【精品】应用层网关防火墙【精品】应用层网关防火墙
防火墙
,按照防火墙硬件平台分为:
1, x86架构防火墙:采用通用的cpu和pci总线接口,典型代表:cisco系统防火墙CiscoASA
2, ASIC架构防火墙:通过专门的设计的ASIC芯片进行硬件加速处理,缺点:灵活性和扩
展性不够,代表:netscreen
,按照数据处理分为:主机防火墙,包过滤防火墙,电路层防火墙,应用代理防火墙,状态
检测防火墙
应用层网关防火墙
特点:
1, 所有连接都通过防火墙
2, 在应用层上实现
3, 可以监视包的内容
4, 可以...
【精品】应用层网关防火墙
防火墙
,按照防火墙硬件平台分为:
1, x86架构防火墙:采用通用的cpu和pci总线接口,典型代表:cisco系统防火墙CiscoASA
2, ASIC架构防火墙:通过专门的设计的ASIC芯片进行硬件加速处理,缺点:灵活性和扩
展性不够,代表:netscreen
,按照数据处理分为:主机防火墙,包过滤防火墙,电路层防火墙,应用代理防火墙,状态
检测防火墙
应用层网关防火墙
特点:
1, 所有连接都通过防火墙
2, 在应用层上实现
3, 可以监视包的内容
4, 可以实现基于用户的认证
5, 所有的应用需要单独实现
6, 可以提供理想的日志功能
7, 非常安全但开销大
,在ISA中有三个常见的名词
要素,规则,访问策略
之间的关系:要素组成规则,规则组成访问策略
Win2003+isa2004 Switch FW
内:192.168.222.1/24
外:222.222.102.1/24
Client Linux Win2003 192.168.222.5/24 Server Server
222.222.102.3/24 222.222.102.2/24
WMS,IMAIL server Dns,http,ftp,tel
net,ssh server 在win2003中安装ISA 后,初始状况是ping安装ISA的主机ping不通,且在ISA主机上访
问web服务,访问不了。
ASA防火墙
,基本配置
1, 配置主机名,域名和密码
Ciscoasa(config)#hostname ASA5520(主机名)
ASA5520 (config)#domain-name 域名
ASA5520 (config)#enable password 特权密码
ASA5520 (config)#passwd 远程登录密码
2, 配置接口(例子)
ASA5520 (config)#interface E0/1 ASA5520 (config-if)#nameif inside/outside/dmz
ASA5520 (config-if)#sercurty-level 100
ASA5520 (config-if)#ip address ip地址 子网掩码
ASA5520 (config-if)#no shutdown
3, 配置路由
Route nameif 0.0.0.0 0.0.0.0 geteway_ip
4, 配置远程管理接入
telnet {network/ip-address} mask interface-name 设置超时:telnet timeout {时间}
配置SSH接入
生成RSA密钥对:cryptography key generated rsa modulus 1024 配置防火墙允许ssh接入:ssh ip地址 inside
Ssh 0 0 outside
配置ASDM(自适应安全设备管理器)接入
http server enable [port]
http {network/ip-adress} mask interface_name asdm image disk0:/asdmfile
username 用户 password 密码 privilege 15
5, 为出站流量配置网络地址转换(动态NAT)
指定什么流量需要被转换:nat {interface_name} nat_id local-ip mask 定义一个全局地址池:global {interface_name} nat_id {global-ip [-global-ip]|interface}
ingerface指端口地址
例子:
nat-control
nat (inside) 1 0 0
global (outside) 1 interface
global (dmz) 1 192.168.202.100-192.168.202.110
配置静态NAT
Static (internal_if_name,external_if_name) outside_ip_addr inside_ip_address
6, 配置ACL
Access-list acl_name standard {permit|deny} ip_addr mask Access-list acl_name extended {permit|deny} protocol src_ip_addr src_mask dst_ip_addr
dst_mask [operator port]
Access-group acl_name {in|out} interface interface_name 例子:
Access-list test1 deny 192.168.201.44 255.255.255.255 (standard)
Access-list test1 permit any
Access-list test2 extended deny ip host 192.168.201.44 any (extended)
Access-list test2 extended permit ip any any Icmp协议应用例子
Access-list 111 permit icmp any any echo-reply Access-list 111 permit icmp any any unreachable Access-list 111 permit icmp any any time-exceeded Access-group 111 in interface outside
8,保存配置
Write memory or copy running-config startup-config
9,清除配置
Clear configure all 10,清除部分配置
Clear configure command[level2command]
实验
210.10.10.2 192.168.202.2 210.10.10.1
Outside Dmz DNS ASA WEB
Server server Inside
192.168.201.2 192.168.202.1
192.168.201.1
Client
ASA的高级应用
1, URL地址过滤
实施URL过滤分为3个步骤
创建类映射class-map,识别传输流量
创建策略映射policy-map,关联class-map 应用策略映射policy-map到接口上
本文档为【【精品】应用层网关防火墙】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。