《网络设计-CISCO防火墙.ppt》由会员分享,可在线阅读,更多相关《网络设计-CISCO防火墙.ppt(65页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护 简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻 击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如
2、Ethernet、Token Ring、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。连接不受信网络区域连接受信网络区域在连接受信网络区域和非受信网络区域之间的区域,一般称为DMZ。防火墙的概念防火墙的硬件发展过程:1、一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2、采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防护的一些基本特性构成硬件防火墙产品形态。国内大部分防火墙产品都是采用这种方式开发
3、。从外观上面看,该种防火墙是一个硬件防火墙产品,但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。代表产品有天融信公司的防火墙产品3、采用独立设计的硬件结构,在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构,保证防火墙产品可以得到最优的处理性能。代表产品有junipher公司的CISCO 208产品、CISCO 500等防火墙产品。防火墙的发展历程A的报文如何能最快的到B?网络A如何和网络B互联互通?过来一个报文立刻转发一个报文。网络A 网络B交流路由信息这个访问是否允许到B?这个TCP连接是合法连接吗?这个访问是否是一个攻击行为?路由器的特点:保证互联互通。按照最长匹配
4、算法逐包转发。路由协议是核心特性。防火墙的特点:逻辑子网之间的访问控制,关注边界安全基于连接的转发特性。安全防范是防火墙的核心特性。由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点,因此路由器设备不适合做非常复杂的业务,复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备,支持高速、安全、丰富的业务特性。防火墙和路由器的差异按照防火墙实现的方式,一般把防火墙分为如下几类:包过滤防火墙(Packet Filtering)包
5、过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。代理型防火墙(application gateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于
6、动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品为状态检测防火墙。防火墙的分类IP包过滤技术 包过滤利用定义的特定规则过滤数据包。对防火墙需要转发的数据包,防火墙直接获得其IP源地址、目的地址、TCP/UDP的源端口、目的端口等包头信息。然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制策略(policy)。Internet公司总部内部网络未授权用户办事处访问控制policy 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):IP报头 TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说,这5个元素组成了一个
7、TCP相关,访问控制列表就是利用这些元素定义的规则 状态防火墙通过检测基于TCP/UDP连接的连接状态,来动态的决定报文是否可以通过防火墙。在状态防火墙中,会维护着一个Session表项,通过Session表项就可以决定哪些连接是合法访问,哪些是非法访问。状态检测技术状态防火墙包处理流程防火墙基础区域防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4 防火墙上主要有4个安全区域:非受信区(Untrust):低级的安全区域.通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域
8、想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。非军事化区(DMZ):中度级别的安全区域。停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。受信区(Trust):较高级别的安全区域.通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。管理区域(MGT):管理区 此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。防火墙基础区
