思科高端防火墙介绍

《思科高端防火墙介绍》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

防火墙2010年4月1 一、防火墙的三种类型1、Packetfiltering（包过滤）2、Proxyserver（代理服务器）3、Statefulpacketfiltering（状态化包过滤）2 1、Packetfiltering（包过滤）3访问控制列表A 2、Proxyserver（代理服务器）特点：两个TCP会话性能低下支持的运用很少(http/https/ftp)工作在OSI模型最高层，是最安全的防火墙4 2、Proxyserver（代理服务器）软件防火墙的主流技术，经常为web流量使用代理服务器5 3、Statefulpacketfiltering（状态化包过滤）特点：为每一个TCP和UDP流维护statefulsessionflowetable（状体化表项）返回数据包首先查询状态化表项，如果是以前连接的一部分，就算被ACL拒绝也可以穿越防火墙状态化表项维护:TCP源目端口，源目IP，序列号。Flag位性能高，硬件防火墙的主流技术6 3、Statefulpacketfiltering（状态化包过滤）7硬件防火墙主流技术，为穿越TCP和UDP流维护状态化表现 1、Demilitarizedzone(非军事化区域)，主要用于连接服务器和VPN设备2、DMZ连接的两种方式：二、DMZ8 3、一种典型的FW连接方式：二、DMZ9 三、CISCOASA产品介绍1、CISCOASA特性介绍：（一）（1）state-of-artstatefulpacketinspectionfirewall(状态监控包过滤)（2）user-basedauthenticationofinboundandoutboundconnections(cut-through)（3）intergratedprotocolandapplicationinspectionenginesthatexaminepacketstreamsatlayers4through7(运用层过滤)10 三、CISCOASA产品介绍1、CISCOASA特性介绍：（二）（1）highlyflexbleandextensiblemodularsecuritypolicyframework(MPF)（2）robustVPNservicesforsecurestie-to-siteandremote-accessconnections(IPSECVPN)（3）clientlessandclient-basedsecuresocketslayer(SSL)VPN(SSLVPN)11 三、CISCOASA产品介绍1、CISCOASA特性介绍：（三）（1）multiplesecuritycontexts(vitualfirewalls)withinasingleappliance(多模式防火墙)（2）statefulactive/activeoractive/standbyfailovercapabilitiesthatensureresilientnetworkprotection(FO)（3）transparentdeploymentofsecurityappliancesintoexistingnetworkenvironmentwithoutrequiringre-addressingofthenetwork(透明防火墙)12 三、CISCOASA产品介绍1、CISCOASA特性介绍：（四）（1）Intuitivesingle-devicemanagementandmonitoringserviceswiththeciscoAdaptiveSecurityDeviceManger(ASDM)andenterprise-classmultidevicemanagementservicesthroughCISCOSecurityManager(图形化界面网管)13 三、CISCOASA产品介绍2、CISCOASA类型：（1）CISCOASA5505两种授权方式：basemodel和SecurityPlusModel►maximumthroughput:150Mb/s►maximumconnections:10,000(25,000securityPlus)►maximumconnections/sec:4,000►maximum3Des/AESthroughput:100Mb/s►maximumVPNsession:10(25securityPlus)►maximumSSLVPNsession:default2,UPto2514 三、CISCOASA产品介绍2、CISCOASA类型：（2）CISCOASA5510两种授权方式:basemodelandsecurityplusmodel►高度：1U►maximumthroughput:300Mb/s►maximumconnections:50,000(130,000securityplus)►maximum3Des/AESthroughput:170Mb/s►maximumVPNsession:250►maximumSSLVPNsession:default2►securitycontext:0/0(base);2/5(securityplus)►VLANS:50(100securityplus)►highavailability:basenotsupport(securityplusA/AA/S)►interface:5fastEthernetports15 三、CISCOASA产品介绍2、CISCOASA类型：（3）CISCOASA5520►高度：1U►maximumthroughput:450Mb/s►maximumconnections:280,000►maximum3Des/AESthroughput:225Mb/s►maximumVPNsession:750►sslvpnsession:default2(10/25/50/100/250/500or750)►securitycontext:default2upto20►VLANs:150►Highavailability:A/AA/S►scalability:VPNclusteringandloadbalancing►interface:4GigabitEthernetand1fastEthernet16 三、CISCOASA产品介绍2、CISCOASA类型：（4）CISCOASA5540►maximumthroughput:650Mb/s►maximumconnections:400,000►maximum3Des/AESthroughput:325Mb/s►maximumVPNsession:5000►SSLVPNsession:default2(10/25/50/100/250/500/750/1000/2500)►securitycontext:default,upto50►VLANs:200►highAvailability:A/AA/S►scalability:vpnclusteringandloadbalancing►interface:4GigabitEthernetand1FastEthernet17 三、CISCOASA产品介绍2、CISCOASA类型：（5）其他►CISCOASA5550►CISCOASA558018 四、Servicemodules（1）ASA可以使用SecurityServicesModule(SSM)扩展功能和特性。