标签:cisc 启动 报文 int line 检查 trying ip route hostname
今天介绍一下目前Cisco ASA 5500系统常见的六种型号:ASA首先是一个状态化防火墙,用于维护一个关于用户信息的连接表,称为Conn表。表的关键信息:
状态化防火墙进行状态化处理的过程:
①:pc向web服务器发送一个HTTP请求;
②:HTTP请求到达防火墙,防火墙将连接信息添加到Conn表中;
③:防火墙将HTTP请求转发给web服务器。
流量返回时,状态化防火墙处理的过程如下所述;
①:web服务器相应HTTP请求,返回相应的数据流量;
②:防火墙拦截该流量,检查其连接信息:
如果在Conn表中查找到匹配的连接信息,则流量被允许;
如果在Conn表中找不到匹配的连接信息,则流量被拒绝。
ASA使用安全算法执行以下三项基本操作:
访问控制列表;
连接表;
检测引擎。
数据报文穿越ASA的过程:
①:一个新来的TCP SYN报文到达ASA,试图建立一个新的连接;
②:ASA检查访问控制列表,确定是否允许连接;
③:ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接表中创建一个新条目;
④:ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进行下一步应用层检测;
⑤:ASA根据检测引擎确定是否转发或丢弃报文;
⑥:目的主机相应报文;
⑦:ASA接收返回报文并进行检测,在连接数据库中查询连接,确定会话信息与现有连接是否匹配;
⑧:ASA转发属于已建立地现有会话的报文。
ASA对原始报文的处理过程:
接口的名称:
物理名称:用于设置IP地址、双工、速率等信息;
逻辑名称:用来描述安全区域。
安全级别之间互相访问时,默认遵守的规则:
允许出站:允许从高安全级别区域访问低安全级别区域;
禁止入站:不允许低安全级别区域访问高安全级别区域;
禁止同安全级别的区域之间进行通信。
下面我们结合一个实验实例来了解一下如何配置:
下面进行防火墙(ASA)的配置
ciscoasa(config)# hostname ASA
#修改主机名ASA
ASA(config)# int e0/0
ASA(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
#配置e0/0接口的区域为inside区域,默认安全级别是100
ASA(config-if)# ip add 192.168.1.1 255.255.255.0
ASA(config-if)# no sh
#配置IP地址
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
#配置e0/0接口的区域为outside区域,默认安全级别是0
ASA(config-if)# ip add 192.168.2.1 255.255.255.0
ASA(config-if)# no sh
#配置IP地址现在ASA防火墙就已经启动了默认的规则了。
接下来我们配置各个路由器并使用Telnet的方式进行试验效果(状态化防火墙对于ICMP协议不是状态化的)
R2(config)#int f0/0
R2(config-if)#ip add 192.168.1.2 255.255.255.0
R2(config-if)#no sh
R2(config)#line vty 0 4
R2(config-line)#password 123
R2(config-line)#login
#开启Telnet功能
R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
#使用路由器充当PC进行验证,所以得指定默认网关剩下的每个路由器都配置一样;所以就……
接下来在ASA上设置ACL规则
ASA(config)# access-list out_to_in permit ip any any
#设置ACL规则(out_to_in名字自己随便定义)
允许所有基于IP协议的数据包
ASA(config)# access-group out_to_in in int outside
#把ACL规则应用到outside的入方向上。
ASA(config)# access-list 100 permit icmp any any
ASA(config)# access-group 100 in int outside
#允许拼包通过测试
R2#telnet 192.168.2.2
Trying 192.168.2.2 ... Open
User Access Verification
Password:
R2#ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!测试完成!
标签:cisc 启动 报文 int line 检查 trying ip route hostname
原文地址:https://blog.51cto.com/14157628/2399308