9、域Ethernet外部网络EthernetCISCOASA5510ServerServerTrustUntrustDMZethernet3/1ethernet3/2ethernet2/1内部网络防火墙基础区域防火墙基础转发规则路由器的安全规则定义在接口上,而防火墙的安全规则定义在安全区域之间不允许来自的数据报从这个接口出去Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4禁止所有从DMZ区域的数据报转发到UnTrust区域 域间的数据流分两个方向:入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;出方向(outbound):数据由高级别
10、的安全区域向低级别的安全区域传输的方向。MGT区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOut防火墙基础转发规则 本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃 接口没有加入域之前不能转发报文Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOut防火墙基础转发规则路由模式透明模式混合模式防火墙基础模式分类防火墙基础路由模式可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到
11、进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。防火墙基础透明模式透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备处于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。防火墙基础混合模式混合模式是指防火墙一部份接口工作在透明模式,另一部分接口工作在路由模式。提出混合模式的概念,主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热
12、备份所依赖的VRRP需要在接口上配置IP地址,而透明模式无法实现这一点。目前很多新型防火墙已经支持透明模式下的双机热备。防火墙基础双机热备什么是双机热备?所谓双机热备其实是双机状态备份,当两台防火墙,在确定主从防火墙后,由主防火墙进行业务的转发,而从防火墙处于监控状态,同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息,当主防火墙出现故障后,从防火墙会及时接替主防火墙上的业务运行。内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护CISCO ASA5500系列
13、防火墙简介 Cisco ASA 5500 系列自适应安全设备是思科专门设计的解决方案,能够将最高的安全性和VPN服务与全新的自适应识别和防护(AIM)有机的结合在一起。Cisco ASA 5500 系列能夠在一个平台中提供多种已经过市场验证的技术,无论从技术角度还是从经济角度看,都能夠为多个地点部署各种安全服务。利用其多功能安全元件,企业几乎不需要作任何两难选择,既可以提供强有力的安全保护,又可以降低在多个地点部署多台设备的运营成本。ASA5500 系列特性与优势 专用的实时嵌入式操作系统(不易被攻击),ASA 自适应安全算法。经过市场验证的安全性VPN功能 全特性、高性能的防火墙,入侵防范(
14、IPS),网络防病毒和IPSec/SSL VPN 技术提供了强大的应用安全性,基于用户和应用的访问控制,蠕虫与病毒抑制,恶意代码防护以及远端用户/站点连接。独特的自适应识别与防护架构利用高度可定制的针对流的安全策略,企业能夠适应和扩展 Cisco ASA 5500系列的安全服务组合。安全策略允许企业根据应用要求定制安全需求,并通过用户可安裝的安全服务模块(SSM)提供性能和安全服务可扩展性,降低部署和运营成本 这种多功能的设备可实现平台、配置和管理的标准化,从而降低部署与日常运营成本。Interface Module Bays4个 EthernetManagementConsoleCISCO
15、ASA5500系列防火墙简介2个USB参数 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540用户数/节点数 无限制 无限制 无限制带宽吞吐率 高达300 Mbps 高达450 Mbps 高达650 Mbps3DES/AES IPSec VPN吞吐率(安全过滤带宽)高达170 Mbps 高达225 Mbps 高达325 MbpsIPSec VPN 对 50/150*300/750*500/2,000*/5,000*WebVPN 对 50/150*300/750*500/1,250*/2,500*最大连接数量 32,000/64,000*130,000 28
16、0,000最大连接数量/秒 6,000 9,000 20,000集成单元3+1 个快速以太网口 4 个千兆以太网口 4 个千兆以太网口高可用性支援 主用/备用*主用/主用和主用/备用 主用/主用和主用/备用SSM 扩展插槽 1个 1个 1个ASA5500 系列性能参数Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540处理器 1.6 GHz 2.0 GHz 2.0 GHz存储器 256 MB 512 MB 1024 MBFLASH 64 MB 64 MB 64 MB缓存 256 KB 256 KB 512 KBASA5500 系列技术规格内容 防火墙基础知识
