配置管理远程访问
本节介绍如何为 ASDM、Telnet 或 SSH 配置 ASA 访问,以及其他管理参数,例如登录横幅。
配置 SSH 访问
如要确定客户端 IP 地址并定义允许使用 SSH 连接至 ASA 的用户,请执行以下步骤:请参阅以下准则:
-
要访问 ASA 接口以进行 SSH 访问,亦无需允许主机 IP 地址的访问规则。您只需按照本部分配置 SSH。
-
除了进入 ASA 时所经由的接口以外,不支持对其他接口进行 SSH 访问。例如,如果 SSH 主机位于外部接口上,则只能直接向外部接口发起管理连接。此规则的唯一例外是通过 VPN 连接(仅 ASA SSH 协议栈支持)。请参阅配置 VPN 隧道上的管理访问。
-
ASA 允许每个情景/单模式最多有 5 个并发 SSH 连接,在所有情景中最多分为 100 个连接。但是,由于配置命令可能会锁定正在更改的资源,因此您应一次在一个SSH会话中进行更改,以确保正确应用所有更改。
-
默认情况下,ASA 使用 CiscoSSH 堆栈,它基于。您可以改为启用专有 ASA SSH 堆栈。CiscoSSH 支持:
-
FIPS 合规性
-
定期更新,包括来自思科和开源社区的更新
请注意,思科SSH堆栈不支持:
-
通过VPN通过SSH连接到其他接口(管理访问)
-
EDDSA密钥对
-
FIPS模式下的RSA密钥对
如果需要这些功能,则应使用 ASA SSH 堆栈。
-
-
要使用 ASA copy 命令与 SCP 服务器复制文件或从 SCP 服务器复制文件,必须执行以下操作:
-
(仅限 CiscoSSH 堆栈) 使用 ssh 命令在 ASA 上为 SCP 服务器子网/主机启用 SSH 访问。
-
使用 crypto key generate 命令生成密钥对(仅适用于物理 ASA)。
-
-
不再支持 SSH 默认用户名。使用 SSH 以及 pix 或 asa 用户名和登录密码无法再连接至 ASA。要使用 SSH,您必须使用 aaa authenticationsshconsoleLOCAL 命令配置 AAA 身份验证;然后通过输入 username 命令定义本地用户。如果要使用 AAA 服务器而不是本地数据库进行身份验证,建议也将本地身份验证配置为备用方法。
-
仅支持 SSH 版本 2。
开始之前
-
在多情景模式下,请在情景执行空间中完成本程序。要从系统配置切换至情景配置,请输入 changeto context name 。
过程
步骤 1 |
(可选) 使用 ASA SSH 堆栈而不是默认 CiscoSSH 堆栈。 no ssh stack ciscossh 要返回到 CiscoSSH 堆栈,请使用 ssh stack ciscossh 。 |
步骤 2 |
生成 SSH 必需的密钥对(仅适用于物理 ASA)。 对于 ASA virtual,会在部署后自动创建密钥对。 |
步骤 3 |
将密钥保存到永久性闪存中。 write memory 示例:
|
步骤 4 |
在本地数据库中创建可用于 SSH 访问的用户。您也可以使用 AAA 服务器进行用户访问,但建议使用本地用户名。 username name [password password] privilege level 示例:
默认情况下,特权级别为 2;输入介于 0 和 15 之间的级别,其中 15 具有所有特权。如果要强制用户使用公共密钥身份验证而不是密码身份验证 (ssh authentication ),您可能需要不使用密码创建用户。若您在 username 命令中配置公钥身份验证以及密码,则如果您在此程序中明确配置 AAA 身份验证,用户可使用任一种方法 登录。注意:请勿使用 username 命令 nopassword 选项,;nopassword 选项允许输入任何密码,而不是无密码。 |
步骤 5 |
(可选) 允许用户使用公钥身份验证代替/以及密码身份验证,并在 ASA 上输入公钥: username 名称 attributes ssh authentication {pkf | publickey key} 示例:
