应用层网关防火墙

应用层网关防火墙应用层网关防火墙防火墙 ?按照防火墙硬件平台分为: 1， x86架构防火墙:采用通用的cpu和pci总线接口，典型代表:cisco系统防火墙CiscoASA 2， ASIC架构防火墙:通过专门的设计的ASIC芯片进行硬件加速处理，缺点:灵活性和扩展性不够，代表:netscreen ?按照数据处理分为:主机防火墙，包过滤防火墙，电路层防火墙，应用代理防火墙，状态检测防火墙应用层网关防火墙特点: 1，所有连接都通过防火墙 2，在应用层上实现 3，可以监视包的内容 4，可以实现基于用户的认证...

应用层网关防火墙防火墙 ?按照防火墙硬件平台分为: 1， x86架构防火墙:采用通用的cpu和pci总线接口，典型代表 :cisco系统防火墙CiscoASA 2， ASIC架构防火墙:通过专门的设计的ASIC芯片进行硬件加速处理，缺点:灵活性和扩展性不够，代表:netscreen ?按照数据处理分为:主机防火墙，包过滤防火墙，电路层防火墙，应用代理防火墙，状态检测防火墙应用层网关防火墙特点: 1，所有连接都通过防火墙 2，在应用层上实现 3，可以监视包的内容 4，可以实现基于用户的认证 5，所有的应用需要单独实现 6，可以提供理想的日志功能 7，非常安全但开销大 ?在ISA中有三个常见的名词要素，规则，访问策略之间的关系:要素组成规则，规则组成访问策略 Switch FW Win2003+isa2004 内:192.168.222.1/24 外:222.222.102.1/24 1 Linux Server 222.222.102.3/24 Win2003 Server Client 192.168.222.5/24 222.222.102.2/24 WMS,IMAIL server 在win2003中安装ISA 后，初始状况是ping安装ISA的主机ping不通，且在ISA主机上访问web服务，访问不了。 ASA防火墙 ?基本配置 1，配置主机名，域名和密码 Ciscoasa(config)#hostname ASA5520(主机名) ASA5520 (config)#domain-name 域名 ASA5520 (config)#enable password 特权密码 ASA5520 (config)#passwd 远程登录密码 2，配置接口(例子) ASA5520 (config)#interface E0/1 ASA5520 (config-if)#nameif inside/outside/dmz Dns,http,ftp,telnet,ssh server ASA5520 (config-if)#sercurty-level 100 ASA5520 (config-if)#ip address ip地址子网掩码 ASA5520 (config-if)#no shutdown 3，配置路由 Route nameif 0.0.0.0 0.0.0.0 geteway_ip 4，配置远程管理接入 telnet {network/ip-address} mask interface-name 设置超时:telnet timeout {时间} 配置SSH接入 2 生成RSA密钥对:cryptography key generated rsa modulus 1024 配置防火墙允许ssh接入:ssh ip地址 inside Ssh 0 0 outside 配置ASDM(自适应安全设备管理器)接入 http server enable [port] http {network/ip-adress} mask interface_name asdm image disk0:/asdmfile username 用户 password 密码 privilege 15 5，为出站流量配置网络地址转换(动态NAT) 指定什么流量需要被转换:nat {interface_name} nat_id local-ip mask 定义一个全局地址池:global {interface_name} nat_id {global-ip [-global-ip]|interface} ingerface指端口地址例子: nat-control nat (inside) 1 0 0 global (outside) 1 interface global (dmz) 1 192.168.202.100-192.168.202.110 配置静态 NAT Static (internal_if_name,external_if_name) outside_ip_addr inside_ip_address 6，配置ACL Access-list acl_name standard {permit|deny} ip_addr mask Access-list acl_name extended {permit|deny} protocol 3 src_ip_addr src_mask dst_ip_addr dst_mask [operator port] Access-group acl_name {in|out} interface interface_name 例子: Access-list test1 deny 192.168.201.44 255.255.255.255 (standard) Access-list test1 permit any Access-list test2 extended deny ip host 192.168.201.44 any (extended) Access-list test2 extended permit ip any any Icmp协议应用例子 Access-list 111 permit icmp any any echo-reply Access-list 111 permit icmp any any unreachable Access-list 111 permit icmp any any time-exceeded Access-group 111 in interface outside 8,保存配置 Write memory or copy running-config startup-config 9,清除配置 Clear configure all 10,清除部分配置 Clear configure command[level2command] 实验 210.10.10.1 DNS Server 210.10.10.2 192.168.202.2 Outside ASA Dmz WEB server Inside 192.168.201.2 192.168.201.1 Client 192.168.202.1 ASA的高级应用 1， URL地址过滤实施URL过滤分为3个步骤 4 创建类映射class-map，识别传输流量创建策略映射policy-map，关联class-map 应用策略映射policy-map到接口上百度搜索“就爱阅读”,专业资料、生活学习,尽在就爱阅读网92to.com,您的在线图书馆! 5

                    本文档为【应用层网关防火墙】，请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑，
                    图片更改请在作品中右键图片并更换，文字修改请直接点击文字进行修改，也可以新增和删除文档中的内容。 
 该文档来自用户分享，如有侵权行为请发邮件ishare@vip.sina.com联系网站客服，我们会及时删除。

                    [版权声明] 本站所有资料为用户分享产生，若发现您的权利被侵害，请联系客服邮件isharekefu@iask.cn，我们尽快处理。

                    本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权，请谨慎使用。

                    网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传，仅限个人学习分享使用，禁止用于任何广告和商用目的。
                

下载需要：免费已有0 人下载

立即下载

应用层网关防火墙

你可能还喜欢