第二章 防火墙-硬件防火墙.ppt
《第二章 防火墙-硬件防火墙.ppt》由会员分享,可在线阅读,更多相关《第二章 防火墙-硬件防火墙.ppt(72页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、网络安全网络安全-防火墙防火墙防火墙Cisco PIX和ASA防火墙学习任务v了解Cisco PIX和ASA防火墙基础v掌握PIX的基础配置 v掌握PIX基本的NAT配置 v理解Cisco PIX和ASA的访问控制 重点与难点v重点q了解CiscoIOS防火墙特性 q理解状态包过滤v难点q配置实现CiscoIOS防火墙 Cisco PIX和ASA防火墙概述防火墙Cisco PIX和ASAvCisco安全设备提供了企业级别的安全,其可以用于小型,中型的商务公司和企业网络:q专用的操作系统q状态包检测q基于用户的认证q协议和应用的检测q模块化的策略框架q虚拟防火墙特性q虚拟私用网络VPNqFail
2、over特性q透明防火墙q基于WEB的管理解决方案状态包检测v状态包检测提供了状态型连接安全性.q其跟踪源和目标端口和地址,TCP的序列号和附加的TCP的标记.q为每个连接随机产生的TCP的序列号v 默认情况下,状态包检测算法允许起源自内网主机的通讯.v另外,状态包检测算法会丢弃来自外部不安全网络的连接数据包v状态包检测算法同时还支持认证,授权和计费高级特性.Cut-Through Proxy Operation内网或外内网或外网用户网用户ISP1.用户向用户向ISP发起请求发起请求.2.安全代理检测连接安全代理检测连接.3.在安全设备层在安全设备层,安全代理提安全代理提示用户提供帐号和密码示
3、用户提供帐号和密码.随随后安全代理通过后安全代理通过RADIUS或或TACACS+服务器对用户进服务器对用户进行认证行认证.5.安全设备直接连接到内网或外安全设备直接连接到内网或外网的用户到网的用户到ISP.其通讯处于其通讯处于OSI模型的低层模型的低层.4.安全代理初始化到安全代理初始化到ISP的的连接连接.CiscoSecureSecurity ApplianceUsername and Password RequiredEnter username for CCO at User Name:Password:OKCancelstudent1234563.协议和应用的检测q类似于FTP,H
4、TTP,H.323和SQL的连接需要协商连接并且动态在防火墙上启用源和目标端口.q防火墙在网络层上检测数据包获取会话信息.q防火墙为通过其自己的连接开启合法的client-server的连接端口.FTPServerClientControlPort2008DataPort2010DataPort20ControlPort21Data-Port 2010 Port 2010 OKData虚拟私用网络VPNB A N KSite to SiteRemote AccessIPsec VPNSSL VPNInternetB A N KHeadquarters虚拟防火墙特性v能够在一个防火墙上创建多个虚
5、拟防火墙.Four Physical FirewallsOne Physical FirewallFour Virtual FirewallsInternetInternet透明桥q可以将安全防火墙部署为透明桥模式q提供了丰富的二到七层的安全服务.192.168.1.2192.168.1.5Internet基于WEB的管理解决方案Cisco PIX&ASA 设备防火墙PIX 525前置面板PowerActivePIX 525背板接口Expansion slotsFixed interfacesASA 5550 前置面板PowerStatusActiveFlashVPNASA 5550 背板接口
6、Slot 1Slot 0PowerconnectorConsole port10/100 out-of-bandmanagement portCompactFlashPower switchFour FiberGigabit EthernetportsFour 10/100/1000Gigabit Ethernet portsFour 10/100/1000Gigabit Ethernet ports USB 2.0portsAUX port基本的用户操作接口防火墙访问模式ciscopixciscopix#ciscopix(config)#vCisco防火墙三种主要的管理访问模式:q无特权q特
7、权q配置特权模式ciscopix enablepassword:ciscoasa#enable priv_levelciscopixq进入特权模式Internet全局配置模式configure terminalciscopix#q进入全局配置模式ciscopix enablepassword:ciscopix#configure terminalciscopix(config)#exitciscopix#exitciscopixexitciscopix#退出全局配置模式退出全局配置模式帮助命令ciscopix help?enable Turn on privileged commands ex
8、it Exit the current command mode login Log in as a particular user logout Exit from current user profile to unprivileged mode perfmon Change or view performance monitoring options ping Test connectivity from specified interface to an IP address quit Exit the current command modeciscopix help enable
9、USAGE:enable DESCRIPTION:enable Turn on privileged commands文件系统管理防火墙查看和保存配置v如下命令可以让您查看或保存配置:qcopy run startqshow running-configqshow startup-configqwrite memoryqwrite terminal保存改变的配置保存改变的配置:copy run startrunning-configstartup-config(saved)Configuration Changes清除 Running Configurationciscopix(config)
10、#clear configure all清除清除 running configurationciscopix(config)#clear config all清除清除 running configuration:clear config allrunning-config(default)startup-config清除 Startup Configurationciscopix#write erase清除清除 startup configurationciscopix#write erase清除清除 startup configuration:write eraserunning-confi
11、gstartup-config(default)重载配置q重启防火墙同时载入配置q可以配置计划任务的重启ciscopix#reloadProceed with reload?confirm y Rebooting.reload at hh:mm month day|day month cancel in hh:mm max-hold-time hh:mm noconfirm quick reason text save-configciscopix#文件系统Software imageConfiguration filePrivate data filePDM imageCrash infor
