企業級防火墻算法原理與基本配置

發布時間：2020-07-17 18:15:51 來源：網絡閱讀：314 作者：wx5d63b9bc143e0 欄目：安全技術

企業級防火墻算法原理與基本配置
多安全區域
DMZ區域的概念和作用
DMZ（demilitarzed zone）隔離區也稱“非軍事化區”；位于企業內部網絡和外部網絡之間的一個網絡區域
安全級別位于inside和outside之間
訪問默認規則：高安全級允許訪問低安全級，低安全級禁止訪問高安全級
Tips：應用的表示
任何一個應用，在數據包層面而言，都是通過套接字（傳輸層協議+端口號）表示
在表示應用的過程中，如果僅僅提到一個端口，那么該端口是目標端口，源端口就是隨機端口
如果一個應用通過2個端口表示，則需要重點區分哪個是源端口，哪個是目標端口（列：DHCP：udp67,68服務器67，客戶端68）
UPS:不間斷電源（機房弱電工程）
企業級防火墻算法原理與基本配置

總結：
安全級別之間的流量控制原則與ACL放行流量的原則：ACL優先級高（如果已經形成conn條目的流量不收acl控制）
ASA中各種功能表之間的查詢邏輯關系;

無論是高級別到低級別還是低級別到高級別，當流量到到一個端口是，如果端口上有ACL放行相應流量，那么：
i. 查找路由表，確認端口，同時形成conn表項，然后發送出去
ii. 如果一個流量已經被ASA處理，并形成CONN條目錄，那么不受acl表處理
Tips：ASA上默認情況下，相同安全級別之間的端口是不可以通信的，如果要實現通信
如下命令：same-security-traffic permit inter-interface
ASA上的NAT
Nat類型：
動態nat
動態pat
靜態nat
靜態pat

一般外網地址是自動分配的故使用接口做地址轉換

ASA遠程配置管理：

先配置ASA訪問密碼和enable密碼
Enable password xxx enable密碼
Password xxx 登陸密碼

客戶端連接：ssh —l {用戶名}{IP地址}

日志的管理（工作中維護設備的依據）
日志信息的安全級別

配置日志：
日志信息可以輸出到：log buffer（日志緩沖區，不建議，斷電清除）
ASDM;日志服務器（最好）
Debugging級別不要輕易使用，會損壞設備
ASMD查看日志

ASA的日志功能默認是關閉的
TIPS:時間很重要，最好配置ntp（network time protocol）服務器
Show clock 查看時間
Clock set ？配置時間
一臺核心設備作為服務器：nat master
其他客戶端：nat server IP地址（服務器）
可以找一些日志分析軟件：

作業：
實驗要求：R1可以telnet ASA防火墻
R2可以ssh ASA防火墻
外網使用web訪問
基礎配置
端口IP地址，默認路由。。。
ASA配置：
1.telnet配置：
Enable password xxx enable 密碼
Username telent password tel123 本地用戶密碼
Aaa authentication telnet（選擇協議） console LOCAL（大寫）
telnet 192.168.10.0 255.255.255.0 inside 開啟telnet遠程訪問
2.ssh配置：
hostname asa123
domain-name xxxxx.Com
cryto key generate（產生） rse modulus （計量單位）1024（默認）
ssh 0 0 outside
Username ssh password ssh223 本地用戶密碼
Aaa authentication ssh（選擇協議） console LOCAL（大寫）
3.WEB配置
云的連接：和防火墻之間要加一臺HUB或者交換機

拷貝asdm文件到ASA防火墻目錄disk 0下

http server enable 啟用https服務
http 0 0 outside
asdm image disk0：/asdm-649.bin 提供客戶端下載的ASDM軟件
username cisco password cisco privilege 15（最高優先級，默認1）