企业级防火墙算法原理与基本配置

企业级防火墙算法原理与基本配置
多安全区域
DMZ区域的概念和作用
DMZ（demilitarzed zone）隔离区也称“非军事化区”；位于企业内部网络和外部网络之间的一个网络区域
安全级别位于inside和outside之间
访问默认规则：高安全级允许访问低安全级，低安全级禁止访问高安全级
Tips：应用的表示
任何一个应用，在数据包层面而言，都是通过套接字（传输层协议+端口号）表示
在表示应用的过程中，如果仅仅提到一个端口，那么该端口是目标端口，源端口就是随机端口
如果一个应用通过2个端口表示，则需要重点区分哪个是源端口，哪个是目标端口（列：DHCP：udp67,68服务器67，客户端68）
UPS:不间断电源（机房弱电工程）

总结：
安全级别之间的流量控制原则与ACL放行流量的原则：ACL优先级高（如果已经形成conn条目的流量不收acl控制）
ASA中各种功能表之间的查询逻辑关系;

无论是高级别到低级别还是低级别到高级别，当流量到到一个端口是，如果端口上有ACL放行相应流量，那么：
i. 查找路由表，确认端口，同时形成conn表项，然后发送出去
ii. 如果一个流量已经被ASA处理，并形成CONN条目录，那么不受acl表处理
Tips：ASA上默认情况下，相同安全级别之间的端口是不可以通信的，如果要实现通信
如下命令：same-security-traffic permit inter-interface
ASA上的NAT
Nat类型：
动态nat
动态pat
静态nat
静态pat

一般外网地址是自动分配的故使用接口做地址转换

ASA远程配置管理：

先配置ASA访问密码和enable密码
Enable password xxx enable密码
Password xxx 登陆密码

客户端连接：ssh —l {用户名}{IP地址}

日志的管理（工作中维护设备的依据）
日志信息的安全级别

配置日志：
日志信息可以输出到：log buffer（日志缓冲区，不建议，断电清除）
ASDM;日志服务器（最好）
Debugging级别不要轻易使用，会损坏设备
ASMD查看日志

ASA的日志功能默认是关闭的
TIPS:时间很重要，最好配置ntp（network time protocol）服务器
Show clock 查看时间
Clock set ？配置时间
一台核心设备作为服务器：nat master
其他客户端：nat server IP地址（服务器）
可以找一些日志分析软件：

作业：
实验要求：R1可以telnet ASA防火墙
R2可以ssh ASA防火墙
外网使用web访问
基础配置
端口IP地址，默认路由。。。
ASA配置：
1.telnet配置：
Enable password xxx enable 密码
Username telent password tel123 本地用户密码
Aaa authentication telnet（选择协议） console LOCAL（大写）
telnet 192.168.10.0 255.255.255.0 inside 开启telnet远程访问
2.ssh配置：
hostname asa123
domain-name xxxxx.Com
cryto key generate（产生） rse modulus （计量单位）1024（默认）
ssh 0 0 outside
Username ssh password ssh123 本地用户密码
Aaa authentication ssh（选择协议） console LOCAL（大写）
3.WEB配置
云的连接：和防火墙之间要加一台HUB或者交换机

拷贝asdm文件到ASA防火墙目录disk 0下

http server enable 启用https服务
http 0 0 outside
asdm image disk0：/asdm-649.bin 提供客户端下载的ASDM软件
username cisco password cisco privilege 15（最高优先级，默认1）