网络管的理培训系列-cisco防火墙培训胶片.ppt

学习目标 了解防火墙的基本概念 熟悉CISCO ASA5510防火墙产品 能够对CISCO ASA5510防火墙进行规划和配置 内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护 IP包过滤技术 包过滤利用定义的特定规则过滤数据包。对防火墙需要转发的数据包，防火墙直接获得其IP源地址、目的地址、TCP/ UDP的源端口、目的端口等包头信息。然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制策略(policy)。 访问控制policy 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）： 状态防火墙包处理流程 防火墙基础—区域 防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域 防火墙基础—区域 防火墙上主要有4个安全区域： 非受信区（Untrust）：低级的安全区域.通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。 非军事化区（DMZ）：中度级别的安全区域。停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。 受信区（Trust）：较高级别的安全区域. 通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。 管理区域（MGT）：管理区 此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。 防火墙基础—区域 防火墙基础—转发规则 路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间 防火墙基础—转发规则 域间的数据流分两个方向： 入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向； 出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。 防火墙基础—转发规则 本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃 接口没有加入域之前不能转发报文 防火墙基础—模式分类 路由模式 透明模式 混合模式 防火墙基础—路由模式 可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。 防火墙基础—透明模式 透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备处于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。 防火墙基础—混合模式 混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。 目前很多新型防火墙已经支持透明模式下的双机热备。 防火墙基础—双机热备 内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护 CISCO ASA5500系列防火墙简介 ASA5500 系列特性与优势 CISCO ASA5500系列防火墙简介 ASA5500 系列性能参数 ASA5500 系列技术规格 内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护 ISMP平台防火墙的典型组网方式 内容 防火墙基础知识 CISCO ASA5510防火墙简介 ISMP平台防火墙的典型组网方式 ASA5510防火墙配置规划 ASA5510防火墙配置步骤 ASA5510防火墙的维护 ASA5510防火墙配置规划 主机名规划 区域及接口用途规划 IP地址规划 路由规划 地址映射规划 安全策略规划 SNMP、NTP、D