91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

ASA防火墻學習筆記1-基礎篇

發布時間:2020-08-03 20:24:03 來源:網絡 閱讀:1490 作者:CaiJiantao 欄目:安全技術

防火墻技術分類
防火墻技術分為三種:包過濾防火墻,代理防火墻,狀態包過濾
1、包過濾防火墻:使用ACL控制進入或離開的網絡流量,ACL可以匹配包的類型或其他參數(如源IP地址,目的ip地址,端口號等)來制定。該類防火墻有以下不足:
? ACL制定和維護都比較困難
? 可以使用IP欺騙很容易繞過ACL
2、代理防火墻:也叫做代理服務器。他在OSI的高層檢查數據包,然后和制定的規則相比較,如果數據包的內容符合規則并且被允許,那么代理服務器就代替源主機向目的地址發送請求,從外部主機收到請求后,在轉發給被保護的源請求主機。代理防火墻的缺點就是性能問題,由于代理防火墻會對每個經過它的包都會做深度檢查,即使這個包以前檢查過,所以對系統和網絡的性能都有很大的影響。
3、狀態包過濾防火墻:Cisco ASA就是使用的狀態包過濾防火墻,該防火墻會維護每個會話的狀態信息,這些狀態信息寫在狀態表里,狀態表的條目有源地址,目的地址,端口號,TCP序列號信息以及每個tcp或udp的其他的標簽信息。所有進入或外出的流量都會和狀態表中的連接狀態進行比較,只有狀態表中的條目匹配的時候才允許流量通過。防火墻收到一個流量后,首先查看是否已經存在于連接表中,如果沒有存在,則看這個連接是否符合安全策略,如果符合,則處理后將該連接寫入狀態表;如果不符合安全策略,那么就將包丟棄。狀態表也叫Fast path,防火墻只處理第一個包,后續的屬于該連接的包都會直接按照Fast Path轉發,因此性能就有很高的提升。

防火墻功能和許可證:
防火墻出廠的時候自帶有一些基本的功能,如果需要增加一些額外的功能,那么就需要購買許可證(license)激活相應的功能。可以使用show version命令查看目前防火墻擁有的功能列表:

防火墻的許可證類型有:
Unrestricted(UR)--無限制的許可證使得該防火墻所能支持的所有特性全部打開。如無限制的活動連接數,打開防火墻所支持的所有端口,可以使用防火墻的Failover(故障切換功能)等等。

Restricted(R)--限制版,限制防火墻開啟的特性,比如限制活動連接數,使防火墻不支持Failover,限制防火墻支持的最大接口數等;

Failover(FO)--該版本使得防火墻可以作為Secondary設備參與Failover(故障切換);

Failover-active/active(FO-AA)--該版本使得防火墻可以作為secondary設備參與active/active Failover ,同時還要求另一個防火墻使用UR版。

