《CCNP安全防火墙642-618认证考试指南》——2.7节ASA文件系统

本文涉及的产品
云防火墙,500元 1000GB
简介:

本节书摘来自异步社区《CCNP安全防火墙642-618认证考试指南》一书中的第2章,第2.7节ASA文件系统,作者【美】David Hucaby , Dave Garneau , Anthony Sequeira,更多章节内容可以访问云栖社区“异步社区”公众号查看

2.7 ASA文件系统
CCNP安全防火墙642-618认证考试指南
ASA设备拥有一个内置的flash(非易失)存储文件系统,用于存储包括操作系统镜像、ASDM管理程序镜像及防火墙配置等文件。

ASA设备启动时会解压可执行的操作系统镜像,并将其从flash内复制到RAM中运行。因此,即便设备正在运行,也可以将其他的系统镜像复制或写入flash存储中。事实上,flash存储器中的镜像文件之所以能够被随意覆盖而不发生故障,是因为设备的操作系统是在RAM中运行的,而新的镜像文件却是在ASA设备下次重启时才运行。

ASDM为ASA设备管理提供了图形化用户接口并按需启动,并且ASDM管理程序也不是在flash文件系统中运行的。为保证ASDM的正常运行,操作系统镜像必须和ASDM镜像相互兼容。

可以使用下面的方法将镜像文件传输到ASA设备的flash存储上。

在ASA设备启动过程中进入监控模式,并使用TFTP传输。
在管理会话(ASA Console控制台、Telnet或SSH)上使用TFTP传输。
在ASDM中通过HTTP或HTTPS进行传输;
ASA设备还能够轮询自动更新服务器(AUS),从而定期检查是否存在可用的新镜像。如果存在,那么该镜像将使用HTTPS被自动下载。

一旦ASDM镜像被下载到flash存储内,便能够立即被使用。当操作系统镜像下载完成后,ASA设备必须手动重启并加载该新镜像。

2.7.1 操作ASA设备flash文件系统
ASA设备的flash文件系统和传统Cisco IOS的文件系统的组织方式类似:在使用前都必须进行格式化、都采用树形目录结构、文件都存放于目录中。ASA设备支持各种不同类型的存储器,并且这些存储器可以分别拥有自己的文件系统。例如,每台ASA设备都支持使用存储器disk0:和flash:,但它们均指代相同的内部flash存储文件系统。连接到ASA设备的会话的初始位置是disk0:根目录,该目录下包含其他文件或子目录,同时这些子目录内也可包含文件和下一级子目录,依此类推。另外,ASA设备还支持disk1:,该存储器代表可移动的flash驱动器(即CF闪存卡)。

使用dir device:命令可查看flash目录中的内容,其中device和path皆为可选项。如果省略存储器名称,则默认为disk0:。如果省略路径名,则默认为当前目录路径。为了匹配特定文件名中的字符,允许在路径名中使用正则表达式或通配符进行过滤筛选。例2-12显示了disk0:/内的flash文件系统的内容。

例2-12 显示ASA flash文件系统内容


cd0cf58da3b0f70e8947da3b2872bc2c6bf7e125

使用/all关键字将显示目录内所有文件。使用/recursive关键字能够递归地查看嵌套目录结构,并列出目录结构中所有文件。

使用cd device:命令可更改当前目录路径,例如:使用cd disk0:/log命令可以将CLI会话移动到log子目录下。由于用户能够在flash文件系统内随意移动目录路径,因此如果忘记了当前的目录路径所在,可使用pwd命令查看当前CLI会话所在的目录位置。

如需创建新的目录来存放文件,可使用mkdir /noconfirmpath命令。而删除目录则使用rmdir /noconfirmpath命令。目录在删除之前必须为空。

默认情况下,条目被创建或删除时,ASA设备将进行确认询问。使用/noconfirm选项将直接执行而不进行确认询问。

2.7.2 操作ASA文件系统内的文件
可以对存储在ASA设备文件系统内的文件进行一些常见的操作。例如,对文件内容进行查看,可使用如下命令:


