您好,登錄后才能下訂單哦!
防火墻技術分類
防火墻技術分為三種:包過濾防火墻,代理防火墻,狀態包過濾
1、包過濾防火墻:使用ACL控制進入或離開的網絡流量,ACL可以匹配包的類型或其他參數(如源IP地址,目的ip地址,端口號等)來制定。該類防火墻有以下不足:
? ACL制定和維護都比較困難
? 可以使用IP欺騙很容易繞過ACL
2、代理防火墻:也叫做代理服務器。他在OSI的高層檢查數據包,然后和制定的規則相比較,如果數據包的內容符合規則并且被允許,那么代理服務器就代替源主機向目的地址發送請求,從外部主機收到請求后,在轉發給被保護的源請求主機。代理防火墻的缺點就是性能問題,由于代理防火墻會對每個經過它的包都會做深度檢查,即使這個包以前檢查過,所以對系統和網絡的性能都有很大的影響。
3、狀態包過濾防火墻:Cisco ASA就是使用的狀態包過濾防火墻,該防火墻會維護每個會話的狀態信息,這些狀態信息寫在狀態表里,狀態表的條目有源地址,目的地址,端口號,TCP序列號信息以及每個tcp或udp的其他的標簽信息。所有進入或外出的流量都會和狀態表中的連接狀態進行比較,只有狀態表中的條目匹配的時候才允許流量通過。防火墻收到一個流量后,首先查看是否已經存在于連接表中,如果沒有存在,則看這個連接是否符合安全策略,如果符合,則處理后將該連接寫入狀態表;如果不符合安全策略,那么就將包丟棄。狀態表也叫Fast path,防火墻只處理第一個包,后續的屬于該連接的包都會直接按照Fast Path轉發,因此性能就有很高的提升。
防火墻功能和許可證:
防火墻出廠的時候自帶有一些基本的功能,如果需要增加一些額外的功能,那么就需要購買許可證(license)激活相應的功能。可以使用show version命令查看目前防火墻擁有的功能列表:
防火墻的許可證類型有:
Unrestricted(UR)--無限制的許可證使得該防火墻所能支持的所有特性全部打開。如無限制的活動連接數,打開防火墻所支持的所有端口,可以使用防火墻的Failover(故障切換功能)等等。
Restricted(R)--限制版,限制防火墻開啟的特性,比如限制活動連接數,使防火墻不支持Failover,限制防火墻支持的最大接口數等;
Failover(FO)--該版本使得防火墻可以作為Secondary設備參與Failover(故障切換);
Failover-active/active(FO-AA)--該版本使得防火墻可以作為secondary設備參與active/active Failover ,同時還要求另一個防火墻使用UR版。
Cisco ASA 安全算法
ASA 處理TCP連接的安全算法
防火墻基礎配置
配置接口參數:
多區域默認的訪問規則:
Inside可以訪問outside。
Inside可以訪問dmz
Dmz可以訪問outside
Dmz不能訪問inside
Outside不能訪問inside
Outside不能訪問dmz.
配置靜態路由
在防火墻模式下,ASA支持靜態和默認路由,ASA只支持RIP和OSPF,因此如果你的網絡運行的是其他的路由協議,那么就要使用靜態路由,使用靜態路由可以節省CPU的負載。ASA在相同的接口,最多支持3條等價靜態路由。
Hostname(config)#route 接口名稱 目標網段 掩碼 下一跳地址
配置ACL
一個ACL是由多個訪問控制條目(Access Control Entries,ACE)組成,一個ACE指明一個permit或deny規則,一個ACE可以根據協議,指定的源地址和目的地址、端口號、ICMP類型等來定義,ACE的執行是按照順序執行的,一旦發現匹配的ACE,那么就不會再繼續往下匹配。
對于TCP和UDP連接,不需要使用ACL來允許返回的流量進入,因為防火墻的安全算法會生成一個連接表來允許這些流量的返回;對于無連接流量,比如ICMP,需要使用ACL來明確允許返回的流量進入防火墻,或者可以打開ICMP審查引擎。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。