对于本地 username ,您可以启用公钥身份验证代替/以及密码身份验证。您可以使用任何可生成 ssh-rsa、ssh-ed25519 或 ecdsa-sha2-nistp 原始密钥(不带证书)的 SSH 密钥生成软件(如 ssh keygen)生成公钥/私钥对。在 ASA 上输入该公钥。然后,SSH 客户端使用私钥(以及用于创建密钥对的密码)连接至 ASA。 对于 pkf 密钥,系统将提示您粘贴 PKF 格式的密钥,最长 4096 位。此格式用于由于过长而无法以 Base64 格式内嵌粘贴的密钥。例如,可以使用 ssh keygen 生成 4096 位的密钥,然后将其转换为 PKF,并使用 pkf 关键字作为密钥提示。注意:您可以将 pkf 选项与故障转移一起使用,但 PKF 密钥不会自动复制到备用系统。您必须输入 write standby 命令才能同步 PKF 密钥。 对于密钥,密钥是Base64编码的公钥。publickey 您可以使用任何可生成 ssh-rsa、ssh-ed25519 或 ecdsa-sha2-nistp 原始密钥(不带证书)的 SSH 密钥生成软件(如 ssh keygen)生成密钥对。 |
步骤 6 |
(对于密码访问)启用 SSH 访问的本地(或 AAA 服务器)身份验证: aaa authentication ssh console {LOCAL | server_group [LOCAL]} 示例:
对于使用 ssh authentication 命令的用户名,此命令不影响本地公钥身份验证。ASA 隐式地使用本地数据库进行公钥身份验证。此命令仅影响具有密码的用户名。如果要允许本地用户使用公钥认证或密码,则需要使用此命令显式地配置本地身份验证以允许密码访问。 |
步骤 7 |
确定 ASA 从其接受每个地址或子网的连接的 IP 地址,以及可在其上使用 SSH 的接口。 ssh source_IP_address mask source_interface
与 Telnet 不同,您可以在最低安全级别的接口上使用 SSH。 示例:
|
步骤 8 |
(可选) 设置在 ASA 断开 SSH 会话之前,会话可空闲的持续时间。 ssh timeout 分钟 示例:
设置超时时间,范围为 1 到 60 分钟。默认值为 5 分钟。在大多数情况下,默认持续时间都太短,应增加为直到完成所有前期测试和故障排除所需的时间。 |
步骤 9 |
(可选) 启用安全复制 (SCP) 服务器。 ssh scopy enable SCP 服务器没有目录支持。缺少目录支持会限制远程客户端访问 ASA 内部文件。 SCP 服务器不支持横幅或通配符。 |
步骤 10 |
(可选) 配置 SSH 密码加密算法: ssh cipher encryption {all | fips | high | low | medium | custom colon-delimited_list_of_encryption_ciphers} 示例:
默认值为 medium 。密码按其列出的顺序使用。对于预定义列表,从最高安全级别到最低安全级别列出。
|
步骤 11 |
(可选) 配置 SSH 密码完整性算法: {| | | | | | | | |冒号分隔的list_of_integrity_ciphers} ssh cipher integrityallfipshighlowmediumcustom 示例:
默认值为 high 。
|
步骤 12 |
(可选) (Admin context only) - 设置 Diffie-Hellman (DH) 密钥交换模式: ssh key-exchange group {curve25519-sha256 | dh-group14-sha1 | dh-group14-sha256 | ecdh-sha2-nistp256} 示例:
默认为 dh-group14-sha256 DH 密钥交换提供无法由任何一方单独确定的共享密钥。密钥交换与签名和主机密钥配合使用,以提供主机身份验证。此密钥交换方法提供显式服务器身份验证。有关使用 DH 密钥交换方法的详细信息,请参阅 RFC 4253。您只能在管理情景中设置密钥交换;此值供所有情景使用。 |
示例
以下示例展示如何使用 PKF 格式的密钥进行身份验证:
ciscoasa(config)# crypto key generate rsa modulus 4096
ciscoasa(config)# write memory
ciscoasa(config)# username exampleuser1 password examplepassword1 privilege 15
ciscoasa(config)# username exampleuser1 attributes
ciscoasa(config-username)# ssh authentication pkf
Enter an SSH public key formatted file.
