UC知道关于思科ASA5510防火墙远程访问的问题
来源:百度知道 编辑:UC知道 时间:2024/05/29 04:49:49
请各位高手帮我解决一个问题,在下不胜感激。
情况如下:
有一台ASA5510的防火墙,并开通远程管理权限,也就是能通过ASDM等软件登录管理此设备;这样就势必存在一个问题,既然我能通过ASDM进行登录管理设备,那么一些非法份子如果得到IP是否就可以无限制的尝试我的用户和密码?因为对ASA设备的不熟悉,我不知道对外开放远程管理,有没有好的限制策略,比如根据IP做限制,不允许让其他人来连接;还有ASA是否有自动断开功能或者说尝试密码5此就自动断开,或者锁定?
就此问题我想了两个办法:
1、设备开通VPN,通过VPN拨号入内网,然后通过内网的固定IP来管理防火墙。这样我就禁用远程管理这个功能,让别人没有尝试的机会;
2、对远程管理设置权限和策略,也就是规定某一网段能进行访问,其他一并丢弃。
3、我不知道还没有其他的办法可以避免这样的问题,既能通过远程访问,也能避免让别人攻击。
疑问:
1、如果通过VPN,是否也可以直接通过aSDM 来管理,设备要做那些改动和配置?
2、如果我想禁用某些网段,建立规则,设备要怎么来配置?
如果我采用VPN拨入内网的话,那我的防火墙是否需要做其他的配置?如何禁用外网管理端口?
首先先告诉你一些基本的概念,对于帐户密码,是可以用穷举法来暴力破解的,但是这也是无可奈何的事,因为如果你设定多少次不中密码就锁定帐户,那很容易造成DOS(拒服务)攻击.但如果你用策略来限定信任的IP,也就是指定哪些远程IP可以通过ASDM来登陆,那也会大大限制了我们远程登陆管理的方便性.尤其在中国这些IP地址紧缺的国家.你出差在外,IP基本上都不是固定的.
1.你是可以通过VPN然后用内网地址来管理.
2.对于IP网段的过滤,一般都是用ACL,都是,你要注意一下你外网进ASA先还是进路由先!如果你是外网到ASA到路由再到内网,那你在路由设置ACL没用的.
3.你要这样思考问题,你防止别人攻击,你就要找到你和别人不一样的地方,针对这来做策略,例如你的IP是否是固定,你电话号码是否固定,之类的.之所以说电话号码,那是因为windows有一种认证服务器是可以提供回拨功能的.具体的你查下资料就可以了,那种是防止地址欺骗用的.
对于你最后的疑问:
1.是可以通过VPN连接后来做管理.你的IP都成了内网的了,那有什么不能的呢?连远程管理功能都不用开就可以了啊!设备上面没什么要改动的.另外,你甚至还可以通过内网的一些服务器来管理ASA,你无论有无用VPN都好,你只要能保证你能远程桌面到内网的服务器,那就在服务器远程桌面上直接登陆ASA不就得了!
2.ACL是很简单的,你看看网上的资料就可以了.要注意的地方就是ACL的方向和放置的位置.另外如果是cisco的,最后都会有一条隐含的DENY.而华为的却刚好相反,最后隐含的是permit.另外你要时刻记得在一条ACL中可以有N多条语句,但如果匹配了一条语句,那后面的语句路由就不管的.然后直接看下一条ACL.所以ACL是N条DENY或PEIMIT组成的语句,不同的ACL之间用号码来分.99以下是基本,100以上是扩展的......
最后说点废话,其实ASA很容易配置,就算你不会它的命令行语法,那它的图形化截面如此简单,你看看就懂了吧...
如果你试过用checkpoint就知道什么叫变态了,它也是图形化界面,但是...太恐怖了...
我学了大半年,现在很多还是搞不懂呢,尤其它的入侵防御系统里关于应用层防御的,实在是恐怖的复杂...为什么我们公司