17、 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护ISMP平台防火墙的典型组网方式内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护ASA5510防火墙配置规划 主机名规划 区域及接口用途规划 IP地址规划 路由规划 地址映射规划 安全策略规划 SNMP、NTP、DNS、LOG及其它 主机名规划ISMP 工程中防火墙设备主机名命名方案统一规划为:省名+ISM
18、P+设备型号_To 外网名_ 序号本次工程中CISCO 防火墙型号只有ASA5510 一种。例:安徽电信ISMP 平台连接163 公网的2 台防火墙分别命名为 AH_ISMP_ASA5510_To163_1 AH_ISMP_ASA5510_To163_2区域及接口用途规划区域(Zones):简单网络只需要trust、untrust、DMZ、HA等。在ISMP系统防火墙上,可以把ISMP系统放置于Trust区,ISMP平台所连接的电信外围设备放置于DMZ区,Internet放置于Untrust区。接口(Interface):ASA5510共有 1个业务插槽,接口命名及用途规划参考IP地址规划。规
19、划接口用途时应考虑双机热备的心跳接口。IP地址规划接口类型 接口名称 IP/Netmask 区域 VirtualRouter 用途电口 Ethernet0/0 0.0.0.0/0 HA trust-vr STATE Failover电口 Ethernet0/1 0.0.0.0/0 HA trust-vr LAN Failover电口 Ethernet0/2-电口 Ethernet0/3-千兆单模 GigabitEthernet1/0 61.192.194.1/29 Untrust Trust-vr ToDCN千兆单模 GigabitEthernet1/0-千兆多模 GigabitEtherne
20、t1/0 172.18.128.9/29 trust Trust-vr To Inside千兆多模 GigabitEthernet1/0 暂无 DMZ Trust-vr To DMZ电口 Management0/0 192.168.1.5/24 mgt Trust-vr 带外管理口路由规划简单情况只需要配置inside/outside 方向的静态路由,复杂情况,可启用动态路由协议。地址映射规划 在ISMP平台应用中,各接口机和门户服务器需做地址映射以提供网外访问。示例如下:主机名 IP 主机说明163 mappedIPDCN mappedIPismp_db172.18.129.10/27数据库
21、主机61.132.240.70 134.64.104.10db_cc172.18.129.11/27数据库/控制中心备机61.132.240.71 134.64.104.11ismp_cc172.18.129.12/27控制中心主机61.132.240.72 134.64.104.12pkg_db172.18.129.13/27数据库浮动IP61.132.240.73 134.64.104.13pkg_cc172.18.129.14/27控制中心浮动IP61.132.240.74 134.64.104.14cell_manager172.18.129.20/27DP备份软件管理机61.132.
22、240.68 134.64.104.20ismp_test172.18.129.9/27ISMP测试系统61.132.240.69 134.64.104.9ismp_skt172.18.129.40/27接口机主机61.132.240.80 134.64.104.40skt_ptl172.18.129.41/27接口机/门户机备机61.132.240.81 134.64.104.41ismp_ptl172.18.129.42/27门户机主机61.132.240.82 134.64.104.42skt172.18.129.43/27接口机浮动IP61.132.240.83 134.64.104.
23、43ptl172.18.129.44/27门户机浮动IP61.132.240.84 134.64.104.44安全策略规划一设备登录控制 网络设备配置需要保护,防止非授权访问非常重要。各种登录账户、权限需求在实施配置前也必须进行详细调研规划。可主要考虑console、telnet、SSH、WEBUI等授权访问方式中的登录账户、权限及密码规划。安全策略规划二业务访问控制主机内网IP 公网IP开放端口 备注 WEB SERVICE172.18.131.200 61.132.240.100 9081PCS 维护台1 172.18.131.181 61.132.240.97 5631、5632PCS
24、维护台2 172.18.131.182 61.132.240.98 5631、5632PCS 维护台3 172.18.131.183 61.132.240.99 5631、5632门户服务器172.18.131.206 61.132.240.101 80、8080、8181、5631、5632SMC160 172.18.136.16061.132.240.102 134.64.104.1315016、5631、56323G SCP 172.18.136.243 61.132.240.103 5631、5632LCS OMM 172.18.139.133 61.132.240.104 5631、