End with the word "quit" on a line by itself:
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "4096-bit RSA, converted by xxx@xxx from OpenSSH"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---- END SSH2 PUBLIC KEY ----
quit
INFO: Import of an SSH public key formatted file SUCCEEDED.
ciscoasa(config)#
以下示例将在 Linux 或 Macintosh 系统上为 SSH 生成一个共享密钥,并将其导入 ASA:
-
在计算机上生成 4096 位的 RSA 公钥和私钥:
jcrichton-mac:~ john$ ssh-keygen -b 4096 Generating public/private rsa key pair. Enter file in which to save the key (/Users/john/.ssh/id_rsa): /Users/john/.ssh/id_rsa already exists. Overwrite (y/n)? y Enter passphrase (empty for no passphrase): pa$$phrase Enter same passphrase again: pa$$phrase Your identification has been saved in /Users/john/.ssh/id_rsa. Your public key has been saved in /Users/john/.ssh/id_rsa.pub. The key fingerprint is: c0:0a:a2:3c:99:fc:00:62:f1:ee:fa:f8:ef:70:c1:f9 john@jcrichton-mac The key's randomart image is: +--[ RSA 4096]----+ | . | | o . | |+... o | |B.+..... | |.B ..+ S | | = o | | + . E | | o o | | ooooo | +-----------------+
-
将密钥转换为 PKF 格式:
jcrichton-mac:~ john$ cd .ssh jcrichton-mac:.ssh john$ ssh-keygen -e -f id_rsa.pub ---- BEGIN SSH2 PUBLIC KEY ---- Comment: "4096-bit RSA, converted by john@jcrichton-mac from OpenSSH" AAAAB3NzaC1yc2EAAAADAQABAAACAQDNUvkgza37lB/Q/fljpLAv1BbyAd5PJCJXh/U4LO hleR/qgIROjpnDaS7Az8/+sjHmq0qXC5TXkzWihvRZbhefyPhPHCi0hIt4oUF2ZbXESA/8 jUT4ehXIUE7FrChffBBtbD4d9FkV8A2gwZCDJBxEM26ocbZCSTx9QC//wt6E/zRcdoqiJG p4ECEdDaM+56l+yf73NUigO7wYkqcrzjmI1rZRDLVcqtj8Q9qD3MqsV+PkJGSGiqZwnyIl QbfYxXHU9wLdWxhUbA/xOjJuZ15TQMa7KLs2u+RtrpQgeTGTffIh6O+xKh93gwTgzaZTK4 CQ1kuMrRdNRzza0byLeYPtSlv6Lv6F6dGtwlqrX5a+w/tV/aw9WUg/rapekKloz3tsPTDe p866AFzU+Z7pVR1389iNuNJHQS7IUA2m0cciIuCM2we/tVqMPYJl+xgKAkuHDkBlMS4i8b Wzyd+4EUMDGGZVeO+corKTLWFO1wIUieRkrUaCzjComGYZdzrQT2mXBcSKQNWlSCBpCHsk /r5uTGnKpCNWfL7vd/sRCHyHKsxjsXR15C/5zgHmCTAaGOuIq0Rjo34+61+70PCtYXebxM Wwm19e3eH2PudZd+rj1dedfr2/IrislEBRJWGLoR/N+xsvwVVM1Qqw1uL4r99CbZF9NghY NRxCQOY/7K77IQ== ---- END SSH2 PUBLIC KEY ---- jcrichton-mac:.ssh john$
-
将密钥复制到剪贴板。
-
在 ASDM 中,依次选择 编辑。点击 Public Key Using PKF 并将密钥粘贴到窗口中: ,选择用户名,然后点击
-
验证用户是否可以通过 SSH 连接到 ASA。对于密码,请输入您在创建密钥对时指定的 SSH 密钥密码。
