1.Cisco 防火墙简介:
硬件与软件防火墙:
.软件防火墙:
Cisco新版本的IOS软件提供了IOS防火墙特性集,它具有应用层智能状态监测防火墙引擎.
Cisco IOS防火墙特性集提供了一个综合的、内部的安全解决方案,被广泛使用在基于IOS软件的设备上。
.硬件防火墙:
硬件防火墙的优点:
硬件防火墙功能强大,且明确是为了抵御威胁而设计的;
硬件防火墙比软件防火墙的漏洞少。
Cisco硬件防火墙技术应用于以下三个领域:
PIX 500系列安全设备;
ASA 5500系列自适应安全设备;
Catalyst 6500系统交换机和Cisco 7600系统路由器的防火墙服务模块(FWSM,Firewall Services Module);
ASA安全设备:
Cisco ASA 系列5500系列自适应安全设备室最新的cisco防火墙技术产品,它提供了整合防火墙,入侵保护系统(IPS,Intrusion Prevention System)、高级自适应威胁防御服务,其中包括应用安全和简化网络安全解决方案的VPN服务。
2.ASA的安全算法:
状态化防火墙:ASA 是一个状态化防火墙,状态化防火墙维护一个关于用户信息的连接表,称为Conn表。
表中的关键信息:
源IP地址。
目的IP地址。
IP协议(eg:TCP 或UDP)。
IP协议信息(eg:TCP/UDP端口号,TCP序列号,TCP控制位)
默认情况下,ASA对TCP和UDP协议提供状态化连接,但ICMP协议是非状态化的。
状态化防火墙进行状态化处理的过程:
如果在Conn表中查找到匹配的连接信息,则流量被允许。
如果在Conn表中找不到匹配的连接信息,则流量被丢弃。
安全算法的原理:
ASA使用安全算法执行以下三项基本操作:
访问控制列表:基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问。
连接表:维护每个连接的状态信息。安全算法使用此信息在已建立的连接中有效转发流量。
检测引擎:执行状态检测。检测规则集是预先定义的,来验证应用是否遵从每个RFC和其他标准。
穿越过程:
一个新来的TCP SYN报文到达ASA,试图建立一个新的连接;
ASA检查访问列表,确定是否允许连接;
ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接表(XLATE和CONN)中创建一个新条目;
ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进一步执行应用层检测;
ASA根据检测引擎确定是否转发或丢弃报文.如果允许转发,则将报文转发到目的主机;
目的主机响应该报文;
ASA接收返回报文并进行检测,在连接数据库中查询连接,确定会话信息与现有连接是否匹配;
ASA转发属于已建立的现有会话的报文
【ASA的应用层检测是通过检查报文的IP头和有效载荷的内容,对应用层协议流量执行深层检测,检查应用层协议是否遵守RFC标准,从而检测出应用层数据中的恶意行为】
3.ASA的基本配置:
配置主机名和密码:
配置主机名:
ciscoasa> enable
ciscoasa# config terminal
ciscoasa(config)# hostname ASA
配置密码:
ASA(config)# enable password xxx ——配置特权密码
ASA(config)# passwd xxx ——配置远程登录密码
接口的概念与配置:
接口的名称:
物理名称:物理名称与路由器接口的名称类似,通常用来配置接口的速率、双工和IP地址
逻辑名称:逻辑名称用来描述安全区域。
接口的安全级别:
ASA的每个接口���有一个安全级别,范围是0~100,数值越大其安全级别越高。
不同安全级别的接口之间互相访问时,遵循的规则: