防火墙的核心思想:阻断,拦截网络,对需要的网络进行放行
硬件与软件防火墙
软件防火墙 IOS
硬件防火墙 PIX(思科的,老的) ASA(PIX的升级版) 防火墙模块
ASA安全设备(也叫ASA防火墙)
ASA5500系列
具备功能:
1防火墙技术(cisco PIX)
2IPS技术(cisco IPS)
3NW-AV(cisco IPS,AV)
4×××(cisco ××× 3000)
5网络智能(思科网络服务)
6应用检测,使用实施,WEB控制(应用安全)
7而已软件,内容防御,异常流量检测(Anti-X防御)
8流量,准入控制,主动相应(网络抑制和控制)
9安全连接(IPSec & SSL ×××)
防火墙的接口名称
1物理名称 G0/0/1
2逻辑名称 用来描述安全区域 例如inside outside
接口安全级别
范围:0-100 数字越大安全级别高,反之越小
inside(内网) 安全级别100
outside(外网) 安全级别0
inside---------防火墙---------outside
不同安全级别的接口之间访问时,遵从的默认规则
1允许出站(outbound)连接
2禁止入站(inbound)连接
3禁止相同安全级别的接口之间通信(两边的安全级别都为50等等)
高安全级别---->低安全级别(是可以访问的)
低安全级别---->高安全级别(是不可以访问的)
例如:公司1楼的保安(防火墙机制),公司内部人员可以通过员工识别卡来进出,但是陌生人则会被阻拦
模拟器全局模式密码:tedu.cn
asa842# conf terminal
asa842(config)# clear config all(清楚之前所有配置)
ciscoasa(config)# int g0(进入g0接口)
ciscoasa(config-if)# nameif inside(为该接口命名)
ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0
ciscoasa(config-if)# security-level 100(设定安全级别)范围0-100
ciscoasa(config-if)#
状态化防火墙维护一个关于用户信息的连接表,称为Conn表
Conn表中的关键信息:
源IP地址
目的IP地址
IP协议(TCP/UDP)
IP协议信息(TCP/UDP的端口号,TCP序列号)
默认情况下,ASA对TCP和UDP协议提供状态化连接(默认情况下。ICMP是非状态化的,因此它不能存在于Conn表中)
Conn表(表内信息有5项,称为五元组)
内部IP地址 IP协议 内部端口 外部IP地址 外部端口
查看防火墙对应接口的nameif名称及相应安全级别
ciscoasa(config)# show nameif
查看防火墙所有接口对应的IP地址及其相关信息
ciscoasa(config)# show ip address
查看ACL访问控制条目对应的详细信息
ciscoasa(config)# show access-list
查看CONN表
ciscoasa(config)# show conn detail
清楚某类功能的命令(例如access
用于低安全级别去访问高安全级别时所需要配置的命令:
ciscoasa(config)#access-list out-to-in permit ip host 192.168.8.1(源IP)host 192.168.1.100(目的IP)
ciscoasa(config)#access-group out-to-in in int outside(为name为outside的接口调用这条ACL)
若为某个网段的话
ciscoasa(config)#access-list out-to-in permit ip 192.168.8.0(源IP网段)255.255.255.0(子网掩码) host 192.168.1.100(目的IP)
查看access条目命令:
ciscoasa(config)# show running-config access-list
查看access条目命令在哪个接口调用命令
ciscoasa(config)# show running-config access-group
显示结果:access-group out-to-in in interface outside
默认情况下,防火墙是不允许ICMP报文穿越ASA的。如果需要ICMP协议(PING)去测试互通,必须为其添加允许ICMP报文穿越ASA。
ciscoasa(config)# access-list ICMP permit icmp any any(ICMP为自定义名称,icmp为指定协议。二者不是一个概念)
应用
access-group ICMP global (实现全网可以通过PING去测试。即全网互通。global是全局的意思,可以理解为全网互通)
防火墙配置静态路由
ciscoasa(config)# route inside(指定接口逻辑名称) 10.1.1.1(目标IP地址) 255.255.255.0 192.168.1.1(下一跳地址)
防火墙查看路由表功能
ciscoasa(config)# show route
DMZ区域的概念和作用
DMZ(DeMilitarized Zone)称为隔离区。也称为非军事化区
位于企业内部网络和外部网络之间的一个网络区域
它的安全级别介于insid与outsid之间
它有6条默认访问规则(其中3条可以,3条不可以)