jcrichton-mac:.ssh john$ ssh test@10.86.118.5 The authenticity of host '10.86.118.5 (10.86.118.5)' can't be established. RSA key fingerprint is 39:ca:ed:a8:75:5b:cc:8e:e2:1d:96:2b:93:b5:69:94. Are you sure you want to continue connecting (yes/no)? yes
系统将显示以下对话框,以供您输入密码:
同时,终端会话将显示以下内容:
Warning: Permanently added '10.86.118.5' (RSA) to the list of known hosts. Identity added: /Users/john/.ssh/id_rsa (/Users/john/.ssh/id_rsa) Type help or '?' for a list of available commands. asa>
以下示例显示与 ASA 的 SCP 会话。从外部主机上的客户端执行 SCP 文件传输。例如,在 Linux 中输入以下命令:
scp -v -pw password [path/]source_filename username @asa_address :{disk0|disk1}:/[path/]dest_filename
-v 表示详细,如果您未指定 -pw,则会提示您输入密码。
配置 Telnet 访问
要识别允许使用 Telnet 连接至 ASA 的客户端 IP 地址,请执行以下步骤。请参阅以下准则:
-
如要访问 ASA 接口进行 Telnet 访问,也不需要允许主机 IP 地址的访问规则,您只需根据本部分配置 Telnet 访问。
-
除了进入 ASA 时所经由的接口以外,不支持对其他接口进行 Telnet 访问。例如,如果 Telnet 主机位于外部接口上,则只能发起直接到外部接口的 Telnet 连接。此规则的唯一例外是通过 VPN 连接。请参阅配置 VPN 隧道上的管理访问。
-
除非使用 VPN 隧道中的 Telnet,否则无法使用 Telnet 访问最低安全级别的接口。
-
每个情景/单模式最多 5 个并发 Telnet 连接,在所有情景中最多分为 100 个连接。
开始之前
-
在多情景模式下,请在情景执行空间中完成本程序。要从系统配置切换至情景配置,请输入 changeto context name 。
-
要使用 Telnet 访问 ASA CLI,请输入通过 password 命令设置的登录密码 。使用 Telnet 前必须手动设置该密码。
过程
步骤 1 |
识别 ASA 为位于特定接口的每个地址或子网接收连接的 IP 地址。
如果只有一个接口,只要接口的安全级别为 100,您就可以配置 Telnet 以访问该接口。 示例:
|
步骤 2 |
设置 ASA 与 Telnet 会话断开连接之前,该会话可以持续空闲多长时间。 telnet timeout 分钟 示例:
设置超时时间,范围为 1 到 1440 分钟。默认值为 5 分钟。在大多数情况下,默认持续时间都太短,应增加为直到完成所有前期测试和故障排除所需的时间。 |
示例
下列显示如何让一台内部接口上的地址为 192.168.1.2 的主机访问 ASA:
ciscoasa(config)# telnet 192.168.1.2 255.255.255.255 inside
下例显示如何允许 192.168.3.0 网络上的所有用户在内部接口上访问 ASA:
ciscoasa(config)# telnet 192.168.3.0. 255.255.255.255 inside
配置用于 ASDM 的 HTTPS 访问、其他客户端
如要使用 ASDM 或 CSM 等其他 HTTPS 客户端,则需要启用 HTTPS 服务器,并允许至 ASA 的 HTTPS 连接。HTTPS 访问已作为出厂默认配置的一部分启用。如要配置 HTTPS 访问,请执行以下步骤。请参阅以下准则:
-
要访问 ASA 接口以进行 HTTPS 访问,亦无需允许主机 IP 地址的访问规则。您只需按照本部分配置 HTTPS。但是,如果您配置 HTTP 重定向以将 HTTP 连接自动重定向至 HTTPS,则必须启用允许 HTTP 的访问规则;否则,该接口无法侦听 HTTP 端口。
-
除了进入 ASA 时所经由的接口以外,不支持对其他接口进行管理访问。例如,如果管理主机位于外部接口上,则只能直接向外部接口发起管理连接。此规则的唯一例外是通过 VPN 连接。请参阅配置 VPN 隧道上的管理访问。
-
在单情景模式下,最多可以有 5 个 ASDM 并发会话。在多情景模式下,每个情景最多 5 个并发 ASDM 会话,在所有情景中最多分为 200 个 ASDM 实例。
ASDM 会话使用两个 HTTPS 连接:一个用于监控(始终存在),另一个用于进行配置更改(仅当进行更改时才存在)。例如,多情景模式系统限制为 200 个 ASDM 会话表示 HTTPS 会话数限制为 400。
