Cisco ASA 基础
一.什么是防火墙
专门用来检测和阻止外网攻击的硬件设备
- 防火墙的作用
检测和阻止外网攻击
- 防火墙的分类
- 硬件防火墙和软件防火墙
从技术上分可以分为:
包过滤防火墙
应用代理型防火墙 实现基于应用层的检测和过滤
复合型防火墙
2.防火墙的工作原理
防火墙主要实现基于状态化的包过滤机制。
状态化指网络层TCP协议中的控制位状态,如 syn=1 表示请求状态 fin=1
Conn表中的关键信息
源IP地址
目的IP地址
IP协议(例如TCP或UDP)
IP协议信息(例如TCP/UDP端口号,TCP序列号,TCP控制位)
表示断开连接的状态等
三.主要实现过程
当内网主机强求外部web或其他服务器服务器使,数据通过防火墙后,记录到防火墙的 conn状态表中,然后防火墙转发。
外网Web服务器回应交给防火墙 防火墙检查自己的conn 看是否有对应的请求信息,如果有允许通过,如果没有拒绝。
外网其他主动发来的信息,防火墙参照conn表 因为没有对应的请求 全部拒绝。
四.ASA的基本检测对象
访问控制列表
基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问
连接表
检测引擎
执行状态检测和应用层检测
五.防火墙配置
防火墙的基本配置
hostname asa //配置主机名
enable password 123 //配置特权模式密码
Password 456 //配置远程访问密码
Int e0/0
nameif inside //配置接口的逻辑名称
Security-level 安全级别号 //配置安全级别 inside 默认 100 outside 默认 0
六.防火墙的默认规则
允许出站
禁止入站
相同优先级的禁止相互访问
防火墙的ACL配置和静动路由配置
防火墙 ACL 配置 可以改变默认规则
允许入站
配置acl 允许外网访问内网
将acl 规则应用到 外接口
控制出战
配置acl 拒绝内网访问外网
将 acl 应用到 内接口
思科防火墙的acl 配置和动静态配置
七.允许入站:
第一步 配置一个ACL 列表
access-list 列表名称 permit ip 外网网段或者主机 内网网段或者主机
第二步 将规则应用到 防火墙外接口
access-group 列表名称 in int outside
控制出站 禁止某些内网网段或者主机访问外网
第一步, 配置一个acl 列表 列出拒绝的网段或主机
access-list 列表名称 deny 内部网段或者主机 外部网段或者主机
access-list 列表名称 permit ip any any
第二步 ,将规则应用到 防火墙内接口
access-group 列表名称 in int inside
八.防火墙配置内部的静态路由
route inside 网段地址 子网掩码 下一跳
配置外网的默认路由
route outside 0.0.0.0 0.0.0.0 下一跳
配置防火墙ospf
route ospf 1
router-id 防火墙标识
network 网段地址 子网掩码 area 区域号
查看防火墙路由表的命令
show route