25、5632短信网关172.18.136.177/2261.132.240.105 134.64.104.1305631、5632SNMP、NTP、DNS、LOG等 SNMP:简单网络管理协议。需要规划确认只读、可写字符串(community),SNMP trap的IP地址等信息。NTP:时钟同步。ntp server最好设置一个主用时钟,一个备用时钟。Logging:日志系统。需要规划确认日志服务器的IP地址及日志接收级别。DNS:域名系统。ISMP平台一般不需要。设备域名后缀。ISMP平台一般不需要。其他(略)内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型
26、组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护ASA5510防火墙基本配置步骤配置模式常用管理性配置接口配置地址转换配置(NAT)路由配置静态地址影射(static)访问控制列表(ACL)安全策略配置(Policy)双机冗余配置(Failover)ASA5500系列防火墙装载Cisco ASA 7.0或更高版本,在配置模式上和以前的PIX系列有很大的不同。它更接近于Cisco IOS,也提供5种配置模式:1)非特权模式 防火墙开机自检后,就是处于这种模式。系统显示为firewall 2)特权模式 输入enable进入特权模式,可以改变当前配置。
27、显示为firewall#3)配置模式 输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为firewall(config)#。后文如无特殊说明,均指在此配置模式下的命令操作。4)子接口模式 和大多交换机路由器一样,ASA5500系列具有interface、class-map、policy-map等子接口模式。(config)#interface GigabitEthernet1/1(config-if)#5)监视模式 防火墙在开机或重启过程中,按住Escape键或发送一个“Break”字符,进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monit
28、or 防火墙配置模式 Hostname:hostname AH-ISMP-ASA5510-ToDCN-1 Password:enable password*encrypted/默认密码已被加密 Http Server:http server enable/开启web配置界面 http 192.168.1.0 255.255.255.0 management http 172.18.129.0 255.255.255.0 inside/inside区可web访问网段常用管理性配置 I Logging:至少需要配置日志服务器的IP地址及日志接收级别。logging enable/开启log服务 l
29、ogging timestamp/log信息带时间戳 logging standby/Log双机信息 logging trap warnings/设置Log信息级别 logging asdm warnings/asdm模块硬件故障 logging console warnings/设置console口log信息级别 logging host inside 172.18.129.100/设置接受Log信息的主机IP Telnet:telnet 172.18.129.0 255.255.255.0 inside/指定允许访问的网段 telnet 202.18.118.0 255.255.255.0
30、 outside telnet timeout 5/定义超时时间常用管理性配置 II注:当从外部接口要telnet到防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置一条到另外一台防火墙,路由器或vpn客户端的ipsec隧道。SSH:默认ssh服务是打开的 ssh scopy enable/session复制功能 ssh 172.18.128.0 255.255.255.0 inside/定义内网可访问网段 ssh 0.0.0.0 outside/定义外网可访问网段 ssh timeout 45/定义超时时间 ssh version 2/定义版本信息 ssh disco
31、nnect session_id/断开特定的ssh会话 SNMP:snmp-server enable/打开服务 snmp-server community*/snmp公用字符串 snmp-server host inside 172.18.129.100 community*/snmp专用字符串 snmp-server listen-port*/165535可选,默认端口为161 snmp-server enable traps all/entity/ipsec/snmp/syslog/remote-access snmp deny version 1/拒绝版本为1 的snmp流量常用管理性
32、配置 III DHCP Server:在内部网络,为了集中管理和使用IP地址,可能会启用动态主机分配IP地址服务器(DHCP Server),Cisco ASA5500系列具有这种功能。简单示例如下。例.dhcpd enable inside/开启dhcp服务 dhcpd address 192.168.10.1-192.168.10.50 inside/定义地址池 dhcpd dns 202.96.109.5 203.95.1.1/指定DNS地址 dhcpd domain/指定主域名称常用管理性配置 IV Others:console timeout 0/console口超时时间 arp t