-
ASA 允许在单情景模式或每个情景(如果可用)中最多允许 6 个并发非 ASDM HTTPS 会话,所有情景中最多允许 100 个 HTTPS 会话。
-
如果在同一接口上同时启用 SSL (webvpn > 启用 接口) 和 HTTPS 访问,则可以从 https://ip_address 访问 Secure Client ,从 https://ip_address/admin访问端口 443。如果还启用了 aaa 身份验证 http 控制台,则必须为 ASDM 访问指定其他端口。
开始之前
-
在多情景模式下,请在情景执行空间中完成本程序。要从系统配置切换至情景配置,请输入 changeto context name 。
过程
步骤 1 |
识别 ASA 为位于特定接口的每个地址或子网接收 HTTPS 连接的 IP 地址。 http source_IP_address mask source_interface
示例:
|
步骤 2 |
启用 HTTPS 服务器。 http server enable [port] 示例:
默认情况下,端口为 443。如果更改端口号,请务必将其包括在 ASDM 访问 URL 中。例如,如果将端口号更改为 444,请输入以下 URL: https://10.1.1.1:444 |
步骤 3 |
允许基于非浏览器的 HTTPS 客户端访问 ASA 上的 HTTPS 服务。默认情况下,允许 ASDM、CSM 和 REST API。 http server basic-auth-client user_agent
使用单独的命令输入每个客户端字符串。 许多专业客户端(例如,python 库、curl 和 wget)不支持跨站请求伪造 (CSRF) 基于令牌的身份验证,因此,您需要特别允许这些客户端使用 ASA 基本身份验证方法。出于安全考虑,您应该只允许所需的客户端。 示例:
|
步骤 4 |
(可选) 设置连接和会话超时。 http server idle-timeout分钟 http server session-timeout分钟 http connection idle-timeout秒
示例:
|
示例
以下示例显示如何启用 HTTPS 服务器并使内部接口上地址为 192.168.1.2 的主机访问 ASDM:
ciscoasa(config)# http server enable
ciscoasa(config)# http 192.168.1.2 255.255.255.255 inside
以下示例显示如何使 192.168.3.0/24 网络上的所有用户可以访问内部接口上的 ASDM:
ciscoasa(config)# http 192.168.3.0 255.255.255.0 inside
为 ASDM 访问或无客户端 SSL VPN 配置 HTTP 重定向
您必须使用 HTTPS 连接至使用 ASDM 或无客户端 SSL VPN 的 ASA。为了方便起见,可以将 HTTP 管理连接重定向至 HTTPS。例如,通过重定向 HTTP,输入 http://10.1.8.4/admin/ 或 https://10.1.8.4/admin/ 均可访问位于该 HTTPS 地址的 ASDM 启动页面。
您可以重定向 IPv4 和 IPv6 流量。
开始之前
通常,您无需允许主机 IP 地址的访问规则。但是,对于 HTTP 重定向,您必须启用允许 HTTP 的访问规则;否则,该接口无法侦听 HTTP 端口。
过程
启用 HTTP 重定向: http redirect interface_name [port] 示例:
port 确定接口从其重定向 HTTP 连接的端口。默认值为 80。 |
配置 VPN 隧道上的管理访问
如果 VPN 隧道在一个接口上终止,但是您需要通过访问不同的接口来管理 ASA,则必须将该接口标识为管理访问接口。例如,如果从外部接口进入 ASA,通过此功能可以使用 ASDM、SSH、 或 Telnet 连接到内部接口;或者,当从外部接口进入时,可以 Ping 内部接口。
![]() 注 |
如果使用 CiscoSSH 堆栈(默认设置),则 SSH 不支持此功能。 |
![]() 注 |
SNMP 不支持此功能。 对于基于 VPN 的 SNMP,我们建议在环回接口上启用 SNMP。您无需启用管理访问功能即可在环回接口上使用 SNMP。环回接口也适用于 SSH。 |
除了进入 ASA 时所经由的接口以外,不支持对其他接口进行 VPN 访问。例如,如果 VPN 访问位于外部接口上,则只能直接向外部接口发起连接。应在 ASA 的可直接访问的接口上启用 VPN,并使用域名解析,以便您不必记住多个地址。
通过以下类型的 VPN 隧道可以实现管理访问: IPsec 客户端、IPsec 站点间的简单 VPN 和 Secure Client SSL VPN 客户端。
开始之前
-
管理专用接口不支持此功能。
-
