ASA防火墙远程管理方式

在对思科ASA系列防火墙进行初始化配置时，是通过其Console端口进行的。在很多时候。需要对其进行远程管理，其常用方法包括Telnet，SSH，HTTPS，SNMP等。对于Telnet管理方法来说，存在安全性较差的问题，而SSH管理方式则比较安全。对于很多网络设备来说，都支持Web方式的管理，使用HTTPS加密连接，可以提高ASA防火墙的安全性。使用基于SNMP协议的网管工作站，对ASA防护墙进行管理和监控。

使用Telnet实现远程管理

对于网络设备的管理，通常分为带内网管和带外网管两种模式。对于后者来说其优点在于不占用业务流量。ASA防火墙上带有专用的带外网关接口，当然，也可以将任意端口配置为专用的管理端口。例如在ASA防火墙管理界面中执行“int g1”，“management-only”命令，将G1口设置为专用管理端口。为安全起见，需要为该端口配置最高安全级别。注意，流量不能穿越管理接口，而且建议使用ACL拒绝所有的穿越流量，需要使用管理访问策略来允许访问，当然，最好使用物理管理接口。

对 于Telnet管 理方式来说，启用的方法很简单，例如执行“telnet 172.16.10.1.1 255.255.255.255 inside”命令，后跟允许访问的网段或者主机，这里只允许IP为172.16.10.1的主机通过Inside接口进行访问。执行“telnet 0 0 DMZ”命令，允许DMZ区所有主机进行访问，其中的“0 0”表示任意网络。注意，对于Outside等最低安全级别的接口不支持Telnet。当使用Telnet登录时，需要到使用Enable特权模式密码，其默认为空。执 行“enable password”命令，来修改该密码。

对于本地用户认证，可以执行“aaa authentication telnet console LOCAL”命 令，针对Telnet控制台开启3A认证，使用的是本地的账户数据库。执行“username admin password xxxxxx privilege 15”命令，添加名称为“admin”的本地账户，并为其设置密码（这里为“xxxxxx”）和最高权限等级。执行“show run telnet”命令，可以查看和Telnet访问相关的信息。执行“show local-host all”命令，可以查看到达ASA防火墙的流量。执 行“clear local-host xxx.xxx.xxx.xxx”命令，可以中断指定IP的连接。

使用SSH实现远程访问

对于SSH远程管理方式来说，启用的方式是先执 行“hostname ASAFW”命令，为其设置主机名。执行“domain-name.xxx.com”命令，为其设置域名。执行“crypto key generate ras modulus 1024” 命 令为其生成一个密钥，这里的密钥长度为1024。执行“SSH 172.16.10.9 255.255.255.255 Inside”命令，允许目标主机通过Inside口进行访问。执行“SSH 00 DMZ”命令，允许DMZ区内所有主机进行访问。执行“ssh 172.16.11.0 255.255.255.0 dmz” 命令，只允许DMZ区指定的主机进行访问。如果想通过Outside口访问ASA防火墙，必须使用SSH方式而不能使用Telnet方式。

例 如 执 行“ssh 0 0 outside” 命 令，允 许Outside口的所有主机进行SSH访问。对于本地用户认证来说，可以执行“aaa authentication SSH console LOCAL”命令，针对SSH访问开启3A认证，使用的是本地的账户数据库。执行“username admin password xxxxxx privilege 15”命令，添加名称为“admin”的本地账户，并为其设置密码和最高权限等级。在客户端进行连接时，可以执行“ssh -l admin -p 22 xxx.xxx.xxx.xxx”命令，来连接ASA防火墙，“xxx.xxx.xxx.xxx”为 其 地 址。在ASA防火墙上执行“show ssh sessions”命令，来查看连接会话信息。

使用HTTPS实现远程访问

使用HTTPS连接方式，可以在Web界面访问ASA防火墙。执行“conf t”命令进入全局配置模式。执行“http server enable”命令，来启用HTTPS访问方式，注意这里虽然使用了“http”字样，其实启用的是HTTPS方式。例如，执 行“http 172.61.10.0 255.255.255.0 outside”命令，指定允许通过Outside接口连接的主机IP。执行“http 0 0 dmz”命令，针对DMZ去内的主机启用HTTPS访问机制。对于HTTPS访问方式来说，只能使用ASDM来实现。ASDM即自适应安全设备管理器，是一个基于Web浏览器的Java程序的图形化安全设备管理工具。ASDM可以运行在不同的平台，使用Java来提供强大的实时监控功能，通过SSL来确保主机和ASA的安全通讯。

