Cisco ASA防火墙基础——安全算法与基本配置

一、Cisco防火墙简介

1.什么是防火墙

专门用来检测和阻止外网攻击的硬件设备

2.防火墙的作用

检测和阻止外网攻击

3.硬件与软件防火墙

①.软件防火墙

Cisco新版本的IOS软件提供了IOS防火墙特性集，它具有应用层智能状态检测防火墙引擎，Cisco

IOS防火墙特性集提供了一个综合的，内部的安全解决方案，它被广泛使用在基于IOS软件的设备上。

②.硬件防火墙

硬件防火墙比软件防火墙更有优势，缘由有以下两个方面，

硬件防火墙功能强劲，且明确是为抵御威胁而设计的。

硬件防火墙比软件防火墙的漏洞少。

③从技术上分可以分为

包过滤防火墙

应用代理型防火墙实现基于应用层的检测和过滤

复合型防火墙

④Cisco硬件防火墙技术应用于以下三个领域。

PIX500系列安全设备，

ASA5500系列自适应安全设备。

Catalyst 6500系列交换机和 Cisco 7600 系列路由器的防火墙服务模块（Firewall Servioes Module, FWSM).

⑤ASA安全设备

Cisco ASA 5500系列自适应安全设备提供了整合防火墙，入侵保护系统（Intrusion PreventionSystem.PS).高级自适应威胁防御服务，其中包括应用安全和简化网络安全解决方案的VPN服务。目前CiscoASA5500系列有六种型号。

ASA 5500系列

常见型号：

二、ASA的安全算法

1.状态化防火墙

ASA第一是一个状态化防火墙，用于维护一个关于用户信息的连接表，称为Comm表表中的关键信息如下。

Conn表中的关键信息

源IP地址
目的IP地址
IP协议（例如TCP或UDP）
IP协议信息（例如TCP/UDP端口号，TCP序列号，TCP控制位）

默认情况下，ASA对TCP和UDP协议提供状态化连接，但ICMP协议是非状态化的。

2.状态化防火墙进行状态化处理的过程

Cisco ASA防火墙基础——安全算法与基本配置

主要实现过程

当内网主机强求外部web或其他服务器服务器使，数据通过防火墙后，记录到防火墙的 conn状态表中，然后防火墙转发。

外网Web服务器回应交给防火墙防火墙检查自己的conn 看是否有对应的请求信息，如果有允许通过，如果没有拒绝。

外网其他主动发来的信息，防火墙参照conn表由于没有对应的请求全部拒绝。

3.安全算法原理

ASA使用安全算法执行以下三项基本操作，

访问控制列表：基于特定的网络，主机和服务（TCP/UDP端口号）控制网络访问。

连接表：维护每个连接的状态信息，安全算法使用此信息在已建立的连接中有效转发流量。

检测引擎：执行状态检测和应用层检测，检测规则集是预先定义的，来验证应用是否遵从每个AFC和其他标准。

Cisco ASA防火墙基础——安全算法与基本配置

三、ASA基本配置

1.主机名和密码

hostname asa //配置主机名

enable password 123 //配置特权模式密码

Password 456 //配置远程访问密码

Int e0/0

nameif inside //配置接口的逻辑名称

Security-level 安全级别号 //配置安全级别 inside 默认 100 outside 默认 0

2.防火墙的默认规则

允许出站

禁止入站

一样优先级的禁止相互访问

3.ASA的接口

物理名称

物理名称与路由器接口的名称类似，如Ethernet0/0.EthernetO/1，可以简写为E0/0.EO/1，通

常用来配置接口的速率，双工和P地址等。ASA 5510及以上型号还有专门的管理接口用于管理，如managerent0/0.

逻辑名称

逻辑名称用于大多数的配置命令，如配置ACL、路由等使用的命令中都用到逻辑名称，逻辑名称用来描述安全区城，如一般用inside 表明ASA连接的内部区域（安全性高），用outside表明ASA连接的外部区域（安全性低）。防火墙与路由器有着本质的不同，防火墙用于安全目的，所以它的各个接口代表了不同的安全区域，而安全区域之间隔着一堵“墙”。

Cisco ASA防火墙基础——安全算法与基本配置