33、imeout 14400/arp表的超时时间 domain-name/本地域名服务器,通常用作为外部访问 names/解析本地主机名到ip地址,在配置中可以用名字代替ip地址,如果没有设置,列表为空 pager lines 24/每24行分页 clock timezone CST 8/时区配置 mtu outside 1500/以太网标准的MTU长度 timeout xlate 3:00:00/某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址 timeout uauth 0:05:00 ab
34、solute/AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证 aaa-server TACACS+protocol tacacs+aaa-server RADIUS protocol radius/AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全。常用管理性配置 V接口配置 I 外网出口:interface GigabitEthernet1/1/外口接口 no shutdown/必须开启,关闭为shutdown description“To DCN8F-7609 g3/15“/接口描述 med
35、ia-type sfp/接口介质类型,sfp/rj45两种可 选,逻辑端口复用 nameif outside/接口名称 security-level 0/接口区域定义,范围0100,数值 越小,安全级别越低 speed nonegotiate/关闭速率自协商功能 ip address 134.64.104.1 255.255.255.248/IP地址定义 内网入口:interface GigabitEthernet1/0 description To AH-ISMP-7750SR7 g1/1/2 media-type sfp nameif inside security-level 100/接
36、口区域定义,100为最高安全区 ip address 172.18.128.17 255.255.255.248 接口配置 II DMZ接口:interface GigabitEthernet1/2/DMZ区接口 description“To Cisco3750 g3/1“media-type sfp nameif dmz security-level 50/定义50为DMZ区 带外管理口:interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 manag
37、ement-onlyNAT配置 I 网络地址翻译(NAT)作用是将内网的私有IP转换为外网的公有IP。NAT跟路由器基本是一样的,首先必须定义global IP Pool,提供给内部IP地址转换的地址段,接着定义内部需要转换的网段。Nat命令必须与global命令一起使用。Nat命令 指定一台主机或一段范围的主机可以访问外网。这些主机私有地址将转换为global命令定义的公有IP。nat命令配置语法:nat(if_name)nat_id local_ip netmark 其中(if_name)表示内网接口名字,例如inside。Nat_id用来标识全局地址池,使它与其相应的global命令相匹
38、配,local_ip表示内网被分配的ip地址。netmark表示内网ip地址的子网掩码。Global命令 定义内部私有地址需要转化为的公有IP或IP池。多台内部主机公用一个公有IP,此转化亦称为PAT(端口转换),PAT是NAT的特例。global命令的配置语法:global(if_name)nat_id ip_address-ip_address netmark global_mask 其中(if_name)表示外网接口名字,例如outside。Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围
39、。netmark global_mask表示全局ip地址的网络掩码。NAT配置 II例:global(outside)1 interface/使用外网接口地址作为转换后的公网IP(PAT)global(outside)10/防火墙将使用61.144.51.42-48这段ip地址池为要访问外网的主机分配一个全局ip地址 global(outside)20/使用61.144.51.4这个单一公网IP(PAT)nat(inside)1 0.0.0.0/表示启用nat,内网的所有主机都可以访问 nat(inside)10/表示只有172.16.5.0这个网段 内的主机可以访问外网。no global(
40、outside)20/删除配置表项路由配置 定义静态路由:防火墙需要配置缺省路由以及内网、DMZ区的回程路由。ASA5500系列亦支持OSPF等路由协议。视情况使用。route命令配置语法:route(if_name)0 0 gateway_ip metric 其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示网关路由器的ip地址。metric表示到gateway_ip的跳数。通常缺省是1。例 route outside 0.0.0.0 134.64.104.2 1/表示一条指向边界路由器(ip地址)的出口缺省路由 route inside 172.
