您好,欢迎来到网暖!

当前位置:网暖 » 站长资讯 » 建站基础 » 网络技术 » 文章详细 订阅RssFeed

ASA

来源:网络整理 浏览:476次 时间:2019-12-14

防火墙原理
ASA原理与基本配置
防火墙厂商:(国内:山石,天融信,神州数码,深信服,飞塔,华为防火墙; 国外:cisco—asa,Juniper, alo alto,mcafee)

Cisco:PIX——》ASA(V8.4)——————》下一代防火墙(NGFP next-generation fire power)
Asa with firepower service
www.cisco.com
www.huawei.com
防火墙管理:
命令行——telnet/ssh
Web界面——http/https
Asa——asdm:安全设备管理器
WSA——web 防火墙
ESA——邮件防火墙
NG——FMC:firepower manage center

未来的安全市场:

IOT IOE:Internet of

硬件与SOFTware防火墙
software防火墙:IOS
硬件防火墙:PIX,ASA,防火墙模块
ASA
ASA
接口名称
物理名称
逻辑名称:用来
GNS3安装:
1.按照步骤安装软件:
2.更改语言
ASA
ASA
重启软件
3.添加设备
同上,选择QEMU
Tips:路径要全英文,参数默认不要更改
安装好GNS3环境下的ASA模拟器,启动后
要删除预先配置的 “启动配置文件”
Ciscosa>
Ciscosa>enable
Password:
Ciscosa#write erase(清除预先配置)
ASA
Initrd和kernel索引文件如下
ASA
启动时弹出命令框
ASA
不要关闭,最小化处理
Asa重启后
ASA
选择no,interactive (交互式)prompts(提醒,提示)
不小心进入,用ctrl+z退出
ASA防火墙:
作用:
是在网络中用于隔离尾纤流量的。
原理:
通过安全级别(0-100)区分不同的区域(内部,外部,非军事化区域);
默认情况下,高级别的流量可以去往低级别,反之不行(暂时),同级别优先级也不能通信。
部署:
在网路边界或者网络内部等需要进行流量隔离的地方
经典的部署模型:
ISP——FW——GW——CORE-ROUTER——core switch
ISP——GW—outside—FW—inside—CORE-ROUTER——core switch

DMZ(server)
ISP——GW—outside—FW——FW——CORE-ROUTER——core switch
              DMZ(server)配置:
  1. 防火墙的接口,有不同类型的名字:
    a) 物理名字
    b) 逻辑名字:用来描述安全区域列入inside
    i. 如果不配置逻辑名字,那么该端口是不可以使用(比如配置的IP地址)
    c) 如何配置端口逻辑名字:
    i. ASA#configure terminal
    ii. ASA(config)#interface gi 0
    iii. ASA(config-gi0) nameif XX 安全级别默认为0
    iv. 配置IP地址:ip address X.x.x.x 255.255.255.0
    v. 检测:show interface ip brief;show running-configuration interface 1/0
    vi. Show route 查看路由表
    Vii. Show conn 查看conn表
    Tips:有防火墙的拓扑网络中,无法用ping命令测试,可用telnet测试(内网可以telnet外网,外网不行)
    在全局配置模式下Clear configure all 清除所有running配置
    逻辑名字配置为inside时安全级会默认为100;outside安全级别默认0

ASA流量默认转发方向
允许出站:从高安全级别去往低安全级别
禁止入站:从低安全级别去往高安全级别
ASA内部处理流量的方式(这是为什么“ping”不可行的原因)
1、 asa设备仅仅对TCP和UDP流量感兴趣,其他协议流量,默认情况下,全部丢弃
2、 当流量从低级别端口发出时候,如果向高级别发送,直接丢弃
3、 当流量从高级别端口收到后,可以向低级别端口发送
a) 首先将数据包与ASA本地的路由表进行匹配(匹配转发,反之丢弃)
b) 然后在ASA本地的核心工作表(conn表)中形成一个转发条目
4、当流量从低优先级到高安全级别时先查看conn表
ASA工作原理:状态化防火墙维护一个连接表,称为CONN表(控制流量的筛选)
默认情况下,AS对TCP和UDP协议提供状态化连接,icmp协议是非状态化的
类比NAT工作过程
Conn表中关键信息(五元组):
源IP地址
目的IP地址
Ip协议(TCP/UDP )
Ip协议信息(tcp/udp端口号,TCP序列号,tcp控制位)
ASA
ASA

配置:
ASA

推荐站点

  • 腾讯腾讯

    腾讯网(www.QQ.com)是中国浏览量最大的中文门户网站,是腾讯公司推出的集新闻信息、互动社区、娱乐产品和基础服务为一体的大型综合门户网站。腾讯网服务于全球华人用户,致力成为最具传播力和互动性,权威、主流、时尚的互联网媒体平台。通过强大的实时新闻和全面深入的信息资讯服务,为中国数以亿计的互联网用户提供富有创意的网上新生活。

    www.qq.com
  • 搜狐搜狐

    搜狐网是全球最大的中文门户网站,为用户提供24小时不间断的最新资讯,及搜索、邮件等网络服务。内容包括全球热点事件、突发新闻、时事评论、热播影视剧、体育赛事、行业动态、生活服务信息,以及论坛、博客、微博、我的搜狐等互动空间。

    www.sohu.com
  • 网易网易

    网易是中国领先的互联网技术公司,为用户提供免费邮箱、游戏、搜索引擎服务,开设新闻、娱乐、体育等30多个内容频道,及博客、视频、论坛等互动交流,网聚人的力量。

    www.163.com
  • 新浪新浪

    新浪网为全球用户24小时提供全面及时的中文资讯,内容覆盖国内外突发新闻事件、体坛赛事、娱乐时尚、产业资讯、实用信息等,设有新闻、体育、娱乐、财经、科技、房产、汽车等30多个内容频道,同时开设博客、视频、论坛等自由互动交流空间。

    www.sina.com.cn
  • 百度一下百度一下

    百度一下,你就知道

    www.baidu.com