第二章防火墙硬件防火墙.pptVIP

防火墙 Cisco PIX和ASA防火墙 学习任务 了解Cisco PIX和ASA防火墙基础 掌握PIX的基础配置 掌握PIX基本的NAT配置 理解Cisco PIX和ASA的访问控制 重点与难点 重点 了解CiscoIOS防火墙特性 理解状态包过滤 难点 配置实现CiscoIOS防火墙 Cisco PIX和ASA防火墙概述 Cisco PIX和ASA Cisco安全设备提供了企业级别的安全,其可以用于小型,中型的商务公司和企业网络: 专用的操作系统 状态包检测 基于用户的认证 协议和应用的检测 模块化的策略框架 虚拟防火墙特性 虚拟私用网络VPN Failover特性 透明防火墙 基于WEB的管理解决方案 状态包检测 状态包检测提供了状态型连接安全性. 其跟踪源和目标端口和地址,TCP的序列号和附加的TCP的标记. 为每个连接随机产生的TCP的序列号 默认情况下,状态包检测算法允许起源自内网主机的通讯. 另外,状态包检测算法会丢弃来自外部不安全网络的连接数据包 状态包检测算法同时还支持认证,授权和计费高级特性. Cut-Through Proxy Operation 协议和应用的检测 类似于FTP,HTTP,H.323和SQL的连接需要协商连接并且动态在防火墙上启用源和目标端口. 防火墙在网络层上检测数据包获取会话信息. 防火墙为通过其自己的连接开启合法的client-server的连接端口. 虚拟私用网络VPN 虚拟防火墙特性 能够在一个防火墙上创建多个虚拟防火墙. 透明桥 可以将安全防火墙部署为透明桥模式 提供了丰富的二到七层的安全服务. 基于WEB的管理解决方案 Cisco PIX ASA 设备 PIX 525前置面板 PIX 525背板接口 ASA 5550 前置面板 ASA 5550 背板接口 基本的用户操作接口 访问模式 Cisco防火墙三种主要的管理访问模式: 无特权 特权 配置 特权模式 进入特权模式 全局配置模式 进入全局配置模式 帮助命令 文件系统管理 查看和保存配置 如下命令可以让您查看或保存配置: copy run start show running-config show startup-config write memory write terminal 清除 Running Configuration 清除 Startup Configuration 重载配置 重启防火墙同时载入配置 可以配置计划任务的重启 文件系统 查看文件系统 查看目录内容 选择系统引导文件 能够存储一个或多个系统镜像文件 指定那个文件在下一次系统启动时被加载 确认启动镜像文件 Display the system boot image. 安全级别 防火墙设备: 安全算法 用于实现通过安全设备的状态型连接控制. 通过配置允许one-way (outbound)连接数量.出站的连接是指源自于受保护网络的主机到不安全的外部网络. 监测返回的数据包以确保其有效性. 随机的TCP序列号以最小化受到网络攻击可能. 安全级别示例 防火墙基本配置 基本命令行 配置主机名 接口命令 配置接口命名 配置接口IP地址 为接口配置IP地址 配置接口自动获取地址 配置接口的安全级别 为接口配置安全级别 同级别的端口通讯 能够让相同级别端口之间进行通讯,或者能够让数据进入离开相同的接口. 配置接口的速率和双工模式 配置管理接口 Disables management-only mode (for ASA 5520, 5540 and 5550) 启用和禁用接口 配置基本的NAT 网络地址转换 启用NAT nat Command 启用IP地址转换 global Command 当内部网络主机访问到外网时,基与nat命令共同工作,用于分配公网的或已注册的IP地址给内部主机. 配置静态路由 为接口定义静态或默认路由 配置名称到IP地址映射 配置名称到IP地址的映射 查看NAT配置 查看nat global配置 查看nat转换项 查看路由 使用ping命令 确定目标主机是否处于active状态 路由跟踪 配置示例 配置示例 (Cont.) 配置示例 (Cont.) 确认防火墙状态 查看当前配置和接口信息 查看内存使用 查看CPU使用率 查看系统版本 查看IP地址信息 查看接口命名信息 总结 你都掌握了吗？ Cisco PIX和ASA防火墙基础 PIX的基础配置 Cisco PIX和ASA的访问控制 结束语 nat-control nat (inside) 1 0 0 global (outside) 1 0-5