企业级防火墙算法原理与基本配置
多安全区域
DMZ区域的概念和作用
DMZ(demilitarzed zone)隔离区也称“非军事化区”;位于企业内部网络和外部网络之间的一个网络区域
安全级别位于inside和outside之间
访问默认规则:高安全级允许访问低安全级,低安全级禁止访问高安全级
Tips:应用的表示
任何一个应用,在数据包层面而言,都是通过套接字(传输层协议+端口号)表示
在表示应用的过程中,如果仅仅提到一个端口,那么该端口是目标端口,源端口就是随机端口
如果一个应用通过2个端口表示,则需要重点区分哪个是源端口,哪个是目标端口(列:DHCP:udp67,68服务器67,客户端68)
UPS:不间断电源(机房弱电工程)
总结:
安全级别之间的流量控制原则与ACL放行流量的原则:ACL优先级高(如果已经形成conn条目的流量不收acl控制)
ASA中各种功能表之间的查询逻辑关系;
- 无论是高级别到低级别还是低级别到高级别,当流量到到一个端口是,如果端口上有ACL放行相应流量,那么:
i. 查找路由表,确认端口,同时形成conn表项,然后发送出去
ii. 如果一个流量已经被ASA处理,并形成CONN条目录,那么不受acl表处理
Tips:ASA上默认情况下,相同安全级别之间的端口是不可以通信的,如果要实现通信
如下命令:same-security-traffic permit inter-interface
ASA上的NAT
Nat类型:
动态nat
动态pat
静态nat
静态pat
一般外网地址是自动分配的故使用接口做地址转换
ASA远程配置管理:
先配置ASA访问密码和enable密码
Enable password xxx enable密码
Password xxx 登陆密码
客户端连接:ssh —l {用户名}{IP地址}
日志的管理(工作中维护设备的依据)
日志信息的安全级别
配置日志:
日志信息可以输出到:log buffer(日志缓冲区,不建议,断电清除)
ASDM;日志服务器(最好)
Debugging级别不要轻易使用,会损坏设备
ASMD查看日志
ASA的日志功能默认是关闭的
TIPS:时间很重要,最好配置ntp(network time protocol)服务器
Show clock 查看时间
Clock set ? 配置时间
一台核心设备作为服务器:nat master
其他客户端:nat server IP地址(服务器)
可以找一些日志分析软件:
作业:
实验要求:R1可以telnet ASA防火墙
R2可以ssh ASA防火墙
外网使用web访问
基础配置
端口IP地址,默认路由。。。
ASA配置:
1.telnet配置:
Enable password xxx enable 密码
Username telent password tel123 本地用户密码
Aaa authentication telnet(选择协议) console LOCAL(大写)
telnet 192.168.10.0 255.255.255.0 inside 开启telnet远程访问
2.ssh配置:
hostname asa123
domain-name xxxxx.Com
cryto key generate(产生) rse modulus (计量单位)1024(默认)
ssh 0 0 outside
Username ssh password ssh123 本地用户密码
Aaa authentication ssh(选择协议) console LOCAL(大写)
3.WEB配置
云的连接:和防火墙之间要加一台HUB或者交换机
拷贝asdm文件到ASA防火墙目录disk 0下
http server enable 启用https服务
http 0 0 outside
asdm image disk0:/asdm-649.bin 提供客户端下载的ASDM软件
username cisco password cisco privilege 15(最高优先级,默认1)
自己的浏览器输入:asaIP地址,(https)下载客户端
安装asdm,需要先安装JAVA(对应的jre-6u45-windows-x64.exe)
原文地址:https://blog.51cto.com/14518688/2449169
时间: 2024-10-08 09:49:09