细说ASA 防火墙维护之道

■ 河南 郭建伟

编者按：一般情况下，大家都比较关注如何在防火墙上配置安全规则来抗击外来威胁，而对于防火墙自身的管理和维护，则往往不重视。其实，防火墙也是一台网络设备，对其进行合理的维护，可以更好的为用户服务。这里就以常用的ASA 防火墙为例，来介绍具体的维护方法。

配置基本的设备信息

为了便于使用，需要为ASA 配置主机名和密码，执行“hostname ASA”命令，设置主机名。执行“domain→name xxx.com”命令配置域名，这里为“xxx.com”。

要将ASA 防火墙加入到域环境，就需要配置域名。执行“enable password pass@w0rd”命令，配置Enable 密码，这里为“pass@w0rd”。

本例中使用的是ASA 9.6 版本，Inside 接口IP 为10.1.1.10，该区域IP 范围为10.1. 1.0/24，Outside 接口的IP 为202.100.1.10，DMZ接口的IP 为192.168.1.10，该区域IP 范围为192.168. 1.0/24，在该区域中存在ACS服 务 器，其IP 为192.168. 1.200，还存在一台Windows Server 2008 服务器，充当DNS 服务器角色，IP 为192. 168.1.100。

执行“dns domain → lookup DMZ”命令，在DMZ 接口激活设备的DNS Lookup功能。执行“DNS server →group Default DNS” “name →server 192.168. 1.100 DMS”命令，指定DNS服务器的地址。

而本例中，在OutSide区域存在一台路由器，由其充当NTP 设备，地址为202.100.1.1。登录该路由器并执行以下命令，配置一个认证密钥，这里为“cisco”：

ntp authentication →key 1 md5 cisco

ntp authenticate

ntp trusted →key 1

ntp master

启用认证功能，并信任该密钥，将该设备作为NTP的Master 设 备。在ASA 上执行以下命令，为其配置NTP 认证密钥，并指定NTP 的Master 设备：

ntp authentication → key 1 md5 cisco

ntp authenticate

ntp trusted →key 1

ntp server 202.100. 1.1 key 1 source Outside prefer

执行“sh clock detail” “show ntp status”等命令，来查看NTP 同步信息。

执行“show flash:”命令，可以显示ASA 的文件信息。为了便于传输文件，可以登录到ADDM 管理界 面，点 击“Tool →File Management”项，在打开窗口中点击“File Transfer”按钮，可以根据需要在本地主机或者远程主机和本设备Flash 之间同步文件。

管理事件和会话日志

防火墙日志包括系统事件日志和网络事件日志。前者指的是诸如接口异常、CPU 利用率过高等，而后者是最值得关注的对象，包括诸如会话信息、攻击行为等内容。

ASA 日志格式包括时间戳、设备ID、信息严重级别、信息ID 及信息内容等，安全级别包括Alert、Critical、Error、Warning、Notification、Informational、Debugging 等。

日志可以发送到不同的目标，包括Console 口、ADSM、Monitor、Buffer、Syslog、SNMP Traps、Email、NetFlow 等。例如，执行“logging enable”命令，激活ASA 的日志功能。执行“logging buffered informational”命令，将严重级别为Information 的日志输出到本地缓存，包括从Alert到Informational 级别之间的所有日志。执行“logging trap informational”命令，将严重级别为Informational 的日志输出到日志服务器。

执 行“loggingadsm debugging”命令，将严重级别为debugging 的日志输出到ASDM。 执 行“show logging”命令，可以查看本地缓存的日志信息。利用Event-List事件过滤技术，可以更加有效地查看日志。例如，执行“logging list evlist level Critical” “logging list evlist informatioanal class odpf” “logging list evlist nessage 106111”命令，创建名为“evlist”的Event-List 项目。执行“logging comsole evlist”命 令，使 用Event-List 技术对输出到Console 口的日志进行过滤。

使用排查工具，检测防火墙状态

当ASA 防火墙出现问题时，可以使用特定工具进行排错。其流程是，先执行Ping 探测，如果探测无法穿越防火墙，查看接口配置是否存在问题；如果直连没有问题，就查看路由信息，配置静态和默认路由；如果路由不存在问题，则使用Packet Tracer 模拟一个数据包来穿越防火墙，判断防火墙如何处理；如果问题依然存在，就需要进行抓包操作来分析。