Cisco ASA 安全算法

  • ASA 處理TCP連接的安全算法

    1. 一個內部主機的第一個IP數據包導致一個轉換槽的產生,這個信息會被保留在內存中,用來檢查以后的數據包,做地址轉換,然后防火墻利用TCP內的相關信息來建立一個連接槽
    2. 這個連接被標記為"未完成"是一個TCP的半開連接。
    3. 防火墻隨機產生一個用于連接的初始序列號,并且將數據包轉發到外連接口。
    4. 在這一步,防火墻期待從目的主機收到一個同步確認包(syn/ack),然后防火墻將收到的包的相關信息依照連接槽內存儲的信息進行匹配,計算信息的先后順序,并將返回的數據包轉發到內部主機。
    5. 內部主機通過發送一個ACK完成了連接建立和3次握手。
    6. 防火墻上的連接槽被標記為connected或者active-established。這時就可以發送數據了。連接的"未完成"計數器也將被重置。
      以上是防火墻處理TCP連接的安全算法。
  • ASA處理UDP連接的安全算法
    1. 防火墻從內部主機收到第一ip數據包,在檢驗已經配置好的轉換設置后,防火墻將會創建一個轉換槽,它將保存這個信息在內存中用來檢查以后的數據包流。然后,防火墻利用UDP內的相關信息建立一個UDP連接槽。
    2. 在用戶配置的UDP timeout時間內,防火墻將會維護這個UDP連接槽。但是當UDP連接槽的idle時間超出所配置的UDP timeout時間,就會從連接表中刪除。
    3. 在UDP的timeout周期內,防火墻執行適應性安全算法(ASA)對 從目的主機收到的UDP數據包進行全狀態檢查。
    4. 如果返回的UDP數據包完全匹配并且沒有超時,那么這個數據將被傳回內部主機。
      最后要注意,ASA的所有安全策略都是應用到狀態連接中,因此要首先生成一個連接表,然后才會比較安全策略等內容。
      UDP的一些特性
    5. UDP是一個不可靠(無連接的),但卻很高效的傳輸協議,其不可靠體現在它不提供傳輸的確認。
    6. 偽造UDP數據包很容易,因為他沒有握手和序列的機制。由于沒有狀態機制,所以傳輸的發起者或者當前的狀態經常不確定。
    7. UDP不提供傳輸保障
    8. 沒有連接的建立和中止。
    9. UDP沒有擁塞管理和避免機制
    10. 使用UDP的服務通常被分為兩類:
      ○ 請求-回應,或稱之為乒乓服務。例如域名服務(DNS
      ○ 流服務,例如視頻,VOIP,網絡文件系統(NFS)

防火墻基礎配置

配置接口參數:

  1. Security level 對asa/pix來講,每個接口都必須有一個安全級別,安全級別是0到100之間的數字,0代表低安全級別,100代表高安全級別;
  2. 默認情況下,所有從高安全級別接口到低安全級別接口的流量都是允許的,所有從低安全級別接口到高安全級別接口的流量都是被拒絕的,都需要使用ACL來允許想要允許的流量;當然,高安全級別接口到低安全級別接口的流量也可以通過ACL來控制。
  3. 默認情況下,相同安全級別接口之間不允許通信,可以使用命令
    Hostname(config)#same-security-traffic permit inter-interface來允許相同安全級別接口之間互相通信
    對于防火墻的任何接口,都必須配置以下內容:
    • Name
    • Ip address
    • Security level
    • 多區域默認的訪問規則:
      Inside可以訪問outside。
      Inside可以訪問dmz
      Dmz可以訪問outside
      Dmz不能訪問inside
      Outside不能訪問inside
      Outside不能訪問dmz.

配置靜態路由
在防火墻模式下,ASA支持靜態和默認路由,ASA只支持RIP和OSPF,因此如果你的網絡運行的是其他的路由協議,那么就要使用靜態路由,使用靜態路由可以節省CPU的負載。ASA在相同的接口,最多支持3條等價靜態路由。
Hostname(config)#route 接口名稱 目標網段 掩碼 下一跳地址

配置ACL
一個ACL是由多個訪問控制條目(Access Control Entries,ACE)組成,一個ACE指明一個permit或deny規則,一個ACE可以根據協議,指定的源地址和目的地址、端口號、ICMP類型等來定義,ACE的執行是按照順序執行的,一旦發現匹配的ACE,那么就不會再繼續往下匹配。
對于TCP和UDP連接,不需要使用ACL來允許返回的流量進入,因為防火墻的安全算法會生成一個連接表來允許這些流量的返回;對于無連接流量,比如ICMP,需要使用ACL來明確允許返回的流量進入防火墻,或者可以打開ICMP審查引擎。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

洞口县| 宁城县| 蒲城县| 上犹县| 聂荣县| 静乐县| 嘉兴市| 玉山县| 朔州市| 靖远县| 蒙阴县| 万全县| 玉溪市| 托克托县| 永仁县| 垣曲县| 星子县| 和静县| 永安市| 荔浦县| 彝良县| 海丰县| 冕宁县| 凤庆县| 枝江市| 兴文县| 郑州市| 鄂托克前旗| 波密县| 沈阳市| 沾化县| 汾阳市| 黄陵县| 通化县| 万宁市| 梨树县| 梓潼县| 宜春市| 贺兰县| 余江县| 通城县|