扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
防火墙技术分类
防火墙技术分为三种:包过滤防火墙,代理防火墙,状态包过滤
1、包过滤防火墙:使用ACL控制进入或离开的网络流量,ACL可以匹配包的类型或其他参数(如源IP地址,目的ip地址,端口号等)来制定。该类防火墙有以下不足:
• ACL制定和维护都比较困难
• 可以使用IP欺骗很容易绕过ACL
2、代理防火墙:也叫做代理服务器。他在OSI的高层检查数据包,然后和制定的规则相比较,如果数据包的内容符合规则并且被允许,那么代理服务器就代替源主机向目的地址发送请求,从外部主机收到请求后,在转发给被保护的源请求主机。代理防火墙的缺点就是性能问题,由于代理防火墙会对每个经过它的包都会做深度检查,即使这个包以前检查过,所以对系统和网络的性能都有很大的影响。
3、状态包过滤防火墙:Cisco ASA就是使用的状态包过滤防火墙,该防火墙会维护每个会话的状态信息,这些状态信息写在状态表里,状态表的条目有源地址,目的地址,端口号,TCP序列号信息以及每个tcp或udp的其他的标签信息。所有进入或外出的流量都会和状态表中的连接状态进行比较,只有状态表中的条目匹配的时候才允许流量通过。防火墙收到一个流量后,首先查看是否已经存在于连接表中,如果没有存在,则看这个连接是否符合安全策略,如果符合,则处理后将该连接写入状态表;如果不符合安全策略,那么就将包丢弃。状态表也叫Fast path,防火墙只处理第一个包,后续的属于该连接的包都会直接按照Fast Path转发,因此性能就有很高的提升。
在新华等地区,都构建了全面的区域性战略布局,加强发展的系统性、市场前瞻性、产品创新能力,以专注、极致的服务理念,为客户提供网站设计制作、网站建设 网站设计制作按需网站设计,公司网站建设,企业网站建设,品牌网站制作,营销型网站,外贸网站制作,新华网站建设费用合理。
防火墙功能和许可证:
防火墙出厂的时候自带有一些基本的功能,如果需要增加一些额外的功能,那么就需要购买许可证(license)激活相应的功能。可以使用show version命令查看目前防火墙拥有的功能列表:
防火墙的许可证类型有:
Unrestricted(UR)--无限制的许可证使得该防火墙所能支持的所有特性全部打开。如无限制的活动连接数,打开防火墙所支持的所有端口,可以使用防火墙的Failover(故障切换功能)等等。
Restricted(R)--限制版,限制防火墙开启的特性,比如限制活动连接数,使防火墙不支持Failover,限制防火墙支持的最大接口数等;
Failover(FO)--该版本使得防火墙可以作为Secondary设备参与Failover(故障切换);
Failover-active/active(FO-AA)--该版本使得防火墙可以作为secondary设备参与active/active Failover ,同时还要求另一个防火墙使用UR版。
Cisco ASA 安全算法
ASA 处理TCP连接的安全算法
防火墙基础配置
配置接口参数:
多区域默认的访问规则:
Inside可以访问outside。
Inside可以访问dmz
Dmz可以访问outside
Dmz不能访问inside
Outside不能访问inside
Outside不能访问dmz.
配置静态路由
在防火墙模式下,ASA支持静态和默认路由,ASA只支持RIP和OSPF,因此如果你的网络运行的是其他的路由协议,那么就要使用静态路由,使用静态路由可以节省CPU的负载。ASA在相同的接口,最多支持3条等价静态路由。
Hostname(config)#route 接口名称 目标网段 掩码 下一跳地址
配置ACL
一个ACL是由多个访问控制条目(Access Control Entries,ACE)组成,一个ACE指明一个permit或deny规则,一个ACE可以根据协议,指定的源地址和目的地址、端口号、ICMP类型等来定义,ACE的执行是按照顺序执行的,一旦发现匹配的ACE,那么就不会再继续往下匹配。
对于TCP和UDP连接,不需要使用ACL来允许返回的流量进入,因为防火墙的安全算法会生成一个连接表来允许这些流量的返回;对于无连接流量,比如ICMP,需要使用ACL来明确允许返回的流量进入防火墙,或者可以打开ICMP审查引擎。
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流