应用层网关防火墙
防火墙
?按照防火墙硬件平台分为:
1, x86架构防火墙:采用通用的cpu和pci总线接口,典型代
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
:cisco系统防火墙CiscoASA 2, ASIC架构防火墙:通过专门的
设计
领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计
的ASIC芯片进行硬件加速处理,缺点:灵活性和扩 展性不够,代表:netscreen
?按照数据处理分为:主机防火墙,包过滤防火墙,电路层防火墙,应用代理防火墙,状态
检测
工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训
防火墙
应用层网关防火墙 特点:
1, 所有连接都通过防火墙 2, 在应用层上实现 3, 可以监视包的
内容
财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容
4, 可以实现基于用户的认证 5, 所有的应用需要单独实现 6, 可以提供理想的日志功能 7, 非常安全但开销大
?在ISA中有三个常见的名词 要素,
规则
编码规则下载淘宝规则下载天猫规则下载麻将竞赛规则pdf麻将竞赛规则pdf
,访问策略
之间的关系:要素组成规则,规则组成访问策略
Switch FW Win2003+isa2004 内:192.168.222.1/24 外:222.222.102.1/24
1
Linux Server 222.222.102.3/24
Win2003 Server Client 192.168.222.5/24
222.222.102.2/24 WMS,IMAIL server
在win2003中安装ISA 后,初始状况是ping安装ISA的
主机ping不通,且在ISA主机上访问web服务,访问不了。
ASA防火墙 ?基本配置
1, 配置主机名,域名和密码
Ciscoasa(config)#hostname ASA5520(主机名) ASA5520 (config)#domain-name 域名
ASA5520 (config)#enable password 特权密码 ASA5520 (config)#passwd 远程登录密码 2, 配置接口(例子)
ASA5520 (config)#interface E0/1
ASA5520 (config-if)#nameif inside/outside/dmz
Dns,http,ftp,telnet,ssh server
ASA5520 (config-if)#sercurty-level 100
ASA5520 (config-if)#ip address ip地址 子网掩码
ASA5520 (config-if)#no shutdown 3, 配置路由
Route nameif 0.0.0.0 0.0.0.0 geteway_ip 4, 配置远程管理
接入
telnet {network/ip-address} mask interface-name 设置超
时:telnet timeout {时间} 配置SSH接入
2
生成RSA密钥对:cryptography key generated rsa modulus 1024 配置防火墙允许ssh接入:ssh ip地址 inside Ssh 0 0 outside 配置ASDM(自适应安全设备管理器)接入
http server enable [port]
http {network/ip-adress} mask interface_name asdm image disk0:/asdmfile
username 用户 password 密码 privilege 15 5, 为出站流
量配置网络地址转换(动态NAT)
指定什么流量需要被转换:nat {interface_name} nat_id local-ip mask
定义一个全局地址池:global {interface_name} nat_id {global-ip [-global-ip]|interface} ingerface指端口地址 例
子: nat-control
nat (inside) 1 0 0
global (outside) 1 interface
global (dmz) 1 192.168.202.100-192.168.202.110 配置静态
NAT
Static (internal_if_name,external_if_name) outside_ip_addr inside_ip_address 6, 配置ACL
Access-list acl_name standard {permit|deny} ip_addr mask
Access-list acl_name extended {permit|deny} protocol
3
src_ip_addr src_mask dst_ip_addr dst_mask [operator port]
Access-group acl_name {in|out} interface interface_name 例子:
Access-list test1 deny 192.168.201.44 255.255.255.255 (standard) Access-list test1 permit any
Access-list test2 extended deny ip host 192.168.201.44 any (extended) Access-list test2 extended permit ip any any Icmp协议应用例子
Access-list 111 permit icmp any any echo-reply Access-list 111 permit icmp any any unreachable Access-list 111 permit icmp any any time-exceeded Access-group 111 in interface outside 8,保存配置
Write memory or copy running-config startup-config 9,清
除配置
Clear configure all 10,清除部分配置
Clear configure command[level2command] 实验
210.10.10.1
DNS Server 210.10.10.2 192.168.202.2 Outside ASA Dmz WEB server Inside 192.168.201.2 192.168.201.1 Client 192.168.202.1
ASA的高级应用 1, URL地址过滤
实施URL过滤分为3个步骤
4
创建类映射class-map,识别传输流量 创建策略映射policy-map,关联class-map 应用策略映射policy-map到接口上
百度搜索“就爱阅读”,专业资料、生活学习,尽在就爱阅读网92to.com,您的在线图书馆!
5