nse应用层网关防火墙joa
防火墙
按照防火墙硬件平台分为: ,
1, x86架构防火墙:采用通用的cpu和pci总线接口,典型代表:cisco系统防火墙CiscoASA
2, ASIC架构防火墙:通过专门的设计的ASIC芯片进行硬件加速处理,缺点:灵活性和扩
展性不够,代表:netscreen
,按照数据处理分为:主机防火墙,包过滤防火墙,电路层防火墙,应用代理防火墙,状态
检测防火墙
应用层网关防火墙
特点:
1, 所有连接都通过防火墙
2, 在应用层上实现
3, 可以监视包的
内容
财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容
4, 可以实现基于用户的认证
5, 所有的应用需要单独实现
6, 可以提供理想的日志功能
7, 非常安全但开销大
,在ISA中有三个常见的名词
要素,规则,访问策略
之间的关系:要素组成规则,规则组成访问策略
Win2003+isa2004 Switch FW
内:192.168.222.1/24
外:222.222.102.1/24
Client Linux Win2003 192.168.222.5/24 Server Server
222.222.102.3/24 222.222.102.2/24
WMS,IMAIL server Dns,http,ftp,tel
net,ssh server 在win2003中安装ISA 后,初始状况是ping安装ISA的主机ping不通,且在ISA主机上访
问web服务,访问不了。
ASA防火墙
,基本配置
1, 配置主机名,域名和密码
Ciscoasa(config)#hostname ASA5520(主机名)
ASA5520 (config)#domain-name 域名
ASA5520 (config)#enable password 特权密码
ASA5520 (config)#passwd 远程登录密码
2, 配置接口(例子)
ASA5520 (config)#interface E0/1 ASA5520 (config-if)#nameif inside/outside/dmz
ASA5520 (config-if)#sercurty-level 100
ASA5520 (config-if)#ip address ip地址 子网掩码
ASA5520 (config-if)#no shutdown
3, 配置路由
Route nameif 0.0.0.0 0.0.0.0 geteway_ip
4, 配置远程管理接入
telnet {network/ip-address} mask interface-name 设置超时:telnet timeout {时间}
配置SSH接入
生成RSA密钥对:cryptography key generated rsa modulus 1024 配置防火墙允许ssh接入:ssh ip地址 inside
Ssh 0 0 outside
配置ASDM(自适应安全设备管理器)接入
http server enable [port]
http {network/ip-adress} mask interface_name asdm image disk0:/asdmfile
username 用户 password 密码 privilege 15
5, 为出站流量配置网络地址转换(动态NAT)
指定什么流量需要被转换:nat {interface_name} nat_id local-ip mask 定义一个全局地址池:global {interface_name} nat_id {global-ip [-global-ip]|interface}
ingerface指端口地址
例子:
nat-control
nat (inside) 1 0 0
global (outside) 1 interface
global (dmz) 1 192.168.202.100-192.168.202.110
配置静态NAT
Static (internal_if_name,external_if_name) outside_ip_addr inside_ip_address
6, 配置ACL
Access-list acl_name standard {permit|deny} ip_addr mask Access-list acl_name extended {permit|deny} protocol src_ip_addr src_mask dst_ip_addr
dst_mask [operator port]
Access-group acl_name {in|out} interface interface_name 例子:
Access-list test1 deny 192.168.201.44 255.255.255.255 (standard)
Access-list test1 permit any
Access-list test2 extended deny ip host 192.168.201.44 any (extended)
Access-list test2 extended permit ip any any Icmp
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
应用例子
Access-list 111 permit icmp any any echo-reply Access-list 111 permit icmp any any unreachable Access-list 111 permit icmp any any time-exceeded Access-group 111 in interface outside
8,保存配置
Write memory or copy running-config startup-config
9,清除配置
Clear configure all 10,清除部分配置
Clear configure command[level2command]
实验
210.10.10.2 192.168.202.2 210.10.10.1
Outside Dmz DNS ASA WEB
Server server Inside
192.168.201.2 192.168.202.1
192.168.201.1
Client
ASA的高级应用
1, URL地址过滤
实施URL过滤分为3个步骤
创建类映射class-map,识别传输流量
创建策略映射policy-map,关联class-map 应用策略映射policy-map到接口上
浙公网安备 33021202002483