276ddf1b4dc43de24750521109f51ee6aecb9907

其中,文件的源和目的字段使用device:path格式指定,表2-3中列出了可用选项。若对运行配置文件或启动配置文件操作时,可以使用关键字running-config和startup-config来指定源或目的。


c511ab6774c3af02d0e0ae694bda9884687b8040

若文件源或目的只指定了device名称,而不包括具体路径或文件名,那么ASA设备将在文件复制前询问未给出的信息。

例2-14中演示了copy命令的三种不同用法。第一个例子中,ASA镜像文件asa823-k8.bin从一台TFTP服务器上复制到ASA设备disk0:文件系统内,管理员直接在命令行内给出了文件复制的所有参数。注意,ASA设备对于每个参数依然进行了询问,但在命令行中输入的参数会在询问时成为默认值。第二个例子,ASDM镜像文件从TFTP服务器复制到flash中,此时管理员省略了命令行中的输入参数,因此ASA设备将逐一对参数进行询问。最后一个例子中,是把运行配置文件从ASA设备复制到TFTP服务器上。

例2-14 复制文件到ASA文件系统


077a269e3f7e6ce3a951c1586ec3b8fcb5b2f3d4

注意:

如果在文件复制过程中,FTP服务器需要对用户进行认证或必须指定具体端口,则应使用包含额外信息的URL格式:

ftp://[username[:password]@]server[:port]/[path/]filename
对flash文件系统内已存在文件进行重命名,可使用下面的命令:


fb2d716d07daf604e42b00108c77aa80330a5c4c

在某些特殊情况下,可能需要对整个flash文件系统进行擦除,这种操作(即格式化)将删除flash存储上的所有内容(包括可访问的和隐藏的flash文件系统)。这通常是由于ASA设备的所有权发生了改变,为保证flash内容的机密性,应在转交前删除全部内容。使用命令erase device:或format device:可以对disk0:、disk1:或flash:进行完全擦除。

为了擦除flash存储中的每个文件,包括镜像文件、配置文件和许可文件,系统将使用0XFF数据字符对所有文件执行覆盖,从而达到格式化的效果。之后,初始化的空flash文件系统将被重建。由于flash中的镜像文件和运行配置文件已经在RAM中加载了,因此即使flash文件系统被擦除,ASA设备依然能够正常运行。但是一旦ASA设备重启,它便无法正常运行。

相关文章
|
2月前
|
安全 网络协议 Shell
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
|
8天前
|
监控 安全 网络安全
安全工具防火墙(Firewall)
【8月更文挑战第10天】
31 7
|
3月前
|
弹性计算 监控 安全
通过NAT网关和云防火墙防护私网出站流量安全的最佳实践
针对云上企业出站流量安全攻击,企业可以通过采用“NAT网关+NAT边界防火墙”方案实现出向流量有效监控保护,有效降低恶意软件攻陷风险、内部人员风险、数据泄露风险、供应链风险、出站流量合规风险等
90 3
|
3月前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
293 1
|
2月前
|
安全 网络协议 Linux
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
|
3月前
|
安全 网络协议 网络安全
防火墙之安全策略
防火墙之安全策略
57 7
|
3月前
|
安全 网络协议 网络安全
防火墙认证
防火墙认证
52 5
|
2月前
|
弹性计算 人工智能 供应链
云服务器 ECS产品使用问题之端口已加入安全组,但是端口不通,同时服务器已关闭防火墙,是什么导致的
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
3月前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
3月前
|
运维 监控 安全
安全防御之入侵检测与防范技术
安全防御中的入侵检测与防范技术主要涉及到入侵检测系统(IDS)和入侵防御技术(IPS)。 入侵检测系统(IDS)是一种对入侵行为自动进行检测、监控和分析的软件与硬件的组合系统。IDS通过从计算机网络或系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。 入侵防御技术(IPS)是一种主动的安全防御技术,旨在防止恶意软件入侵和数据泄露。它通过实时监测和拦截网络流量中的威胁,保护网络和系统免受攻击。
137 0