ASA系列
1、防火墙工作原理(状态化防火墙)
2、在防火墙上配置ACL(基本都是命名的ACL)
3、在防火墙上配置NAT(防火墙设备一般放在局域网出口)
一、工作原理
1、系列
ASA550系列
2、ASA防火墙状态化防火墙
(1)里面维护一张表:状态化链接表(conn表)
源IP地址
目标IP地址
IP协议(TCP/UDP)
IP协议信息(端口号,序列号,控制位)
(2)默认情况下,ASA对TCP和UDP协议提供状态化链接,对ICMP协议是非状态化的
(3)状态化防火墙的处理过程
3、ASA的安全算法
(1)接口安全级别
(2)访问控制列表
(3)记录conn表
(4)连接表
(5)检测引擎(根据结构安全级别来决定数据是放通还是阻止)
默认情况下,ASA自动放通高安全级别访问低安全级别,安全级别一致,直接阻止
二、ASA接口
1、物理接口
基于防火墙自身模块来决定
2、逻辑接口
用来描述安全区域(inside(内网区域)、outside(外网区域)、DMZ(服务器区域))
inside:安全级别设置为100
outside:安全级别设置为0
DMZ:安全级别设置为50
3、配置命令
access-list dmz_to_in permit icmp host 192.168.2.10 host 192.168.1.1
源IP---目的IP
access-group dmz_to_in in interface DMZ
应用(指定接口)
access-list dmz_to_in permit tcp host 192.168.2.10 host 192.168.1.1 eq
使用telnet
