企業(yè)級防火墻算法原理與基本配置

企業(yè)級防火墻算法原理與基本配置
多安全區(qū)域
DMZ區(qū)域的概念和作用
DMZ（demilitarzed zone）隔離區(qū)也稱“非軍事化區(qū)”；位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一個網(wǎng)絡(luò)區(qū)域
安全級別位于inside和outside之間
訪問默認(rèn)規(guī)則：高安全級允許訪問低安全級，低安全級禁止訪問高安全級
Tips：應(yīng)用的表示
任何一個應(yīng)用，在數(shù)據(jù)包層面而言，都是通過套接字（傳輸層協(xié)議+端口號）表示
在表示應(yīng)用的過程中，如果僅僅提到一個端口，那么該端口是目標(biāo)端口，源端口就是隨機端口
如果一個應(yīng)用通過2個端口表示，則需要重點區(qū)分哪個是源端口，哪個是目標(biāo)端口（列：DHCP：udp67,68服務(wù)器67，客戶端68）
UPS:不間斷電源（機房弱電工程）

總結(jié)：
安全級別之間的流量控制原則與ACL放行流量的原則：ACL優(yōu)先級高（如果已經(jīng)形成conn條目的流量不收acl控制）
ASA中各種功能表之間的查詢邏輯關(guān)系;

1. 無論是高級別到低級別還是低級別到高級別，當(dāng)流量到到一個端口是，如果端口上有ACL放行相應(yīng)流量，那么：
   i. 查找路由表，確認(rèn)端口，同時形成conn表項，然后發(fā)送出去
   ii. 如果一個流量已經(jīng)被ASA處理，并形成CONN條目錄，那么不受acl表處理
   Tips：ASA上默認(rèn)情況下，相同安全級別之間的端口是不可以通信的，如果要實現(xiàn)通信
   如下命令：same-security-traffic permit inter-interface
   ASA上的NAT
   Nat類型：
   動態(tài)nat
   動態(tài)pat
   靜態(tài)nat
   靜態(tài)pat
   
   
   一般外網(wǎng)地址是自動分配的故使用接口做地址轉(zhuǎn)換
   
   
   
   
   ASA遠(yuǎn)程配置管理：
   
   先配置ASA訪問密碼和enable密碼
   Enable password xxx enable密碼
   Password xxx 登陸密碼
   
   客戶端連接：ssh —l {用戶名}{IP地址}
   
   日志的管理（工作中維護設(shè)備的依據(jù)）
   日志信息的安全級別
   
   配置日志：
   日志信息可以輸出到：log buffer（日志緩沖區(qū)，不建議，斷電清除）
   ASDM;日志服務(wù)器（最好）
   Debugging級別不要輕易使用，會損壞設(shè)備
   ASMD查看日志
   
   
   ASA的日志功能默認(rèn)是關(guān)閉的
   TIPS:時間很重要，最好配置ntp（network time protocol）服務(wù)器
   Show clock 查看時間
   Clock set ？ 配置時間
   一臺核心設(shè)備作為服務(wù)器：nat master
   其他客戶端：nat server IP地址（服務(wù)器）
   可以找一些日志分析軟件：
   
   作業(yè)：
   實驗要求：R1可以telnet ASA防火墻
   R2可以ssh ASA防火墻
   外網(wǎng)使用web訪問
   基礎(chǔ)配置
   端口IP地址，默認(rèn)路由。。。
   ASA配置：
   1.telnet配置：
   Enable password xxx enable 密碼
   Username telent password tel123 本地用戶密碼
   Aaa authentication telnet（選擇協(xié)議） console LOCAL（大寫）
   telnet 192.168.10.0 255.255.255.0 inside 開啟telnet遠(yuǎn)程訪問
   2.ssh配置：
   hostname asa123
   domain-name xxxxx.Com
   cryto key generate（產(chǎn)生） rse modulus （計量單位）1024（默認(rèn)）
   ssh 0 0 outside
   Username ssh password ssh223 本地用戶密碼
   Aaa authentication ssh（選擇協(xié)議） console LOCAL（大寫）
   3.WEB配置
   云的連接：和防火墻之間要加一臺HUB或者交換機
   
   拷貝asdm文件到ASA防火墻目錄disk 0下
   
   http server enable 啟用https服務(wù)
   http 0 0 outside
   asdm image disk0：/asdm-649.bin 提供客戶端下載的ASDM軟件
   username cisco password cisco privilege 15（最高優(yōu)先級，默認(rèn)1）

自己的瀏覽器輸入：asaIP地址，（https）下載客戶端

安裝asdm，需要先安裝JAVA（對應(yīng)的jre-6u45-windows-x64.exe）