防火墙基础
什么是防火墙
firewall代表一个系统或一组系统,执行两个或多个网络之间的访问控制策略,通常用于网络的边界或边缘,防止外部威胁,当然。也可以用于网络内部,防止内部的威胁。
防火墙类型
包过滤packet-filtering
代理服务器proxy server
基于状态的包过滤stateful packet filtering
包过滤防火墙
包过滤防火墙,通常是针对网路层和传输层信息进行分析,基于即定的策略,限制进入或离开一个网络的信息,或者限制信息在同一个网络的不同网络之间传递,它依靠acl,根据包的类型或者其他变量,允许或者拒绝数据包的访问。
代理服务器防火墙
代理服务器类型防火墙工作在osi的4到7层。开销比包过滤防火墙大,代理服务器类型的防火墙要求用户通过代理和安全系统进行通信,从而隐藏有价值的数据。用户通过运行在网关上的应用程序(代理)连接到外部的服务,网关于外部不受保护区域相连。
状态包过滤防火墙
基于状态的包过滤,保持完整的会话状态。每当一个tcp或udp连接建立的时候,不管出去的连接,还是进来的连接,这些信息都会被记录在一个基于状态的会话表(state table content)中。
asa防火墙的技术特点
私有操作系统
状态包监控
穿越用户认证
协议和应用监控
模块化策略
vpn支持ssl-vpn
虚拟防火墙
状态化故障切换
透明防火墙
基于web的管理
私有化操作系统
消除了与通用操作系统相关的风险。
finesse是思科私有操作系统,类似于ios的操作系统,可以减少通用操作系统带来的风险。该操作系统具有卓越的性能,可以同时处理50万连接,比任何基于unix的防火墙性能都高的多
fwsm:目前可以处理100万的同时连接。
状态化包监控
状态包监控算法提供了有状态的连接安全:它跟踪源和目的端口和地址,tcp序列号,以及其他tcp标志,它随即化每个新的连接初始化tcp序列号。
默认情况下:状态包监控算法允许来自内部(安全级别高)接口的主机发出的到外部(或者其他安全级别低的接口的主机连接)。
默认情况下:状态包监控算法拒绝来自外部(安全级别低)接口的主机发出到内部(安全级别高)主机连接。
状态包监控算法支持认证,授权和审计(aaa)
穿越用户认证
直通代理透明地验证用户的身份,确定允许还是拒绝对基于tcp或udp的应用访问,也被称为基于用户的出入连接认证方式。
防火墙开始的时候在应用层询问用户,用户认证和策略检查完以后,防火墙把会话流转到osi模型的低层,以抬高处理能力,这种处理方式,可以基于用户的身份实施安全策略。
代理认证的模型
应用层感知监控
如ftp、h.323和sql*net等协议需要通过防火墙动态协商新的源或目的地址或端口号。
防火墙是检查网络层数据包。防火墙可以打开和关闭通过防火墙的合法的客户端与服务器之间所协商的端口号。
模块化策略
class map:
default
internet
system engineer
executives
site to site
policy map:
inspect
ips 监控
police 限速
priority打优先级
service policy:
global
outside
asa防火墙功能
vpn的支持
虚拟防火墙
在一个单一的安全设备上能创建多个安全环境(虚拟防火墙)
故障切换功能
failover:防火墙设备提供冗余能力的一种机制,通过让两个相同的防火墙完成一个功能来实现。主防火墙执行正常的安全功能,备份防火墙处于监控状态,随时准备在主防火墙失败时获得控制权。
防火墙可以配置成基于状态的故障切换模式(stateful failover),这样即使进行了故障倒换,仍然会保持住所有活动的连接。有了故障倒换功能,防火墙就可以用在高可靠的环境里。
透明防火墙
把安全设备部署在一个安全的桥接模式下。
为2层设备提供丰富的层2到层7的安全服务。
基于web管理
vpn网关集群
集群多台asa 5500满足高达10万并发用户连接需求;
动态负载均衡,保证设备利用效率;
群集同时提高可用性-动态接管
新建vpn网关无缝集成到已有vpn网关中-快速部署,降低风险
支持不同asa产品(asa5505除外)和vpn3000系列产品混合部署,最大限制的保护了客户的投资
asa防火墙产品线
asa的自适应安全设备系列
从家庭办公到数据中心全面覆盖的产品方案
asa5505
asa5505:这款设备性价比高、部署简单,适用于小型企业、分支机构或家庭办公环境。
它继承了一个8端口的快速以太网(10/100)交换机(其中包括两个poe(以太网供电)端口)。
授权为base model和security plus model两种模式。
网络吞吐:150mbps,并发连接:10000,可升级到25000
vpn peer:10,可升级25个;ssl vpn:默认2,可升级25个(ssl-vpn授权)。
vlan数量:默认3,可升级20个
aip-ssc-5:入侵检测和防病毒,最大为75mbps.