当使用管理访问接口,并且配置身份 NAT 时,必须为 NAT 配置路由查询选项。有关详细信息,请参阅 ASA 防火墙 CLI 配置指南的相应版本中 NAT 示例和参考 一章中的“NAT 和 VPN 管理访问”部分。
过程
指定从另一个接口进入 ASA 时要访问的管理接口的名称。 management-access management_interface 对于 Easy VPN 和站点间隧道,可以指定命名 BVI(在路由模式下)。 示例:
|
更改控制台超时
控制台超时设置连接可保持处于特权 EXEC 模式下或配置模式下的时间;当达到超时时间后,会话将进入用户 EXEC 模式。默认情况下,会话不会超时。此设置不会影响可与控制台端口保持连接的时间,该连接永不超时。
过程
指定授权会话结束后的空闲时间(0-60,以分钟为单位)。 console timeout number 示例:
默认超时为 0,表示会话不会超时。 |
自定义 CLI 提示符
利用为提示符添加信息这项功能,可以大体了解在您有多个模块时登录哪一台 ASA。故障转移起价你,如果两台 ASA 具有相同的主机名,则此功能非常有用。
在多情景模式中,您可以在登录到系统执行空间或管理情景时查看扩展的提示符。在非管理情景中,您仅可看到默认提示符,即主机名和情景名称。
默认情况下,提示符显示 ASA 的主机名。在多情景模式下,提示符还显示情景名称。在 CLI 提示符中可以显示以下项目:
cluster-unit |
显示集群设备名称。集群中的每台设备都有一个唯一的名称。 |
context |
(仅多情景模式)显示当前情景的名称。 |
domain |
显示域名。 |
hostname |
显示主机名。 |
priority |
显示故障转移优先级 pri(主要)或 sec(辅助)。 |
state |
显示设备的流量传递状态或角色。 对于故障转移,会面向 state 关键字显示以下值:
对于集群,会显示控制和数据的值。 |
过程
通过输入以下命令自定义 CLI 提示符: 示例:
输入关键字的顺序确定提示符中各元素的顺序(各元素以斜线 (/) 分隔)。 |
配置登录横幅
您可以配置在用户连接至 ASA 时、在用户登录之前或在用户进入特权 EXEC 模式之前将显示的消息。
开始之前
-
从安全角度来看,重要的是横幅阻止未经授权的访问。请勿使用“欢迎”或“请”等措辞,因为它们像是在邀请入侵者。以下横幅为未经授权的访问设置正确的语调:
You have logged in to a secure device. If you are not authorized to access this device, log out immediately or risk possible criminal consequences.
-
在添加横幅后,如果有以下情况,可能会关闭至 ASA 的 Telnet 或 SSH 会话:
-
没有足够的系统内存可用来处理横幅消息。
-
在尝试显示横幅消息时发生 TCP 写入错误。
-
-
有关横幅消息的准则,请参阅 RFC 2196。
过程
添加在以下三个时间之一要显示的横幅:在用户首次连接时 (message-of-the-day (motd)),在用户登录时 (login),以及在用户访问特权 EXEC 模式时 (exec)。 banner {exec | login | motd} text 示例:
当用户连接至 ASA 时,系统首先显示 message-of-the-day 横幅,然后显示 login 横幅和提示符。在用户成功登录 ASA 后,系统将显示 exec 横幅。 如要添加一行以上,请将banner 命令放在每行之前。 对于横幅文本:
|
示例
以下示例显示如何添加 message-of-the-day 横幅:
ciscoasa(config)# banner motd Only authorized access is allowed to $(hostname).
ciscoasa(config)# banner motd Contact me at admin@example.com for any issues.
设置管理会话配额
可以在 ASA 上建立允许的最大同时 ASDM、SSH 和 Telnet 会话数量。如果达到最大值,则不允许其他会话,并生成系统日志消息。如要防止系统锁定,则管理会话配额机制无法阻止控制台会话。
![]() 注 |
在多情景模式下,如果最大 ASDM 会话数固定为 5,则无法配置会话数。 |
![]() 注 |
如果您还为最大管理会话(SSH等)的每个情景设置资源限制,则将使用较低的值。 |
开始之前
在多情景模式下,请在情景执行空间中完成本程序。要从系统切换至情景配置,请输入 changeto context名称 命令。
过程
步骤 1 |
请输入以下命令: quota management-session [ssh | telnet | http | user] number
示例:
|
步骤 2 |
查看当前正在使用的会话。 show quota management-session [ssh | telnet | http | user] 示例:
|