硬件防火墙比软件防火墙更有优势:
硬件防火墙功能强大,且明确就是为抵御威胁而设计的;
硬件防火墙比软件防火墙的漏洞少
Cisco硬件防火墙技应用于以下三个领域:
2 PIX 500系列安全设备
2 ASA 5500系列自适应安全设备
2 Catalyst 6500系列交换机和Cisco7000系列路由器的防火墙服务模块
ASA安全设备
ü Cisco ASA 5500系列自适应安全设备提供了整合防火墙、入侵保护系统、高级自适应威胁防御服务,其中包括应用安全和简化网络安全解决方案的VPN服务。
ü ASA 5505,ASA 5510,ASA 5520,ASA 5540,ASA 5550,ASA 5580
ASA的安全算法
状态化防火墙
1. ASA是一个状态化防火墙
2. 状态化防火墙维护一个关于用户信息的连接表,叫Conn表
3. Conn表包含信息有
源IP地址
目的IP地
IP协议(如TCP和UDP)
IP协议信息(例如TCP和UDP端口,TCP序列号,TCP控制位)
4、默认情况下,ASA对TCP和UDP提供状态化连接,对ICMP提供非状态化连接
5、状态化防火墙对状态化处理的过程:
1) PC发起一个HTTP请求给Web服务器
2) HTTP请求到达防火墙,防火墙将连接信息添加到Conn表
3) 防火墙将HTTP请求转发给Web服务器
4) 流量返回时,Web服务器响应HTTP请求,返回相应的数据流量,
5) 防火墙拦截该流量,检查其连接信息,
如果在Conn表中查到匹配的连接信息,则流量被允许;
如果在Conn表中查不到匹配的连接信息,则流量丢弃。
安全算法的原理
1. ASA使用安全算法执行以下三项基本操作
1) 访问控制列表
基于特定的网络、主机和服务控制网络访问
2) 连接表
维护每个练接的状态信息
安全算法使用此信息在已建立的连接中有效转发流量
3) 检测引擎
执行状态检测和应用层检测
检测规则集是预先定义的,来验证应用是否遵从每个RFC和其他标准
2.数据报文穿越ASA的过程
ASA对原始报文的处理:
1) 一个新来的TCP SYN 报文到达ASA,试图建立一个新的练级
2) ASA检查访问控制列表,确定是否允许建立连接
3) ASA执行路由查询,如果路由正确,ASA使用必要的回话信息在连接表中创建一个新条目
4) ASA在检测引擎中检测预义的一套规则,如果是已知应用。则进一步执行应用层检测
5) ASA根据检测引擎决定是否转发或丢弃报文,如果允许转发,则将报文转发到目的主机
ASA对返回报文的处理:
6) 目的主机响应报文
7) ASA接收返回报文并进行检测,在连接数据库中查询连接,确定回话信息与现有连接是否匹配
8) ASA转发属于已建立的现有的会话的报文
ASA的基本配置
配置主机名
Ciscoasa(config)#hostname asa
配置密码
特权密码
Asa(config)#enable password asa
远程登录密码
Asa(config)#passwd asa
接口的概念与配置
接口的名称
v 物理名称
v 逻辑名称,用来描述安全区域
接口的安全级别
u 范围是0-100,数值越大其安全级别越高
u 当配置接口为inside时,其安全级别自动设为100
u 当配置接口为outside时,其安全级别自动设置为0
不同安全级别的接口之间互相访问时,遵循如下默认规则:
允许出站连接
即允许从高安全级别接口到低安全级别接口的流量通过
禁止入站连接
即禁止从低安全级别接口到高安全级别接口的流量通过
禁止相同级别之间的接口之间通信
接口的配置
ü 配置接口的名称
Asa(config-if)#nameif name
ü 配置接口的安全级别
Asa(config-if)#security-level number
ü 查看Conn表
Asa#show conn detail
