防火墻原理
ASA原理與基本配置
防火墻廠商：（國內：山石，天融信，神州數(shù)碼，深信服，飛塔，華為防火墻； 國外：cisco—asa，Juniper， alo alto，mcafee）

創(chuàng)新互聯(lián)公司是一家專注網(wǎng)站建設、網(wǎng)絡營銷策劃、重慶小程序開發(fā)、電子商務建設、網(wǎng)絡推廣、移動互聯(lián)開發(fā)、研究、服務為一體的技術型公司。公司成立十年以來，已經(jīng)為上1000家辦公空間設計各業(yè)的企業(yè)公司提供互聯(lián)網(wǎng)服務。現(xiàn)在，服務的上1000家客戶與我們一路同行，見證我們的成長；未來，我們一起分享成功的喜悅。

Cisco：PIX——》ASA（V8.4）——————》下一代防火墻（NGFP next-generation fire power）
Asa with firepower service
www.cisco.com
www.huawei.com
防火墻管理：
命令行——telnet/ssh
Web界面——http/https
Asa——asdm：安全設備管理器
WSA——web 防火墻
ESA——郵件防火墻
NG——FMC:firepower manage center

未來的安全市場：

IOT IOE：Internet of

硬件與SOFTware防火墻 software防火墻：IOS 硬件防火墻：PIX,ASA,防火墻模塊 接口名稱 物理名稱 邏輯名稱：用來 GNS3安裝： 1.按照步驟安裝軟件： 2.更改語言 重啟軟件 3.添加設備 同上，選擇QEMU Tips：路徑要全英文，參數(shù)默認不要更改 安裝好GNS3環(huán)境下的ASA模擬器，啟動后 要刪除預先配置的 “啟動配置文件” Ciscosa> Ciscosa>enable Password: Ciscosa#write erase(清除預先配置) Initrd和kernel索引文件如下 啟動時彈出命令框 不要關閉，最小化處理 Asa重啟后 選擇no，interactive （交互式）prompts（提醒，提示） 不小心進入，用ctrl+z退出 ASA防火墻： 作用： 是在網(wǎng)絡中用于隔離尾纖流量的。 原理： 通過安全級別（0-100）區(qū)分不同的區(qū)域（內部，外部，非軍事化區(qū)域）； 默認情況下，高級別的流量可以去往低級別，反之不行（暫時），同級別優(yōu)先級也不能通信。 部署： 在網(wǎng)路邊界或者網(wǎng)絡內部等需要進行流量隔離的地方 經(jīng)典的部署模型： ISP——FW——GW——CORE-ROUTER——core switch ISP——GW—outside—FW—inside—CORE-ROUTER——core switch

DMZ（server） ISP——GW—outside—FW——FW——CORE-ROUTER——core switch

              DMZ（server）

配置：

1. 防火墻的接口，有不同類型的名字：
   a) 物理名字
   b) 邏輯名字：用來描述安全區(qū)域列入inside
   i. 如果不配置邏輯名字，那么該端口是不可以使用（比如配置的IP地址）
   c) 如何配置端口邏輯名字：
   i. ASA#configure terminal
   ii. ASA（config）#interface gi 0
   iii. ASA（config-gi0） nameif XX 安全級別默認為0
   iv. 配置IP地址：ip address X.x.x.x 255.255.255.0
   v. 檢測：show interface ip brief；show running-configuration interface 1/0
   vi. Show route 查看路由表
   Vii. Show conn 查看conn表
   Tips：有防火墻的拓撲網(wǎng)絡中，無法用ping命令測試，可用telnet測試（內網(wǎng)可以telnet外網(wǎng)，外網(wǎng)不行）
   在全局配置模式下Clear configure all 清除所有running配置
   邏輯名字配置為inside時安全級會默認為100；outside安全級別默認0

ASA流量默認轉發(fā)方向
允許出站：從高安全級別去往低安全級別
禁止入站：從低安全級別去往高安全級別
ASA內部處理流量的方式（這是為什么“ping”不可行的原因）
1、 asa設備僅僅對TCP和UDP流量感興趣，其他協(xié)議流量，默認情況下，全部丟棄
2、 當流量從低級別端口發(fā)出時候，如果向高級別發(fā)送，直接丟棄
3、 當流量從高級別端口收到后，可以向低級別端口發(fā)送
a) 首先將數(shù)據(jù)包與ASA本地的路由表進行匹配（匹配轉發(fā)，反之丟棄）
b) 然后在ASA本地的核心工作表（conn表）中形成一個轉發(fā)條目
4、當流量從低優(yōu)先級到高安全級別時先查看conn表
ASA工作原理：狀態(tài)化防火墻維護一個連接表，稱為CONN表（控制流量的篩選）
默認情況下，AS對TCP和UDP協(xié)議提供狀態(tài)化連接，icmp協(xié)議是非狀態(tài)化的
類比NAT工作過程
Conn表中關鍵信息（五元組）：
源IP地址
目的IP地址
Ip協(xié)議（TCP/UDP ）
Ip協(xié)議信息（tcp/udp端口號，TCP序列號，tcp控制位）

配置：

當前題目：ASA
鏈接分享：http://chinadenli.net/article20/goeejo.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、軟件開發(fā)、營銷型網(wǎng)站建設、手機網(wǎng)站建設、網(wǎng)站維護、定制開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)