对于ASA 防火墙来说，使用Traceroute 和Ping 进 行连通性测试。在默认情况下，对于穿越ASA 的Ping 流量并没有执行状态化监控，返回的ICMP Echo Replies 不会被允许。例如，执行“ping tcp 202.100.1.1 23”命令，对目标主机进行探测。使用Packet TracerTracer 模拟一个数据包，来穿越ASA 的数据通道，并跟踪ASA 对该数据包的整个处理过程。对丢包进行debug，显示该包具体被哪个策略所拒绝。这样，就可以找到丢包的原因。

执行“packet-tracer input Inside tcp 10.1. 1.23 1024 202.100. 1.6 23 detailed”命令，可以模拟从Inside 区域IP 为10.1.1.23的设备的TCP 1024 端口向外 部IP 为202.100.1.6 的主机的TCP 23 端口发送模拟数据包。它会显示多个阶段的检测信息，如路由、NAT、IP 选项、QoS 和流量创建等，并显示可能存在的问题。

Packet Capture 高级排错技术能捕获和检查穿越ASA 的数据包，捕获的数据包可以通过命令行或图形化界面进行检查，数据包可被保存并能被抓包程序查看，可由此确定数据包是否穿越一个接口，将数据包进入和离开ASA 进行比较。

在ASDM 中点击“Wizard →Packet Capture Wizard”，点击“下一步”，在“Select interface”列表中选择某个接口（例如“Inside”），选择“Specifypacket parameters”项，并选择源和目的地址及协议类型，例如，抓取从Inside 接口到Outside 接 口的IP 数据包。点击“Next”，在“Select interface”列表中选择某个接口（例如“Outside”），之后点击“Start”开始抓包。当传输了一定量数据后，点击“Stop”停止抓包。

这样，就会显示从两个接口抓取的数据包。点击“Launch Network Sniffer Application”项，使用Wireshark 等专业工具进行深入分析。

ASA 的系统备份和恢复

系统备份功能可以备份ASA 防火墙的各种配置信息，在使用前必须确保至少存在300 MB 磁盘空间。当执行备份操作后，如果对ASA 进行了任何修改，不会动态更新到该备份。如果修改后进行备份，当执行系统恢复后，会覆盖原有配置。系统备份只能恢复到相同ASA 版本的配置，如果在群集环境中，仅可以针对Startup-Configuratin、Running-Configuration 和Identity Certificates 进行备份和恢复，因此必须为每个单元单独创建和恢复备份。

如果在Failover 环境中，必须创建和恢复备份单独 为Active 和Standby 单元。如果设置了管理员密码，在恢复备份时必须知晓该密码，否则就要重置密码并继续恢复备份。

注意，不能在命令行备份并在ASDM 中恢复，反之亦然。

例 如，执 行“backup passphrase xxx location flash:/asabackup.bak”命令，进行备份操作，并设置恢复密码和备份文件路径，这里“xxx”为具体的密码。对应地，执行“restore passphrase xxx location flash:/asabackup.bak” 命令，使用恢复密码和备份文件，执行恢复操作。

ASA 的远程管理机制

可以利用Telnet、SSH、SNMP 以及HTTPS 等方式，对ASA 进行远程管理。很多网络设备都存在带外网管口，默认Management0/0 接口为专用带外网关口。

例 如，执 行“sh run interface management 0/0”命令，可以查看该接口的信息。如果生产流量和网管流量都是从一个接口发出的，那么该接口就被称为带内网管口。如果网管流量从单独的接口发出，该接口则称为带外网管口。

规模较大的企业企业会单独建立带外网管网络，将管理机和所有设备的带外网关口连接起来，将生产网络和带外管理网络隔离。因此，带内网管必须使用安全的协议。带外网管可以配置设备的任何一个接口为专用管理接口。流量不能穿越管理接口，需要使用管理访问策略来管理针对该端口的访问。

出于安全考虑，最好使用物理管理接口，并为该接口设置最高安全级别，最好使用ACL拒绝所有的穿越流量。

例如，执行以下命令，可以将Inside 接口设置为专用带外网关口：

internet GigabitEthernet 0/1

management-only

nameif Inside

security-level 100

ip address 10.1.1.10 255.255.255.0

对于Telnet 远程管理方式来说，存在安全性较低的问题，配置方法很简单。例如，执行“config t” “telnet 10.1.1.0 255.255.255.0 inside” “telnet 0 DMZ”等命令，来启用Telnet 网管方式。执行“passwd xxx”命令，设置专用认证密码。当然，最低安全级别的接口（例如Outside）是不支持Telnet 的。默认enable 密码为空，可以执行“enable password”命令来进行设置。执行“username adminpassword xxx privilege 15” “aaa authentication telnet console LOCAL”命令，来配置本地用户认证信息。

使用安全的远程管理方式

使用SSH方式可以更加安全的管理ASA。执行“hostname ASAFW” “SSH 10.1.1.1 255.255.255 inside” “SSH 0 0 DM” “SSH 0 0 Outside”等命令，可以启用SSH 网管方式。ASA 9.6 等 新版ASA 防火墙不需要配置域名和产生密钥信息，且取消了之前的默认用户名和密码设置。执行“username localadmin password xxx privilege 15” “aaa authentication SSH Console LOCAL”命令，配置本地用户认证信息。

例如，在Outside 区域的某台路由器上执行“ssh -l localadmin 202.100.1.10”命令，输入密码后可以登录到ASA 上，“202.100.1.10”为ASA 的Outside 接 口 的IP。使用HTTPS 方式也可以实现安全网管。执行“http server enable” “http 10.1.1.0 255.255.255.0 Outside”命令，可以启用HTTPS 网管。HTTPS 网 管只能使用ASDM。ASA 防火墙需要证书服务器的支持，客户认证可以使用任何密码或AAA 的一次性密码。

对于ASA 防火墙来说，只能够支持只读的SNMP 访问，支持V1、V2c 和V3 版本。所有的访问都必须认证，包括基于IP 地址和Community，以及用户名和密码登录。SNMPv3 支持更强的认证方式，包括用户名、认证密钥和加密密钥。执行“config t” “snmp-server group grprz v3 priv”命令，创建指定的组，其中的“priv”参数表示既使用用户名认证，还使用了DES 进行加密，并且使用MD5d 等进行完整性校验。

执行“snmp-server user newuser grprz v3 auth md5 xxx priv des xxx”命 令，将指定的用户添加到上述组中，并为其指定密码。这样，管理中心就可以从ASA 上获取相关信息。执行“snmpserver enable traps ipsec start stop”命令，可以将和IPSEC 相关的信息推送出 去。 执 行“snmp-server host dmz 192.168.1.200 version 3 newuser”命令，将上述信息推动给DMZ 区域中的目标主机，这里为在DMZ区 域 中 的ACS 主 机，IP 为192.168.1.200。

利用3A 设备实现安全认证

除了使用本地认证外，还可以使用AAA 认证，来保证远程管理的安全性。

AAA 设备可以管理网管访问，穿越用户认证和远程VPN 认证。AAA 设备提供了强大的认证方式，允许使用RBAC 基于角色的安全控制，更好的控制用户的权限，可使用现有的认证数据库（例如AD 活动目录数据库），避免设置新的用户信息。在具体操作时，应先配置认证，之后再执行授权和审计操作。

在ASA 上 执 行“config t” “aaa → -server rz server protocol tacacs +” “exit”命令，来定义3A服务器名称及认证协议类型。而执行“aaa-server rzserver (dmz) host 192.168.1.200” “key xxx” “exit”命令，可定义3A 服务器的位置，设置密码信息。这里的ACS 服务器位于DMZ区，IP 为192.168.1.200。登录到ACS 服务器上，在管理界面左侧选择“NetworkResources → Network Device and AAA Client”项，在右侧点击“Create”按钮，在打开窗口中输入客户端设备的名称（例如“ASA”）。

因为ASA 是通过DMZ的接口访问ACS，那么必然是以DMZ 的接口地址为源进行访问。因此，选择“Single IP Address”项，输入“192.168.1.10”，该地址为DMZ 接口地址。选择“TACACS+”项，在“Shared Secret”栏中输入上述密码。点击“Submit”提交配置信息。在左侧选择“User and Identity Stores → Internal Identity Stores →Users”项，在右侧点击“Create”按钮，在打开窗口中输入用户名称（例如“asauser”），在“Password”栏中输入认证密码，点击“Submit”按钮提交修改。

在ASA 上执行“test aaa- server authentication rzserver”命令，按照提示ACS 服务器的IP，来认证用户名和密码，如果结果显示的是“Authentication Successful”信息，说明认证测试没有问题。之后可以根据需要来使用3A 认证。

例如，对于SSH 远程管理方式来说，我们可以将“aaa authentication SSH Console LOCAL”修改为“aaa authentication SSH Console reserver LOCAL”，这样就可以使用3A 设备进行认证。