网络安全设备部署(ASA基础).pptVIP

Chapter 网络安全设备部署 * * * * * * * * 通过提问进行复习和小结。 * * 计算机网络技术教研室王宏群 Cisco ASA基础 —— 理论部分 了解Cisco防火墙系列产品 理解安全算法的原理 会对ASA进行基本配置 技能展示 本章结构 Cisco防火墙简介 Cisco ASA基础 ASA的安全算法 配置主机名和密码 接口的概念与配置 ASA的基本配置 多安全区域 配置ACL 配置静态路由 其他配置 硬件与软件防火墙 ASA安全设备 状态化防火墙 安全算法的原理 DMZ区域概述 DMZ区域的基本配置 Cisco防火墙简介 硬件与软件防火墙 软件防火墙 硬件防火墙 ASA安全设备 ASA 5500系列 常见型号：5505、5510、5520、5540、5550、5580 状态化防火墙2-1 状态化防火墙维护一个关于用户信息的连接表，称为Conn表 Conn表中的关键信息 源IP地址 目的IP地址 IP协议（例如TCP或UDP） IP协议信息（例如TCP/UDP端口号，TCP序列号，TCP控制位） 默认情况下，ASA对TCP和UDP协议提供状态化连接，但ICMP协议是非状态化的 状态化防火墙2-2 状态化防火墙进行状态化处理的过程 Web Inside Outside PC Conn表 Inside IP Address IP Protocol Inside Port Outside IP Address Outside Port TCP 12000 80 发起HTTP请求 防火墙将连接信息 添加到Conn表 转发HTTP请求 服务器响应请求 防火墙拦截该流量，并检查其连接信息 在Conn表中找到匹配信息，流量被允许 在Conn表中未找到匹配信息，流量被丢弃 安全算法的原理2-1 ASA使用安全算法执行以下三项基本操作 访问控制列表 基于特定的网络、主机和服务（TCP/UDP端口号）控制网络访问 连接表 维护每个连接的状态信息 安全算法使用此信息在已建立的连接中有效转发流量 检测引擎 执行状态检测和应用层检测 检测规则集是预先定义的，来验证应用是否遵从每个RFC和其他标准 安全算法的原理2-2 数据报文穿越ASA的过程 XLATE CONN 检测 ACL 1 5 4 3 2 8 7 6 原始报文 返回报文 ASA对原始报文的处理： 1. 一个新来的TCP SYN报文到达ASA，试图建立一个新的连接 2. ASA检查访问列表，确定是否允许连接 3. ASA执行路由查询，如果路由正确，ASA使用必要的会话信息在连接表（xlate和conn表）中创建一个新条目 4. ASA在检测引擎中检查预定义的一套规则，如果是已知应用，则进一步执行应用层检测 5. ASA根据检测引擎确定是否转发或丢弃报文。如果允许转发，则将报文转发到目的主机 ASA对返回报文的处理： 6. 目的主机响应该报文 7. ASA接收返回报文并进行检测，查询连接确定会话信息与现有连接是否匹配 8. ASA转发属于已建立的现有会话的报文 ASA的基本配置-主机名和密码 配置主机名 配置密码 配置特权密码 配置远程登录密码 ciscoasa(config)# hostname asa asa(config)# enable password asa802 asa(config)# passwd cisco ASA的接口 接口的名称 物理名称 逻辑名称 接口的安全级别 用来描述安全区域，例如inside、 outside 安全级别高 安全级别低 Internet Inside Outside 不同安全级别的接口之间访问时，遵从的默认规则 允许出站（outbound）连接 禁止入站（inbound）连接 禁止相同安全级别的接口之间通信 ASA接口的配置 配置接口的名称 配置接口的安全级别 配置实例 asa(config-if)# nameif name asa(config-if)# security-level number 范围是0～100 Inside Outside /24 /24 R2 E0/1 E0/0 R1 asa(config-if)# nameif inside asa(config-if)# ip address 54 asa(config-if)#security-level 100 asa(config-if)# namei