41、18.128.0 255.255.128.0 172.18.128.18 1/表示一条指向内部网络的回程路由 注:如果内部网络或DMZ区只有一个网段,设置一条回程路由即可;如果内部或DMZ区存在多个网络,回程路由需要包括全部网段。静态地址映射(static)Static 把一个内部地址及端口映射成一个指定的公网IP及端口亦称为静态端口重定向(Port Redirection with Statics),允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到指定的内部服务器。常作为发布内部WWW、FTP、Mail等服务器使用。这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。配
42、置语法:static(internal_if,external_if)tcp|udpglobal_ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq 其中internal_if 表示内部网络接口,安全级别较高,如inside。external_if 为外部网络接口,安全级别较低,如outside等。outside_ip为正在访问的较低安全级别的接口上的ip地址。例.static(inside,outside)134.64.104.10 172.18.129.10 netmask 255.255.255.2
43、55 static(inside,outside)tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0 访问控制列表(ACL)I Access-list 此功能与Cisco IOS基本上是相似的,也是防火墙的主要部分之一,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等。定义访问控制列表,可控制各区域之间的访问。顺序匹配执行,列表最后一句默认规则仍然为deny all。配置语法:access-list acl_id standard/extended permit/deny pro
44、tocol_number src_ip src_ip_netmask dst_ip dst_ip_netmask standard列表只有目的主机和网络可匹配参数例.access-list 111 extended permit ip any host 222.20.16.254 eq www access-list 111 extended permit ip 134.64.0.0 255.224.0.0 134.64.104.0 255.255.255.0 log access-list 111 extended permit icmp any any 访问控制列表(ACL)II Acce
45、ss-group命令 应用访问控制列表,一般将其绑定在接口上。配置语法:access-group name extended permit/deny outside_ip inside_ ip 其中internal_if 表示内部网络接口,安全级别较高,如inside。external_if 为外部网络接口,安全级别较低,如outside等。outside_ip为正在访问的较低安全级别的接口上的ip地址。inside_ ip为内部网络的私有ip地址。例:access-group 222 in interface inside access-group 111 in interface outs
46、ideaccess-group 111 in interface management/in为输入流向,out为输出流向。一般应用在input traffic。Policy配置 1)根据数据流特性区分定义流类(class-map)可基于ACL、IP、port、IP precedence等参数定义。例.class-map 111/class-map name match access-list 111/匹配参数条件2)定义策略(policy-map)policy-map 2222/策略名 class 111/类匹配 police 100000/定义限速策略,Bits per second ins
47、pect icmp error/定义检测icmp error的策略3)应用策略 service-policy 3333 global/定义一个全局策略 service-policy 2222 interface inside/策略只绑定在内部区域 双机冗余配置I Failover 概念及分类 Cisco ASA5500系列的双机冗余配置比以前的PIX系列有了明显的改进。主防火墙进行业务的转发,而从防火墙处于监控状态,同时主防火墙会定时通过心跳链路向从防火墙发送状态信息和需要备份的信息,心跳链路上传递的信息包括:设备的当前状态、电源状态、Hello信息包、配置同步等等。当主防火墙出现故障后,从防
48、火墙会及时接替主防火墙上的业务运行。参考案例如下:Primary Unit ASA5510_1 Outside g1/1Secondary Unit ASA5510_2Cisco3750-48GVlan10 g1/0/49-50Failover e0/3:192.168.254.1 192.168.254.2 State e0/2:192.168.253.1 192.168.253.2 Inside g1/0Vlan10 g1/0/1Vlan10 g1/0/1f1/0/19 trunk双机冗余配置II1)常规Failover(Regular Failover):发生Failover事件时,所有
49、当前活动的连接都会丢弃,用户需要重新刷新连接。2)全状态Failover(Stateful Failover):在双机正常工作时,Active设备不断地把连接的状态信息发送给standby设备。当failover事件发生时,由于在新的Active设备上已经有了这些连接状态信息,所以用户不用重新连接就能继续通讯。设备传递的状态信息包括:NAT表、TCP连接状态、H.323,SIP,MGCP UDP等连接。Failover的实现方式:1)LAN failover:ASA5500系列基于以太网的 failover为必配项,可以使用两设备上任意未占用的同类型以太口直接互联,但仅使用lan failov
50、er为常规failover。2)State Link:在全状态Failover中,需要使用一个以太连接(Ethernet link)来传递状态信息。两设备的state link端口直接相连。推荐和lan failover使用不同链路。双机冗余配置III Failover双机冗余配置步骤1)两台防火墙的lan failover和state link端口分别物理互联2)配置主防火墙 interface Ethernet0/2/lan failover使用端口 description STATE Failover Interface/该描述会自动添加,不用配置 no shut/打开端口 interf