ASA防火墻學習筆記1-基礎篇

防火墻技術分類
防火墻技術分為三種：包過濾防火墻，代理防火墻，狀態(tài)包過濾
1、包過濾防火墻：使用ACL控制進入或離開的網絡流量，ACL可以匹配包的類型或其他參數（如源IP地址，目的ip地址，端口號等）來制定。該類防火墻有以下不足:
? ACL制定和維護都比較困難
? 可以使用IP欺騙很容易繞過ACL
2、代理防火墻：也叫做代理服務器。他在OSI的高層檢查數據包，然后和制定的規(guī)則相比較，如果數據包的內容符合規(guī)則并且被允許，那么代理服務器就代替源主機向目的地址發(fā)送請求，從外部主機收到請求后，在轉發(fā)給被保護的源請求主機。代理防火墻的缺點就是性能問題，由于代理防火墻會對每個經過它的包都會做深度檢查，即使這個包以前檢查過，所以對系統(tǒng)和網絡的性能都有很大的影響。
3、狀態(tài)包過濾防火墻：Cisco ASA就是使用的狀態(tài)包過濾防火墻，該防火墻會維護每個會話的狀態(tài)信息，這些狀態(tài)信息寫在狀態(tài)表里，狀態(tài)表的條目有源地址，目的地址，端口號，TCP序列號信息以及每個tcp或udp的其他的標簽信息。所有進入或外出的流量都會和狀態(tài)表中的連接狀態(tài)進行比較，只有狀態(tài)表中的條目匹配的時候才允許流量通過。防火墻收到一個流量后，首先查看是否已經存在于連接表中，如果沒有存在，則看這個連接是否符合安全策略，如果符合，則處理后將該連接寫入狀態(tài)表；如果不符合安全策略，那么就將包丟棄。狀態(tài)表也叫Fast path，防火墻只處理第一個包，后續(xù)的屬于該連接的包都會直接按照Fast Path轉發(fā)，因此性能就有很高的提升。

防火墻功能和許可證：
防火墻出廠的時候自帶有一些基本的功能，如果需要增加一些額外的功能，那么就需要購買許可證（license）激活相應的功能?？梢允褂胹how version命令查看目前防火墻擁有的功能列表：

防火墻的許可證類型有：
Unrestricted（UR）--無限制的許可證使得該防火墻所能支持的所有特性全部打開。如無限制的活動連接數，打開防火墻所支持的所有端口，可以使用防火墻的Failover（故障切換功能）等等。

Restricted（R）--限制版，限制防火墻開啟的特性，比如限制活動連接數，使防火墻不支持Failover，限制防火墻支持的最大接口數等；

Failover（FO）--該版本使得防火墻可以作為Secondary設備參與Failover（故障切換）；

Failover-active/active（FO-AA）--該版本使得防火墻可以作為secondary設備參與active/active Failover ,同時還要求另一個防火墻使用UR版。

