网络设计防火墙.pptVIP

内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护 IP包过滤技术 包过滤利用定义的特定规则过滤数据包。对防火墙需要转发的数据包，防火墙直接获得其IP源地址、目的地址、TCP/ UDP的源端口、目的端口等包头信息。然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制策略(policy)。 访问控制policy 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）： 状态防火墙包处理流程 防火墙基础—区域 防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域 防火墙基础—区域 防火墙上主要有4个安全区域： 非受信区（Untrust）：低级的安全区域.通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。 非军事化区（DMZ）：中度级别的安全区域。停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允