还支持dmz,冗余的isp接入,a/s-fo,需要授权允许。
5540
提供了所有功能于一身的企业,远程办公室和中小企业的安全和vpn网关。
吞吐量:650mbps;并发连接400000
vpn吞吐量:325mbps:vpn peer:5000个;ssl-vpn:默认2个,可升级10、25、50、100、250、500、750、1000、2500个(ssl-vpn授权):
虚拟防火墙:默认2个,可升级到50个
ha(fo):a/s,a/a fo..
vlan数量:200个;接口;4g口和1f口
支持vpn集群和负载均衡,一个集群最多10太设备。
asa5550
提供了所有功能一身的企业,远程办公和中小企业的安全和vpn网关。
吞吐量:1.2gbps,并发连接:650000
vpn吞吐量:425mbps:vpn peer:5000个:ssl-vpn;默认2个,可升级到10、25、50、100、250、500、750、1000、2500、5000个(ssl-vpn授权)
虚拟防火墙:默认2个,可升级到50个
ha(fo):a/s,a/a fo..
vlan数量:250个;接口;8g口(4个sfp光口)和1f口
支持vpn集群和负载均衡,一个集群醉倒10太设备
asa5580
吞吐量:5gbps(5580-20),10bps(5580-40)
并发连接:1000000 (5580-20),2000000 (5580-40)
vpn吞吐量:1gbps; vpn peer ;10000; ssl-vpn:默认2个,可以升级到10000个。
虚拟防火墙:默认2个,可升级到50个。
ha(fo):a/s,a/a fo.
vlan数量:250;接口;4g口、4g光口和2个万兆口。
支持vpn集群和负载均衡,一个集群醉倒10太设备
支持冗余电源,6个接口插槽
asa5580
吞吐量:
asa 5580-x ssp-10:4gbps
asa 5580-x ssp-20:10gbps
asa 5580-x ssp-40:20gbps
asa 5580-x ssp-60:35gbps
并发连接:asa 5580-x ssp-10:750000
asa 5580-x ssp-20:1000000asa 5580-x ssp-40/60:2000000
asa5585
vpn peer 和ssl-vpn:ssl-vpn默认2个
asa 5585-x ssp-10:可升级到5000
asa 5585-x ssp-20/40/60:可升级到10000
虚拟防火墙:可升级到50个,vlan:250个
接口数量:
asa 5585-x ssp-10/20:8个g口+2个10g口(spf+)最多20接口,16个g口+4个10g口(spf+)asa 5585-x ssp-40/60:6个g口+4个10g口(spf+)最多20接口,12个g口+8个10g口(spf+)
service modules
asa5500系列服务模块式基于网络内嵌式解决方案,可以再5505551055205540上使用。
aip-ssc-5;asa5505上的ips模块。
aip-ssm-1020/40/60;的ips模块
ips-ssp-10/20/40/60;5585的ips模块
csc-ssm-10/40;防病毒、url过滤、防垃圾邮件模块
4-port g eth ssm;4g接口模块。
aip-ssm模块
aip-ssm-10
150mbps asa5510
225mbps asa5520
aip-ssm-20
375mbps asa5520
500mbps asa5540
aip-ssm-40
450mbps asa5520
650mbps asa5540
ips-ssp模块
ips-ssp-10 的ips吞吐量2gbps;flash 2gb,memory 6gb
ips-ssp-20 的ips吞吐量3gbps;flash 2gb,memory 12gb
ips-ssp-40 的ips吞吐量6gbps;flash 2gb,memory 24gb
ips-ssp-60 的ips吞吐量10gbps;flash 2gb,memory 48gb
csc-ssm模块
csc-ssm-10
csc-ssm-10
支持asa5510、5520
标准用户:50个,可升级为:100、250、500个
csc-ssm-200:
支持asa5510、5520、5540
标准用户:500个,可升级为:750、1000个。
防火墙接口模块和接口卡
asa 5500 series 4-port gigabit ethernet ssms
4个 10/100/1000base-t
4个 gigabit ethernet optical sfp 1000base-sx
cisco asa 5580 security appliance interface cards
cisco asa 5580 4-port gigabit ethernet copper
cisco asa 5580 4-port gigabit ethernet fiber
cisco asa 5580 2-port 10gigabit ethernet fiber
fwsm
转为校园数据中心和服务提供商环境,运行在思科catalyst 6500系列交换机和7600系列路由器。
高达100万并发连接,高达5.5gbps的吞吐量。
支持100虚拟防火墙。256安全接口方面,1000个vlan(最高每fwsm)
支持主动、备用故障转移
pix与asa
ssl-vpn:pix不支持
aip-ssm模块:pix不支持
vpn的群集及负载均衡:pix不支持
flash卡:pix不支持
aux接口:pix不支持
pix授权
ur版
r版(和ur区别:1.接口;2.内存;3.fo)
active/standby fo
active/active
vpn加密授权
des授权:56-bit des
3des/aes授权:168-bit 3des,256-bit aes.中国区产品不支持3des
配置模式
用户模式、特权模式、配置模式和监控模式,
模式之间切换命令
特权密码默认为空,enable后面可以跟上级别。