Cisco ASA 安全算法

• ASA 處理TCP連接的安全算法

  1. 一個內部主機的第一個IP數據包導致一個轉換槽的產生，這個信息會被保留在內存中，用來檢查以后的數據包，做地址轉換，然后防火墻利用TCP內的相關信息來建立一個連接槽
  2. 這個連接被標記為"未完成"是一個TCP的半開連接。
  3. 防火墻隨機產生一個用于連接的初始序列號，并且將數據包轉發(fā)到外連接口。
  4. 在這一步，防火墻期待從目的主機收到一個同步確認包（syn/ack）,然后防火墻將收到的包的相關信息依照連接槽內存儲的信息進行匹配，計算信息的先后順序，并將返回的數據包轉發(fā)到內部主機。
  5. 內部主機通過發(fā)送一個ACK完成了連接建立和3次握手。
  6. 防火墻上的連接槽被標記為connected或者active-established。這時就可以發(fā)送數據了。連接的"未完成"計數器也將被重置。
     以上是防火墻處理TCP連接的安全算法。
• ASA處理UDP連接的安全算法
  1. 防火墻從內部主機收到第一ip數據包，在檢驗已經配置好的轉換設置后，防火墻將會創(chuàng)建一個轉換槽，它將保存這個信息在內存中用來檢查以后的數據包流。然后，防火墻利用UDP內的相關信息建立一個UDP連接槽。
  2. 在用戶配置的UDP timeout時間內，防火墻將會維護這個UDP連接槽。但是當UDP連接槽的idle時間超出所配置的UDP timeout時間，就會從連接表中刪除。
  3. 在UDP的timeout周期內，防火墻執(zhí)行適應性安全算法（ASA）對 從目的主機收到的UDP數據包進行全狀態(tài)檢查。
  4. 如果返回的UDP數據包完全匹配并且沒有超時，那么這個數據將被傳回內部主機。
     最后要注意，ASA的所有安全策略都是應用到狀態(tài)連接中，因此要首先生成一個連接表，然后才會比較安全策略等內容。
     UDP的一些特性
  5. UDP是一個不可靠（無連接的），但卻很高效的傳輸協(xié)議，其不可靠體現(xiàn)在它不提供傳輸的確認。
  6. 偽造UDP數據包很容易，因為他沒有握手和序列的機制。由于沒有狀態(tài)機制，所以傳輸的發(fā)起者或者當前的狀態(tài)經常不確定。
  7. UDP不提供傳輸保障
  8. 沒有連接的建立和中止。
  9. UDP沒有擁塞管理和避免機制
  10. 使用UDP的服務通常被分為兩類：
      ○ 請求-回應，或稱之為乒乓服務。例如域名服務（DNS）
      ○ 流服務，例如視頻，VOIP，網絡文件系統(tǒng)（NFS）

防火墻基礎配置

配置接口參數：

1. Security level 對asa/pix來講，每個接口都必須有一個安全級別，安全級別是0到100之間的數字，0代表低安全級別，100代表高安全級別；
2. 默認情況下，所有從高安全級別接口到低安全級別接口的流量都是允許的，所有從低安全級別接口到高安全級別接口的流量都是被拒絕的，都需要使用ACL來允許想要允許的流量；當然，高安全級別接口到低安全級別接口的流量也可以通過ACL來控制。
3. 默認情況下，相同安全級別接口之間不允許通信，可以使用命令
   Hostname(config)#same-security-traffic permit inter-interface來允許相同安全級別接口之間互相通信
   對于防火墻的任何接口，都必須配置以下內容：
   • Name
   • Ip address
   • Security level

   • 多區(qū)域默認的訪問規(guī)則:
     Inside可以訪問outside。
     Inside可以訪問dmz
     Dmz可以訪問outside
     Dmz不能訪問inside
     Outside不能訪問inside
     Outside不能訪問dmz.

配置靜態(tài)路由
在防火墻模式下，ASA支持靜態(tài)和默認路由，ASA只支持RIP和OSPF，因此如果你的網絡運行的是其他的路由協(xié)議，那么就要使用靜態(tài)路由，使用靜態(tài)路由可以節(jié)省CPU的負載。ASA在相同的接口，最多支持3條等價靜態(tài)路由。
Hostname(config)#route 接口名稱 目標網段 掩碼 下一跳地址

配置ACL
一個ACL是由多個訪問控制條目（Access Control Entries,ACE）組成，一個ACE指明一個permit或deny規(guī)則，一個ACE可以根據協(xié)議，指定的源地址和目的地址、端口號、ICMP類型等來定義，ACE的執(zhí)行是按照順序執(zhí)行的，一旦發(fā)現(xiàn)匹配的ACE,那么就不會再繼續(xù)往下匹配。
對于TCP和UDP連接，不需要使用ACL來允許返回的流量進入，因為防火墻的安全算法會生成一個連接表來允許這些流量的返回；對于無連接流量，比如ICMP，需要使用ACL來明確允許返回的流量進入防火墻，或者可以打開ICMP審查引擎。