等；

DevinTang · ‎12-25-2017

1、现在日常企业网络的NAT一般都会部署在防火墙上，而不是出口路由器CE上吗？
2、如果NAT在防火墙上的话，如果不是用语音网关或者运营商接口非电口的情况下就可以不买路由器了？

YilinChen · ‎12-25-2017

qwqwqwtang 发表于 2017-12-26 13:37
1、现在日常企业网络的NAT一般都会部署在防火墙上，而不是出口路由器CE上吗？
2、如果NAT在防火墙上的话 ...

企业现在很少再用路由器做为互联网出口，通常都是防火墙，而路由器主要用来解决非IP的协议转换问题，比如2M线（串口）。

Rockyw · ‎12-26-2017

3.新旧版本ASA的数据转发有什么变化？
只有Cisco ASDM 6.2支持IPv6 ACL。如果使用此前的版本，那么就只能通过CLI界面来创建IPv6 ACL。
4.一对一映射，内部服务器IP端口映射如何配置？新旧版本的NAT有什么区别？
在ASDM中找到Configuration>Firewall>NAT Rules>Add >Add Static NAT Rule，然后在ASDM新打开的窗口中指定转换前的地址及转换后的地址。选择Enable Port Address Translation(PAT)选项并指定Protocol、Original Port和Tranlated Port。
在8.0版本之前，透明模式不支持地址转换技术。在8.0之前的版本中，nat和static命令在透明模式中只能用来设置半开连接及连接数限制。
5.静态路由如何实现监控检测？ASA配置SLA有哪些常用检测方式？
Cisco ASA可以将静态路由和管理员定义的监测目标相关联。它会使用ICMP echo请求消息来对目标进行监测。如果在特定时间段中没有收到echo reply，那么该目标就会被设备看作失效条目，并且被移除出路由表。
ASA配置SLA的常用检测方式有：Frequency（频率）、Threshold（门限）、Timeout（超时）、Data Size、ToS、Number of Packets。

Mansur · ‎12-26-2017

学习了~~~~

938332752 · ‎12-28-2017

3.新旧版本ASA 的数据转发有什么变化？
官方文档述说8.25 与之前的版本数据流走向如下
1.nat 0 access-list (nat-exempt)
2.Match existing xlates
3.Match static commands (first match)
a.Static NAT with access-list
b.Static PAT with and without access-list
4.Match nat commands
a.nat access-list (first match)
b.nat

(best match)
i.If the ID is 0, create an identity xlate
ii.Use global pool for dynamic NAT
iii.Use global pool for dynamic PAT
8.25后的版本数据流走向如下：
1.Manual NAT entries
2.Auto NAT entries
3.After-Auto NAT entries
4.Match nat commands
a.nat access-list (first match)
b.nat

(best match)
i.If the ID is 0, create an identity xlate
ii.Use global pool for dynamic NAT
iii.Use global pool for dynamic PAT
4.一对一映射，内部服务器IP 端口映射如何配置？新旧版本的NAT 有什么区别？
老版本的NAT 服务器映射，ACL 放通外网映射公网IP地址+端口；
新版本的NAT 服务器映射ACL 放通的是真实内网服务器IP地址 +端口，这两个点要很注意哦
5.静态路由如何实现监控检测？ASA配置SLA 有哪些常用检测方式？
静态路由可以通过SLA + track 来实现，一般SLA 可以做ICMP ping 测试，和TCP UDP端口测试，根据实际需要来配置