码迷,mamicode.com
首页 > 编程语言 > 详细

企业级防火墙算法原理与基本配置

时间:2019-11-10 21:21:22      阅读:152      评论:0      收藏:0      [点我收藏+]

标签:debugging   动态nat   work   流量控制   作业   损坏   外网地址   mit   其他   

企业级防火墙算法原理与基本配置
多安全区域
DMZ区域的概念和作用
DMZ(demilitarzed zone)隔离区也称“非军事化区”;位于企业内部网络和外部网络之间的一个网络区域
安全级别位于inside和outside之间
访问默认规则:高安全级允许访问低安全级,低安全级禁止访问高安全级
Tips:应用的表示
任何一个应用,在数据包层面而言,都是通过套接字(传输层协议+端口号)表示
在表示应用的过程中,如果仅仅提到一个端口,那么该端口是目标端口,源端口就是随机端口
如果一个应用通过2个端口表示,则需要重点区分哪个是源端口,哪个是目标端口(列:DHCP:udp67,68服务器67,客户端68)
UPS:不间断电源(机房弱电工程)
技术图片

总结:
安全级别之间的流量控制原则与ACL放行流量的原则:ACL优先级高(如果已经形成conn条目的流量不收acl控制)
ASA中各种功能表之间的查询逻辑关系;

  1. 无论是高级别到低级别还是低级别到高级别,当流量到到一个端口是,如果端口上有ACL放行相应流量,那么:
    i. 查找路由表,确认端口,同时形成conn表项,然后发送出去
    ii. 如果一个流量已经被ASA处理,并形成CONN条目录,那么不受acl表处理
    Tips:ASA上默认情况下,相同安全级别之间的端口是不可以通信的,如果要实现通信
    如下命令:same-security-traffic permit inter-interface
    ASA上的NAT
    Nat类型:
    动态nat
    动态pat
    静态nat
    静态pat
    技术图片
    技术图片
    一般外网地址是自动分配的故使用接口做地址转换
    技术图片
    技术图片
    技术图片
    技术图片
    ASA远程配置管理:
    技术图片
    先配置ASA访问密码和enable密码
    Enable password xxx enable密码
    Password xxx 登陆密码
    技术图片
    客户端连接:ssh —l {用户名}{IP地址}
    技术图片
    日志的管理(工作中维护设备的依据)
    日志信息的安全级别
    技术图片
    配置日志:
    日志信息可以输出到:log buffer(日志缓冲区,不建议,断电清除)
    ASDM;日志服务器(最好)
    Debugging级别不要轻易使用,会损坏设备
    ASMD查看日志
    技术图片
    技术图片
    ASA的日志功能默认是关闭的
    TIPS:时间很重要,最好配置ntp(network time protocol)服务器
    Show clock 查看时间
    Clock set ? 配置时间
    一台核心设备作为服务器:nat master
    其他客户端:nat server IP地址(服务器)
    可以找一些日志分析软件:
    技术图片
    作业:
    实验要求:R1可以telnet ASA防火墙
    R2可以ssh ASA防火墙
    外网使用web访问
    基础配置
    端口IP地址,默认路由。。。
    ASA配置:
    1.telnet配置:
    Enable password xxx enable 密码
    Username telent password tel123 本地用户密码
    Aaa authentication telnet(选择协议) console LOCAL(大写)
    telnet 192.168.10.0 255.255.255.0 inside 开启telnet远程访问
    2.ssh配置:
    hostname asa123
    domain-name xxxxx.Com
    cryto key generate(产生) rse modulus (计量单位)1024(默认)
    ssh 0 0 outside
    Username ssh password ssh123 本地用户密码
    Aaa authentication ssh(选择协议) console LOCAL(大写)
    3.WEB配置
    云的连接:和防火墙之间要加一台HUB或者交换机
    技术图片
    拷贝asdm文件到ASA防火墙目录disk 0下
    技术图片
    http server enable 启用https服务
    http 0 0 outside
    asdm image disk0:/asdm-649.bin 提供客户端下载的ASDM软件
    username cisco password cisco privilege 15(最高优先级,默认1)

自己的浏览器输入:asaIP地址,(https)下载客户端
技术图片
安装asdm,需要先安装JAVA(对应的jre-6u45-windows-x64.exe)

企业级防火墙算法原理与基本配置

标签:debugging   动态nat   work   流量控制   作业   损坏   外网地址   mit   其他   

原文地址:https://blog.51cto.com/14518688/2449169

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!