第十章 ASA防火墙实验手册含大量案例(破解版) 免费下载.pdfVIP

ASA 试验（一） 制作者： 陈 健 原著作者：陈 健  CCIE#16811 （RS、Security） ­ 1 ­  一、Firewall Overview ­ 3 ­  二、防火墙对流量的控制­ 3 ­  三、Basic Initialization­ 4 ­  3.1  防火墙功能和许可证­ 4 ­  3.2  初始设置（Initial Setup）­ 5 ­  3.3  配置接口参数­ 5 ­  四、IP Routing­ 7 ­  4.1  静态和缺省路由­ 7 ­  4.2  路由图——route­map­ 8 ­  4.3  动态路由协议——RIP和 OSPF­ 8 ­  4.4  实验练习­ 9 ­  五、 ACL ­ 12 ­  5.1  配置 ACL­ 12 ­  5.2  Object Group­ 12 ­  5.2  实验练习­ 14 ­  六、NAT­ 14 ­  6.1  OVERVIEW­ 14 ­  6.2   NAT­Control­ 16 ­  6.3   NAT Bypass ­ 16 ­  6.4  策略 NAT ­ 16 ­  6.5   DNS和 NAT­ 18 ­  6.5  动态 NAT 和 PAT ­ 19 ­  6.6  实验练习­ 21 ­  七、AAA­ 29 ­  7.1  AAA OVERVIEW­ 29 ­  7.2   RADIUS­ 29 ­  7.3  TACACS+­ 30 ­  7.4  ASA 上 AAA 的实现­ 31 ­  7.5  配置 AAA­ 31 ­  7.6  配置可下载 ACL­ 35 ­  7.7  使用 MAC地址免除流量的认证和授权­ 38 ­  7.8  实验练习­ 39 ­ ­ 2 ­  一、Firewall Overview  防火墙技术分为三种：包过滤防火墙、代理服务器和状态包过滤防火墙； 包过滤防火墙，使用 ACL控制进入或离开网络的流量，ACL可以根据匹配包的类型或其他参数 （如：源 IP  地址、目的 IP 地址、端口号等）来制定； 该类防火墙有以下不足，ACL制定的维护比较困难；可以使用 IP 欺骗很容易的绕过 ACL； 代理防火墙，也叫做代理服务器。它在 OSI 的高层检查数据包，然后和制定的规则相比较，如果数据包的内 容符合规则并且被允许，那么代理服务器就代替源主机向目的地址发送请求，从外部主机收到请求后，再转发给 被保护的源请求主机。 代理防火墙的主要缺点就是性能问题，由于代理防火墙会对每个经过它的包都会深度检查，即使这个包以前 检查过，所以说对系统和网络的性能都有很大的影响。 状态包过滤防火墙，Cisco ASA 就是使用状态包过滤的防火墙，该防火墙会维护每个会话的状态信息，这些 状态信息写在状态表里，状态表的条目有：源地址、目的地址、端口号、TCP 序列号信息以及每个 TCP 或 UDP  的额外的标签信息。所有进入或外出的流量都会和状态表中的连接状态进行比较，只有状态表中的条目匹配的时 候才允许流量通过。 防火墙收到一个流量后，首先查看是否已经存在于连接表中，如果没有存在，则看这个连接是否符合安全策 略，如果符合，则处理后将该连接写入状态表；如果不符合安全策略，那么就将包丢弃。 状态表，也叫 Fast Path，防火墙只处理第一个包，后续的属于该连接的包都会直接按照 Fast Path转发，因此 性能就有很高的提升。 二、防火墙对流量的控制 首先我们看一下 TCP 的三次握手中间插入防火墙后的情况： l 源主机发送一个含有 SYN 标记的初始数据包，ASA 收到后，