文章目录
前言
在目前大多数安全解决方案中,防火墙的实施是最为重要的需求,它是每个网络基础设施必要且不可分割的组成部分。传统的防火墙功能已从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能。
1. Cisco 防火墙简介
1.1 软件与硬件防火墙
1.1.1 软件防火墙
Cisco新版本的iOS软件提供了iOS防火墙特性集,它具有应用层只能状态检测防火墙引擎。Cisco iOS防火墙特性集提供了一个综合的,内部的安全解决方案,它被广泛使用在基于iOS软件的设备上。
1.1.2 硬件防火墙
硬件防火墙比软件防火墙更有优势,原因有以下两个方面
1.硬件防火墙功能强大,且明确是为抵御威胁而设计的。
2.硬件防火墙比软件防火墙的漏洞少。
Cisco硬件防火墙技术应用与以下三个领域
1.PIX 500 系列安全设备
2.ASA 5500 系列自适应安全设备
3.catalyst 6500 系列交换机和 Cisco 7600 系列路由器的防火墙服务模块。
1.1.3 ASA安全设备
Cisco ASA 5500 系列自适应安全设备提供了整合防火墙,入侵保护系统,高级自适应威胁防御服务,其中包括应用安全和简化网络安全解决方案的VPN服务
1.2 ASA的安全算法
1.2.1 状态化防火墙
ASA首先是一个状态化防火墙,用于维护一个关于用户信息的连接表,称为Conn表,表中的关键信息如下
1.源IP地址
2.目的IP地址
3.IP协议(如TCP或UDP)
4.IP协议信息(如TCP/UDP端口号,TCP序列号,TCP控制位)
默认情况下,ASA对TCP和UDP协议提供状态化连接,但ICMP协议是非状态化的。
状态化防火墙进行状态化处理过程如下图所示
pc访问web服务器时,状态化防火墙处理的过程如下所述
1.pc发起一个HTTP请求给web服务器
2.HTTP请求到达防火墙,防火墙将连接信息(如源IP地址和目的IP地址,使用的tcp协议,源IP地址和目的IP地址的TCP端口号)添加到Conn表。
3.防火墙将HTTP清酒转发给HTTP服务器
流量返回时,状态化防火墙处理的过程如下所述。
1.web服务器响应HTTP请求,返回相应的数据流量
2.防火墙拦截该流量,检查其连接信息。
如果在Conn表中查找到匹配的连接信息,则流量被允许。
如果在Conn表中找不到匹配的连接信息,则流量被丢弃
1.2.2 安全算法的原理
ASA使用安全算法执行以下三项基本操作
1.访问控制列表。基于特定的网络,主机和服务(TCP/UDP端口号)控制网络访问。
2.连接表。维护每个连接的状态信息。安全算法使用此信息在已建立的连接中有效转发流量。
3.检测引擎。执行状态检测和应用层检测。检测规则集是预先定义的,来验证应用是否尊崇每个RFC和其他标准。
数据报文穿越ASA的过程
1.一个新来的TCP SYN报文到达ASA,试图建立一个新的连接。
2.ASA检查访问列表,确定是否允许连接
3.ASA执行路由查询,如果路由正确,ASA使用必要的会话信息在连接表中创建一个新条目。
4.ASA在检测引擎中检查预定义的一套规则,如果是已知应用,则进一步执行应用层检测。
5.ASA根据检测引擎确定是否转发或丢弃报文。如果允许转发,则将报文转发到目的主机。
6.目的主机响应该报文
7.ASA接收返回报文并进行检测,在连接数据库中查询连接,确定会话信息与现有连接是否匹配。
8.ASA转发属于已建立的现有会话的报文
ASA的应用层检测通过检查报文的IP包头和有效负载的内容,对应用层协议流量执行深层检测,检查应用层协议是否遵守RFC标准,从而 检测出应用层数据中的恶意行为。
2.实验
实验需求:R1可以远程telnetR2,且可以ping通R2
R1#conf t进入全局模式
R1(config)#no ip routing关闭路由功能,将此路由器作为客户机使用
R1(config)#interface FastEthernet0/0进入接口
R1(config-if)#ip address 10.1.1.1 255.255.255.0配置接口IP
R1(config)#no shut开启此接口
R1(config-if)#exit退出
R1(config)#ip default-gateway 10.1.1.254配置网关
R2(config-if)#int f1/0进入此接口
R2(config-if)#ip add 10.1.3.2 255.255.255.0配置接口IP
R2(config-if)#no shutdown开启此接口
R2(config-if)#exit退出
R2(config)#no ip routing关闭路由功能
R2(config)#ip default-gateway 10.1.2.254配置网关
R2(config)#enable password 123456设置特权密码
R2(config)#line vty 0 4进入虚拟终端
R2(config-line)#password 123456配置密码
R2(config-line)#exit退出
ciscoasa(config)# int g0进入此接口
ciscoasa(config-if)# ip add 10.1.1.254 255.255.255.0配置接口IP
ciscoasa(config-if)# no shut开启此接口
ciscoasa(config-if)# nameif inside修改名称
INFO: Security level for “inside” set to 100 by default.inside口默认安全系数为100
ciscoasa(config-if)# int g1进入此接口
ciscoasa(config-if)# ip add 10.1.2.254 255.255.255.0配置接口IP
ciscoasa(config-if)# no shut开启此接口
ciscoasa(config-if)# nameif outside修改接口名称为outside
INFO: Security level for “outside” set to 0 by default.outside口默认安全系数为0
ciscoasa(config-if)# exit退出
ciscoasa(config)# access-list 100 permit ip host 10.1.2.10 host 10.1.1.10配置ACL
ciscoasa(config)# access-group 100 in int outside将此配置应用在outside口的入接口
验证
总结
由于防火墙默认是安全系数高的到安全系数低的是默认放行的,但安全系数低的到安全系数高的却是不放行的,由此,在进行ping实验时,无法ping通,是因为回包被阻止了,配置ACL将特定流量放行即可
扫一扫
3067
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
