企业级防火墙算法原理与基本配置

原创

wx5d63b9bc143e0 2019-11-10 08:17:29 ©著作权

文章标签 DMZ 远程管理日志维护 asdm 文章分类 数据结构与算法人工智能

©著作权归作者所有：来自51CTO博客作者wx5d63b9bc143e0的原创作品，请联系作者获取转载授权，否则将追究法律责任

企业级防火墙算法原理与基本配置多安全区域 DMZ区域的概念和作用 DMZ（demilitarzed zone）隔离区也称“非军事化区”；位于企业内部网络和外部网络之间的一个网络区域安全级别位于inside和outside之间访问默认规则：高安全级允许访问低安全级，低安全级禁止访问高安全级 Tips：应用的表示任何一个应用，在数据包层面而言，都是通过套接字（传输层协议+端口号）表示在表示应用的过程中，如果仅仅提到一个端口，那么该端口是目标端口，源端口就是随机端口如果一个应用通过2个端口表示，则需要重点区分哪个是源端口，哪个是目标端口（列：DHCP：udp67,68服务器67，客户端68） UPS:不间断电源（机房弱电工程）

总结：安全级别之间的流量控制原则与ACL放行流量的原则：ACL优先级高（如果已经形成conn条目的流量不收acl控制） ASA中各种功能表之间的查询逻辑关系;

无论是高级别到低级别还是低级别到高级别，当流量到到一个端口是，如果端口上有ACL放行相应流量，那么： i. 查找路由表，确认端口，同时形成conn表项，然后发送出去 ii. 如果一个流量已经被ASA处理，并形成CONN条目录，那么不受acl表处理 Tips：ASA上默认情况下，相同安全级别之间的端口是不可以通信的，如果要实现通信如下命令：same-security-traffic permit inter-interface ASA上的NAT Nat类型：动态nat 动态pat 静态nat 静态pat 一般外网地址是自动分配的故使用接口做地址转换 ASA远程配置管理：先配置ASA访问密码和enable密码 Enable password xxx enable密码 Password xxx 登陆密码客户端连接：ssh —l {用户名}{IP地址} 日志的管理（工作中维护设备的依据）日志信息的安全级别配置日志：日志信息可以输出到：log buffer（日志缓冲区，不建议，断电清除） ASDM;日志服务器（最好） Debugging级别不要轻易使用，会损坏设备 ASMD查看日志 ASA的日志功能默认是关闭的 TIPS:时间很重要，最好配置ntp（network time protocol）服务器 Show clock 查看时间 Clock set ？配置时间一台核心设备作为服务器：nat master 其他客户端：nat server IP地址（服务器）可以找一些日志分析软件：作业：实验要求：R1可以telnet ASA防火墙 R2可以ssh ASA防火墙外网使用web访问基础配置端口IP地址，默认路由。。。 ASA配置： 1.telnet配置： Enable password xxx enable 密码 Username telent password tel123 本地用户密码 Aaa authentication telnet（选择协议） console LOCAL（大写） telnet 192.168.10.0 255.255.255.0 inside 开启telnet远程访问 2.ssh配置： hostname asa123 domain-name xxxxx.Com cryto key generate（产生） rse modulus （计量单位）1024（默认） ssh 0 0 outside Username ssh password ssh123 本地用户密码 Aaa authentication ssh（选择协议） console LOCAL（大写） 3.WEB配置云的连接：和防火墙之间要加一台HUB或者交换机拷贝asdm文件到ASA防火墙目录disk 0下 http server enable 启用https服务 http 0 0 outside asdm image disk0：/asdm-649.bin 提供客户端下载的ASDM软件 username cisco password cisco privilege 15（最高优先级，默认1）