返回
网络设计_CISCO防火墙

网络设计_CISCO防火墙

ID:38438557

大小:1.11 MB

页数:65页

时间:2019-06-12

网络设计_CISCO防火墙_第1页
网络设计_CISCO防火墙_第2页
网络设计_CISCO防火墙_第3页
网络设计_CISCO防火墙_第4页
网络设计_CISCO防火墙_第5页
资源描述:

《网络设计_CISCO防火墙》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、内容防火墙基础知识CISCOASA5510防火墙简介ISMP平台防火墙的典型组网方式ASA5510防火墙配置规划ASA5510防火墙配置步骤ASA5510防火墙的维护简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口,这些接口都

2、是LAN接口(如Ethernet、TokenRing、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。连接不受信网络区域连接受信网络区域在连接受信网络区域和非受信网络区域之间的区域,一般称为DMZ。防火墙的概念防火墙的硬件发展过程:1、一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2、采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防护的一些基本特性构成硬件防火墙产

3、品形态。国内大部分防火墙产品都是采用这种方式开发。从外观上面看,该种防火墙是一个硬件防火墙产品,但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。代表产品有天融信公司的防火墙产品3、采用独立设计的硬件结构,在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构,保证防火墙产品可以得到最优的处理性能。代表产品有junipher公司的CISCO208产品、CISCO500等防火墙产品。防火墙的发展历程A的报文如何能最快的到B?网络A如何和网络B互联互通?过来一个报文立刻转发一个报文。网络A网络B交流路由信息这个访问是否允许到B?这个TCP连接是合法

4、连接吗?这个访问是否是一个攻击行为?路由器的特点:保证互联互通。按照最长匹配算法逐包转发。路由协议是核心特性。防火墙的特点:逻辑子网之间的访问控制,关注边界安全基于连接的转发特性。安全防范是防火墙的核心特性。由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点,因此路由器设备不适合做非常复杂的业务,复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备,支持高速、安全、丰富的业务特性。防火墙和

5、路由器的差异按照防火墙实现的方式,一般把防火墙分为如下几类:包过滤防火墙(PacketFiltering)包过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。代理型防火墙(applicationgateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。状态检测防火墙

6、状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品为状态检测防火墙。防火墙的分类IP包过滤技术包过滤利用定义的特定规则过滤数据包。对防火墙需要转发的数据包,防火墙直接获得其IP源地址、目的地址、TCP/UDP的源端口、目的端口等包头信息。然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制策略(policy)。Internet公司总部内部网络未授权用户办事处访问控制

7、policy一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):IP报头TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说,这5个元素组成了一个TCP相关,访问控制列表就是利用这些元素定义的规则状态防火墙通过检测基于TCP/UDP连接的连接状态,来动态的决定报文是否可以通过防火墙。在状态防火墙中,会维护着一个Session表项,通过Session表项就可以决定哪些连接是合法访问,哪些是非法访问。状态检测技术状态防火墙包处理流程防火墙基础—区域防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域Local区域Trust区域DMZ区

8、域UnTrust区域接口1接口2接口3

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。