企业级防火墙算法原理与基本配置

企业级防火墙算法原理与基本配置
多安全区域
DMZ区域的概念和作用
DMZ(demilitarzed zone)隔离区也称“非军事化区”;位于企业内部网络和外部网络之间的一个网络区域
安全级别位于inside和outside之间
访问默认规则:高安全级允许访问低安全级,低安全级禁止访问高安全级
Tips:应用的表示
任何一个应用,在数据包层面而言,都是通过套接字(传输层协议+端口号)表示
在表示应用的过程中,如果仅仅提到一个端口,那么该端口是目标端口,源端口就是随机端口
如果一个应用通过2个端口表示,则需要重点区分哪个是源端口,哪个是目标端口(列:DHCP:udp67,68服务器67,客户端68)
UPS:不间断电源(机房弱电工程)

总结:
安全级别之间的流量控制原则与ACL放行流量的原则:ACL优先级高(如果已经形成conn条目的流量不收acl控制)
ASA中各种功能表之间的查询逻辑关系;

  1. 无论是高级别到低级别还是低级别到高级别,当流量到到一个端口是,如果端口上有ACL放行相应流量,那么:
    i. 查找路由表,确认端口,同时形成conn表项,然后发送出去
    ii. 如果一个流量已经被ASA处理,并形成CONN条目录,那么不受acl表处理
    Tips:ASA上默认情况下,相同安全级别之间的端口是不可以通信的,如果要实现通信
    如下命令:same-security-traffic permit inter-interface
    ASA上的NAT
    Nat类型:
    动态nat
    动态pat
    静态nat
    静态pat


    一般外网地址是自动分配的故使用接口做地址转换




    ASA远程配置管理:

    先配置ASA访问密码和enable密码
    Enable password xxx enable密码
    Password xxx 登陆密码

    客户端连接:ssh —l {用户名}{IP地址}

    日志的管理(工作中维护设备的依据)
    日志信息的安全级别

    配置日志:
    日志信息可以输出到:log buffer(日志缓冲区,不建议,断电清除)
    ASDM;日志服务器(最好)
    Debugging级别不要轻易使用,会损坏设备
    ASMD查看日志


    ASA的日志功能默认是关闭的
    TIPS:时间很重要,最好配置ntp(network time protocol)服务器
    Show clock 查看时间
    Clock set ? 配置时间
    一台核心设备作为服务器:nat master
    其他客户端:nat server IP地址(服务器)
    可以找一些日志分析软件:

    作业:
    实验要求:R1可以telnet ASA防火墙
    R2可以ssh ASA防火墙
    外网使用web访问
    基础配置
    端口IP地址,默认路由。。。
    ASA配置:
    1.telnet配置:
    Enable password xxx enable 密码
    Username telent password tel123 本地用户密码
    Aaa authentication telnet(选择协议) console LOCAL(大写)
    telnet 192.168.10.0 255.255.255.0 inside 开启telnet远程访问
    2.ssh配置:
    hostname asa123
    domain-name xxxxx.Com
    cryto key generate(产生) rse modulus (计量单位)1024(默认)
    ssh 0 0 outside
    Username ssh password ssh123 本地用户密码
    Aaa authentication ssh(选择协议) console LOCAL(大写)
    3.WEB配置
    云的连接:和防火墙之间要加一台HUB或者交换机

    拷贝asdm文件到ASA防火墙目录disk 0下

    http server enable 启用https服务
    http 0 0 outside
    asdm image disk0:/asdm-649.bin 提供客户端下载的ASDM软件
    username cisco password cisco privilege 15(最高优先级,默认1)

自己的浏览器输入:asaIP地址,(https)下载客户端

安装asdm,需要先安装JAVA(对应的jre-6u45-windows-x64.exe)

原文地址:https://blog.51cto.com/14518688/2449169

时间: 2024-10-08 09:49:09

企业级防火墙算法原理与基本配置的相关文章

华为防火墙VRRP双机热备的原理及实例配置

博文目录:一.双机热备是什么?二.什么是VRRP?三.VRRP的两种角色四.VRRP的三个状态机五.VRRP选举Master路由器和Backup路由器的流程六.通过VGMP实现VRRP备份组的统一管理七.双机热备的配置八.总结 一.双机热备是什么? 1.双机热备的作用 多台设备运行双机热备:一台设备故障其他设备接替工作:增强网络稳定性:保证业务的连续性: 华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙. 2.华为防火墙双机热备的两种模式:

使用LVS实现负载均衡原理及安装配置详解

转:http://www.cnblogs.com/liwei0526vip/p/6370103.html 使用LVS实现负载均衡原理及安装配置详解 负载均衡集群是 load balance 集群的简写,翻译成中文就是负载均衡集群.常用的负载均衡开源软件有nginx.lvs.haproxy,商业的硬件负载均衡设备F5.Netscale.这里主要是学习 LVS 并对其进行了详细的总结记录. 一.负载均衡LVS基本介绍 LB集群的架构和原理很简单,就是当用户的请求过来时,会直接分发到Director

使用 LVS 实现负载均衡原理及安装配置详解

使用 LVS 实现负载均衡原理及安装配置详解 来源:肖邦linux 发布时间:2017-02-19 阅读次数:106 0 负载均衡集群是 load balance 集群的简写,翻译成中文就是负载均衡集群.常用的负载均衡开源软件有nginx.lvs.haproxy,商业的硬件负载均衡设备F5.Netscale.这里主要是学习 LVS 并对其进行了详细的总结记录. 一.负载均衡LVS基本介绍 LB集群的架构和原理很简单,就是当用户的请求过来时,会直接分发到Director Server上,然后它把用

ASA算法原理

状态化防火墙  状态化防火墙维护一个关于用户信息的连接表,称为Conn表  Conn表中的关键信息  源IP地址  目的IP地址  IP协议(例如TCP或UDP)  IP协议信息(例如TCP/UDP端口号,TCP序列号,TCP控制位)  默认情况下,ASA对TCP和UDP协议提供状态化连接,但ICMP协议是非状态化的  状态化防火墙  状态化防火墙进行状态化处理的过程 Conn表 Inside IP Address IP Protocol Inside Port Outside IP Addre

使用LVS负载均衡搭建web群集的原理及安装配置详解

一.负载均衡LVS基本介绍 LVS是 Linux Virtual Server 的简称,也就是Linux虚拟服务器.这是一个由章文嵩博士发起的一个开源项目,它的官方网站是 http://www.linuxvirtualserver.org. LVS是Linux内核标准的一部分.LVS是一个实现负载均衡集群的开源软件项目,通过 LVS 的负载均衡技术和 Linux操作系统可以实现一个高性能高可用的 Linux 服务器集群,它具有良好的可靠性.可扩展性和可操作性.LVS架构从逻辑上可分为调度层.Se

STP原理及基本配置

STP原理及基本配置   STP (生成树协议):就是把一个环形的结构改变成一个树形的结构.用来将物理上存在环路的网络,通过一种算法,在逻辑上阻塞一些端口,来生成一个逻辑上的树形结构. 配置目的:解决路由环路,实现负载均衡 备注:现在的路由器不会产生环路,配置的主要目的是选择性能较好的交换机做根网桥实现负载均衡. 工作原理:                      生成树算法分为三个步骤: 1.      选择根网桥(Root Bridge) 2.      选择根端口 (Root Ports

网络设备-华三-防火墙F1020-IRF虚拟化实战终结配置篇

此篇h3c-IRF的实战配置,同样与前面华为的堆叠一样路子,我们先聊聊为啥要做这个?为什么不玩双机,要玩IRF.其实弄懂这一点,对于售前来讲,在外面做方案也是思路相当清晰的一点. 以前我们常规的双机方案如下图: 架构特点: 1.全网无单点故障,完整的解决因为单电源或者单一设备故障引起的业务不可用. 2.核心交换区-使用华为stack堆叠(前面有文章单独介绍) 3.防火墙HA(Juniper-NSRP协议,不懂度娘)(可能大家会问题,防火墙到华为交换机为什么没做lacp或者aggregate,大家

《机器学习算法原理与编程实践》学习笔记(一)

第一章 机器学习的基础 1.1编程语言与开发环境 1.1.1 Python 安装(略) 1.2.2 Python安装包的安装:可以选选择安装集成包anaconda(略) 1.1.3 IDE配置及安装测试 IDE选择UltraEdit高级文本编辑器,配置步骤如下: (1)选择"高级"-->"用户工具"命令,如图1.4所示. 图1.5 配置UltraEdit步骤1 (2)在如图1.5所示输入各项参数,然后单击"应用按钮" 图1.5 配置Ultr

FTP服务器工作原理的及配置详解

FTP服务器工作原理的及配置详解 FTP工作原理概述 FTP:file transfer protocol 它也是一个C/S架构的服务.server:监听在套接字21/tcp端口.按照套接字监听工作状态可以分为两类: 命令连接:发送文件管理类命令,始终处于连接状态,始终监听在21/tcp端口. 数据连接:主要是实现数据传输,这种连接是按需连接的,而且在传输结束会立刻中断. 对于数据连接还有两种不同的工作模式: 主动工作的模式:服务器根据监听在21端口接收到的命令,使用自己的20号端口,将数据传输