对于新的思科ASA设备来说，需要预先将ASDM安装到Flash存储中。执行“dir disk0:/”命令，在ASA的磁盘列表中显示“asdm-xxxxxx.bin”的文件，说明对应版本ASDM已经安装完成。执行“asdm image disk0:/asdm-xxx-xxx”命令，来指向安装的ASDM软件。利用ASDM，可以在同一时间同时管理多个ASA设备。

为了便于使用，需要在客户机上JDK组件。运行Firefox浏览器，访问“https://xxx.xxx.xxx.xxx/admin”，其 中 的“xxx.xxx.xxx.xxx”为 ASA防 火墙IP，初次使用会提示连接不安全，点击高级按钮，为该证书添加例外。在登录窗口中可以输入上述账户名（例如“admin”等）和密码，在打开页面中点击“Install ASDM Laucher and Run ASDM”按钮，下载并安装“dmlauncher.msi”程序。运行该程序，在登录界面中输入ASA设备的IP，账户名和密码，点击确定后，可以和防火墙建立加密连接。

在其主界面工具栏上点击“Home”按钮，可以显示管理的ASA设备列表。点击“Configuration”按钮，可以对设置向导、路由信息、设备名称和密码、系统时间、链路聚合、防火墙等对象进行配置。例如在“Device Setup”面板中选择“Route”节点，在其下可以配置相关的路由项目，包括静态、OSPF、RIP、EIGRP等路由类型。当添加了新的路由信息后，点击“Apply”按钮，会显示对应的指令。点击“Send”按钮，将其发送到ASA设备上执行，之后在ASA防火墙上执行“show route”命令，就会显示新增加的路由。依次点击“Tools”、“Preferences”项，在打开窗口中选择“Preview command before sending then the device”项，表示向防火墙进行配置操作前可以将使用的命令显示出来。

使用SNMP实现远程管理

对于ASA防火墙只能支持只读的SNMP访问，不能对其进行修改操作，当然这是为了提高安全性。所有的基于SNMP的访问必须进行认证，对于SNMP v1和V2c版本来说，使用的是基于IP地址和Community进行的。对于SNMP V3版本来说，使用的是基于用户名和密码的认证。例如对于前者来说，在全局配置模式下执行“snmp-server community tuanti1”命令，配置名为“tuanti1”的团体名。执行“snmp-server host inside 192.168.2.200 community tuanti1”命令，表示允许向Inside口的IP为192.168.2.200主机发送信息，其所属的团体名为“tuanti1”。

执 行“snmp-server location new001”，“snmpserver contact lianxiren@xxx.com”，命令，设置位置和联系人信息。执行“snmpserver enable traps snmp linkup warmstart”命 令，启用相应的陷阱消息。执行“sh run snmp-server” 命令，显示SNMP配置信息。在客户端可以运行IP Network Browser这一工具，来搜索和发现开启了SNMP服务的网络设备。在该工具主界面中的“Scan an IP Address Range”栏中输入包含ASA防火墙IP的起始和结束地址范围，点击“Scan Address Range”按钮，就可以扫描到该IP范围内开启了SNMP服务的网络设备。例如可以发现开启了SNMP的ASA防火墙。在搜索列表中选择目标ASA防火墙设备，可以显示其设备名称、系统信息、接口卡、路由表、ARP表等内容。对于后者来说，可以在防火墙上执行“snmpserver group newgroup v3 priv”命令，将其加入到名为“newgroup”的组中。

首先执行“snmp-server user adminuser1 newgroup v3 auth sha newkey1 priv aes 256 ciscokey”命令，配置一个名为“adminuser1”的用户，然后将其加入到上述组中。在这里采用的是哈希认证算法，其认证密钥为“newkey1”，采用的是AES加密算法，密钥长度为256位，密钥为“ciscokey”。之后执行“snmp-server host dmz 172.16.11.100 version 3 adminuser1”命令，表示通过 DMZ（或 者 Outside接口）接口发送，其对应的IP为“172.16.11.100”, 指定 的 用 户为“adminu ser1”，采 用 的 版 本 为 V3版。然后执行“snmp-server location new001”，“snmpserver contact lian xiren@xxx.com”命 令，依次设置好位置和联系人信息。最后执行“snmpserver enable traps snmp authentication linkup warmstart”命令，启用所需的陷阱消息类型。