防火牆的核心思想:阻斷,攔截網絡,對需要的網絡進行放行
硬件與軟件防火牆
軟件防火牆 IOS
硬件防火牆 PIX(思科的,老的) ASA(PIX的升級版) 防火牆模塊
ASA安全設備(也叫ASA防火牆)
ASA5500系列
具備功能:
1防火牆技術(cisco PIX)
2IPS技術(cisco IPS)
3NW-AV(cisco IPS,AV)
4***(cisco *** 3000)
5網絡智能(思科網絡服務)
6應用檢測,使用實施,WEB控制(應用安全)
7而已軟件,內容防禦,異常流量檢測(Anti-X防禦)
8流量,准入控制,主動相應(網絡抑制和控制)
9安全連接(IPSec & SSL ***)
防火牆的接口名稱
1物理名稱 G0/0/1
2邏輯名稱 用來描述安全區域 例如inside outside
接口安全級別
範圍:0-100 數字越大安全級別高,反之越小
inside(內網) 安全級別100
outside(外網) 安全級別0
inside---------防火牆---------outside
不同安全級別的接口之間訪問時,遵從的默認規則
1允許出站(outbound)連接
2禁止入站(inbound)連接
3禁止相同安全級別的接口之間通信(兩邊的安全級別都爲50等等)
高安全級別---->低安全級別(是可以訪問的)
低安全級別---->高安全級別(是不可以訪問的)
例如:公司1樓的保安(防火牆機制),公司內部人員可以通過員工識別卡來進出,但是陌生人則會被阻攔
模擬器全局模式密碼:tedu.cn
asa842# conf terminal
asa842(config)# clear config all(清楚之前所有配置)
ciscoasa(config)# int g0(進入g0接口)
ciscoasa(config-if)# nameif inside(爲該接口命名)
ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0
ciscoasa(config-if)# security-level 100(設定安全級別)範圍0-100
ciscoasa(config-if)#
狀態化防火牆維護一個關於用戶信息的連接表,稱爲Conn表
Conn表中的關鍵信息:
源IP地址
目的IP地址
IP協議(TCP/UDP)
IP協議信息(TCP/UDP的端口號,TCP序列號)
默認情況下,ASA對TCP和UDP協議提供狀態化連接(默認情況下。ICMP是非狀態化的,因此它不能存在於Conn表中)
Conn表(表內信息有5項,稱爲五元組)
內部IP地址 IP協議 內部端口 外部IP地址 外部端口
查看防火牆對應接口的nameif名稱及相應安全級別
ciscoasa(config)# show nameif
查看防火牆所有接口對應的IP地址及其相關信息
ciscoasa(config)# show ip address
查看ACL訪問控制條目對應的詳細信息
ciscoasa(config)# show access-list
查看CONN表
ciscoasa(config)# show conn detail
清楚某類功能的命令(例如access
用於低安全級別去訪問高安全級別時所需要配置的命令:
ciscoasa(config)#access-list out-to-in permit ip host 192.168.8.1(源IP)host 192.168.1.100(目的IP)
ciscoasa(config)#access-group out-to-in in int outside(爲name爲outside的接口調用這條ACL)
若爲某個網段的話
ciscoasa(config)#access-list out-to-in permit ip 192.168.8.0(源IP網段)255.255.255.0(子網掩碼) host 192.168.1.100(目的IP)
查看access條目命令:
ciscoasa(config)# show running-config access-list
查看access條目命令在哪個接口調用命令
ciscoasa(config)# show running-config access-group
顯示結果:access-group out-to-in in interface outside
默認情況下,防火牆是不允許ICMP報文穿越ASA的。如果需要ICMP協議(PING)去測試互通,必須爲其添加允許ICMP報文穿越ASA。
ciscoasa(config)# access-list ICMP permit icmp any any(ICMP爲自定義名稱,icmp爲指定協議。二者不是一個概念)
應用
access-group ICMP global (實現全網可以通過PING去測試。即全網互通。global是全局的意思,可以理解爲全網互通)
防火牆配置靜態路由
ciscoasa(config)# route inside(指定接口邏輯名稱) 10.1.1.1(目標IP地址) 255.255.255.0 192.168.1.1(下一跳地址)
防火牆查看路由表功能
ciscoasa(config)# show route
DMZ區域的概念和作用
DMZ(DeMilitarized Zone)稱爲隔離區。也稱爲非軍事化區
位於企業內部網絡和外部網絡之間的一個網絡區域
它的安全級別介於insid與outsid之間
它有6條默認訪問規則(其中3條可以,3條不可以)