一、软件与硬件防火墙介绍
-
软件防火墙Cisco新的版本软件提供IOS防火墙特性,特具有应用层智能状态检测防火请引擎。Cisc
IOS防火墙特性提供一个综合的,内部的安全解决方案,它被广泛使用在基于IOS软件的设备上。 -
硬件防火墙的优势①、硬件防火墙功能强大,且明确是为抵御威胁设计的
②、硬件防火墙比软件防火墙漏洞少
3、Cisco硬件防火墙技术应用以下领域
①、PIX 500系列安全设备
②、ASA 5500系列自适应安全设备
③、Catalyst 6500系列交换机和和Cisco 7600 系列路由器的防火墙服务模块二、状态的防火墙
ASA首相是一个状态防火墙,用于维护关于用户信息的连接表,称为Coon表
1、ASA 的连接表包括哪些元素
源IP地址、目的IP地址、IP协议(如TCP或UDP)、IP协议信息(如TCP/UDP端口号、TCP序列号、TCP控制位)
2、安全算法的原理
①访问控制列表 : 基于特定的网络、主机和服务 控制网络访问
②连接表 : 维护每个连接的状态信息、 安全算法使用此信息在建立的连接中有效转发流量
③检测擎 : 执行状态检测和应用层检测、 检测规矩集是预先定义,验证应用是否定遵从每个RFC和其他标准
-
接口概念1、接口名称
物理名称
逻辑名称:insideASA连接内部区域安全性高 outside连接外部区域安全性低
- 接口的安全的级别
ASADE每个接口都有一个安全级别,范围是0到100,数值越大安全级别越高,当配置接口的名称为inside,安全级别为100,配置其他的接口名称为如outside,级别为0
允许出站outside连接,从高级别到接口低级别接口的流量通过
禁止人站
- 多安全区域
- DMZ概念
①DMZ的概念和作用
DMZ称为隔离区,也称非军事化区,位于企业内部网络和外部网络之间的一个网络区域
②默认访问的规则
DMZ安全级别位于inside和uotside之间,如inside安全区域为100,outside安全区域为0,DMZ的安全区域为20,50,60等。
- ASA的基本配置
配置主机名
ciscoasa(config)# hostname asa(名称)
配置特权密码
asa(config)# enable password 123(密码)
配置远程登录密码
asa(config)# passwd cisco (密码)
配置接口的名称
asa(config-if)# nameif name (inside,outside,dmz)
配置接口的安全级别
asa(config-if)# security-level number (0到100)
配置ACL
ACL有两个作用: 允许入站连接,控制出站连接的流量
配置静态路由
ASA的其他配置
远程连接ASA
配置SSH的连入
以下操作实验
配置所有设备,实现如下要求:
- PC1可以远程管理pc3和pc4
- Pc1可以ping通pc4
- Pc1可以telnet远程管理ASA
- PC4可以telnet远程管理pc1
PC1:
pc1#conf t
pc1(config)#int f0/0
pc1(config-if)#ip add 10.0.0.1 255.255.255.0
pc1(config-if)#no sh
pc1(config-if)#exit
pc1(config)#no ip routing
pc1(config)#ip default-gateway 10.0.0.254
pc1(config)#end
pc1#telnet 192.168.2.100
Trying 192.168.2.100 … Open
User Access Verification
Password:
pc3>exit
pc1#telnet 172.16.1.2
Trying 172.16.1.2 … Open
User Access Verification
Password:
pc4>exit
pc1#conf t
pc1(config)#line vty 0 4
pc1(config-line)#password 123
pc1(config-line)#login
pc1(config-line)#end
PC2:
pc2#conf t
pc2(config)#int f0/0
pc2(config-if)#ip add 20.0.0.1 255.255.255.0
pc2(config-if)#no sh
pc2(config-if)#exit
pc2(config)#no ip routing
pc2(config)#ip default-gateway 20.0.0.254
R1:
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 10.0.0.254 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f1/0
R1(config-if)#ip add 20.0.0.254 255.255.255.0
R1(config-if)#no sh
R1(config-if)#exit
R1(config)#
R1(config)#int f0/1
192.168.1.254 255.255.255.0
R1(config-if)#no sh
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
ASA:
ciscoasa# conf t
ciscoasa(config)#
ciscoasa(config)# int g0
ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# no sh
ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif DMZ
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip add 192.168.2.1 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# int g2
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip add 172.16.1.1 255.255.0.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)#
ciscoasa(config-if)# exit
ciscoasa(config)#
ciscoasa(config)# route inside 10.0.0.0 255.255.255.0 192.168.1.254
ciscoasa(config)# access-list out_to_in permit ip host 172.16.1.2 host 10.0.0.1
ciscoasa(config)# access-group out_to_in in int outside
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# password 123
ciscoasa(config)# enable password 123
ciscoasa(config)# access-list 111 permit icmp any any
ciscoasa(config)# access-group 111 in int outside
PC3:
pc3#conf t
pc3(config)#int f0/1
pc3(config-if)#ip add 192.168.2.100 255.255.255.0
pc3(config-if)#no sh
pc3(config-if)#
pc3(config-if)#exit
pc3(config)#no ip routing
pc3(config)#ip default-gateway 192.168.2.1
pc3#conf t
pc3(config)#line vty 0 4
pc3(config-line)#password 123
pc3(config-line)#login
pc4:
pc4#conf t
pc4(config)#no ip routing
pc4(config)#ip default-gateway 172.16.1.1
pc4(config)#int f0/0
pc4(config-if)#ip add 172.16.1.2 255.255.0.0
pc4(config-if)#no sh
pc4(config-if)#
pc4(config-if)#end
pc4#conf t
pc4(config)#line vty 0 4
pc4(config-line)#password 123
pc4(config-line)#login
pc4(config-line)#
pc4(config-line)#end
pc4#telnet 10.0.0.1
Trying 10.0.0.1 … Open
User Access Verification
Password:
服务器托管,北京服务器托管,服务器租用 http://www.fwqtg.net
机房租用,北京机房租用,IDC机房托管, http://www.e1idc.net