12、mationRelease 6.0and earlierRelease 7.0and laterSoftware imageConfiguration filePrivate dataASDM imageBackup image*Backup configuration file*Virtual firewall configuration file*Space available查看文件系统q查看目录内容ciscopix#PIX Security Applianceflash:ASAdisk0:disk1:ciscopix#dirDirectory of disk0:/8 -rw-82022
13、40 13:37:33 Jul 28 2006 pix721-k8.bin1264 -rw-5539756 13:21:13 Jul 28 2006 asdm-521.bin62947328 bytes total(49152000 bytes free)dir/all/recursive all-filesystems disk0:|disk1:|flash:|system:Internet选择系统引导文件ciscopix#dirDirectory of disk0:/8 -rw-8202240 13:37:33 Jul 28 2006 pix721-k8.bin1264 -rw-55397
14、56 13:21:13 Jul 28 2006 asdm-521.bin62947328 bytes total(49152000 bytes free)q能够存储一个或多个系统镜像文件q指定那个文件在下一次系统启动时被加载ciscopix(config)#boot system disk0:/pix721-k8.binboot system|config urlciscopix(config)#确认启动镜像文件qDisplay the system boot image.show bootvarciscopix#show bootvarBOOT variable=disk0:/pix721-
15、k8.binCurrent BOOT variable=disk0:/pix622-k9.binCONFIG_FILE variable=Current CONFIG_FILE variable=ciscoapix(config)#ConfiguredRunning10.0.1.11Boot imagedisk0:/pix622-k9.binInternet安全级别防火墙防火墙设备:安全算法q用于实现通过安全设备的状态型连接控制.q通过配置允许one-way(outbound)连接数量.出站的连接是指源自于受保护网络的主机到不安全的外部网络.q监测返回的数据包以确保其有效性.q随机的TCP序列
16、号以最小化受到网络攻击可能.安全级别示例Outside NetworkEthernet0 Security level 0 Interface name=outsideDMZ NetworkEthernet2 Security level 50 Interface name=DMZInside NetworkEthernet1 Security level 100 Interface name=insidee0e2e1Internet防火墙基本配置防火墙基本命令行qhostnameqinterfaceq nameifq ip addressq security-levelq speedq du
17、plexq no shutdowne0e2e1Internet配置主机名ciscopix(config)#q改变主机名配置ciscopix(config)#hostname pix1pix1(config)#hostname newnameNew York(pix1)ServerBoston(pix2)ServerServerDallas(pix3)Internet接口命令interface physical_interface.subinterface|mapped_nameciscopix(config)#pix1(config)#interface Ethernet0pix1(confi
18、g-if)#q进入到接口配置模式Ethernet0Ethernet2Ethernet1e0e2e1Internet配置接口命名nameif if_nameciscopix(config-if)#pix1(config)#interface Ethernet0pix1(config-if)#nameif outsideq为接口配置名称.Ethernet2 Interface name=dmzEthernet0 Interface name=outsideEthernet1 Interface name=inside e0e2e1Internet配置接口IP地址ip address ip_addr
19、ess mask standby ip_addressciscopix(config-if)#q为接口配置IP地址pix1(config)#interface Ethernet0pix1(config-if)#nameif outsidepix1(config-if)#ip address 192.168.1.2 255.255.255.0Ethernet0 Interface name=outside IP address=192.168.1.2e0e2e1Internet配置接口自动获取地址pix1(config)#interface Ethernet0pix1(config-if)#na
20、meif outside pix1(config-if)#ip address dhcpciscopix(config-if)#ip address dhcp setroute启用接口启用接口DHCP方式自动获取地址方式自动获取地址Ethernet0 Interface name=outside IP address=dhcpe/0DHCP AssignedInternet配置接口的安全级别security-level numberciscopix(config-if)#q为接口配置安全级别pix1(config)#interface Ethernet0pix1(config-if)#name
21、if outsidepix1(config-if)#ip address 192.168.1.2pix1(config-if)#security-level 0 Ethernet0 Interface name=outside IP address=192.168.1.2 Security level=0e0e2e1Internet同级别的端口通讯q能够让相同级别端口之间进行通讯,或者能够让数据进入离开相同的接口.ciscopix(config)#pix1(config)#same-security-traffic permit inter-interfacesame-security-tra
22、ffic permit inter-interface|intra-interface DMZ NetworkEthernet2 Security level 100 Interface name=dmze0e2e1InternetInside NetworkEthernet1 Security level 100 Interface name=inside配置接口的速率和双工模式speed 10|100|1000|auto|nonegotiateduplex auto|full|half q配置接口的速率和双工模式ciscopix(config-if)#Ethernet0 Speed=100
23、 Duplex=fulle0e2e1Internetpix1(config)#interface Ethernet0pix1(config-if)#nameif outsidepix1(config-if)#ip address 192.168.1.2pix1(config-if)#security-level 0 pix1(config-if)#speed 100pix1(config-if)#duplex full配置管理接口management-onlyciscopix(config-if)#qDisables management-only mode (for ASA 5520,554
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第二章 防火墙-硬件防火墙 第二 防火墙 硬件
限制150内