SSM能够安装在5510/5520/5540（2）ASA支持下列三种模块：►Advancedinspectionandpreventionsecurityservicesmodule(AIPSSM)(IPS模块)►contentsecurityandcontrolsecurityservicesmodule(CSCSSM)(防病毒、URL过滤、防垃圾邮件)►4-PortGigabitEthernetSSM（3）PIX与ASA区别：►SSLVPN►SSM►VPNclusteringandloadbalancing19 四、Servicemodules（4）VPN加密授权：►DESlicense----provides56-bitDES►3DES/AESlicense----provides168-bit3DES----providesupto256–bitAES（5）清空配置：►清空Startupconfiguration►ASA#writeerase►清空Runningconfiguration►ASA(config)#clearconfigall►重启ASA►ASA#reload20 五、Securitylevel1、特点：（1）从高安全级别接口到低安全级别接口的流量叫outside流量，这种流量默认是允许的（2）从低安全级别接口到高安全级别接口的流量叫inbound流量，这种流量默认是不允许的，但我们可以使用ACL来放行inbound流量（3）相同安全级别的接口之间的流量默认是不允许的，但是可以用命令打开（4）安全级别的范围为0-100（5）默认inside安全级别为100，其余接口默认为021 五、Securitylevel2、流量示意图：22 五、Securitylevel3、配置接口1：（1）配置主机名：Ciscoasa(config)#hostnameASAFW（2）配置Ethernet0/0ASAFW(config)#interfaceethernet0/0ASAFW(config)#ipaddress202.100.1.10255.255.255.0ASAFW(config)#nameifoutsideASAFW(config)#noshutdown23 五、Securitylevel（3）配置Ethernet0/1ASAFW(config)#interfacee0/1ASAFW(config)#noshutdownASAFW(config)#interfacee0/1.3ASAFW(config-subif)#vlan3ASAFW(config-subif)#nameifinsideASAFW(config-subif)#ipaddress10.1.1.10255.255.255.0ASAFW(config-subif)#interfacee0/1.4ASAFW(config-subif)#vlan4ASAFW(config-subif)#nameifMDZASAFW(config-subif)#security-level50ASAFW(config-subif)#ipaddress192.168.1.10255.255.255.024 六、ShowconnASAFW#showconn1inuse,13mostusedTCPoutside202.100.1.1:23inside10.1.1.1:11001,idle0:00:10,bytes116,flagsUIO（1）tcp插口对信息源：10.1.1.1源端口：11001目的：202.100.1.1目的端口：23（2）空闲时间：10秒钟（3）传输字节数：116Flags:U-upI-inbounddataO-outbounddata25 为什么PING不通？（1）ASA默认只对穿越的TCP和UDP流量维护状态化信息（2）Inside发起的ICMPecho包能抵达outside，表示outbound流量默认放行的策略是有效的（3）返回的ICMPecho-reply包被防火墙丢弃，因为inbound流量默认是被绝决的（4）两种解决方案：一、ACL放行；二、监控ICMP流量命令一：access-listoutexendedicmpanyanyAccess-groupoutininoutside命令二：fixupprotocolicmp26 配置静态路由：（1）默认路由：ASAFW(config)#routeoutside00202.1.1.1（2）静态路由：ASAFW(config)#routeinside10.1.10.0255.255.255.010.1.1.1（3）支持做多3条相同目的，相同出接口，用于负载均衡的静态路由27 关于动态路由协议：（1）ASA8.0支持—RIP—OSPF—EIGRP（2）配置方式与IOS安全相同（重分布，路由过滤）（3）ASA8.0所有掩码都为正掩码（ACL.路由通告）28 基本NET配置：Nat(inside)110.1.1.0255.255.255.0Global(outside)1202.1.1.1-202.1.1.10（1）nat定义转换流量源地址和源接口（2）global定义转换目的端口和地址池（3）ID需要对应，并且大于等于129 Showxlate：ASAFW(config)#showxlate1inuse,3mostusedGlobal202.1.1.1llocal10.1.1.1Nat-control：OS>7.x默认nonat-controlOS<7.x默认nat-controlnat-control一旦启用，没有nat不能穿越FWnonat-control在满足安全策略的前提下，无需nat也能穿越FW30 配置时间：（1）手动配置ASAFW(config)#clocktimezoneGMT+8ASAFW#clockset17:51:0013Apr2010（2）NTP配置ntpauthentication-key1md5ciscontpauthenticatentptrusted-key1ntpserver202.10.1.1key1sourceoutsideprefer31 syslog：（1）loggingenable（2）loggingtimestamp（3）loggingtrapwarnings（4）logginghostinside10.1.1.1Nat-control：（1）可以在任何位置使用showrun（2）showrun+特定关键字=查看running配置---showruninterface---showrunnat---showruntunnel-group（3）showrunall+特定关键字=查看详细配置（包括系统默认的配置）---showrunalltunnel–group32 性能监控：（1）showcpuusage（2）showmemory（3）showperfmonmonitortherateofattacksforindividualcontexts(针对虚拟防火墙)查看IP地址和nameif：（1）showipaddress（2）shownameif（3）showinterface（4）showinterfaceipbrief33 Q＆AThankYou!34