- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
PIX_ASA_虚拟防火墙配置.
防火墙是在两个或者多个安全区域,利用策略对连接的多个区域之间进行流量控制。纵观防火墙的发展历史,经历了无状态过滤防火墙,应用代理防火墙,基于状态的防火墙以及应用防火墙。
目前防火墙融合了很多功能,例如VPN、远程访问、IDS/IPS、反病毒、内容的深层过滤、负载均衡等。但是丰富了安全功能性,同时也带来了很多挑战性。能不能很好的利用这些功能,需要对网络进行合理的设计。
随着安全的不断发展,客户的要求也在不断的变化,从而提出了很多防火墙的新概念,例如虚拟防火墙、模块策略结构MPF(modular policy framework)、透明防火墙。t
虚拟防火墙概念的提出是因为客户需要对不同的部门进行不同的安全策略控制,而且这些安全策略是独立的。PIX 7.0提出了context,分为admin context 与context,首先配置admin context 对其他context进行配置管理。所有这些context的防火墙是相互独立。admin context是用于创建新的context和改变系统的context,可以看到整个防火墙的syslog。虚拟防火墙能简化网络安全的管理,一台设备实现多台设备的功能,同时也降低了成本。PIX虚拟防火墙虽然能带来一定的功能,但同时也限制了一些功能的使用,虚拟防火墙不支持VPN、web VPN、动态路由协议、组播通信等。每个虚拟防火墙共享一个流量,当一个虚拟防火墙占用了过多流量,那么就会减少其他虚拟防火墙的流量。
模块化策略采用更加灵活的策略过滤,例如PIX 7.0以前的版本只能针对所有的TCP连接或者某一个网段的TCP连接设置最大连接数,而模块化的策略能对具体的TCP协议类型进行更加细化灵活的控制。
应用层防火墙提供了极强的应用层安全性,能对Http等应用层协议的一些具体命令进行过滤,能进行内容过滤,url过滤,能进行状态检查、安全性检查,同时提供了NAT/PAT的支持,动态分配端口号。
应用层防火墙防止基于web的攻击应用非常广泛,因为企业都不会block 80端口,但是很多黑客都利用80端口进行攻击,而且很多软件都走80端口进行数据传输。比如http message等,因此要过滤这些数据需要检查Http message 的数据头是否符合标准的rfc标准或者扩展的方法,如果不符合可以进行阻拦。而且可以检查http包的长度、包的request长度、url长度等进行检查采取相应的动作。还可对ftp 的21端口进行深度检查,通过指定ftp的命令范围防范恶意的攻击。
pix防火墙,TCP穿越防火墙传输采用syn随机化处理,防止外网黑客监听猜测syn number来模仿server建立TCP连接。
透明防火墙是相对于路由模式防火墙而言的。路由防火墙的两边的IP地址是在不同网段的,当用户需要把防火墙加入到网络中时,不想改变两边的网络网段,因此需要个透明防火墙,把两个VLAN桥接在一起。内网与外网的IP地址不做任何变化,都用同一个网关。
透明防火墙能让路由协议通过防火墙,同时也让HSRP、VRRP、GLBP等协议能穿过防火墙,还能让组播协议、 IPX、MPLS、BPDUS等穿过防火墙。透明防火墙的IP地址在作为内部网络的网关而是只用于对防火墙进行管理而用,内网的网关依然是原来的网关。透明防火墙能让防火墙快速的融入到网络中。
防火墙的高可用性,当主防火墙出现问题或者连接中断时,利用state 和 heartbeate两种方法,用heartbeate通知备用防火墙取代主防火墙同时用state把主防火墙在中断前的所有连接信息移植到备用防火墙,从而不用重新建立连接。pix 7.0支持active-active模式的高可用性,是利用虚拟防火墙技术实现的。能对网络的流量进行分流的控制。
我们可以将一个单一的物理防火墙逻辑上分为多个虚拟防火墙,每个虚拟防火墙都是独立的设备,它们有自己独立的安全策略、接口和管理接口;ASA会为每个虚拟防火墙保存一个配置文件,以保存每个虚拟防火墙的这些策略和配置;这些配置文件可以保存在本地,可以保存在外部服务器上;许多特性在多虚拟防火墙模式下都被支持,包括routing table、防火墙特性、IPS以及管理,但是也有一些特性不被支持,包括VPN、组播以及动态路由协议;
Pix防火墙分为单模式——即作为单一物理防火墙,多模式——支持虚拟化防火墙
一、系统配置模式
二、虚拟防火墙配置模式
三、context——可以理解为一个虚拟防火墙
系统配置
在系统配置下,我们可以创建、删除、修改以及管理虚拟防火墙。比如我们在系统配置下面创建虚拟防火墙,并且指定将哪些接口分配给哪些虚拟防火墙等,只有在系统配置下创建了虚拟防火墙后,我们才可以使用
文档评论(0)